Руткиты для платформы x64: миф или реальность<br />Александр Матросов<br />Евгений Родионов<br />
Кто мы такие?<br /><ul><li>Центр вирусных исследований и аналитикиESET</li></ul>- анализ современных руткит угроз<br />- р...
О чем сегодня поговорим<br /><ul><li>Эволюция руктит-программ
Какиеруткит угрозы известны для x64
Какие методы используются для обхода проверки цифровой подписи модулей ядра
Как отлаживать буткит часть при помощиBochs
TdlFsReaderкак инструмент криминалистической экспертизы</li></li></ul><li>Эволюция руткит-программ<br />
Эволюция руткиттехнологий<br />x86<br />x64<br />Dropper<br />Rootkit<br />Rootkit<br />Rootkit<br />bypassing HIPS/AV <br...
Проблемы разработки х64руткитов<br /><ul><li> Kernel-Mode Code Signing Policy
Проблемы с загрузкой неподписанных модулей ядра
 Kernel-Mode Patch Protection (Patch Guard):
 SSDT (System Service Dispatch Table)
 IDT (Interrupt Descriptor Table)
 GDT ( Global Descriptor Table)
 MSRs (Model Specific Registers)</li></li></ul><li>Эволюция TDL<br />
Эволюция TDL<br />
Установка наx86 vs. x64<br />
Этапы установки руткита<br />exploit<br />payload<br />dropper<br />rootkit<br />
Устанавливаемые модули<br />
Installation on x86<br />
Installation on x64<br />
TDL буткитиликак обойти проверку цифровой подписи<br />
Types of integrity checks<br /><ul><li>PnP устройства должны иметь цифровую подпись
 Kernel-Mode Code Signing Policy
работает нах64версияхWindows Vista и более поздних</li></li></ul><li>Boot process of Windows OS<br />
Code integrity check<br />
Boot Configuration Data (BCD)<br />
BCD Elements determining KMCSP <br />(before KB2506014)<br />
Abusing Win PE mode: workflow<br />
TDL file system<br />
TDL4 Device Stack<br />
TDL4 File System Layout<br />
Debugging bootkit with WinDbg<br />
WinDbg and kdcom.dll<br />WinDbg<br />KDCOM.DLL<br />NTOSKRNL<br />KdDebuggerInitialize<br />RETURN_STATUS<br />Data packe...
Upcoming SlideShare
Loading in …5
×

X64 rootkits risspa

1,924
-1

Published on

Published in: Technology, Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,924
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
19
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

