Статья Руткиты и Буткиты: Реверсинг современного вредоносного ПО и угроз следующего поколения

[yashechka]

Об Авторах

Александр Матросов - ведущий исследователь наступательной безопасности в NVIDIA. Он имеет более 20 лет опыта работы с обратным-инжинирингом, расширенным анализом вредоносных программ, безопасностью встроенного программного обеспечения и методами эксплуатации. До присоединения к NVIDIA, Александр работал главным исследователем безопасности в Intel Security Center of Excellence (SeCoE), более шести лет проработал в команде Intel Advanced Threat Research и был старшим исследователем безопасности в ESET. Александр является автором и соавтором многочисленных исследовательских работ и часто выступает на конференциях по безопасности, включая REcon, ZeroNights, Black Hat, DEFCON и другие. Александр получил награду от Hex-Rays за свой плагин с открытым исходным кодом HexRaysCodeXplorer, поддерживаемый с 2013 года командой Rehint.

Евгений Родионов, PhD, исследователь безопасности в Intel, работающий в области безопасности BIOS для клиентских платформ. До этого, Евгений руководил внутренними исследовательскими проектами и проводил глубокий анализ сложных угроз в ESET. Сфера его интересов включает в себя безопасность встроенного программного обеспечения, программирование в режиме ядра, анти-руткит технологии и обратный инжиниринг. Родионов выступал на конференциях по безопасности, таких как Black Hat, REcon, ZeroNights и CARO, и был соавтором многочисленных исследовательских работ.

Сергей Братус - научный сотрудник кафедры информатики в Дартмутском колледже. Ранее он работал в компании BBN Technologies над исследованиями Обработки Естественного Языка. Братус интересуется всеми аспектами безопасности Unix, в частности безопасностью ядра Linux, а также обнаружением и обратным инжинирингом вредоносного ПО для Linux.

О техническом рецензенте

Родриго Рубира Бранко (BSDaemon) работает Главным Исследователем Безопасности в корпорации Intel, где он возглавляет команду STORM (Стратегические Наступательные Исследования и Меры по снижению рисков). Родриго нашел десятки уязвимостей во многих важных технологиях и опубликовал инновационные исследования в области эксплуатации, обратного инжиниринга и анализа вредоносных программ. Он является членом RISE Security Group и является одним из организаторов конференции Hackers to Hackers (H2HC), старейшей конференции по исследованиям безопасности в Латинской Америке.

 

[yashechka]

Ребят, я начал. Завтра следующий блок. Кто увидит ошибку пишите, сразу исправлю в исходнике. Потом сделаем ПДФ. Торопиться не будем.

 

[500mhz]

"ведущий исследователь наступательной безопасности в NVIDIA" ))) не переводи )))

 

[Whisper]

Переводи но вдумчиво.

 

[yashechka]

Почему она тогда называется Offensive Security а не просто Security

 

[nonameboy]

Спорная книга. Некст-гена там нету, из всей книги хоть что-то весят страниц 50-60 (касаемо как робит уефи), остальное это разбор копролитов мамонтов, это перетералось на кл жеж... Книга для поднятия чсв авторов при поиске след работы =)

 

[Whisper]

А что насчет темы вообще? Я про баланс, сложности реализации, внедрения, % пригодных для внедрения машин и профита.
По мне это как вкладываться в разработку рутов режима ядра, ты туда еще попади в это ядро а попавши честно себе скажи а так ли оно было нужно в это ядро попадать.
Все это может быть очень нужно при какой то очень точечной атаке где на кону реально большой куш, а иначе все это смахивает на интересные но малоползные знания.
Ну кроме как умно трындеть ту и там и прокачивать привлекательность для работадателя.
Может я конечно ошибаюсь, интересно было бы послушать умных мыслей на этот счет.

 

[yashechka]

Спорная книга. Некст-гена там нету, из всей книги хоть что-то весят страниц 50-60 (касаемо как робит уефи), остальное это разбор копролитов мамонтов, это перетералось на кл жеж... Книга для поднятия чсв авторов при поиске след работы =)

Вы наверное явно на гребне волны. Александр показвает книгу на своих выступлениях. Я не думаю, что она устарела. SoftIce устарел.

 

[yashechka]

Научишся захватывать железо - научишся захватывать мир. Моё личное мнение - многие её ждали как и я. И она должна быть обязательно переведена

 

[Whisper]

Ну позиция технарей понятна, вау крто и вообще шоб було. Интересна позиция позиция тех кто еще и привык соизмерять затраты и прибыль.
Как говорит один лысый - но сперва конечно про деньги.

 

[Dummy]

Книга то неплохая, если объективно оценивать, но ожидал конечно я большего. Для тех кто в теме слишком много воды. Практики там ровно 0.

 

[yashechka]

Ну что ж поделать, какая есть.

 

[Whisper]

Про угрозы будущего немного странно, как то желающих купить буткит не наблюдается..а ведь когда то наблюдались.
Сам когда то писал и успешно юзал буткит.., а вот сейчас бы не стал тратить на это время.
Бутовые области защищают и контролируют все жестче и разговоры про угрозы будущего, ну разве что со стороны вендоров которых за попу держат спец службы(у которых априори есть серты для подписи)...

