Работа легенды TDL3 ( Специально для xss.pro)
Мы познакомимся с таким типов руткитов TDL3. Этот руткит Windows предоставляет
хороший пример расширенного контроля и данных
методы захвата потока,
которые используют более низкие
слои архитектуры ОС. Мы будем смотреть на то, как TDL3
заражает систему и как она подрывает определенные интерфейсы и механизмы ОС,
чтобы выжить в суровом постапокалипстическом мире киберсражений и остаться
незамеченным.
TDL3 использует механизм заражения, который напрямую загружает его в код
ядра Windows,
поэтому он был не эффективен после
меры по обеспечению целостности ядра Microsoft представила на 64-разрядной Windows
системный.
Однако методы, используемые TDL3 для интерполирования кода по-прежнему является ценным примером того, как выполняется tdl3 может быть закреплено надежно и эффектно раз такие механизмы
были пропущены.
Как и в случае со многими руткитами, подключение TDL3
пути кода ядра опираются на ключевые шаблоны собственной архитектуры ядра.
В некотором смысле, так называймые "крючки" руткита могут быть лучшим способом реализации для ядра. Про историю tdl3 я писать не буду что бы вам не было скучно читать.
Процедура Заражения
Как только инфектор TDL3 был загружен в систему пользователя через один из его каналов распространения, он начинает процесс заражения.
Для того чтобы после перезагрузки системы TDL3 заражает один из драйверов загрузки, необходимых для загрузки ОС, путем введения вредоносного кода в двоичный файл этого драйвера.
Эти драйверы загрузки загружаются с образом ядра на ранней стадии процесса инициализации ОС. В результате, когда зараженная машина загружается измененный драйвер, и вредоносный код берет под контроль
процесса запуска. Итак, при запуске в адресном пространстве режима ядра, процедура заражения поиск по списку загрузочных драйверов, поддерживающих работу ядра системные компоненты и случайным образом выбирает один в качестве цели инфекции. Каждый
запись в списке описывается недокументированной KLDR_DATA_TABLE_
Структура записи, в коде который внизу, на которую ссылается поле DriverSection
в структуре DRIVER_OBJECT. Каждый загруженный драйвер режима ядра имеет структуру DRIVER_OBJECT.
Как только он выбирает целевой драйвер, инфектор TDL3 изменяет драйвер
изображение в памяти путем перезаписи
первых нескольких сотен байтов
раздел ресурсов. ,rsrc, с вредоносным загрузчиком. Этот загрузчик довольно просто работает,
он просто загружает остальную часть вредоносного кода, который ему нужен с жесткого диска на
время загрузки.
TDL3 была первой вредоносной системой, хранящей свои файлы конфигурации и полезную нагрузку в скрытой зашифрованной области хранения в целевой
системе, предоставляемую операционной системой. Сегодня,
Подход TDL3 был принят и адаптирован другими сложными угрозами
такие как буткит Rovnix, его систему управления.
Этот метод скрытого хранения значительно затрудняет анализ
поскольку вредоносные данные хранятся в зашифрованном контейнере, расположенном
где-то на жестком диске,
но за пределами области, зарезервированной ОС
Что в Рутките: тематическое исследование TDL3 собственная файловая система.
В то же время вредоносное ПО может получить доступ к
содержимое скрытой файловой системы с использованием обычных Win32 API,
таких как
CreateFile, ReadFile, WriteFile и CloseHandle. Это облегчает разработку полезной нагрузки вредоносных программ,
позволяя разработчикам вредоносных программ использовать стандарт
интерфейсы для чтения и записи данных из хранилища область без необходимости разработки и обслуживания каких-либо пользовательских интерфейсов.
Это проектное решение является значимым, потому что вместе с использованием стандарт
интерфейсы для подключения,
это повышает общую надежность руткита; как точка зрения инженерного программного обеспечения, это хороший и правильный пример
повторного использование кода
Resource pl
код tdl3 можете посмотреть на следущих репозиториях (брать в свой код не советую, так как замучаетесь, возникнет много ошибок и нюансов)
переписанный c++ code https://pastebin.com/UpvGUw19
Итоги
вот и все друзья, надеюсь что вам понравился разбор нескольких функции tdl3 rootkit
писал достаточно долго, надеюсь вам понравилась.
Мы познакомимся с таким типов руткитов TDL3. Этот руткит Windows предоставляет
хороший пример расширенного контроля и данных
методы захвата потока,
которые используют более низкие
слои архитектуры ОС. Мы будем смотреть на то, как TDL3
заражает систему и как она подрывает определенные интерфейсы и механизмы ОС,
чтобы выжить в суровом постапокалипстическом мире киберсражений и остаться
незамеченным.
