Entradas etiquetadas con “rootkits” de Mixelandia
Este texto fue publicado por EP_X00F en los foros de sysinternals.
aqui
-- comienza traducción --
Hola
El troyano Rustock, acutalmente es uno de los malwares más avanzados tecnicamente. La uni ca parte que conforma esta troyano, se encuentra implementada en el modo kernel, así como su sistema de antidetección y su sistema de red.
Esta es una lista de las versiones disponibles de Rustocy y algunas de sus variantes (posiblemente no todas).
La mayoria de ellas fueron encontradas con la ayuda de herramientas HIDS gratuitas o con la ayuda de HIPS.
i386.sys
sysbus32.sys (2006)
wincom32.sys (2006?)
SSDT patching y IRP hooking
??windev.sys (2006?)
No hay información
pe386.sys (2006)
Hooking de la SYSCALL / ocultacion del driver.
mni41.sys (2006)*
*El driver puede tener un nombre aleatorio.
SSDT inline hooking, IRP hooking
Empaquetado con un protector polimórfico similar al de las versiones posteriores
Motor TCP/IP stack (firewalls sobrepasadas)
Eliminación de los competidores (ntio256.sys y runtime2.sys)
Como puede observarse, esta versión fue detectada apenas unos cuantos meses atras.
huy32.sys (2006)
Beta de Rustock.B
Contiene casi toda la funcionalidad de la versión principal
lzx32.sys (2006)
Actualmente es el rootkit de modo kernel mas avanzado que se a detectado
SYSCALL inline hooking
Utiliza ADS para ocultarse (diferentes variantes utilizan diferentes maneras para hacer esto)
motor TCP/IP stack (firewalls sobrepasadas)
Sistema avanzado de antidetección (Contiene una lista negra de antirootkits - RKR, IceSword, DarkSpy, Blacklight, GMER)
Tanto el Dropper y el driver estan empaquetados con un protector avanzado.
Rustock.C (2006)
??Rustock.D (2007?)
Implementación en la parte profunda del kernel
Firewall y antivirus completamente sobrepasados
Autodefensa (DKOM y parcialmente DKOH)
Sistema Anti antirrotkits (los antirootkitys mas populares son sobrepasados)
Sistema Anti VM (las maquinas virtuales "VM" son detectadas y se evita la ejecución en estas)
Técnicas anti debugging
Empaquetador Polimórfico para drivers y droppers (unico, empaquetador + protector para drivers privado)
Para nosotros carece de todo sentido el proposito ("aspetos éticos" y otras mierdas ) con el que se haya desarrollado esta serie de troyanos y lo que este haciendo en la actualidad. Nosotros estamos interesados solamente en la propia tecnología de los rootkits, debido a que esta puede mejorar las habilidades de todos los antirootkits dessarrollados en estos momentos (RkU, gmer, IceSword).
Así que si alguine puede agragar algo más acerca de Rustock o alguno acerca de sus multiples variantes, estaremos muy felices de ello.
-- Termina traducción --
Saludos
aqui
-- comienza traducción --
Hola
El troyano Rustock, acutalmente es uno de los malwares más avanzados tecnicamente. La uni ca parte que conforma esta troyano, se encuentra implementada en el modo kernel, así como su sistema de antidetección y su sistema de red.
Esta es una lista de las versiones disponibles de Rustocy y algunas de sus variantes (posiblemente no todas).
La mayoria de ellas fueron encontradas con la ayuda de herramientas HIDS gratuitas o con la ayuda de HIPS.
i386.sys
sysbus32.sys (2006)
wincom32.sys (2006?)
SSDT patching y IRP hooking
??windev.sys (2006?)
No hay información
pe386.sys (2006)
Hooking de la SYSCALL / ocultacion del driver.
mni41.sys (2006)*
*El driver puede tener un nombre aleatorio.
