6-root-kit

2019/10/11,1,惡意軟件（病毒）的分析與防范 Defence & analysis of malware,計(jì)算機(jī)學(xué)院 傅建明 Fujms,2019/10/11,2,Rootkit,Rootkit源于UNIX系統(tǒng)中的超級用戶帳號(hào)，UNIX系統(tǒng)是Rootkit工具最初的攻擊目標(biāo)。現(xiàn)在，Rootkit可用于多種操作系統(tǒng)，包括UNIX和Windows。 Rootkit是特洛伊木馬后門工具，通過修改現(xiàn)有的操作系統(tǒng)軟件，使攻擊者獲得訪問權(quán)并隱藏在計(jì)算機(jī)中。 關(guān)鍵：隱藏攻擊者在系統(tǒng)中的存在，其包括多種掩飾攻擊者在系統(tǒng)中存在的功能。 如進(jìn)程，文件，注冊表，服務(wù)，端口等隱藏,2019/10/11,3,按操作系統(tǒng)分類,Unix RootKit Windows Rootkit,2019/10/11,4,按照內(nèi)核模式分類,用戶級Rootkit 不深入系統(tǒng)內(nèi)核，通常在用戶層進(jìn)行相關(guān)操作。 內(nèi)核級Rootkit 深入系統(tǒng)內(nèi)核，改變系統(tǒng)內(nèi)核數(shù)據(jù)結(jié)構(gòu)，控制內(nèi)核本身。,2019/10/11,5,2019/10/11,6,2019/10/11,7,UNIX用戶Rootkit功能分類,提供后門訪問的二進(jìn)制替換程序 隱藏攻擊者的二進(jìn)制替換程序 用于隱藏但不替換二進(jìn)制程序的其他工具 另外一些零散工具 安裝腳本 UNIX系統(tǒng)中最流行的兩種用戶模式RootKit: LRK家族和URK家族。,2019/10/11,8,2019/10/11,9,2019/10/11,10,Windows用戶模式Rootkit,像UNIX上一樣，修改關(guān)鍵性操作系統(tǒng)軟件以使攻擊者獲得訪問權(quán)并隱藏在計(jì)算機(jī)中。 用戶模式RootKit控制操作系統(tǒng)的可執(zhí)行程序，而不是內(nèi)核。,2019/10/11,11,Windows下用戶模式RootKit不盛行,原因如下： 應(yīng)用程序級后門迅速增加。 很多Windows RootKit直接聚焦于控制內(nèi)核 Windows文件保護(hù)（WFP）阻礙可執(zhí)行程序的替換。 Windows源碼不公開。 缺乏詳細(xì)文檔，對Windows的內(nèi)部工作原理不夠了解。,2019/10/11,12,Windows RootKit的三種方法,使用現(xiàn)有接口在現(xiàn)有Windows函數(shù)之間注入惡意代碼。 FakeGINA Ctrl+Alt+Del winlogon.exefakegina.dllmsgina.dll 關(guān)閉Windows文件保護(hù)機(jī)制，然后覆蓋硬盤上的文件。 解決WFP,SFC(System File Checker) 利用DLL注入和API掛鉤操縱正在內(nèi)存中運(yùn)行的進(jìn)程。,2019/10/11,13,嵌入代碼 覆蓋代碼 DLL注入和APIhook,2019/10/11,14,防御Windows 用戶模式RootKit,強(qiáng)化和修補(bǔ)系統(tǒng)，使得攻擊者不能獲得管理員和系統(tǒng)權(quán)限。 Win2K Pro Gold Template CIS: Scoring tool 使用文件完整性檢驗(yàn)工具 如Fcheck，Tripwire商業(yè)版 安裝防病毒軟件 安裝防火墻 如果發(fā)現(xiàn)Rootkit已進(jìn)入系統(tǒng)，最好重建系統(tǒng)，并小心應(yīng)用補(bǔ)丁程序。,2019/10/11,15,內(nèi)核模式RootKit,內(nèi)核模式RootKit：修改現(xiàn)有的操作系統(tǒng)軟件（內(nèi)核本身），從而使攻擊者獲得一臺(tái)計(jì)算機(jī)的訪問權(quán)并潛伏在其中。 