Rootkits em kernel space - Redshift, um rootkit para o kernel do FreeBSD

Nullbyte Security Conference
Nullbyte Security ConferenceNullbyte Security Conference
1
Redshift
Um rootkit para o kernel do FreeBSD
Anderson Eduardo
andersonc0d3@gmail.com
2
Agenda
★ sobre mim
★ Rootkit
○ tipos de rootkit
★ Redshift
○ O que é isso?
○ Comandos
○ técnicas
○ Módulos
★ Demonstração
★ Detecção
★ Futuro
★ dúvidas?
3
sobre mim
★ quem?
Email: Anderson eduardo < andersonc0d3@gmail..com >
Twitter: @andersonc0d3
Github: @andersonc0d3
★ O que eu faço?
Security researcher
★ Principais interesses
kernel, rootkit, virtualização, sistemas operacionais, ciência da computação
skateboard, matemática, física, neurociência
★ Anteriormente
Security analyst (Conviso application security, 3 anos)
Exploit for CVE-2012-0217 (sysret)
EXploit for CVE-2012-4576 (Freebsd’s linux compat subsystem ioctl)
4
Motivação e AVISO LEGAL
Este é o resultado de um trabalho pessoal e sem revisões
prévias, nascido e mantido pelo seu único desenvolvedor,
como uma forma de estudar os assuntos de seu
interesse. Sendo assim, erros poderão ser cometidos nesta
apresentação e peço desculpas desde já.
Gostaria também de mencionar que este rootkit não tem
nenhuma relação com outra pessoa ou entidade a não ser
seu único desenvolvedor.
5
Modos de operação de uma CPU
★ real mode
○ 16 bits
○ sem rings de proteção
○ acesso total ao hardware
★ protected mode
○ rings
○ paginação
○ 32 bits - 4G
★ virtual 8086
○ DOS
★ long mode/IA-32e
○ paginação - 256 TB
○ Sem segmentação
○ amd64 canonical address - 48 bits de endereçamento
○ 64 bits registradores gerais etc..
○ sub modo de compatibilidade 32 bits
http://www.intel.com/Assets/en_US/PDF/manual/253668.pdf
6
Modos de operação de uma CPU
★ SMM
○ 16 bits
○ SMRAM
■ Área da memória RAM somente acessível em SMM mode,
invisível para o sistema operacional
○ Saved state map
○ SMI Handler provido pela BIOS/UEFI
○ usado para gerenciar erros críticos:
energia/voltagem/aquecimento/erros do chipset por
exemplo.
http://www.intel.com/Assets/en_US/PDF/manual/253668.pdf
7
Modos de operação de uma CPU
http://www.intel.com/Assets/en_US/PDF/manual/253668.pdf
8
Níveis de privilégio - modo protegido
https://en.wikipedia.org/wiki/Protection_ring#/media/File:Priv_rings.svg
9
Rootkit
“A rootkit is a collection of computer software, typically
malicious, designed to enable access to a computer or
areas of its software that would not otherwise be
allowed (for example, to an unauthorized user) while at
the same time masking its existence or the existence of
other software.”
https://en.wikipedia.org/wiki/Rootkit
10
Rootkit
https://en.wikipedia.org/wiki/Rootkit
11
Tipos de rootkit
★ ring 3 - userland
★ ring 0 - kernel/bootkit
★ ring -1 - hypervisor
★ ring -2 - SMM (System management mode)
★ ring -3 - Intel management/manageability engine (ME)
★ hardware/Firmware rootkits
12
tipos de rootkit - ring 3
★ ring 3 - userland
○ Sobrescrever/alterar binário do sistema operacional
■ ps, ls, netstat, top, last, w
■ sshd
■ apached/httpd
■ smbd
○ Ptrace() syscall
13
tipos de rootkit - ring 0
★ ring 0 - kernel/bootkit
★ Necessário acesso root
○ Carregar módulo no kernel
○ sobrescrever bootloader
★ principal vetor de ataque para outros níveis
★ Acesso total ao hardware
★ bootkits
○ Utilizado para atacar o kernel, e.g: desabilitar patchguard
○ interceptar senhas e ataques contra full-disk encryption -
Stoned bootkit [1]
○ infecta MBR/VBR, altera (hook) IVT da BIOS, carrega
bootloader do sistema operacional, reganha acesso
14
tipos de rootkit - ring 0
★ Exemplos de rootkits em ring 0
○ redshift (FreeBSD)
○ suckit
○ diamorphine (Linux 2.6/3.X) [2]
○ babykit [3]
○ sutersu
○ stoned bootkit
○ e muito mais...
15
tipos de rootkit - ring -1
https://en.wikipedia.org/wiki/Protection_ring
16
tipos de rootkit - ring -1
★ bluepill [4]
○ Joanna Rutkowska
○ windows vista x64
○ Amd pacifica
★ subvirt [5]
○ Universidade de michigan and microsoft
○ windows xp e linux
★ vitriol [6]
○ dino dai zovi
○ Mac-os x
○ Intel vt-x
17
tipos de rootkit - ring -2
★ ring -2 - SMM (System management mode)
○ loic duflot [7]
■ Ataque para OpenBSD usando SMM para desabilitar
securelevel¹
○ A Real SMM Rootkit: Reversing and Hooking BIOS SMI Handlers,
phrack edição 66, artigo 11 [8]
18
tipos de rootkit - ring -3
★ ring -3 - management engine / vpro based
★ Alexander Tereshkin e Rafal Wojtczuk
○ Introducing Ring -3 Rootkits [9]
■ Q35 chipset Q3'07
■ independente da CPU
■ Ativo mesmo em S3
■ Acesso remoto
■ Acesso a memória via DMA
19
tipos de rootkit - hardware/firmware rootkits
★ BIOS/UEFI
○ How Many Million BIOSes Would you Like to Infect? [10]
○ Persistent BIOS Infection, phrack edição 66, artigo 7, anibal
sacco e alfredo ortega [11]
○ DE MYSTERIIS DOM JOBSIVS Mac EFI Rootkits, snare [12]
○ A Real SMM Rootkit: Reversing and Hooking BIOS SMI Handlers
[8]
★ PCI
○ John Heasman, Implementing and detecting PCI ROOTKITs [13]
○ João Batista e Bruno cardoso, Low level playground [14]
★ SCADA
○ stuxnet
20
rootkits
★ QUem usa?
○ Lenovo, SONY e muitos outros que ainda não foram
descobertos :)
21
tipos de rootkit - Caso da lenovo
http://www.zdnet.com/article/lenovo-rootkit-ensured-its-software-could-not-be-deleted/
22
tipos de rootkit - Caso da sony
http://www.zdnet.com/article/lenovo-rootkit-ensured-its-software-could-not-be-deleted/
23
tipos de rootkit - Caso Eddie Raymond Tipton
http://arstechnica.com/tech-policy/2015/04/prosecutors-suspect-man-hacked-lottery-computers-to-score-winning-ticket/
24
Redshift - O que é isso?
★ Rootkit pessoal para o kernel do freebsd (ring 0)
★ FreeBSD 10
★ Userland handler
★ Nasceu em 2015
★ Fácil de usar, flexível, atualizado, constante
desenvolvimento, estável
★ Confiável, open-source
★ overlabs# ./redshift_handler COMMAND MODULE ARGS
TECHNIQUE
25
Redshift exemplos
★ overlabs# ./redshift_handler load
★ overlabs# ./redshift_handler status
★ overlabs# ./redshift_handler enable hide_module redshift syscall
★ overlabs# ./redshift_handler enable hide_process “./sniffer” syscall
★ overlabs# ./redshift_handler enable hide_FILE “senhas.txt” syscall
★ overlabs# ./redshift_handler enable give_root vsyscall
★ overlabs# ./redshift_handler status hide_module
★ overlabs# ./redshift_handler unload
26
Redshift comandos
★ enable/disable
○ Habilita ou desabilita um módulo específico
★ load/unload
○ Carrega/descarrega o rootkit do kernel
★ Status
○ Status atual
27
Redshift comandos
★ enable/disable
○ ./redshift_handler enable hide_file passwords.txt syscall
○ ./redshift_handler enable hide_process NULL 666 syscall
○ ./redshift_handler enable give_root vsyscall
★ load/unload