SSDT inline hooking, IRP hooking
Empaquetado con un protector polimórfico similar al de las versiones posteriores
Motor TCP/IP stack (firewalls sobrepasadas)
Eliminación de los competidores (ntio256.sys y runtime2.sys)
Como puede observarse, esta versión fue detectada apenas unos cuantos meses atras.
huy32.sys (2006)
Beta de Rustock.B
Contiene casi toda la funcionalidad de la versión principal
lzx32.sys (2006)
Actualmente es el rootkit de modo kernel mas avanzado que se a detectado
SYSCALL inline hooking
Utiliza ADS para ocultarse (diferentes variantes utilizan diferentes maneras para hacer esto)
motor TCP/IP stack (firewalls sobrepasadas)
Sistema avanzado de antidetección (Contiene una lista negra de antirootkits - RKR, IceSword, DarkSpy, Blacklight, GMER)
Tanto el Dropper y el driver estan empaquetados con un protector avanzado.
Rustock.C (2006)
??Rustock.D (2007?)
Implementación en la parte profunda del kernel
Firewall y antivirus completamente sobrepasados
Autodefensa (DKOM y parcialmente DKOH)
Sistema Anti antirrotkits (los antirootkitys mas populares son sobrepasados)
Sistema Anti VM (las maquinas virtuales "VM" son detectadas y se evita la ejecución en estas)
Técnicas anti debugging
Empaquetador Polimórfico para drivers y droppers (unico, empaquetador + protector para drivers privado)
Para nosotros carece de todo sentido el proposito ("aspetos éticos" y otras mierdas ) con el que se haya desarrollado esta serie de troyanos y lo que este haciendo en la actualidad. Nosotros estamos interesados solamente en la propia tecnología de los rootkits, debido a que esta puede mejorar las habilidades de todos los antirootkits dessarrollados en estos momentos (RkU, gmer, IceSword).
Así que si alguine puede agragar algo más acerca de Rustock o alguno acerca de sus multiples variantes, estaremos muy felices de ello.
-- Termina traducción --
Saludos
agregado: listado y desganchado de Shadow SSDT
agregado: nuevo dialogo de acerca ;)
el sistema de actualización es ahora completamente configurable.
remivido: el banneo a GMER y el banneo a los debuggers de modo kernel
agregado: nuevo dialogo de acerca ;)
el sistema de actualización es ahora completamente configurable.
remivido: el banneo a GMER y el banneo a los debuggers de modo kernel
Hoy les traigo otro exploit el cual tiene que ver con Rootkit Revealer, es una traducción directa del texto publicado por EP_X0FF en los foros de sysinternals aquí
nota:
Solamente usenlo si realmnente saben lo que hacen...
nota:
Solamente usenlo si realmnente saben lo que hacen...
Rootkit Revelaler (RKR) es un detector de Rookits muy conocido el cual es usado para revelar algunos rootkits de modo usuario así como algunas cuantas cosas del modo kernel.
Puede detectar archivos ocultos haciendo lecturas de modo RAW y usando su propio parser para el sistema de archivos. Puede detectar entradas ocultas en el registro volcando directamente desde el disco por medio de un driver y la función ZwSaveKey y utilizando su propio parser para esto.
Existen varias maneras de sobrepasar completamente a RKR, pero el detector mismo puede ayudarte a sobrepasarlo. Esta vulnerabilidad esta presente en todas las versiones de RKR inclusive en las más antiguas versiones de línea de comando.
El objetivo principal del exploit es usar restricciones del sistema de archivos que también están presentes en RKR. El exploit crea un árbol de 1024 directorios es decir cada uno esta dentro del anterior, y después copia calc.exe (la calculadora de windows) en el último directorio creado con el nombre “test.exe”. Después de crear este exploit cualquier escaneada al disco con RKR será completamente inútil, porque cuando RKR pase por el directorio del exploit este comenzara a mostrar todo los directorios y archivos como "Visible in Windows API, MFT, but not in directory index".
Usando este exploit con las viejas versiones de consolas genera un error de violación de acceso.
El codigo del exploit se muestra a continuación…
Advertencia:
Debido a las raices del Sitema de Archivos y a las restricciones de la Ínterfaz Grafica de Windows no es sencillo eliminar el exploit del disco. Así que no lo uses en una maquina real si no sabes como eliminar el archivo.
var
i: integer;
buf: array[0..100000] of wchar;
buf2: LBuf;
begin
memzero(@buf, sizeof(buf));
GetWindowsDirectoryW(buf2, MAX_PATH);
strcpyW(buf, '\\?\C:\adir');
CreateDirectoryW(buf, nil);
for i := 0 to 1023 do
begin
strcatW(buf, '\adir');
CreateDirectoryW(buf, nil);
end;
strcatW(buf, '\test.exe');
strcatW(buf2, '\calc.exe');
CopyFileW(buf2, buf, false);
end;
Este no es un exploit “puro” debido a que no genera escalación de privilegios. Este se puede clasificar como uno del tipo DoS (Denegación del Servicio).
