Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР 151, АВГУСТ 2011 г.

Анализ TDL4. Криминалистическая экспертиза и анализ руткит-программ на примере TDL4

Cогда организаторы PHD’2011 предложили выступить с мастерклассом, мы с моим коллегой Евгением Родионовым работали над исследованием руткита семейства Olmarik (TDL4). В рамках PHD нам хотелось рассказать нечто интересное, что ранее было плохо освещено или вообще не затронуто.

Учитывая, что я уже не раз писал в журнале на данную тему, мы сконцентрировались на двух новых вещах. Первая — внедрение руткита на x64-системы в обход проверки цифровой подписи, а вторая — то, каким образом подходить к криминалистической экспертизе уже зараженных машин.

Обход проверки цифровой подписи

На 64-битных версиях операционных систем MS Windows (Vista, Win7) все модули, загружаемые на уровень ядра, должны иметь обязательную цифровую подпись, причем выданную не абы кем.

Из известных сейчас способов обхода этой проверки во вредоносных программах используются в основном достаточно примитивные техники. К примеру, руткит-драйвер из семейства Win64/ TrojanDownloader.Necurs, подписан тестовой цифровой подписью и устанавливается при помощи того, что его дроппер (с учетом наличия соответствующих прав доступа) вносит изменения (Bcdedit.exe -set TESTSIGNING ON) в Boot Configuration Data (BCD) для загрузки системы в специальном режиме TESTSIGNING. Именно эти манипуляции и позволяют загрузить вредоносный драйвер в обход всех проверок. Аналогичная техника применяется и в Win64/Spy.Banker, но разработчики руткита TDL4 использовали более технологичный и интересный способ обхода при помощи буткит модуля и много итерационных модификаций в процессе загрузки самой операционной системы.

В процессе своей установки дроппер TDL4 подготавливает специальный контейнер своей скрытой файловой системы и записывает его в конец жесткого диска, а также вносит модификации в MBR (Master Boot Record), после чего вызывает недокументированную функцию ZwRaiseHardError(), которая вызывает BSOD и вынужденную перезагрузку системы. Процесс загрузки операционной системы выглядит следующим образом.

Как видно из этой схемы, все начинается с выполнения кода MBR, в нашем случае MBR был модифицирован. Ниже приведена модифицированная загрузочная запись. Видно, что вначале используется нехитрая техника самомодификации кода, где при помощи ассемблерной команды циклического сдвига (ROR) происходит расшифрование остальной части кода и передача управления на него. Вторая ступень на пути к обходу проверки цифровой подписи — это передача управления на модуль ldr16, который считывается из файловой системы руткита.

Одной из задач ldr16 является модификация параметров BCD на лету, то есть прямо в процессе загрузки операционной системы. Эти самые параметры выглядят следующим образом.

Наибольший интерес ldr16 проявляет к параметру BcdOSLoaderBoolean_WinPEMode (0x26000022), который отвечает за загрузку операционной системы в так называемом режиме preinstallation mode, в котором все проверки целостности отключены. Отключить эти проверки необходимо для загрузки модифицированной системной библиотеки kdcom.dll, которая отвечает за связь между ядром операционной системы и отладчиком WinDbg. После успешной загрузки модифицированной kdcom.dll в виде модуля ldr32 или ldr64, в зависимости от разрядности операционной системы, происходит модификация параметра /MININT, с умышленной ошибкой превращая его таким образом в невалидный параметр M/ NI, что приводит к загрузке системы в нормальном режиме.

Но возникает вполне закономерный вопрос: зачем же происходит загрузка модифицированной библиотеки kdcom.dll? Здесь кроется интересный нюанс, который заключается в том, что в процессе загрузки ядра происходит вызов функции KdDebuggerInitialize1(), которая как раз экспортируется из kdcom.dll, и в нее внесены интересные изменения. А точнее, сразу после ее вызова произойдет вызов функции PsSetLoadImageNotifyRoutine(), которая устанавливает обработчик на загрузку исполняемого образа в память. А сам этот обработчик содержит вызов недокументированной функции IoCreateDriver(), которая создает и инициализирует объект-драйвер.

