Rootkits Miha Pihler, MCSA, MCSE, MCT, CISSP,

Slides:



Advertisements
Podobne predstavitve
Preberite te nasvete, če želite izvedeti, kako: 1 Prilagodite logotip
Advertisements

INFORMATIKA Osnove – temeljni pojmi I.
Kratka navodila za Video
Specialne knjižnice Specialni knjižničarji = informacijski strokovnjaki Predavanje 2 Izr. prof. Primož Južnič
7/1/2019 6:19 PM ©2004 Microsoft Corporation. All rights reserved.
Tekmovanje elektro in računalniških šol 2019 Kategorija: računalnikar
Kurikulum v Veliki Britaniji
Upravljanje identitet v oblaku in avtentikacija
Going with the Flow: Uporaba Microsoft Flow v praksi
Trinivojska arhitektura v sistemih za obračunavanje storitev
Najboljše iz obeh svetov: uporaba javanskih knjižnic v .NET
Janez Eržen, Uroš Bajc - SCARF: Skaliranje digitalnega forenzičnega procesiranja z uporabo vsebniških tehnologij v oblaku 28. maj 2018.
Žiga Kern, Tim Oblak, Valentin Sojar -
VARNA ZABAVA NA INTERNETU
Priporočila za področje ZP
Varnost informacijskih sistemov
_____________________________________ Ministrstvo za obrambo
7/3/2019 6:08 AM SQL in GDPR: Uporaba SQL funkcionalnosti za prilagoditev BI/DWH okolja GDPR zahtevam mag. Gašper Cotman, vodja področja omrežij in varnosti,
NEMŠKI KURIKULUM IN PRIMERJAVA S SLOVENSKIM
Mikrokrmilnik in programiranje
POZORNOST IN KONCENTRACIJA, UČNI STILI
Upravljajmo SQL Server z odprto kodo
Elektronska pošta.
Strukturirano logiranje v .NET Core
Naj bo IT investicija ali strošek?
Ukrep Vseživljenjsko učenje Podaktivnost
BOLEZNI, POŠKODBE DIHAL, ZADUŠITEV IN OŽIVLJANJE
Ozaveščanje o Direktivi o okoljski odgovornosti v Sloveniji
Informacijska rešitev za agregacijo DEA flote v RTP V okviru slovensko-japonskega sodelovanja na področju pametnih omrežij, t.i. NEDO projekta Tomaž Buh.
dLib in slovenska književnost
Uporaba LOGGER PROja Aktiv fizikov SEŠTG
Operacijski sistemi.
Daniel Šalamon Knjižnica Ivana Potrča Ptuj
Procesorji Intel Itanium
SMERNICE SVETA EVROPE ZA SODELOVANJE JAVNOSTI PRI ODLOČANJU
Zgodovina Računalnikov
Vnos podatkov s tipkovnico
mIRC in Windows Live Messenger
SVETOVNI SPLET (s programom MS Windows Internet Explorer
Zasvojenost z raČunalnikom
Programska oprema računalnika
Lokalna omrežja.
Automated BI solution With Excel in 60 minutes
Grafične enote.
Linus Benedict Torvalds.
Ime izdelka.
predmet: uporaba IKT pri poslovanju
IGRANJE RAČUNALNIŠKIH OZ. VIDEO IGER
Kaj je Oddaljeno namizje (ON)?
Nero StartSmart.
Predstavitev programa google chrome 6
Operacijski sistemi in virtualizacija
OPEN OFFICE.
DK – STEP 7 – Podatkovni bloki
program Lync v Trgovini Windows
Anika Zupančič RAČUNALNIŠKI VIRUSI.
ZAŠČITA PRED PROGRAMSKIMI VSILJIVCI
Prezentacija April 2002 šolska leta
Priprava na pisno preverjanje znanja iz informatike
Naprave za masovno shranjevanje podatkov
PREDSTAVITEV PROJEKTNE NALOGE
Splošna matura 2019.
Fire Wall ( Požarni zid )
Interna struktura NTFS
Pripravil: Šolsko leto:
Trdi diski.
primerjava kurikulumov Slovenija in Češka
Polno znanja!.
izkoristek Outlookovih funkcij
INTERNET – SVETOVNI SPLET
Zapis predstavitve:

Rootkits Miha Pihler, MCSA, MCSE, MCT, CISSP, Microsoft MVP – Windows Security S&T Slovenija d.d. miha.pihler@snt.si b-mihap@microsoft.com TEŽAVNOST: 400 ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Microsoft MVP – Windows Security Svetovalec za varnost SloWUG Community Lead www.slowug.org Gradivo, ki ste ga prejeli je na voljo tudi na www.krneki.net/rootkits Novejša različica; tudi PPT

Agenda Uvod Način okužbe Delovanje in skrivanje rootkitov Odkrivanje in odstranjevanje rootkitov Zaščita pred rootkiti Zaključek

Uvod Virusi Črvi Spyware Rootkiti ... V preteklosti je bil motiv pogosto zabava Trenutno je vedno večji motiv denar Vedno več napadov je naročenih

Uvod Spremenil se je način razvoja operacijskih sistemov in aplikacij Spremenile so se navade uporabnikov Nameščanje popravkov ...