Para corregir esta vulnerabilidad es necesario modificar RKR para soportar rutas UNC.
Como muchos saben yo uso y recomiendo el zone alarm.
Esto es debido que es un buen firewall y sobre todo da mucha protección en tiempo real contra muchas amenazas que están latentes en el internet.
Si quieres que tu compu esta realmente protegida contra el malware deberías de darte la oportunidad de invertir un poco en el Zone Alrm Pro el cual reduce todavía mas las entradas al malware
Si deseas adquirirlo puedes hacer lo desde aquí y obtener un 10 dollares de descuento
espero que te decidas por este producto ;)
Saludos
Esto es debido que es un buen firewall y sobre todo da mucha protección en tiempo real contra muchas amenazas que están latentes en el internet.
Si quieres que tu compu esta realmente protegida contra el malware deberías de darte la oportunidad de invertir un poco en el Zone Alrm Pro el cual reduce todavía mas las entradas al malware
Si deseas adquirirlo puedes hacer lo desde aquí y obtener un 10 dollares de descuento
espero que te decidas por este producto ;)
Saludos
Soporte completo Vista 32bit build 6000
Se agrego un nuevo método de detección de procesos ocultos
La tecnología del Stealth Walker fue mejorada dramáticamente, ahora puede revelar mas rootkits.
Nueva Página – Detector de Código Oculto, la cual te mostrara casi todo el código que se está ejecutando en el modo kernel.
El Detector de Código Oculto esta soportado por algunos métodos de detección basados en phide_ex / Rustock y la tecnología de Unreal
El modulo de soporte para NTFS ha sido reescrito para eliminar algunos viejos errores
VX contien código especial para sobrepasar la nueva evolución de los toyanos que utilizan ganchos en la SSDT
La detección de Ganchos inline fue mejorada.
Fecha preliminar de liberación: verano del 2007
Se agrego un nuevo método de detección de procesos ocultos
La tecnología del Stealth Walker fue mejorada dramáticamente, ahora puede revelar mas rootkits.
Nueva Página – Detector de Código Oculto, la cual te mostrara casi todo el código que se está ejecutando en el modo kernel.
El Detector de Código Oculto esta soportado por algunos métodos de detección basados en phide_ex / Rustock y la tecnología de Unreal
El modulo de soporte para NTFS ha sido reescrito para eliminar algunos viejos errores
VX contien código especial para sobrepasar la nueva evolución de los toyanos que utilizan ganchos en la SSDT
La detección de Ganchos inline fue mejorada.
Fecha preliminar de liberación: verano del 2007
Iniciare diciendo que esta noticia que me entere vía Kriptopolis, no me ha agradado mucho, pero que es necesario dar a conocer los alcances de esta nota.
Así que comencemos por saber que es Vbootkit, en esta pequeña traducción de una entrevista hecha a los autores de dicho software.
Así que comencemos por saber que es Vbootkit, en esta pequeña traducción de una entrevista hecha a los autores de dicho software.
Vbootkit es muy parecido a una puerta o acceso al kernel de Vista.
Un bootkit es un rootkit que es capaz de cargarse desde un sector de arranque (Master Boot Record, CD, PXE, disketts, etc.) y persiste en memoria todo el tiempo que dura la transición de modo protegido al arranque del SO. Es un tipo muy interesante de rootkit. Ya que todos los rootkits se instalan cuando el SO esta ejecutándose ya que usan las funciones del SO para cargarse (también requiere de los privilegios de Administrador para poder instalarse), pero los bootkits son diferentes, ya que usan el medio de arranque para atacar al SO, y después sobrevivir. Vbootkit es un bootkit específico para Windows Vista.