○ ./redshift_handler load
○ ./redshift_handler unload
★ Status
○ ./redshift_handler status
28
Redshift técnicas
★ syscall
○ Altera o syscall handler de uma syscall específica
★ vsyscall
○ Altera o interrupt handler e simula uma syscall
★ debug registers
○ ALtera o interrupt handler de debug e simula uma syscall
virtual
★ driver
○ Altera o handler específico do driver
29
★ - Falta integrar ao redshift
Técnica syscall
★ Altera syscall handlers
○ tabela de syscalls tem permissão de escrita
○ Ao desabilitar restaura o handler original
★ Fácil de detectar
○ Verificar se a tabela de syscalls foi alterada, checar
integridade
30
Técnica syscall
★ Hide_module
○ Altera as system calls para o redshift, 9 system calls
○ Restaurar os handlers originais, 9 system calls
31
Técnica syscall
★ hide_file
○ Altera as system calls para o redshift
32
Técnica syscall
★ hide_file
○ Restaurar os handlers originais
33
técnica vsyscall - virtual syscall
★ substitui o interrupt handler
○ Interrupt descriptor table (IDT) - x86
○ MSR LSTAR e MSR CSTAR - x86_64
★ Simula uma syscall
○ simula a criação de uma nova syscall, Não altera a tabela
das syscalls.
★ Fácil de detectar
○ Verificar alterações no MSR LSTAR
34
★ - Falta integrar ao redshift
Técnica vsyscall - virtual syscall
★ Alterando o MSR MSR_LSTAR
35
Técnica vsyscall - virtual syscall
★ Restaurando o handler original
36
Técnica debug registers
★ A melhor técnica a ser implementada no Redshift
○ Mais furtividade
○ Mais controle do sistema, permite se retirar
silenciosamente
★ Técnica Bem descrita na phrack edição 65, artigo 08. [15]
★ outros rootkits
○ mood-nt, darkangel
○ DR rootkit, Immunity Inc [16]
37
Técnica debug registers
http://www.intel.com/Assets/en_US/PDF/manual/253668.pdf
38
Técnica debug registers
http://www.intel.com/Assets/en_US/PDF/manual/253668.pdf
39
Técnica alterar driver
★ Driver do teclado
★ ALtera funções dinÂmicas do driver/kernel
○ Virtual file system (VFS) file operations etc.
★ Processo de detecção árduo
○ conhecer detalhes do sistema operacional e do driver
40
★ - Falta integrar ao redshift
Redshift modules
★ hide_file
○ Permite ao atacante esconder arquivos
★ hide_process
○ Permite ao atacante esconder processos por PID ou nome do
processo
★ hide_module
○ permite ao atacante esconder módulos carregados no sistema
★ Give_root
○ Permite ao atacante ganhar acesso root
★ Keylogger
○ Permite ao atacante capturar teclas pressionadas no teclado
★ Disable mitigations
○ permite ao atacante desabilitar mitigações do sistema (securelevel,
map_at_zero)
★ Escape sandbox
○ Permite ao atacante desabilitar sandbox capsicum do sistema
41
★ - Falta integrar ao redshift
Redshift modules - HIDE_FILE
★ Esconde arquivos
★ Utiliza técnica de alterar a tabela de syscalls
★ Ideia principal Alterar o handler da syscall
getdirentries
★ Altera ao total 12 system calls
★ bypassável se usando link simbólicos
○ A ser corrigido em breve
★ ./redshift_handler enable hide_file “senhas.txt” syscall
42
Redshift modules - HIDE_FILE
43
Redshift modules - HIDE_PROCESS
★ Esconde processo por PID ou nome do processo
★ Evita ptrace() e kill()
★ Utiliza técnica de alterar a tabela de syscalls
★ userland obtém lista de processos através da
interface sysctl
○ altera sysctl handler para o redshift
44
Redshift modules - HIDE_PROCESS
★ Habilitando módulo
★ Desabilitando módulo
45
Redshift modules - HIDE_MODULE
★ Esconde módulos
★ Utiliza técnica de alterar a tabela de syscalls
★ Altera 9 system calls, utilizadas pelo comando kldstat
○ kldstat(), kldfind(), kldnexT(), kldfirstmod(), modstat(), modfind(),
modnext(), modfnext()
46
Redshift modules - GIVE ROOT
★ Permite escalação de privilégios
★ Utiliza a técnica vsyscall
★ Altera o MSR (Machine SPecific register)
○ Específico para cada cpu, utilizar processor affinity (cpuset)
ao executar o handler
○ cpuset -l CORE ./redshift_handler enable give_root vsyscall
47
Redshift modules - GIVE ROOT
48
Redshift
Demonstração
49
Detecção e fraquezas
★ Olhar as alocações dinâmicas
○ vmstat -m
○ A ser corrigido em breve
★ Bypass do módUlo hide_file usando links simbólicos
○ ./redshift_handler enable hide_filE senhas_clientes.txt syscall
○ ln -s senhas_clientes.txt abcd; cat ABCD
○ A ser corrigido em breve (namei API)
★ Redshift somente altera o kernel do sistema
operacional, mascarando a visão do usuário do sistema.
Uma análise mais aprofundada permite o bypass de
todos os módulos do redshift
50
Detecção e fraquezas
★ KLDsym
51
Detecção e fraquezas - KLDSYM
52
Futuro do redshift
★ Networking
○ Gerenciamento do rootkit remotamente
■ ./redshift_handler COMMAND MODULE ARGUMENT TECHNIQUE IP
★ Suporte a código 32 bits
★ Melhorar furtividade
★ Mais técnicas de hook
★ Persistência?
★ Descer o nível - TLB SPLIT, SMM, UEFI/BIOS e virtualização
★ Melhorar comunicação handler -> redshift
★ Melhorar código
★ portar para linux?
★ Corrigir bugs
○ Implementar mecanismos de locking para evitar races
○ melhorar interface entre handle e o redshift
53
Referências
1. Stoned bootkit
a. https://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BHUSA09-Kleissner-Sto
nedBootkit-SLIDES.pdf
2. Diamorphine
a. https://github.com/m0nad/Diamorphine
3. BABYKIT
a. https://github.com/rick2600/babykit
4. Introduction to bluepill
a. https://www.coseinc.com/en/index.php?rt=download&act=publication&file=Introduci
ng%20Blue%20Pill.ppt.pdf
5. SubVirt: Implementing malware with virtual machines
a. http://web.eecs.umich.edu/~pmchen/papers/king06.pdf
6. Hardware virtualization rootkit
a. https://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Zovi.pdf
7. Using CPU System Management Mode to Circumvent Operating System Security Functions
a. http://fawlty.cs.usfca.edu/~cruse/cs630f06/duflot.pdf
8. A Real SMM Rootkit: Reversing and Hooking BIOS SMI Handlers
a. http://phrack.org/issues/66/11.html
9. Introducing Ring -3 Rootkits
a. http://me.bios.io/images/6/61/Ring_-3_Rootkits.pdf
10. How Many Million BIOSes Would you Like to Infect?
a. http://www.legbacore.com/Research_files/HowManyMillionBIOSWouldYouLikeToInfe
ct_Full2.pdf 54
Referências
11. Persistent BIOS Infection
a. http://phrack.org/issues/66/7.html
12. DE MYSTERIIS DOM JOBSIVS Mac EFI Rootkits
a. http://ho.ax/De_Mysteriis_Dom_Jobsivs_Black_Hat_Paper.pdf
13. implementing and detecting PCI rootkit
a. https://www.blackhat.com/presentations/bh-dc-07/Heasman/Paper/bh-dc-07-Heasma
n-WP.pdf
14. Low Level Playground
a. http://www.h2hc.org.br/repositorio/2008/Joao.pdf
15. Mistifying the debugger, ultimate stealthness
a. http://phrack.org/issues/65/8.html
16. DR rootkit
a. http://seclists.org/dailydave/2008/q3/215
55
Obrigado!
Dúvidas?
56
1 of 56

