Your SlideShare is downloading. ×
X64 rootkits risspa
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

X64 rootkits risspa

1,817
views

Published on

Published in: Technology, Education

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,817
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Руткиты для платформы x64: миф или реальность
    Александр Матросов
    Евгений Родионов
  • 2. Кто мы такие?
    • Центр вирусных исследований и аналитикиESET
    - анализ современных руткит угроз
    - разработка средств лечения и защиты
    - мониторинг новых вредоносных технологий
    - анализ активности киберкриминальных групп
    http://www.joineset.com/
  • 3. О чем сегодня поговорим
    • Эволюция руктит-программ
    • 4. Какиеруткит угрозы известны для x64
    • 5. Какие методы используются для обхода проверки цифровой подписи модулей ядра
    • 6. Как отлаживать буткит часть при помощиBochs
    • 7. TdlFsReaderкак инструмент криминалистической экспертизы
  • Эволюция руткит-программ
  • 8. Эволюция руткиттехнологий
    x86
    x64
    Dropper
    Rootkit
    Rootkit
    Rootkit
    bypassing HIPS/AV
    self-defense
    self-defense
    privilege escalation
    surviving reboot
    surviving reboot
    bypassing signature check
    installing rootkit driver
    injecting payload
    bypassing
    MS PatchGuard
    injecting payload
    Kernel mode
    User mode
  • 9. Проблемы разработки х64руткитов
    • Kernel-Mode Code Signing Policy
    • 10. Проблемы с загрузкой неподписанных модулей ядра
    • 11. Kernel-Mode Patch Protection (Patch Guard):
    • 12. SSDT (System Service Dispatch Table)
    • 13. IDT (Interrupt Descriptor Table)
    • 14. GDT ( Global Descriptor Table)
    • 15. MSRs (Model Specific Registers)
  • Эволюция TDL
  • 16. Эволюция TDL
  • 17. Установка наx86 vs. x64
  • 18.
  • 19. Этапы установки руткита
    exploit
    payload
    dropper
    rootkit
  • 20. Устанавливаемые модули
  • 21. Installation on x86
  • 22. Installation on x64
  • 23. TDL буткитиликак обойти проверку цифровой подписи
  • 24. Types of integrity checks
    • PnP устройства должны иметь цифровую подпись
    • 25. Kernel-Mode Code Signing Policy
    • 26. работает нах64версияхWindows Vista и более поздних
  • Boot process of Windows OS
  • 27. Code integrity check
  • 28. Boot Configuration Data (BCD)
  • 29. BCD Elements determining KMCSP
    (before KB2506014)
  • 30. Abusing Win PE mode: workflow
  • 31. TDL file system
  • 32. TDL4 Device Stack
  • 33. TDL4 File System Layout
  • 34. Debugging bootkit with WinDbg
  • 35. WinDbg and kdcom.dll
    WinDbg
    KDCOM.DLL
    NTOSKRNL
    KdDebuggerInitialize
    RETURN_STATUS
    Data packet
    KdSendPacket
    RETURN_CONTROL
    Data Packet
    KdReceivePacket
    KD_RECV_CODE_OK
  • 36. TDL4 and kdcom.dll
    original routine
    modified routine
  • 37. TDL4 and kdcom.dll
    original export table
    modified export table
  • 38. TdlFsReader as a forensic tool
  • 39. TdlFsReader as a forensic tool
    hееp://eset.ru/tools/TdlFsReader.exe
  • 40. TdlFsReader architecture
    TdlFileReader
    TdlFsRecognizer
    TdlFsDecryptor
    User mode
    Kernel mode
    TdlSelfDefenceDisabler
    LowLevelHddReader
  • 41. TdlFsReader architecture
    TdlFsRecognizer
    TdlFsDecryptor
    FsCheckVersion
    TdlCheckVersion
    FsStructureParser
    TdlDecryptor
    TdlSelfDefenceDisabler
    TdlUnHooker
    HddBlockReader
  • 42. References
    • “The Evolution of TDL: Conquering x64”
    http://www.eset.com/us/resources/white-papers/The_Evolution_of_TDL.pdf
    • “Rooting about in TDSS”
    http://www.eset.com/us/resources/white-papers/Rooting-about-in-TDSS.pdf
    • “TDL3: The Rootkit of All Evil?”
    http://www.eset.com/us/resources/white-papers/TDL3-Analysis.pdf
    • Follow ESET Threat Blog
    http://blog.eset.com
  • 43. Questions
  • 44. Thank you for your attention ;)
    AleksandrMatrosov
    matrosov@eset.sk
    @matrosov
    Eugene Rodionov
    rodionov@eset.sk
    @vxradius