TDL3 использует механизм заражения, который напрямую загружает его в код
ядра Windows,
поэтому он был не эффективен после
меры по обеспечению целостности ядра Microsoft представила на 64-разрядной Windows
системный.
Однако методы, используемые TDL3 для интерполирования кода по-прежнему является ценным примером того, как выполняется tdl3 может быть закреплено надежно и эффектно раз такие механизмы
были пропущены.
Как и в случае со многими руткитами, подключение TDL3
пути кода ядра опираются на ключевые шаблоны собственной архитектуры ядра.
В некотором смысле, так называймые "крючки" руткита могут быть лучшим способом реализации для ядра. Про историю tdl3 я писать не буду что бы вам не было скучно читать.
Процедура Заражения
Как только инфектор TDL3 был загружен в систему пользователя через один из его каналов распространения, он начинает процесс заражения.
Для того чтобы после перезагрузки системы TDL3 заражает один из драйверов загрузки, необходимых для загрузки ОС, путем введения вредоносного кода в двоичный файл этого драйвера.
Эти драйверы загрузки загружаются с образом ядра на ранней стадии процесса инициализации ОС. В результате, когда зараженная машина загружается измененный драйвер, и вредоносный код берет под контроль
процесса запуска. Итак, при запуске в адресном пространстве режима ядра, процедура заражения поиск по списку загрузочных драйверов, поддерживающих работу ядра системные компоненты и случайным образом выбирает один в качестве цели инфекции. Каждый
запись в списке описывается недокументированной KLDR_DATA_TABLE_
Структура записи, в коде который внизу, на которую ссылается поле DriverSection
в структуре DRIVER_OBJECT. Каждый загруженный драйвер режима ядра имеет структуру DRIVER_OBJECT.
Код:
typedef struct _KLDR_DATA_TABLE_ENTRY {
LIST_ENTRY InLoadOrderLinks;
LIST_ENTRY InMemoryOrderLinks;
LIST_ENTRY InInitializationOrderLinks;
PVOID ExceptionTable;
ULONG ExceptionTableSize;
PVOID GpValue;
PNON_PAGED_DEBUG_INFO NonPagedDebugInfo;
PVOID ImageBase;
PVOID EntryPoint;
ULONG SizeOfImage;
UNICODE_STRING FullImageName;
UNICODE_STRING BaseImageName;
ULONG Flags;
USHORT LoadCount;
USHORT Reserved1;
PVOID SectionPointer;
ULONG CheckSum;
PVOID LoadedImports;
PVOID PatchInformation;
} KLDR_DATA_TABLE_ENTRY, *PKLDR_DATA_TABLE_ENTRY;изображение в памяти путем перезаписи
первых нескольких сотен байтов
раздел ресурсов. ,rsrc, с вредоносным загрузчиком. Этот загрузчик довольно просто работает,
он просто загружает остальную часть вредоносного кода, который ему нужен с жесткого диска на
время загрузки.
TDL3 была первой вредоносной системой, хранящей свои файлы конфигурации и полезную нагрузку в скрытой зашифрованной области хранения в целевой
системе, предоставляемую операционной системой. Сегодня,
Подход TDL3 был принят и адаптирован другими сложными угрозами
такие как буткит Rovnix, его систему управления.
Этот метод скрытого хранения значительно затрудняет анализ
поскольку вредоносные данные хранятся в зашифрованном контейнере, расположенном
где-то на жестком диске,
но за пределами области, зарезервированной ОС
Что в Рутките: тематическое исследование TDL3 собственная файловая система.
В то же время вредоносное ПО может получить доступ к
содержимое скрытой файловой системы с использованием обычных Win32 API,
таких как
CreateFile, ReadFile, WriteFile и CloseHandle. Это облегчает разработку полезной нагрузки вредоносных программ,
позволяя разработчикам вредоносных программ использовать стандарт
интерфейсы для чтения и записи данных из хранилища область без необходимости разработки и обслуживания каких-либо пользовательских интерфейсов.
Это проектное решение является значимым, потому что вместе с использованием стандарт
интерфейсы для подключения,
это повышает общую надежность руткита; как точка зрения инженерного программного обеспечения, это хороший и правильный пример
повторного использование кода
Resource pl
код tdl3 можете посмотреть на следущих репозиториях (брать в свой код не советую, так как замучаетесь, возникнет много ошибок и нюансов)
переписанный c++ code https://pastebin.com/UpvGUw19
Итоги
вот и все друзья, надеюсь что вам понравился разбор нескольких функции tdl3 rootkit
писал достаточно долго, надеюсь вам понравилась.