Agenda Uvod Način okužbe Delovanje in skrivanje rootkitov Odkrivanje in odstranjevanje rootkitov Zaščita pred rootkiti Zaključek

Način okužbe z rootkiti Programska oprema Sonny DRM “rootkit” $sys$... Symantec “rootkit” Strojna oprema BIOS (zaenkrat še večino “proof of concept”) iPOD-i okuženi z virusom

Način okužbe z rootkiti Napake v aplikacijah in operacijskih sistemih Črvi Blaster Virusi Apple Servisi, ki tečejo s sistemskimi pravicami

Način okužbe z rootkiti (nad.) Socialni inženiring Fizični dostop do opreme “ERD Commander” – Microsoft Windows OS “Break Sequence” – Usmerjevalniki, IDS, .. “Single User Mode” – Linux, MAC OS X,...

Agenda Uvod Način okužbe Delovanje in skrivanje rootkitov Odkrivanje in odstranjevanje rootkitov Zaščita pred rootkiti Zaključek

Delovanje in skrivanje rootkitov x86 Intel Windows Linux Kernel Mode Obroč 0 User Mode Obroč 3 Obroč 3 Obroč 0

Delovanje in skrivanje rootkitov Komunikacija med obročem 3 in 0 Gonilniki API klici in pravica SeDebug WinDBG

Delovanje in skrivanje rootkitov Jedrni način delovanja (Kernel Mode) Rootkit, ki teče kot del jedra ima dostop do celotnega sistema! “Kernel Hooks” “DLL injections” “Runtime patching” DKOM (Direct Kernel Object Manipulation)

Delovanje in skrivanje rootkitov 7/3/2019 3:25 AM Delovanje in skrivanje rootkitov “Kernel Hooks” SSDT (System Serivce Dispatch Table) Namen kljuk (“hooks”) je, da prestrežejo sistemske klice na določene funkcije (npr. “ZwQuerySystemInformation”) Rootkit implementira svojo “ZwQuerySystemInformation” funkcijo Rootkit popravi naslovni prostor funkcije, da ta po novem kaže na funkcijo, ki jo implementira sam Sedaj lahko filtrira vse odgovore op. sistema HideProcessHookMDL.zip ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Delovanje in skrivanje rootkitov 7/3/2019 3:25 AM Delovanje in skrivanje rootkitov “DLL Injections” Rootkit doda dvoj DLL v AppInt_DLL del registra Ko aplikacija uporabi User32.dll naloži tudi rootkit Rootkit s tem dobi dostop do vsega kamor ima dostop aplikacija Zaupne informacije? CreateRemoteThread ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Delovanje in skrivanje rootkitov Runtime patching Poiščemo funkcijo in jo zamenjamo z lastno Spodnja navodila so za “SeAccessCheck” 55 8B EC 53 33 DB 38 5D 24 PUSH MOV XOR CMP EA AA 08 00 90 FAR JMP NOP

Delovanje in skrivanje rootkitov Runtime patching FAR JMP Funkcija programa Rootkit Odstranjene f. FAR JMP Prednost rootkita (rootkit MigBot): Ko je spremenil program ne rabi več teči na računalniku

Delovanje in skrivanje rootkitov 7/3/2019 3:25 AM Delovanje in skrivanje rootkitov “DKOM” Spreminjanje žetonov (token) procesom Primer rootkita: FU in FUTU HideProcessHookMDL.zip ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

FU Demo 7/3/2019 3:25 AM Skrij proces Dodaj uporabnika v SID (DKOM) Povečaj pravice procesu (DKOM) ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Hacker defender Demo 7/3/2019 3:25 AM ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Delovanje in skrivanje rootkitov Jedrni način delovanja (Kernel Mode) V tem načinu delovanja se rootkiti lahko skrijejo na veliko načinov Skrivanje procesov Skrivanje datotečnega sistema Skrivanje registrov Skrivanje TCP/UDP vrat Jih je težko odkrivati Ni jih enostavno pisati Zahteva intimno poznavanje jedra

Delovanje in skrivanje rootkitov Omrežja Rootkit v jedrnem načinu Ima jo dostop do NDIS Si lahko dodelijo svoj MAC naslov Si lahko dodelijo svoj IP naslov Se lahko izognejo osebnemu požarnemu zidu Tipični primer rootkita je “DeepDoor” in RK_44 TDI : NDIS “raw sockets” Rootkit lahko šifrira svoj promet in se tako skriva pred IDS, IPS, ...