X64 rootkits risspa

  1. 1. Руткиты для платформы x64: миф или реальность<br />Александр Матросов<br />Евгений Родионов<br />
  2. 2. Кто мы такие?<br /><ul><li>Центр вирусных исследований и аналитикиESET</li></ul>- анализ современных руткит угроз<br />- разработка средств лечения и защиты<br /> - мониторинг новых вредоносных технологий<br />- анализ активности киберкриминальных групп<br />http://www.joineset.com/<br />
  3. 3. О чем сегодня поговорим<br /><ul><li>Эволюция руктит-программ
  4. 4. Какиеруткит угрозы известны для x64
  5. 5. Какие методы используются для обхода проверки цифровой подписи модулей ядра
  6. 6. Как отлаживать буткит часть при помощиBochs
  7. 7. TdlFsReaderкак инструмент криминалистической экспертизы</li></li></ul><li>Эволюция руткит-программ<br />
  8. 8. Эволюция руткиттехнологий<br />x86<br />x64<br />Dropper<br />Rootkit<br />Rootkit<br />Rootkit<br />bypassing HIPS/AV <br />self-defense<br />self-defense<br />privilege escalation <br />surviving reboot<br />surviving reboot<br />bypassing signature check <br />installing rootkit driver <br />injecting payload<br />bypassing <br />MS PatchGuard<br />injecting payload<br />Kernel mode<br />User mode<br />
  9. 9. Проблемы разработки х64руткитов<br /><ul><li> Kernel-Mode Code Signing Policy
  10. 10. Проблемы с загрузкой неподписанных модулей ядра
  11. 11. Kernel-Mode Patch Protection (Patch Guard):
  12. 12. SSDT (System Service Dispatch Table)
  13. 13. IDT (Interrupt Descriptor Table)
  14. 14. GDT ( Global Descriptor Table)
  15. 15. MSRs (Model Specific Registers)</li></li></ul><li>Эволюция TDL<br />
  16. 16. Эволюция TDL<br />
  17. 17. Установка наx86 vs. x64<br />
  18. 18.
  19. 19. Этапы установки руткита<br />exploit<br />payload<br />dropper<br />rootkit<br />
  20. 20. Устанавливаемые модули<br />
  21. 21. Installation on x86<br />
  22. 22. Installation on x64<br />
  23. 23. TDL буткитиликак обойти проверку цифровой подписи<br />
  24. 24. Types of integrity checks<br /><ul><li>PnP устройства должны иметь цифровую подпись
  25. 25. Kernel-Mode Code Signing Policy
  26. 26. работает нах64версияхWindows Vista и более поздних</li></li></ul><li>Boot process of Windows OS<br />
  27. 27. Code integrity check<br />
  28. 28. Boot Configuration Data (BCD)<br />
  29. 29. BCD Elements determining KMCSP <br />(before KB2506014)<br />
  30. 30. Abusing Win PE mode: workflow<br />
  31. 31. TDL file system<br />
  32. 32. TDL4 Device Stack<br />
  33. 33. TDL4 File System Layout<br />
  34. 34. Debugging bootkit with WinDbg<br />
  35. 35. WinDbg and kdcom.dll<br />WinDbg<br />KDCOM.DLL<br />NTOSKRNL<br />KdDebuggerInitialize<br />RETURN_STATUS<br />Data packet<br />KdSendPacket<br />RETURN_CONTROL<br />Data Packet<br />KdReceivePacket<br />KD_RECV_CODE_OK<br />
  36. 36. TDL4 and kdcom.dll<br />original routine<br />modified routine<br />
  37. 37. TDL4 and kdcom.dll<br />original export table<br />modified export table<br />
  38. 38. TdlFsReader as a forensic tool<br />
  39. 39. TdlFsReader as a forensic tool<br />hееp://eset.ru/tools/TdlFsReader.exe<br />
  40. 40. TdlFsReader architecture<br />TdlFileReader<br />TdlFsRecognizer<br />TdlFsDecryptor<br />User mode<br />Kernel mode<br />TdlSelfDefenceDisabler<br />LowLevelHddReader<br />
  41. 41. TdlFsReader architecture<br />TdlFsRecognizer<br />TdlFsDecryptor<br />FsCheckVersion<br />TdlCheckVersion<br />FsStructureParser<br />TdlDecryptor<br />TdlSelfDefenceDisabler<br />TdlUnHooker<br />HddBlockReader<br />
  42. 42. References<br /><ul><li> “The Evolution of TDL: Conquering x64”</li></ul>http://www.eset.com/us/resources/white-papers/The_Evolution_of_TDL.pdf<br /><ul><li> “Rooting about in TDSS”</li></ul>http://www.eset.com/us/resources/white-papers/Rooting-about-in-TDSS.pdf<br /><ul><li> “TDL3: The Rootkit of All Evil?”</li></ul>http://www.eset.com/us/resources/white-papers/TDL3-Analysis.pdf<br /><ul><li> Follow ESET Threat Blog</li></ul>http://blog.eset.com<br />
  43. 43. Questions<br />
  44. 44. Thank you for your attention ;)<br />AleksandrMatrosov<br />matrosov@eset.sk<br />@matrosov<br />Eugene Rodionov<br />rodionov@eset.sk<br />@vxradius<br />
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×