欢迎进Allbet欧博官网,欧博官网是欧博集团的官方网站。Allbet欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

首页科技正文

电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱

admin2021-01-0146安全技术二进制安全

  APT黑客组织已被民众耳熟能详,由于rootkit手艺高权限,更底层等特征,常被恶意软件用于匹敌杀毒软件,自我珍爱等偏向,向来是是非“兵家必争之地”。本文整理APT常用的自我珍爱手艺,揭开rootkit神秘面纱,知己知彼,百战不殆

Ramsay

  Darkhotel框架Ramsay于今年5月被披露,具备突破物理隔离限制新特征,引入Rootkit新组件,到达自我珍爱的目的。
1) 初始化设置:
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第1张

2) sub_179FA(),组织初始化,主类HideDriver为纯虚类,如下所示:
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第2张

3)初始化以下指针挪用,如下所示:
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第3张
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第4张

4)主要初始化功效如下:
| sub_1AFE4 | 初始化Resource读写锁 |
| sub_1B000 | 初始化Mutex互斥体 |
| sub_1B054 | 获取KeServiceDescriptorTable基地址 |
| sub_1B064 | 获取KeServiceDescriptorTable.ServiceTableBase |
| sub_1B076 | 获取KeServiceDescriptorTable基地址 |
| sub_1B086 | 获取KeServiceDescriptorTable.ServiceTableBase|
| sub_1B01C | HideDriver::FileHider |
| sub_1B038 | HideDriver::ProcessHider |

5) IRP_MJ_DEVICE_CONTROL函数,如下所示:
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第5张

6)PCHunter查看挂钩情形,如下所示:
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第6张

7)枚举SyStem历程,利益可以兼容差别版本ImageFileName结构体偏移。
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第7张

8)获取SSDT基地址,Hook函数NtQueryDirecToryFile。
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第8张

9)完成钩子安装
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第9张

文件珍爱

10)ZwQuerDirectoryFile用于文件珍爱,过滤函数如下:
  正常挪用ZwQuerDirectoryFile接见,凭据文件类型(差别结构体)举行分发处置,通过Hook-ZwQuerDirectoryFile隐藏文件有多种,过滤FileBotDir类型,pFileInfo->FileName掷中,FILE_BOTH_DIR_INFORMATION.NextEntryOffset笼罩或摘链等。
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第10张

历程珍爱

11)ZwQuerSystemInfomation用于历程珍爱,过滤函数如下:
  用户层使用EnumProcesses和CreateToolhelp32Snapshot遍历历程 ,底层挪用ZwQuerSystemInfomation函数,剖析SYSTEM_PROCESS_INFORMATION结构体,PID过滤,掷中后对结构体窜改或摘链实现历程隐藏。
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第11张

小结:

  SSDT是一门古老的rootkit手艺,中文称叫系统服务描述符表,该表将ring3的Win32 API和ring0内核API联系起来,包罗地址索引的基地址、服务函数个数,内核攻防手艺演变的过程中,SSDT是其中主要角色,匹敌从未住手。

HellSing

  Hellsing黑客组织被披露黑吃黑,活跃在亚太地区,使用钓鱼手段破环东南亚,印度,美国等外交目的而著名

文件珍爱

电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第12张

1) 文件珍爱,如下所示:
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第13张
  FileSystem\FastFat和FileSystem\Ntfs,当系统删除一个文件时刻向ntfs或者fastfat驱动发送派遣函数IRP_MJ_SET_INFORMATION请求,当打开一个文件会响应IRP_MJ_CREATE。

2) 行使ObReferenceObjectByName获取了NTFS驱动工具。
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第14张

3) 替换派遣函数IRP_MJ_CREATE指针函数,如下所示:
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第15张
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第16张

  4) Hook剖析,通 _IO_STACK_LOCATION._FILE_OBJECT.FileName,来判断是否是珍爱的文件:
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第17张

  5) 将文件路径举行随便替换,指向其它的字符串,对文件操作时刻,处置派遣IRP_MJ_CREATE修改FILE_OBJECT.FileName从而到达文件珍爱功效。
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第18张

历程珍爱

1)控制码:2352220,执行_EPROCESS.ActiveProcessLink摘链操作,隐藏历程。
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第19张


2)编写测试驱动,发送CTL_PROCESS_HIDE隐藏PID乐成。

,define CTL_PROCESS_HIDE \
    CTL_CODE(FILE_DEVICE_VIDEO, 0x3917, METHOD_BUFFERED, FILE_ANY_ACCESS)

电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第20张

,

usdt跑分平台

菜包钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜包Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

3)控制码: 23511128,用户层通报需要珍爱的文件数组,举行赋值操作。
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第21张
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第22张

小结:

  该组织使用rootkit手艺要比SSDTHook略高一筹,针对NTFS和FASTFAT驱动举行fsd Hook实现文件珍爱,使用EPROCESS结构体举行摘链实现历程隐藏。

防御检测

  上文讲述Ramsay框架和Hellsing组织使用的Rootkit手艺手段,到达恶意软件自我珍爱的目的,若何检测RootKit实现挂钩恢复?一探事实。

Ssdt_hook检测

1.保留系统当前SSDT地址,发送至用户层或直接内核层作对照,代码如下:
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第23张

  2.将内陆文件映射到内存,重定向地址,与当前系统函数地址对比,若是不相同标记为SSDTHOOK,替换原始函数地址,完成恢复。
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第24张

fsd_hook检测

  1.通过IDA查看ntfs.sys派遣函数,考察机器码,读取ntfs和fastfat文件(PE),代码段举行枚举搜索,通过机器码寻找原始派遣函数地址,如下所示:
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第25张
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第26张

2.加载Ntfs,拷贝工具派遣函数,如下所示:
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第27张

  3.映射本体文件,以AddressOfEntryPoint+ImageBase为枚举机器码入口点,如下所示。
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第28张

  4.枚举机器码保留派遣函数地址,与当前内存加载派遣函数地址对照,需要重定位,不匹配标记为FSD HOOK,替换原始派遣函数,完成恢复,伪代码如下:
电银付免费激活码(dianyinzhifu.com):细说APT之Rootkit自我珍爱 安全技术 二进制安全 第29张


  上文对rootkit挂钩先容了扫描的方式,若何检测被隐藏的历程和文件呢?部门检测思绪如下:

历程断链检测

  1.Windows 32bit系统空间0x80000000-0xFFFFFFFF ,0x80000000为起始地址,判断地址是否有用,逐一剖析ObjectType是否历程类型,递增4kb枚举系统空间,该方式适用于其它类型内核工具隐藏。
  2.枚举PspCidTable找到隐藏历程,PspCidTable系统中所有历程线程工具,索引即是PID和TID(若是该链也被断开,则无效)。

文件隐藏检测

  1.读取NTFS流,剖析MFT,获取完整的文件列表,检测磁盘被隐藏的文件。
  2.针对fsd hook,可以使用更底层方式来检测,挂钩disk.sys比fs更底层同样可以实现低层检测。

小结

  rootkit手艺随着平安学术的普及,神秘面纱逐步被揭开,虽然64bit系统部门rootkit不再适用,道高一尺魔高一丈,偷取数字签名安装驱动木马征象一直存在,内核平安检测和防御手艺是需要手段,也是平安焦点。

IOC:

3DE2A22BABB69E480DB11C3C15197586
07858D5562766D8239A7C961FEEA087C


网友评论

2条评论
  • 2021-01-01 00:00:21

    欧博注册网址www.allbetgame.us欢迎进入欧博网址(Allbet Gaming),欧博网址开放会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。经夸吗?我来了!!