Recommended

Anti-Anti-Forense de Memória: Abortando o "Abort Factor" by
Anti-Anti-Forense de Memória: Abortando o "Abort Factor"Anti-Anti-Forense de Memória: Abortando o "Abort Factor"
Anti-Anti-Forense de Memória: Abortando o "Abort Factor"Nullbyte Security Conference
1.2K views66 slides
Implatação de Sistemas de Segurança com Linux by
Implatação de Sistemas de Segurança com LinuxImplatação de Sistemas de Segurança com Linux
Implatação de Sistemas de Segurança com LinuxAlvaro Gomes
604 views48 slides
Segurança em servidores Linux by
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxSoftD Abreu
718 views55 slides
Webinar: Conheça o RTOS NuttX by
Webinar: Conheça o RTOS NuttXWebinar: Conheça o RTOS NuttX
Webinar: Conheça o RTOS NuttXEmbarcados
795 views22 slides
Confraria Security And IT - End Point Security by
Confraria Security And IT - End Point SecurityConfraria Security And IT - End Point Security
Confraria Security And IT - End Point SecurityLuis Grangeia
1.1K views39 slides
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas by
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasAlexandro Silva
1.2K views29 slides

More Related Content

What's hot

Embarcados Live - microROS: ROS2 no seu ESP32 by
Embarcados Live - microROS: ROS2 no seu ESP32Embarcados Live - microROS: ROS2 no seu ESP32
Embarcados Live - microROS: ROS2 no seu ESP32Embarcados
744 views17 slides
Minicurso GNU/Linux by
Minicurso GNU/LinuxMinicurso GNU/Linux
Minicurso GNU/LinuxKhayla Elias dos Santos
865 views50 slides
Relógio Eletrônico de Ponto Henry Prisma J - Operacional by
Relógio Eletrônico de Ponto Henry Prisma J - OperacionalRelógio Eletrônico de Ponto Henry Prisma J - Operacional
Relógio Eletrônico de Ponto Henry Prisma J - OperacionalTotalseg - Soluções em Controle de Ponto e Acesso
836 views19 slides
Ferramentas GPL para segurança de redes - Vanderlei Pollon by
Ferramentas GPL para segurança de redes - Vanderlei PollonFerramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei PollonTchelinux
1.1K views40 slides
Segurança de sistema firewall by
Segurança de sistema   firewallSegurança de sistema   firewall
Segurança de sistema firewallTiago
173 views52 slides
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore... by
Iccyber2012   sandro suffert apura - jacomo picolini teamcymru - desafio fore...Iccyber2012   sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...Sandro Suffert
1.1K views21 slides