 

[MonkeyDeLuffy]

о мои глаза, даже заголовок токсичным получился.
Заскриню:

Руткиты и Буткиты: Реверсинг современное вредоносного ПО и угроз следующего поколения

"современное вредоносного ПО" - мне кажется здесь ошибка, не?
да и не Реверсинг, как по мне нужно писать, да и реверсинга угроз не может быть, если уж придираться к смыслу написанного... да и ПО - программное обеспечение, тут не в тему - ИМХО
современных тоже надо удалить, они пока писали это чудо, уже другой софт мог появиться (они явно эту книгу не один месяц писали, может даже и не год)
да и угрозы следующего поколения - как их можно исследовать, когда они только в зачатке, попытаться предотвратить будущие угрозы - да можно, но реверсинг "делать"...

Руткиты и Буткиты: Исследование вредоносных программ.
Alex Matrosov, Sergey Bratus - вроде русские имена и фамилии, а пишут на инглише и потом это переводят на русский - парадокс?
Вот, когда в реальности на боевом компе стоит по 3-4 антивируса и надо "пробить" этот комп, - вот тут да было бы интересно почитать такие исследования...
не видел, не читал - но осуждаю
Извиняюсь за флуд в теме

 

[nonameboy]

И это тоже обсуждалось на кл. Что можно сделать, как отключить патчагард, гипервизор и что можно делать. Но ТС ты в любом случае мути. На русском этого не будет я думаю.

 

[Whisper]

А для чего отлючать пач гард? Если можно пропатчить все что нужно до того как он инициализируется?
Как я понял авторы книги каких то рабочих демо прототипов на уровне показать хеловорд не предлагают..или все же предлагают?
Вот если задуматься пишем мы уефикит, отлаживаем чтобы он работал на нашем железе и на нашем софте а потом грузим в дикую природу...где случайное железо и где случайный софт.
И это не юзер мод и даже не драйвер и с получением телеметрии и креш дампов и прочего всего случись они в этом чудном супер боте будет трудно..., даже очень трудно.
Именно поэтому сложность не столько разработки сколько отладки до уровня релиза чудовищно сложна. Уже на этом этапе размышлений ясно что ну его нах.
Тема разве что для производителей автоматов(типа развлекательных) для защиты по, ну или для спайвара от очень больших и серьезных структур.

 

[nonameboy]

Whisper
Ну онож не так работает.. В том плане, что не весь функционал в км, а только без чего не обойтись (чтоб не босдить черезчур).) Например ты убер крутой системный кодер и юзаешь в ядре wfp (аля виндиверт) + сплайсишь ссдт через епт (примеры есть на гитхабе) - такое кстати продавалось слышал года 3 назад за 50к) ну я просто слышал. короче это оффтопик

 

[Whisper]

Ясно что не весь в км но и того что в км может вполне хватить,...уже не помню какой именно ядерный рут весело сдох после очередной обновы винды...то ли это был тдл то ли нет..
А то что чето продавалось по 50к еще не значит что покупалось за столько же.
Ну вот вы явно компетентный гражданин, у вас правда есть сердитый конкурент но всеравно для вас двоих делянки хватить на окучивать =)
...вот вот к вам встроится очередь на уефикиты за дорого. Можно уже сейчас начинать кодить, до того как книгу переведут и конкурентов станет больше опять же сразу и спрос начнется,
потенциальный покупатель начитаеться и сразу захочет себе такое =) Если что это я просто шучу и лично к вам ничего кроме уважения не испытываю.

 

[nonameboy]

Охохо =) я просто ноунейм) я не знаю покупали ли, знаю что продавали. Я ни с кем не конкурирую, я ничего не умею =)) потролю тут еще чутка и свалю

 

[MonkeyDeLuffy]

Гы-ы, хотел погуглить книгу, а нагуглил это:

Реверсинг малвари для начинающих. Инструменты скрытия вредоносной активности

В постоянном соревновании с антивирусными решениями современная малварь использует все более изощренные способы скрыть свою активность в зараженной системе. Некоторые из таких трюков мы и рассмотрим в очередной статье нашего цикла. Если ты готов, засучиваем рукава, запасаемся пивом — и поехали!

xakep.ru

Книга, которую стоит рекомендовать в первую очередь. Ценнейший сборник информации о руткитах и буткитах, алгоритмах их работы, особенностях реализации в ОС, методах детектирования и противодействия.

Если он ее советует в начале 2017 года, и если учесть то, что он ее прочитал, и плюс ее надо написать, ну где-то примерно инфа там актуальности так 2015 года и это при самых оптимистичных ожиданиях...

Удалось найти хороший pdf оригинала, если вдруг кому интересно, то скачал без проблем здесь:

Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats – CoderProg

coderprog.com

именно с rapidgator.net

Figure 3-3: The SoftIce local debugger console
было страшно увидеть в 2019 году консольку SoftIce, но моя душа всплакнула, помню еще был Syser Kernel Debuger

Что-то большие у меня сомнения, что здесь будет актуальна тема ring0 - в паблике такие вещи обсуждать хз., да и немного здесь людей найдется, кто в этой теме прям на ты с нулевым кольцом.
Да и большие сомнения у меня, что ты сможешь качественный перевод сделать, там все-таки нужно понимать суть многих вещей...
А те, кто способен кодить драйвера, так и без проблем эту книгу на инглише прочитают... ИМХО