比用戶模式RootKit更徹底、更高效。,2019/10/11,16,大多數(shù)內(nèi)核模式Rootkit采用以下手段,文件和目錄隱藏 進(jìn)程、服務(wù)、注冊表隱藏 網(wǎng)絡(luò)端口隱藏 混合模式隱藏（隱藏網(wǎng)絡(luò)接口混合狀態(tài)） 執(zhí)行改變方向 設(shè)備截取和控制 如底層鍵盤截獲,2019/10/11,17,Rootkit的技術(shù)思路,改變函數(shù)的執(zhí)行路徑，從而引入/執(zhí)行攻擊者的代碼，如修改IAT,SSDT,in-line 函數(shù)hooking。 增加過濾層驅(qū)動(dòng)。（kernel） 直接修改物理內(nèi)存。（Direct Kernel object manipulation,DKOM）,2019/10/11,18,檢測Rootkit的技術(shù)思路,基于簽名的檢測：keywords 啟發(fā)式或行為的檢測：VICE/Patchfinder(inject code) 交叉檢測（Cross view based detection）:RootKit revealer/Klister/Blacklight/GhostBuster 完整性檢測：System virginity Verifier/Tripware.,2019/10/11,19,加強(qiáng)Windows內(nèi)核防護(hù),防御 定期加強(qiáng)配置，打補(bǔ)丁 IPS（Intrusion Prevention Systems） 檢測 防病毒軟件 文件完整性檢測工具 RootKit檢測工具（IceSword，RootkitRevealer.zip） (show),2019/10/11,20,Question?,2019/10/11,21,Windows系統(tǒng)服務(wù)調(diào)用,Windows系統(tǒng)服務(wù)調(diào)用(System Call) 轉(zhuǎn)發(fā)請求到內(nèi)核； 用戶態(tài)切換到內(nèi)核態(tài)。 在Windows 2000中默認(rèn)存在兩個(gè)系統(tǒng)服務(wù)調(diào)度表： KeServiceDescriptorTable ntoskrnl.exe 系統(tǒng)服務(wù) kernel32.dll/ advapi32.dll KeServiceDescriptorTableShadow USER和GDI服務(wù) User32.dll/Gdi32.dll Win32內(nèi)核API經(jīng)過Kernel32.dll/advapi32.dll進(jìn)入NTDLL.dll后使用int 0x2e中斷進(jìn)入內(nèi)核，最后在Ntoskrnl.exe中實(shí)現(xiàn)了真正的函數(shù)調(diào)用；Win32 USER/GDI API直接通過User32.dll/Gdi32.dll進(jìn)入了內(nèi)核，最后卻是在Win32k.sys中實(shí)現(xiàn)了真正的函數(shù)調(diào)用。,2019/10/11,22,代碼注入技術(shù)創(chuàng)建遠(yuǎn)程線程,提升本進(jìn)程特權(quán)級為SeDebugPrivilege ，獲取目標(biāo)進(jìn)程句柄 將線程中所需函數(shù)地址及字符串保存在遠(yuǎn)程參數(shù)中 在目標(biāo)進(jìn)程中為遠(yuǎn)程線程和線程參數(shù)申請內(nèi)存空間 將線程代碼和參數(shù)結(jié)構(gòu)拷貝到分配的內(nèi)存中 啟動(dòng)遠(yuǎn)程線程 CreateRemoteThread 等待遠(yuǎn)程線程退出 WaitForSingleObject 釋放申請的空間，關(guān)閉打開的句柄,2019/10/11,23,代碼注入技術(shù)插入DLL,利用注冊表 