What's hot(12)

Embarcados Live - microROS: ROS2 no seu ESP32 by Embarcados
Embarcados Live - microROS: ROS2 no seu ESP32Embarcados Live - microROS: ROS2 no seu ESP32
Embarcados Live - microROS: ROS2 no seu ESP32
Embarcados744 views
Ferramentas GPL para segurança de redes - Vanderlei Pollon by Tchelinux
Ferramentas GPL para segurança de redes - Vanderlei PollonFerramentas GPL para segurança de redes - Vanderlei Pollon
Ferramentas GPL para segurança de redes - Vanderlei Pollon
Tchelinux1.1K views
Segurança de sistema firewall by Tiago
Segurança de sistema   firewallSegurança de sistema   firewall
Segurança de sistema firewall
Tiago 173 views
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore... by Sandro Suffert
Iccyber2012   sandro suffert apura - jacomo picolini teamcymru - desafio fore...Iccyber2012   sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Iccyber2012 sandro suffert apura - jacomo picolini teamcymru - desafio fore...
Sandro Suffert1.1K views
Manual de Operação Prisma G Henry - LojaTotalseg.com.br by LojaTotalseg
Manual de Operação Prisma G Henry - LojaTotalseg.com.brManual de Operação Prisma G Henry - LojaTotalseg.com.br
Manual de Operação Prisma G Henry - LojaTotalseg.com.br
LojaTotalseg659 views
Confraria0day - 11º Edição - Jhonathan Davi by Jhonathan Davi
Confraria0day - 11º Edição - Jhonathan DaviConfraria0day - 11º Edição - Jhonathan Davi
Confraria0day - 11º Edição - Jhonathan Davi
Jhonathan Davi167 views
Palestra latinoware - Hardening Linux by hdoria
Palestra latinoware - Hardening LinuxPalestra latinoware - Hardening Linux
Palestra latinoware - Hardening Linux
hdoria743 views
Internet das coisas, conhecendo plataformas de desenvolvimentos by Douglas Esteves
Internet das coisas, conhecendo plataformas de desenvolvimentosInternet das coisas, conhecendo plataformas de desenvolvimentos
Internet das coisas, conhecendo plataformas de desenvolvimentos
Douglas Esteves139 views

Viewers also liked

Stealth post-exploitation with phpsploit by
Stealth post-exploitation with phpsploitStealth post-exploitation with phpsploit
Stealth post-exploitation with phpsploitNullbyte Security Conference
2.2K views31 slides
How i cracked millions of “pt br” hashed passwords by
How i cracked millions of “pt br” hashed passwordsHow i cracked millions of “pt br” hashed passwords
How i cracked millions of “pt br” hashed passwordsNullbyte Security Conference
789 views30 slides
Muito além do alert() em ataques web client side by
Muito além do alert() em ataques web client sideMuito além do alert() em ataques web client side
Muito além do alert() em ataques web client sideNullbyte Security Conference
472 views18 slides
Cabra Arretado Aperriando o WordPress by
Cabra Arretado Aperriando o WordPressCabra Arretado Aperriando o WordPress
Cabra Arretado Aperriando o WordPressNullbyte Security Conference
338 views21 slides
C&C Botnet Factory by
C&C Botnet FactoryC&C Botnet Factory
C&C Botnet FactoryNullbyte Security Conference
1.1K views27 slides
All your binaries are belong to us by
All your binaries are belong to usAll your binaries are belong to us
All your binaries are belong to usNullbyte Security Conference
462 views17 slides

Viewers also liked(20)

Temas 2. 4 2.5 by noemy mm
Temas 2. 4   2.5Temas 2. 4   2.5
Temas 2. 4 2.5
noemy mm222 views
Analisis de la Principales Obras del Neoclasicismo y Post-Impresionismo by johnleinerr
Analisis de la Principales  Obras del Neoclasicismo y  Post-ImpresionismoAnalisis de la Principales  Obras del Neoclasicismo y  Post-Impresionismo
Analisis de la Principales Obras del Neoclasicismo y Post-Impresionismo
johnleinerr122 views
S3 a1 soloriop_tanya by Tania Sol
S3 a1 soloriop_tanyaS3 a1 soloriop_tanya
S3 a1 soloriop_tanya
Tania Sol126 views
El impacto del internet en la actualidad by jorge082000208
El impacto del internet en la actualidadEl impacto del internet en la actualidad
El impacto del internet en la actualidad
jorge082000208100 views
Tema 3 3.1 by noemy mm
Tema 3   3.1Tema 3   3.1
Tema 3 3.1
noemy mm128 views

Similar to Rootkits em kernel space - Redshift, um rootkit para o kernel do FreeBSD

Segurança em Servidores Linux - Ênfase em RHEL by
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELAlessandro Silva
2.6K views63 slides
Debian 6: Instalação e Hardening by
Debian 6: Instalação e HardeningDebian 6: Instalação e Hardening
Debian 6: Instalação e HardeningBruna Griebeler
2.1K views26 slides
Instalando o MySQL em menos de 10 minutos by
Instalando o MySQL em menos de 10 minutosInstalando o MySQL em menos de 10 minutos
Instalando o MySQL em menos de 10 minutosAlexandre Almeida
1.9K views18 slides
1º IoT Day - O que é Linux Embarcado by
1º IoT Day - O que é Linux Embarcado1º IoT Day - O que é Linux Embarcado
1º IoT Day - O que é Linux EmbarcadoDiego Sueiro
507 views52 slides
Análise de malware com software livre by
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livreDiego Santos
880 views36 slides
1os passoscisco by
1os passoscisco1os passoscisco
1os passoscisconogueira
262 views10 slides

Similar to Rootkits em kernel space - Redshift, um rootkit para o kernel do FreeBSD(20)