Este es un concepto totalmente en RAM. Por esto, bajo ninguna circunstancia hay necesidad de tocar el disco duro y dejar pruebas. Solo reinicia y el bootkit se desaparece como si nunca hubiera estado ahí.
Como trabaja Vbootkit?
Como un pequeño resumen tenemos: BIOS --> Vbootkit code (from CD,PXE etc.) --> MBR --> NT Boot sector --> Windows Boot manager --> Windows Loader --> Vista Kernel.
Justo después de que Vbootkit toma el control, este intercepta la interrupción 13, entonces hace una búsqueda por marcas del SO Vista. Después de detectar al Vista empieza a parcharlo, mientras se oculta del SO, (en pequeños pedacitos, en diferentes lugares de la memoria). Los parches incluyen el sobrepasar algunas protecciones como checksums, verificación de firmas digitales, etc., y toma algunas pasos para mantener el control, mientras la fase 2 del proceso de arranque continúa.
La fase 2 incluye el parcheo del kernel de Vista, así es como Vbootkit mantiene el control sobre el SO, hasta que el sistema se reinicie. Muchos esquemas de seguridad de Vista fueron analizados, como el famoso checksum del PE header (todo ejecutable de Windows contienen uno), la firma digital de archivos, entre otras.
¿Cómo se puede detener a Vbootkit una vez iniciado el sistema?
En las versiones actuales, se muestra una firma en la selección del SO. También hemos agregado una firma a Vbootkit dentro de la memoria del kernel, por lo tanto un volcado de memoria o un escaneo de la memoria del kernel podría encontrarlo.
¿Cómo podría modificarse para ocultarse tanto como sea posible?
Quitando todas las firmas. La invisibilidad y detección de en rootkits/bootkits es un juego continuo de estar modificando tus herramientas para vencer a las demás.
En pocas palabras se tiene al Vbootkit cargado en el kernel de vista.
Hasta aquí el fragmento de la entrevista.
Pero veamos que implica el hecho de que las protecciones de vista puedan ser derrotadas de esta manera.
La mayoría de los rootkits, basan su fuerza en que cada vez que se inicia el SO estos pueden esconder, tanto a ellos y a su carga útil (en este caso el malware en sí) y la mayoría de las herramientas Anti Rootkit se basan en este hecho, de alguna u otra forma todo rootkit deja una huella de que esta en la computadora comprometida. Sin importar si el rootkit es de modo kernel o de modo usuario, al momento de someter al SO a un examen del tipo forense, las huellas serán evidentes, ya que ningún rootkit tiene alguna utilidad cuando no está activo. Por eso el hecho de que este Bootkit pueda usarse sin la necesidad de dejar huellas, lo hace realmente peligroso y maligno. Veamos un escenario en forma de ejemplo.
Supongamos que te logras colar al edificio de la competencia, o digamos que tienes a alguien que tiene acceso a la oficina de gerencia, y que el día de hoy se hará el cambio de contraseñas de esa empresa. Con las nuevas protecciones de Vista sería casi imposible instalar un keyloger y esconder este sin el uso de alguna técnica de rootkit, pero tú tienes una copia funcional de este Vbootkit, y le dices que esconda tu keyloger, así como un Shell.
Bien lograste iniciar la maquina desde el CD ROM que contenía el Vbootkit, el personal de la compañía hace su cambio de contraseñas, y con la ayuda de tu keyloger, capturas esas susodichas contraseñas que te abrirá las puertas de la información confidencial de tu oponente. Ahora simplemente te conectas por medio del Shell que dejaste en la maquina, extraes el archivo que genero el keyloger y listo solo tienes que desinstalar el keyloger, y teclear el comando para reiniciar la computadora y listo no dejaste huellas detrás.
Ciencia ficción, el fruto de mi retorcida imaginación, tal vez pero recuerda que haya afuera hay un mundo que no conocemos y que por lo tanto del que no nos podemos defender, o por lo menos no por el momento.
Saludos
Pero veamos que implica el hecho de que las protecciones de vista puedan ser derrotadas de esta manera.
