В прошлом месяце нами была зафиксирована новая модификация буткита Rovnix (VBR-буткита). Rovnix это фреймворк для создания буткитов, который уже был задействован в банковском троянце Carberp. Он состоит из двух основных компонентов, это динамическая библиотека инсталятор BkSetup.dll и драйвер, который загружается в процессе выполнения буткит-кода и внедряет полезную нагрузку в указанные процессы.
В новой версии появились изменения связанные с противодействиям обнаружению, так например изменилась схема полиморфных преобразований, которые реализуют расшифрование вредоносного кода VBR.
Подробнее обо всех изменениях читайте в моем англоязычном блоге.
Интересьненько, пойду почитаю, во всяком случае постараюсь
ОтветитьУдалитьА с какой полезной нагрузкой он сейчас используется? Девелоперы Rovnix сотрудничают с кем-то одним, или предоставляют буткит нескольким группам лиц?
ОтветитьУдалитьТакое ощущение, что это либо мультизагрузчик, либо просто тестовый пейлоад, т.к. кроме того, как общаться с админкой и инсталировать в скрытую файловую систему дополнительные модули, с последующим инжектом, больше он ничего не умеет.
УдалитьНа моей памяти в дикой природе Rovnix встречался всего-лишь два раза, один раз, что-то вроде промо-акции в интернет блокере, а второй соответственно в Carberp. Кстати продавался он тогда за 60к ;)
Сейчас в драйвере парсера файловой системы появились интересные изменения, он теперь может принимать буфер из юзермодного компонента и сохранять его в файловой системе, а так же осуществлять множественные инжекты в разные процессы (раньше была работа только с одним пейлоадом). Возможно скоро появится партнерка с ним или еще что-то ;)