Delovanje in skrivanje rootkitov Uporabniški način delovanja (User Mode) Imajo dostop do vseh uporabniških podatkov Gesla Spletni naslovi Številke kreditnih kartic “Plug-ins” za IE, Firefox, ... 2 faktorska prijava Jih je lažje pisati pa tudi odkrivati

Delovanje in skrivanje rootkitov Rootkiti se lahko skrivajo tudi v strojni opremi BIOS (zaenkrat predvsem kot “proof of concept”) Izredno zahtevno pisanje in odkrivanje Zahteva intimno poznavanje strojne opreme Nimamo mehanizmov za odkrivanje Programi proti zlonamerni kodi ne znajo skenirati naprav ;-)

Agenda Uvod Način okužbe Delovanje in skrivanje rootkitov Odkrivanje in odstranjevanje rootkitov Zaščita pred rootkiti Zaključek

Odkrivanje in odstranjevanje rootkitov 7/3/2019 3:25 AM Odkrivanje in odstranjevanje rootkitov Za odkrivanje lahko uporabimo orodja kot so: RootkitRevealer (RKR) BlackLight IceSword Windows Debugger (WinDBG) ... Vsak od omenjenih ima prednosti in slabosti http://www.microsoft.com/technet/sysinternals/utilities/rootkitrevealer.mspx http://www.f-secure.com/blacklight/blacklight.html http://www.antirootkit.com/software/IceSword.htm ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Odkrivanje in odstranjevanje rootkitov (nad.) 7/3/2019 3:25 AM Odkrivanje in odstranjevanje rootkitov (nad.) Kako deluje RKR RKR Rootkit API Datotečni sistem ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

7/3/2019 3:25 AM Demo RKR http://www.eeye.com/html/resources/downloads/other/index.html ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Odkrivanje in odstranjevanje rootkitov 7/3/2019 3:25 AM Odkrivanje in odstranjevanje rootkitov Rootkiti se prilagajajo na programe za odkrivanje zlonamerne kode Se znajo skriti pred programi Jih znajo “napasti” in onemogočiti Tudi protivirusno zaščito Igra “kdo bo prvi” Rootkiti imajo prednost... ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Odkrivanje in odstranjevanje rootkitov 7/3/2019 3:25 AM Odkrivanje in odstranjevanje rootkitov “Offline” analiza Trdi disk Primerjava datotek v “online” in “offline” načinu Rootkit ima lahko svoje datoteke na trdem disku šifrirane; lahko imamo težave pri odkrivanju teh tudi v “offline” načinu Drugi načini skrivanja (npr. “ADS”) ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Odkrivanje in odstranjevanje rootkitov 7/3/2019 3:25 AM Odkrivanje in odstranjevanje rootkitov Kako vemo, da smo odkrili vso zlonamerno kodo na okuženem sistemu? Najboljši (in priporočen) način za odstranjevanje je ponovna namestitev operacijskega sistema Če smo imeli “srečo” in smo dobili rootkit, ki se skriva v strojni opremi, ponovna namestitev ne bo pomagala... ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Odkrivanje in odstranjevanje rootkitov 7/3/2019 3:25 AM Odkrivanje in odstranjevanje rootkitov Priporočila ko sumite, da ste okuženi Preverite sistem z več programi za odkrivanje rootkitov Odstranite vse datoteke, ki so jih programi zaznali Ponovno zaženite sistem in preverite ponovno Preverite podpise vseh sistemskih datotek Ne samo .exe, .bat, .com, ... Orodje, ki ga lahko uporabite je sigverif ©2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda Uvod Način okužbe Delovanje in skrivanje rootkitov Odkrivanje in odstranjevanje rootkitov Zaščita pred rootkiti Zaključek

Zaščita pred rootkiti Zaščita v globino (“Defense in depth”)! Preventiva Bodite previdne katero kodo poganjate na svojem računalniku! Programi (tudi popravki) naj bodo iz zanesljivega vira in naj bodo podpisani 64-bit Windows Vista in Longorn

Zaščita pred rootkiti (nad.) Nameščeni popravki za aplikacije in operacijske sisteme Vse aplikacije, vsi operacijski sistemi, vse druge napreve (usmerjevalniki, stikala) Nameščena programska oprema za odkrivanje zlonamerne kode Protivirusni programi Učinkovita samo: če so nameščeni tudi popravki zadnje definicije

Zaščita pred rootkiti (nad.) Omejen nabor pravic Rootkiti, ki delujejo v jedrnem načinu potrebujejo skrbniški dostop za namestitev Ostale rootkite omejen nabor pravic ne bo motil Rootkiti, ki lahko delujejo v uporabniškem načinu! TPM (Trusted Platform Module) Windows Vista – TPM + BitLocker

Agenda Uvod Način okužbe Delovanje in skrivanje rootkitov Odkrivanje in odstranjevanje rootkitov Zaščita pred rootkiti Zaključek

Zaključek Vedno bolj pogosto bomo srečevali rootkite; tudi v vsakdanjem življenju Vedno več naprav je priključenih na internet Kriminalne združbe dobro služijo s krajo podatkov Ponujajo veliko denarja za neodkrite napake v operacijskih sistemih in aplikacijah Prodajajo informacije kot so številke kreditnih kartic

Zaključek (nad.) Pogoste izjave v medijih “Can you prove it?” V naše omrežje ni mogoče vdreti V naše omrežje še nihče ni vdrl “Can you prove it?”

Q&A http://www.slowug.org miha.pihler@snt.si b-mihap@microsoft.com

Povratne informacije: Pravilnik o zasebnosti Povratne informacije
O projektu: SlidePlayer Pogoje uporabe

© 2024 SlidePlayer.si Inc. All rights reserved.