La mayoría de los rootkits, basan su fuerza en que cada vez que se inicia el SO estos pueden esconder, tanto a ellos y a su carga útil (en este caso el malware en sí) y la mayoría de las herramientas Anti Rootkit se basan en este hecho, de alguna u otra forma todo rootkit deja una huella de que esta en la computadora comprometida. Sin importar si el rootkit es de modo kernel o de modo usuario, al momento de someter al SO a un examen del tipo forense, las huellas serán evidentes, ya que ningún rootkit tiene alguna utilidad cuando no está activo. Por eso el hecho de que este Bootkit pueda usarse sin la necesidad de dejar huellas, lo hace realmente peligroso y maligno. Veamos un escenario en forma de ejemplo.
Supongamos que te logras colar al edificio de la competencia, o digamos que tienes a alguien que tiene acceso a la oficina de gerencia, y que el día de hoy se hará el cambio de contraseñas de esa empresa. Con las nuevas protecciones de Vista sería casi imposible instalar un keyloger y esconder este sin el uso de alguna técnica de rootkit, pero tú tienes una copia funcional de este Vbootkit, y le dices que esconda tu keyloger, así como un Shell.
Bien lograste iniciar la maquina desde el CD ROM que contenía el Vbootkit, el personal de la compañía hace su cambio de contraseñas, y con la ayuda de tu keyloger, capturas esas susodichas contraseñas que te abrirá las puertas de la información confidencial de tu oponente. Ahora simplemente te conectas por medio del Shell que dejaste en la maquina, extraes el archivo que genero el keyloger y listo solo tienes que desinstalar el keyloger, y teclear el comando para reiniciar la computadora y listo no dejaste huellas detrás.
Ciencia ficción, el fruto de mi retorcida imaginación, tal vez pero recuerda que haya afuera hay un mundo que no conocemos y que por lo tanto del que no nos podemos defender, o por lo menos no por el momento.
Saludos
Hoy en el sitio web del Rootikit Unhooker nos dan una noticia que si bien ya anticipabamos no es nada algadora, visto que se han tenido muchos problemas con el malware que usa Rootkits en Win XP.
Rootkits en Vista, si señores asi como lo oyen, el sistema más seguro según sus creadores (jaja si como no) ha caido en las manos de estos rusos y no creo que falte mucho para quq RKU trabaje en Vista, así que no nos queda sino mas que esperar un poco.
21 de Abril 2007 7:30 MSK
Anuncio de Rootkit Unhooker VX
Rootkit Unhooker trabajara en win32 x86 Vista Release Version
los rootkits de prueba han sido portados a vista :)
Latest build of GMER v1.012 is fucked up =) "soviet style" boy from Poland should better test his crap for compatibility
no rekiere traducción
hay que ver que si los rootkits de prueba han sido portados a vista, los rootkits de verdad seguramente tambien estaran, o ya estan en Windows Vista.
Saludos
rootkits
rootkit+unhooker
Rootkits en Vista, si señores asi como lo oyen, el sistema más seguro según sus creadores (jaja si como no) ha caido en las manos de estos rusos y no creo que falte mucho para quq RKU trabaje en Vista, así que no nos queda sino mas que esperar un poco.
21 de Abril 2007 7:30 MSK
Anuncio de Rootkit Unhooker VX
Rootkit Unhooker trabajara en win32 x86 Vista Release Version
los rootkits de prueba han sido portados a vista :)
Latest build of GMER v1.012 is fucked up =) "soviet style" boy from Poland should better test his crap for compatibility
no rekiere traducción
hay que ver que si los rootkits de prueba han sido portados a vista, los rootkits de verdad seguramente tambien estaran, o ya estan en Windows Vista.
Saludos
rootkits
rootkit+unhooker
Cuandorevisaba as estadisticas del blog me he topado que la gente llega al blog intorduciendo la palabra Rootkit Unhooker en google hehe hace referencia a mi blog :| y no me la creo aun.
Saludos a EP, MP_ART, <dny>, Pushick y demas que integran el equipo del RKU.
rootkits
rootkit+unhooker
Saludos a EP, MP_ART, <dny>, Pushick y demas que integran el equipo del RKU.
rootkits
rootkit+unhooker
Pues parece que lo autores oruigunales de el rootkit Unhooker tiene o conocen algo que la mayoria de los simples mortales no, puesto que hoy acaban de sacar una versión del Process Walker actualizado para soportar Vista, y tambien les puedo adelantar que el Rootkit Unhooker 4 tambien tendra soporte para vista.