Segurança em Servidores Linux - Ênfase em RHEL by Alessandro Silva
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHEL
Alessandro Silva2.6K views
Debian 6: Instalação e Hardening by Bruna Griebeler
Debian 6: Instalação e HardeningDebian 6: Instalação e Hardening
Debian 6: Instalação e Hardening
Bruna Griebeler2.1K views
Instalando o MySQL em menos de 10 minutos by Alexandre Almeida
Instalando o MySQL em menos de 10 minutosInstalando o MySQL em menos de 10 minutos
Instalando o MySQL em menos de 10 minutos
Alexandre Almeida1.9K views
1º IoT Day - O que é Linux Embarcado by Diego Sueiro
1º IoT Day - O que é Linux Embarcado1º IoT Day - O que é Linux Embarcado
1º IoT Day - O que é Linux Embarcado
Diego Sueiro507 views
Análise de malware com software livre by Diego Santos
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livre
Diego Santos880 views
1os passoscisco by nogueira
1os passoscisco1os passoscisco
1os passoscisco
nogueira262 views
A crash course on Crash (FISL12) by Rafael Aquini
A crash course on Crash (FISL12)A crash course on Crash (FISL12)
A crash course on Crash (FISL12)
Rafael Aquini424 views
Implantação de sistemas desegurança com linux by SoftD Abreu
Implantação de sistemas desegurança com linuxImplantação de sistemas desegurança com linux
Implantação de sistemas desegurança com linux
SoftD Abreu443 views
Projeto de uma controladora de drivers by Rodrigo Almeida
Projeto de uma controladora de driversProjeto de uma controladora de drivers
Projeto de uma controladora de drivers
Rodrigo Almeida707 views
TDC2016SP - Trilha Linux Embarcado by tdc-globalcode
TDC2016SP - Trilha Linux EmbarcadoTDC2016SP - Trilha Linux Embarcado
TDC2016SP - Trilha Linux Embarcado
tdc-globalcode321 views
MySQL em 10min - Alexandre Almeida HTI Tecnologia by MySQL Brasil
MySQL em 10min - Alexandre Almeida HTI TecnologiaMySQL em 10min - Alexandre Almeida HTI Tecnologia
MySQL em 10min - Alexandre Almeida HTI Tecnologia
MySQL Brasil1.4K views
Introdução ao SystemTap - João Avelino Bellomo Filho - Tchelinux Caxias 2018 by Tchelinux
Introdução ao SystemTap - João Avelino Bellomo Filho - Tchelinux Caxias 2018Introdução ao SystemTap - João Avelino Bellomo Filho - Tchelinux Caxias 2018
Introdução ao SystemTap - João Avelino Bellomo Filho - Tchelinux Caxias 2018
Tchelinux118 views
Desenvolvimento de drivers para sistemas embarcados by Rodrigo Almeida
Desenvolvimento de drivers para sistemas embarcadosDesenvolvimento de drivers para sistemas embarcados
Desenvolvimento de drivers para sistemas embarcados
Rodrigo Almeida1.6K views
SELinux for Everyday SysAdmins - FISL 10 by guest552ebe
SELinux for Everyday SysAdmins - FISL 10SELinux for Everyday SysAdmins - FISL 10
SELinux for Everyday SysAdmins - FISL 10
guest552ebe566 views

More from Nullbyte Security Conference

Speeding up Red Team engagements with carnivorall by
Speeding up Red Team engagements with carnivorallSpeeding up Red Team engagements with carnivorall
Speeding up Red Team engagements with carnivorallNullbyte Security Conference
819 views23 slides
Gitminer 2.0 - Advance Search on Github by
Gitminer 2.0 - Advance Search on GithubGitminer 2.0 - Advance Search on Github
Gitminer 2.0 - Advance Search on GithubNullbyte Security Conference
582 views25 slides
Automatizando o abuso de repositórios expostos by
Automatizando o abuso de repositórios expostosAutomatizando o abuso de repositórios expostos
Automatizando o abuso de repositórios expostosNullbyte Security Conference
304 views66 slides
Windows Internals: fuzzing, hijacking and weaponizing kernel objects by
Windows Internals: fuzzing, hijacking and weaponizing kernel objectsWindows Internals: fuzzing, hijacking and weaponizing kernel objects
Windows Internals: fuzzing, hijacking and weaponizing kernel objectsNullbyte Security Conference
1.9K views35 slides
Windows's Kindnesses - Commoner to D-K(d)OM (Direct Kernel Object Manipulation) by
Windows's Kindnesses - Commoner to D-K(d)OM (Direct Kernel Object Manipulation)Windows's Kindnesses - Commoner to D-K(d)OM (Direct Kernel Object Manipulation)
Windows's Kindnesses - Commoner to D-K(d)OM (Direct Kernel Object Manipulation)Nullbyte Security Conference
758 views46 slides
Is rust language really safe? by
Is rust language really safe? Is rust language really safe?
Is rust language really safe? Nullbyte Security Conference
414 views20 slides

Recently uploaded

DevFest2023-Pragmatismo da Internet das Coisas by
DevFest2023-Pragmatismo da Internet das CoisasDevFest2023-Pragmatismo da Internet das Coisas
DevFest2023-Pragmatismo da Internet das CoisasWalter Coan
20 views40 slides
TechConnection 2023 Floripa Azure Container Apps by
TechConnection 2023 Floripa Azure Container AppsTechConnection 2023 Floripa Azure Container Apps
TechConnection 2023 Floripa Azure Container AppsWalter Coan
5 views14 slides
Competências para extrair inovação na tecnologia! by
Competências para extrair inovação na tecnologia!Competências para extrair inovação na tecnologia!
Competências para extrair inovação na tecnologia!Annelise Gripp
15 views11 slides
MAPA - CONTABILIDADE EMPRESARIAL - 54/2023 by
MAPA - CONTABILIDADE EMPRESARIAL - 54/2023MAPA - CONTABILIDADE EMPRESARIAL - 54/2023
MAPA - CONTABILIDADE EMPRESARIAL - 54/2023AcademiaDL
38 views4 slides
Skills e Squads, como trabalhar? by
Skills e Squads, como trabalhar?Skills e Squads, como trabalhar?
Skills e Squads, como trabalhar?Annelise Gripp
28 views13 slides
certificado excel.pdf by
certificado excel.pdfcertificado excel.pdf
certificado excel.pdfjuniorcarvalho136
5 views1 slide