HKLMSoftwareMicrosoftWindowsNTCurrentVersionWindowsAppInit_DLLs 使用系統(tǒng)范圍的Windows鉤子 SetWindowsHookEx 利用遠(yuǎn)程線程 DWORD HMODULE 特洛伊DLL,2019/10/11,24,代碼注入技術(shù)（三）,操作線程上下文 選擇并掛起目標(biāo)進(jìn)程中的一個(gè)線程； 將要執(zhí)行的代碼注入目標(biāo)進(jìn)程的內(nèi)存中，將該線程將執(zhí)行的下一個(gè)指令的地址設(shè)置為注入的代碼，然后恢復(fù)該線程的運(yùn)行； 在注入代碼的末尾安排跳轉(zhuǎn)，作該線程原本該繼續(xù)作的事。 在新進(jìn)程中插入代碼 CreateProcess,2019/10/11,25,代碼攔截技術(shù)重定向IAT表,+-+ - offset 0 | MS DOS標(biāo)志和DOS塊 | +-+ | PE 標(biāo)志 (“PE“) | +-+ | .text | - 代碼 +-+ | .data | - 已初始化的(全局靜態(tài))數(shù)據(jù) +-+ | .idata | - 導(dǎo)入函數(shù)的信息和數(shù)據(jù) +-+ Import Address Table | .edata | - 導(dǎo)出函數(shù)的信息和數(shù)據(jù) +-+ | 調(diào)試符號(hào) | +-+,2019/10/11,26,代碼攔截技術(shù)無條件跳轉(zhuǎn),獲取目標(biāo)函數(shù)的地址 將頁保護(hù)屬性改為 PAGE_EXECUTE_READWRITE 在目標(biāo)函數(shù)地址寫入5個(gè)字節(jié)的跳轉(zhuǎn)指令，jmp 跳轉(zhuǎn)地址 恢復(fù)頁保護(hù)屬性,2019/10/11,27,內(nèi)核態(tài)的代碼攔截,系統(tǒng)服務(wù)的用戶模式接口 NTDLL.DLL中有說明 Win32 API函數(shù) 檢查參數(shù) 轉(zhuǎn)換為Unicode 調(diào)用NTDLL NTDLL中的函數(shù)用所請求的系統(tǒng)服務(wù)的ID填寫EAX，用指向參數(shù)棧的指針填寫EDX，并發(fā)送INT 2E指令，切換到內(nèi)核態(tài)，參數(shù)從用戶?？截惖絻?nèi)核棧。 NTOSKRNL初始化時(shí)創(chuàng)建了系統(tǒng)服務(wù)分配表(SSDT)，每一項(xiàng)包含一個(gè)服務(wù)函數(shù)的地址。被調(diào)用時(shí)用EAX寄存器中保存的服務(wù)ID查詢這個(gè)表，并調(diào)用相應(yīng)的服務(wù)。 Hook系統(tǒng)服務(wù):查詢系統(tǒng)服務(wù)分配表，修改函數(shù)指針，使之指向開發(fā)者的其他函數(shù)。,2019/10/11,28,內(nèi)核態(tài)的代碼攔截,攔截的層次越低，越不容易被發(fā)現(xiàn)，越不通用 攔截磁盤操作需要操作各種文件系統(tǒng) 掛鉤文件系統(tǒng)驅(qū)動(dòng)的派遣程序 MajorFunction IRP_MJ_XXX 設(shè)置過濾器，修改KeServiceDescriptorTable，來掛鉤系統(tǒng)服務(wù)，如filemon。,2019/10/11,29,Example-注冊表監(jiān)控,ZwOpenKey ZwQueryKey ZwQueryValueKey ZwEnumerateValueKey ZwEnumerateKey ZwClose ZwDeleteKey ZwSetValueKey ZwCreateKey ZwDeleteValueKey,NTSTATUS (*OldZwOpenKey) ( OUT PHANDLE, IN ACCESS_MASK, IN POBJECT_ATTRIBUTES ); NTSTATUS MyZwOpenK