• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
X64 rootkits risspa
 

X64 rootkits risspa

on

  • 1,996 views

 

Statistics

Views

Total Views
1,996
Views on SlideShare
1,073
Embed Views
923

Actions

Likes
0
Downloads
18
Comments
0

6 Embeds 923

http://www.risspa.ru 901
http://risspa.ru 13
http://risspa.drupalgardens.com 6
http://ec2-176-34-245-108.eu-west-1.compute.amazonaws.com 1
http://hl.mailru.su 1
http://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    X64 rootkits risspa X64 rootkits risspa Presentation Transcript

    • Руткиты для платформы x64: миф или реальность
      Александр Матросов
      Евгений Родионов
    • Кто мы такие?
      • Центр вирусных исследований и аналитикиESET
      - анализ современных руткит угроз
      - разработка средств лечения и защиты
      - мониторинг новых вредоносных технологий
      - анализ активности киберкриминальных групп
      http://www.joineset.com/
    • О чем сегодня поговорим
      • Эволюция руктит-программ
      • Какиеруткит угрозы известны для x64
      • Какие методы используются для обхода проверки цифровой подписи модулей ядра
      • Как отлаживать буткит часть при помощиBochs
      • TdlFsReaderкак инструмент криминалистической экспертизы
    • Эволюция руткит-программ
    • Эволюция руткиттехнологий
      x86
      x64
      Dropper
      Rootkit
      Rootkit
      Rootkit
      bypassing HIPS/AV
      self-defense
      self-defense
      privilege escalation
      surviving reboot
      surviving reboot
      bypassing signature check
      installing rootkit driver
      injecting payload
      bypassing
      MS PatchGuard
      injecting payload
      Kernel mode
      User mode
    • Проблемы разработки х64руткитов
      • Kernel-Mode Code Signing Policy
      • Проблемы с загрузкой неподписанных модулей ядра
      • Kernel-Mode Patch Protection (Patch Guard):
      • SSDT (System Service Dispatch Table)
      • IDT (Interrupt Descriptor Table)
      • GDT ( Global Descriptor Table)
      • MSRs (Model Specific Registers)
    • Эволюция TDL
    • Эволюция TDL
    • Установка наx86 vs. x64
    • Этапы установки руткита
      exploit
      payload
      dropper
      rootkit
    • Устанавливаемые модули
    • Installation on x86
    • Installation on x64
    • TDL буткитиликак обойти проверку цифровой подписи
    • Types of integrity checks
      • PnP устройства должны иметь цифровую подпись
      • Kernel-Mode Code Signing Policy
      • работает нах64версияхWindows Vista и более поздних
    • Boot process of Windows OS
    • Code integrity check
    • Boot Configuration Data (BCD)
    • BCD Elements determining KMCSP
      (before KB2506014)
    • Abusing Win PE mode: workflow
    • TDL file system
    • TDL4 Device Stack
    • TDL4 File System Layout
    • Debugging bootkit with WinDbg
    • WinDbg and kdcom.dll
      WinDbg
      KDCOM.DLL
      NTOSKRNL
      KdDebuggerInitialize
      RETURN_STATUS
      Data packet
      KdSendPacket
      RETURN_CONTROL
      Data Packet
      KdReceivePacket
      KD_RECV_CODE_OK
    • TDL4 and kdcom.dll
      original routine
      modified routine
    • TDL4 and kdcom.dll
      original export table
      modified export table
    • TdlFsReader as a forensic tool
    • TdlFsReader as a forensic tool
      hееp://eset.ru/tools/TdlFsReader.exe
    • TdlFsReader architecture
      TdlFileReader
      TdlFsRecognizer
      TdlFsDecryptor
      User mode
      Kernel mode
      TdlSelfDefenceDisabler
      LowLevelHddReader
    • TdlFsReader architecture
      TdlFsRecognizer
      TdlFsDecryptor
      FsCheckVersion
      TdlCheckVersion
      FsStructureParser
      TdlDecryptor
      TdlSelfDefenceDisabler
      TdlUnHooker
      HddBlockReader
    • References
      • “The Evolution of TDL: Conquering x64”
      http://www.eset.com/us/resources/white-papers/The_Evolution_of_TDL.pdf
      • “Rooting about in TDSS”
      http://www.eset.com/us/resources/white-papers/Rooting-about-in-TDSS.pdf
      • “TDL3: The Rootkit of All Evil?”
      http://www.eset.com/us/resources/white-papers/TDL3-Analysis.pdf
      • Follow ESET Threat Blog
      http://blog.eset.com
    • Questions
    • Thank you for your attention ;)
      AleksandrMatrosov
      matrosov@eset.sk
      @matrosov
      Eugene Rodionov
      rodionov@eset.sk
      @vxradius