Descargate el Proces Walker desde la página oficial
Download Process Walker
o
desde Mixelandia
asi ke ya saben cuidado ahora con los rootkit tambien en Vista ;)
rootkits
rootkit+unhooker
Descargate el Proces Walker desde la página oficial
Download Process Walker
o
desde Mixelandia
asi ke ya saben cuidado ahora con los rootkit tambien en Vista ;)
rootkits
rootkit+unhooker
La nueva versión de RKU ha sido liberada. Cualquier reporte de bug / logs mandarlos a rkunhooker @ inbox.ru o pegarlos aqui como comentario
version 3.31 build 150/420 (07.04.2007)
corregido: Bug en las Rutinas de Notificación y en el Detector de Ganchos de Codigo, gracias a FlowerCode
corregido:Bug en la identificación de drivers
actualizado: ILHA para sobrepasar algunos rootkits de modo usuario con patch-protection
agregado: sobrepasar el candado que algunos rootkits ponen en archivos del sistema
agregado: Soporte completo UNC para el escaneo de archivos / Operaciones (deberia de eliminar algunos bugs antiguos)
Descargas
http://rkunhooker1.narod.ru/rkunhook...31.150.420.rar
http://rku.nm.ru/rkunhooker_v3/RkU3.31.150.420.rar
local desde Mixelandia
MD5 1fc261be43d1119b4f627b18578759b3 *RkU3.31.150.420.exe
rootkits
rootkit+unhooker
version 3.31 build 150/420 (07.04.2007)
corregido: Bug en las Rutinas de Notificación y en el Detector de Ganchos de Codigo, gracias a FlowerCode
corregido:Bug en la identificación de drivers
actualizado: ILHA para sobrepasar algunos rootkits de modo usuario con patch-protection
agregado: sobrepasar el candado que algunos rootkits ponen en archivos del sistema
agregado: Soporte completo UNC para el escaneo de archivos / Operaciones (deberia de eliminar algunos bugs antiguos)
Descargas
http://rkunhooker1.narod.ru/rkunhook...31.150.420.rar
http://rku.nm.ru/rkunhooker_v3/RkU3.31.150.420.rar
local desde Mixelandia
MD5 1fc261be43d1119b4f627b18578759b3 *RkU3.31.150.420.exe
rootkits
rootkit+unhooker
Desde hacia un tiempo la página principal del Rootkit Unhooker habia sido http://rku.xell.ru
sin embargo desde el dia de ayer o hoy no estoy muy seguro la página ha vuelto a sus raices, es decir al hosting gratuito de narod.ru, asi que desde hoy la pagina oficial cambia a http://rkunhooker1.narod.ru
lo malo es que ya no hay foro de discucion, con lo cual se quita el soporte que se estaba dando :(
pero en fin si alguien tiene alguna duda no dude en dejar un comentario o enviar un correo ;)
rootkits
rootkit+unhooker
sin embargo desde el dia de ayer o hoy no estoy muy seguro la página ha vuelto a sus raices, es decir al hosting gratuito de narod.ru, asi que desde hoy la pagina oficial cambia a http://rkunhooker1.narod.ru
lo malo es que ya no hay foro de discucion, con lo cual se quita el soporte que se estaba dando :(
pero en fin si alguien tiene alguna duda no dude en dejar un comentario o enviar un correo ;)
rootkits
rootkit+unhooker
El sitio de rootkit unhooker esta caido y por lo tanto aki les va el link para descargarlo es la version mas resiente
the rootkit unhooker site is down, so here is the link to download the last release
download
por cierto soy el traductor al español, así que aquí les dejo la traducción de la interfaz
interfaz en español
rootkits
rootkit+unhooker
the rootkit unhooker site is down, so here is the link to download the last release
download
por cierto soy el traductor al español, así que aquí les dejo la traducción de la interfaz
interfaz en español
rootkits
rootkit+unhooker
Suscripción a fuentes
Si usted utiliza un lector de Fuente RSS, usted podrá suscribirse a una fuente de todas las entradas con las etiquetas “rootkits”.
Estadisticas