Recently uploaded(8)

DevFest2023-Pragmatismo da Internet das Coisas by Walter Coan
DevFest2023-Pragmatismo da Internet das CoisasDevFest2023-Pragmatismo da Internet das Coisas
DevFest2023-Pragmatismo da Internet das Coisas
Walter Coan20 views
TechConnection 2023 Floripa Azure Container Apps by Walter Coan
TechConnection 2023 Floripa Azure Container AppsTechConnection 2023 Floripa Azure Container Apps
TechConnection 2023 Floripa Azure Container Apps
Walter Coan5 views
Competências para extrair inovação na tecnologia! by Annelise Gripp
Competências para extrair inovação na tecnologia!Competências para extrair inovação na tecnologia!
Competências para extrair inovação na tecnologia!
Annelise Gripp15 views
MAPA - CONTABILIDADE EMPRESARIAL - 54/2023 by AcademiaDL
MAPA - CONTABILIDADE EMPRESARIAL - 54/2023MAPA - CONTABILIDADE EMPRESARIAL - 54/2023
MAPA - CONTABILIDADE EMPRESARIAL - 54/2023
AcademiaDL38 views
Skills e Squads, como trabalhar? by Annelise Gripp
Skills e Squads, como trabalhar?Skills e Squads, como trabalhar?
Skills e Squads, como trabalhar?
Annelise Gripp28 views
Conheça agora o UiPath Autopilot™ para o Studio.pdf by BrunaCavalcanti29
Conheça agora o UiPath Autopilot™ para o Studio.pdfConheça agora o UiPath Autopilot™ para o Studio.pdf
Conheça agora o UiPath Autopilot™ para o Studio.pdf
Shift left DevOps Experience by Walter Coan
Shift left DevOps ExperienceShift left DevOps Experience
Shift left DevOps Experience
Walter Coan5 views

