среда, 1 сентября 2010 г.

TDL поработил x64

Сегодня написал обзорную статью о новом витке развития нашумевшего руткита TDL3, который на долго поселился в головах исследователей из антивирусных компаний. TDL3 считается одним из самых передовых творений разработчиков руткитов на сегодняшний день. О нем писали очень много, одни из последних публикаций это отчет о нашем исследовании этого руткита и статья "TDSS: полное раскрытие" от eSage Lab.
Интересную статистику (по распространению всего семейства) по сабжу показала MS:


Как мы видим присутствует явное доминирование платформы WinXP и в новой версии авторы видимо решили исправить такое положение дел. Кол-во инсталляций Win7 x64 постоянно растет и теперь есть механизмы, позволяющие инсталлировать руткиты и на эту платформу.  
Концепт (Disable PatchGuard & Driver signature enforcement) механизма обхода проверки подписи в x64 появился еще в начале года в публичном доступе, но авторами помимо предложенного в нем механизма используется еще вызов недокументированной функции IoCreateDriver(), которая собственно и позволяет выполнить вредоносный драйвер (про это есть немного тут). 
Автор: Unknown на 9/01/2010 05:24:00 PM
Ярлыки: , , ,

6 комментариев:

  1. Dmitry Evteev2 сентября 2010 г. в 01:58

    что могу сказать, пророчество Рутковской сбываются...

    ОтветитьУдалить
  2. Unknown2 сентября 2010 г. в 11:57

    Интересно посмотреть будет на развитие нового TDL через пару месяцев. Я думаю это пока только пробы пера :)

    ОтветитьУдалить
  3. Blur3 сентября 2010 г. в 11:32

    Причем тут IoCreateDriver и паблик код, вы хотя бы ковыряли их 16битный загрузчик ? CodeIntegrityCheck тут совершенно не причем, он проверяеться только на vista sp0 и универсального метода не дает, это даже не PoC.

    ОтветитьУдалить
  4. Unknown4 сентября 2010 г. в 15:30

    Я ковырял несколько сэмплов TDL4 и загрузчик из MBR тоже, а публичный код приведен в качестве примера (его работу я не проверял). Я не совсем понял вашего вопроса, с чем вы собственно не согласны?

    ОтветитьУдалить
  5. Blur4 сентября 2010 г. в 19:23

    Ну а как вам это: "IoCreateDriver(), которая собственно и позволяет выполнить вредоносный драйвер". По этой теме в основном пишут какой-то бред + все суют неработающие "паблик примеры". Всех вводит в ступор их ldr16 как я посмотрю. Я ковырял и идея то там совсем в другом... Буду писать свою статью в общем, пролью свет, так сказать...

    ОтветитьУдалить
  6. Unknown4 сентября 2010 г. в 23:14

    Интересно, поделитесь ссылкой, как будет готова статья;)

    ОтветитьУдалить

Подписаться на: Комментарии к сообщению (Atom)