Rootkits em kernel space - Redshift, um rootkit para o kernel do FreeBSD

  • 1. 1
  • 2. Redshift Um rootkit para o kernel do FreeBSD Anderson Eduardo andersonc0d3@gmail.com 2
  • 3. Agenda ★ sobre mim ★ Rootkit ○ tipos de rootkit ★ Redshift ○ O que é isso? ○ Comandos ○ técnicas ○ Módulos ★ Demonstração ★ Detecção ★ Futuro ★ dúvidas? 3
  • 4. sobre mim ★ quem? Email: Anderson eduardo < andersonc0d3@gmail..com > Twitter: @andersonc0d3 Github: @andersonc0d3 ★ O que eu faço? Security researcher ★ Principais interesses kernel, rootkit, virtualização, sistemas operacionais, ciência da computação skateboard, matemática, física, neurociência ★ Anteriormente Security analyst (Conviso application security, 3 anos) Exploit for CVE-2012-0217 (sysret) EXploit for CVE-2012-4576 (Freebsd’s linux compat subsystem ioctl) 4
  • 5. Motivação e AVISO LEGAL Este é o resultado de um trabalho pessoal e sem revisões prévias, nascido e mantido pelo seu único desenvolvedor, como uma forma de estudar os assuntos de seu interesse. Sendo assim, erros poderão ser cometidos nesta apresentação e peço desculpas desde já. Gostaria também de mencionar que este rootkit não tem nenhuma relação com outra pessoa ou entidade a não ser seu único desenvolvedor. 5
  • 6. Modos de operação de uma CPU ★ real mode ○ 16 bits ○ sem rings de proteção ○ acesso total ao hardware ★ protected mode ○ rings ○ paginação ○ 32 bits - 4G ★ virtual 8086 ○ DOS ★ long mode/IA-32e ○ paginação - 256 TB ○ Sem segmentação ○ amd64 canonical address - 48 bits de endereçamento ○ 64 bits registradores gerais etc.. ○ sub modo de compatibilidade 32 bits http://www.intel.com/Assets/en_US/PDF/manual/253668.pdf 6
  • 7. Modos de operação de uma CPU ★ SMM ○ 16 bits ○ SMRAM ■ Área da memória RAM somente acessível em SMM mode, invisível para o sistema operacional ○ Saved state map ○ SMI Handler provido pela BIOS/UEFI ○ usado para gerenciar erros críticos: energia/voltagem/aquecimento/erros do chipset por exemplo. http://www.intel.com/Assets/en_US/PDF/manual/253668.pdf 7
  • 8. Modos de operação de uma CPU http://www.intel.com/Assets/en_US/PDF/manual/253668.pdf 8
  • 9. Níveis de privilégio - modo protegido https://en.wikipedia.org/wiki/Protection_ring#/media/File:Priv_rings.svg 9
  • 10. Rootkit “A rootkit is a collection of computer software, typically malicious, designed to enable access to a computer or areas of its software that would not otherwise be allowed (for example, to an unauthorized user) while at the same time masking its existence or the existence of other software.” https://en.wikipedia.org/wiki/Rootkit 10
  • 12. Tipos de rootkit ★ ring 3 - userland ★ ring 0 - kernel/bootkit ★ ring -1 - hypervisor ★ ring -2 - SMM (System management mode) ★ ring -3 - Intel management/manageability engine (ME) ★ hardware/Firmware rootkits 12
  • 13. tipos de rootkit - ring 3 ★ ring 3 - userland ○ Sobrescrever/alterar binário do sistema operacional ■ ps, ls, netstat, top, last, w ■ sshd ■ apached/httpd ■ smbd ○ Ptrace() syscall 13
  • 14. tipos de rootkit - ring 0 ★ ring 0 - kernel/bootkit ★ Necessário acesso root ○ Carregar módulo no kernel ○ sobrescrever bootloader ★ principal vetor de ataque para outros níveis ★ Acesso total ao hardware ★ bootkits ○ Utilizado para atacar o kernel, e.g: desabilitar patchguard ○ interceptar senhas e ataques contra full-disk encryption - Stoned bootkit [1] ○ infecta MBR/VBR, altera (hook) IVT da BIOS, carrega bootloader do sistema operacional, reganha acesso 14
  • 15. tipos de rootkit - ring 0 ★ Exemplos de rootkits em ring 0 ○ redshift (FreeBSD) ○ suckit ○ diamorphine (Linux 2.6/3.X) [2] ○ babykit [3] ○ sutersu ○ stoned bootkit ○ e muito mais... 15
  • 16. tipos de rootkit - ring -1 https://en.wikipedia.org/wiki/Protection_ring 16
  • 17. tipos de rootkit - ring -1 ★ bluepill [4] ○ Joanna Rutkowska ○ windows vista x64 ○ Amd pacifica ★ subvirt [5] ○ Universidade de michigan and microsoft ○ windows xp e linux ★ vitriol [6] ○ dino dai zovi ○ Mac-os x ○ Intel vt-x 17
  • 18. tipos de rootkit - ring -2 ★ ring -2 - SMM (System management mode) ○ loic duflot [7] ■ Ataque para OpenBSD usando SMM para desabilitar securelevel¹ ○ A Real SMM Rootkit: Reversing and Hooking BIOS SMI Handlers, phrack edição 66, artigo 11 [8] 18
  • 19. tipos de rootkit - ring -3 ★ ring -3 - management engine / vpro based ★ Alexander Tereshkin e Rafal Wojtczuk ○ Introducing Ring -3 Rootkits [9] ■ Q35 chipset Q3'07 ■ independente da CPU ■ Ativo mesmo em S3 ■ Acesso remoto ■ Acesso a memória via DMA 19
  • 20. tipos de rootkit - hardware/firmware rootkits ★ BIOS/UEFI ○ How Many Million BIOSes Would you Like to Infect? [10] ○ Persistent BIOS Infection, phrack edição 66, artigo 7, anibal sacco e alfredo ortega [11] ○ DE MYSTERIIS DOM JOBSIVS Mac EFI Rootkits, snare [12] ○ A Real SMM Rootkit: Reversing and Hooking BIOS SMI Handlers [8] ★ PCI ○ John Heasman, Implementing and detecting PCI ROOTKITs [13] ○ João Batista e Bruno cardoso, Low level playground [14] ★ SCADA ○ stuxnet 20
  • 21. rootkits ★ QUem usa? ○ Lenovo, SONY e muitos outros que ainda não foram descobertos :) 21
  • 22. tipos de rootkit - Caso da lenovo http://www.zdnet.com/article/lenovo-rootkit-ensured-its-software-could-not-be-deleted/ 22
  • 23. tipos de rootkit - Caso da sony http://www.zdnet.com/article/lenovo-rootkit-ensured-its-software-could-not-be-deleted/ 23
  • 24. tipos de rootkit - Caso Eddie Raymond Tipton http://arstechnica.com/tech-policy/2015/04/prosecutors-suspect-man-hacked-lottery-computers-to-score-winning-ticket/ 24
  • 25. Redshift - O que é isso? ★ Rootkit pessoal para o kernel do freebsd (ring 0) ★ FreeBSD 10 ★ Userland handler ★ Nasceu em 2015 ★ Fácil de usar, flexível, atualizado, constante desenvolvimento, estável ★ Confiável, open-source ★ overlabs# ./redshift_handler COMMAND MODULE ARGS TECHNIQUE 25
  • 26. Redshift exemplos ★ overlabs# ./redshift_handler load ★ overlabs# ./redshift_handler status ★ overlabs# ./redshift_handler enable hide_module redshift syscall ★ overlabs# ./redshift_handler enable hide_process “./sniffer” syscall ★ overlabs# ./redshift_handler enable hide_FILE “senhas.txt” syscall ★ overlabs# ./redshift_handler enable give_root vsyscall ★ overlabs# ./redshift_handler status hide_module ★ overlabs# ./redshift_handler unload 26
  • 27. Redshift comandos ★ enable/disable ○ Habilita ou desabilita um módulo específico ★ load/unload ○ Carrega/descarrega o rootkit do kernel ★ Status ○ Status atual 27
  • 28. Redshift comandos ★ enable/disable ○ ./redshift_handler enable hide_file passwords.txt syscall ○ ./redshift_handler enable hide_process NULL 666 syscall ○ ./redshift_handler enable give_root vsyscall ★ load/unload ○ ./redshift_handler load ○ ./redshift_handler unload ★ Status ○ ./redshift_handler status 28
  • 29. Redshift técnicas ★ syscall ○ Altera o syscall handler de uma syscall específica ★ vsyscall ○ Altera o interrupt handler e simula uma syscall ★ debug registers ○ ALtera o interrupt handler de debug e simula uma syscall virtual ★ driver ○ Altera o handler específico do driver 29 ★ - Falta integrar ao redshift
  • 30. Técnica syscall ★ Altera syscall handlers ○ tabela de syscalls tem permissão de escrita ○ Ao desabilitar restaura o handler original ★ Fácil de detectar ○ Verificar se a tabela de syscalls foi alterada, checar integridade 30
  • 31. Técnica syscall ★ Hide_module ○ Altera as system calls para o redshift, 9 system calls ○ Restaurar os handlers originais, 9 system calls 31
  • 32. Técnica syscall ★ hide_file ○ Altera as system calls para o redshift 32
  • 33. Técnica syscall ★ hide_file ○ Restaurar os handlers originais 33
  • 34. técnica vsyscall - virtual syscall ★ substitui o interrupt handler ○ Interrupt descriptor table (IDT) - x86 ○ MSR LSTAR e MSR CSTAR - x86_64 ★ Simula uma syscall ○ simula a criação de uma nova syscall, Não altera a tabela das syscalls. ★ Fácil de detectar ○ Verificar alterações no MSR LSTAR 34 ★ - Falta integrar ao redshift
  • 35. Técnica vsyscall - virtual syscall ★ Alterando o MSR MSR_LSTAR 35
  • 36. Técnica vsyscall - virtual syscall ★ Restaurando o handler original 36
  • 37. Técnica debug registers ★ A melhor técnica a ser implementada no Redshift ○ Mais furtividade ○ Mais controle do sistema, permite se retirar silenciosamente ★ Técnica Bem descrita na phrack edição 65, artigo 08. [15] ★ outros rootkits ○ mood-nt, darkangel ○ DR rootkit, Immunity Inc [16] 37
  • 40. Técnica alterar driver ★ Driver do teclado ★ ALtera funções dinÂmicas do driver/kernel ○ Virtual file system (VFS) file operations etc. ★ Processo de detecção árduo ○ conhecer detalhes do sistema operacional e do driver 40 ★ - Falta integrar ao redshift
  • 41. Redshift modules ★ hide_file ○ Permite ao atacante esconder arquivos ★ hide_process ○ Permite ao atacante esconder processos por PID ou nome do processo ★ hide_module ○ permite ao atacante esconder módulos carregados no sistema ★ Give_root ○ Permite ao atacante ganhar acesso root ★ Keylogger ○ Permite ao atacante capturar teclas pressionadas no teclado ★ Disable mitigations ○ permite ao atacante desabilitar mitigações do sistema (securelevel, map_at_zero) ★ Escape sandbox ○ Permite ao atacante desabilitar sandbox capsicum do sistema 41 ★ - Falta integrar ao redshift
  • 42. Redshift modules - HIDE_FILE ★ Esconde arquivos ★ Utiliza técnica de alterar a tabela de syscalls ★ Ideia principal Alterar o handler da syscall getdirentries ★ Altera ao total 12 system calls ★ bypassável se usando link simbólicos ○ A ser corrigido em breve ★ ./redshift_handler enable hide_file “senhas.txt” syscall 42
  • 43. Redshift modules - HIDE_FILE 43
  • 44. Redshift modules - HIDE_PROCESS ★ Esconde processo por PID ou nome do processo ★ Evita ptrace() e kill() ★ Utiliza técnica de alterar a tabela de syscalls ★ userland obtém lista de processos através da interface sysctl ○ altera sysctl handler para o redshift 44
  • 45. Redshift modules - HIDE_PROCESS ★ Habilitando módulo ★ Desabilitando módulo 45
  • 46. Redshift modules - HIDE_MODULE ★ Esconde módulos ★ Utiliza técnica de alterar a tabela de syscalls ★ Altera 9 system calls, utilizadas pelo comando kldstat ○ kldstat(), kldfind(), kldnexT(), kldfirstmod(), modstat(), modfind(), modnext(), modfnext() 46
  • 47. Redshift modules - GIVE ROOT ★ Permite escalação de privilégios ★ Utiliza a técnica vsyscall ★ Altera o MSR (Machine SPecific register) ○ Específico para cada cpu, utilizar processor affinity (cpuset) ao executar o handler ○ cpuset -l CORE ./redshift_handler enable give_root vsyscall 47
  • 48. Redshift modules - GIVE ROOT 48
  • 50. Detecção e fraquezas ★ Olhar as alocações dinâmicas ○ vmstat -m ○ A ser corrigido em breve ★ Bypass do módUlo hide_file usando links simbólicos ○ ./redshift_handler enable hide_filE senhas_clientes.txt syscall ○ ln -s senhas_clientes.txt abcd; cat ABCD ○ A ser corrigido em breve (namei API) ★ Redshift somente altera o kernel do sistema operacional, mascarando a visão do usuário do sistema. Uma análise mais aprofundada permite o bypass de todos os módulos do redshift 50
  • 52. Detecção e fraquezas - KLDSYM 52
  • 53. Futuro do redshift ★ Networking ○ Gerenciamento do rootkit remotamente ■ ./redshift_handler COMMAND MODULE ARGUMENT TECHNIQUE IP ★ Suporte a código 32 bits ★ Melhorar furtividade ★ Mais técnicas de hook ★ Persistência? ★ Descer o nível - TLB SPLIT, SMM, UEFI/BIOS e virtualização ★ Melhorar comunicação handler -> redshift ★ Melhorar código ★ portar para linux? ★ Corrigir bugs ○ Implementar mecanismos de locking para evitar races ○ melhorar interface entre handle e o redshift 53
  • 54. Referências 1. Stoned bootkit a. https://www.blackhat.com/presentations/bh-usa-09/KLEISSNER/BHUSA09-Kleissner-Sto nedBootkit-SLIDES.pdf 2. Diamorphine a. https://github.com/m0nad/Diamorphine 3. BABYKIT a. https://github.com/rick2600/babykit 4. Introduction to bluepill a. https://www.coseinc.com/en/index.php?rt=download&act=publication&file=Introduci ng%20Blue%20Pill.ppt.pdf 5. SubVirt: Implementing malware with virtual machines a. http://web.eecs.umich.edu/~pmchen/papers/king06.pdf 6. Hardware virtualization rootkit a. https://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Zovi.pdf 7. Using CPU System Management Mode to Circumvent Operating System Security Functions a. http://fawlty.cs.usfca.edu/~cruse/cs630f06/duflot.pdf 8. A Real SMM Rootkit: Reversing and Hooking BIOS SMI Handlers a. http://phrack.org/issues/66/11.html 9. Introducing Ring -3 Rootkits a. http://me.bios.io/images/6/61/Ring_-3_Rootkits.pdf 10. How Many Million BIOSes Would you Like to Infect? a. http://www.legbacore.com/Research_files/HowManyMillionBIOSWouldYouLikeToInfe ct_Full2.pdf 54
  • 55. Referências 11. Persistent BIOS Infection a. http://phrack.org/issues/66/7.html 12. DE MYSTERIIS DOM JOBSIVS Mac EFI Rootkits a. http://ho.ax/De_Mysteriis_Dom_Jobsivs_Black_Hat_Paper.pdf 13. implementing and detecting PCI rootkit a. https://www.blackhat.com/presentations/bh-dc-07/Heasman/Paper/bh-dc-07-Heasma n-WP.pdf 14. Low Level Playground a. http://www.h2hc.org.br/repositorio/2008/Joao.pdf 15. Mistifying the debugger, ultimate stealthness a. http://phrack.org/issues/65/8.html 16. DR rootkit a. http://seclists.org/dailydave/2008/q3/215 55