Все вышеописанное шаманство позволяет протащить в ядро и загрузить неподписанный драйвер. Если все это изобразить в виде схемы, то она будет выглядеть так.
Здесь стоит отметить, что со стороны MS была попытка противодействия описанному способу обхода проверок цифровой подписи, и в конце весны был выпущен патч KB2506014, который не позволял больше использовать WinPEMode и загружать модифицированную библиотеку kdcom.dll. Но спустя буквально несколько дней, появилась модификация Win32/Olmarik.AMN, которая уже умела обходить этот патч :).

Криминалистическая экспертиза

Файловая система руткита представляет собой скрытый контейнер, дописанный в конец жесткого диска. В этом контейнере и хранятся все компоненты руткита и конфигурационный файл с командными центрами.

Именно поэтому она представляет наибольший интерес с точки зрения криминалистической экспертизы. Но каждый раз доставать и расшифровывать этот скрытый раздел достаточно муторно, поэтому для автоматизации процесса нами была разработана специальная утилита TdlFsReader (eset.ru/tools/TdlFsReader.exe). Она находится в свободном доступе и поддерживает все известные модификации этого руткита, начиная с версии TDL3. Если посмотреть на ее внутренне устройство, то она состоит из нескольких компонентов:

  • определение версии руткита и алгоритма шифрования файловой системы;
  • парсера файловой системы и алгоритма расшифрования файлов внутри нее;
  • противодействие механизмам самозащиты руткита;
  • чтение жесткого диска на низком уровне.

В результате работы TdlFsReader мы получаем полный дамп скрытого раздела файловой системы руткита. Подобные улики в виде конфигурационного файла, содержащего адреса командных центров и его активных компонентов, являются интересным материалом, который может дать дополнительные векторы развития для расследования. Более того, даже после удаления большинством лечащих утилит активного заражения TDL4, скрытый раздел файловой системы все равно остается на жестком диске, и из него также можно получить информацию.

В качестве заключения хочется заметить, что уже на протяжении нескольких лет семейству TDL удается удерживать технологическое первенство среди распространенных в «живой природе» руткитпрограмм. Посмотрим, что принесет дальнейшее его развитие, и чем нас удивят его авторы в будущем.

Содержание
загрузка...
Журнал Хакер #151Журнал Хакер #150Журнал Хакер #149Журнал Хакер #148Журнал Хакер #147Журнал Хакер #146Журнал Хакер #145Журнал Хакер #144Журнал Хакер #143Журнал Хакер #142Журнал Хакер #141Журнал Хакер #140Журнал Хакер #139Журнал Хакер #138Журнал Хакер #137Журнал Хакер #136Журнал Хакер #135Журнал Хакер #134Журнал Хакер #133Журнал Хакер #132Журнал Хакер #131Журнал Хакер #130Журнал Хакер #129Журнал Хакер #128Журнал Хакер #127Журнал Хакер #126Журнал Хакер #125Журнал Хакер #124Журнал Хакер #123Журнал Хакер #122Журнал Хакер #121Журнал Хакер #120Журнал Хакер #119Журнал Хакер #118Журнал Хакер #117Журнал Хакер #116Журнал Хакер #115Журнал Хакер #114Журнал Хакер #113Журнал Хакер #112Журнал Хакер #111Журнал Хакер #110Журнал Хакер #109Журнал Хакер #108Журнал Хакер #107Журнал Хакер #106Журнал Хакер #105Журнал Хакер #104Журнал Хакер #103Журнал Хакер #102Журнал Хакер #101Журнал Хакер #100Журнал Хакер #099Журнал Хакер #098Журнал Хакер #097Журнал Хакер #096Журнал Хакер #095Журнал Хакер #094Журнал Хакер #093Журнал Хакер #092Журнал Хакер #091Журнал Хакер #090Журнал Хакер #089Журнал Хакер #088Журнал Хакер #087Журнал Хакер #086Журнал Хакер #085Журнал Хакер #084Журнал Хакер #083Журнал Хакер #082Журнал Хакер #081Журнал Хакер #080Журнал Хакер #079Журнал Хакер #078Журнал Хакер #077Журнал Хакер #076Журнал Хакер #075Журнал Хакер #074Журнал Хакер #073Журнал Хакер #072Журнал Хакер #071Журнал Хакер #070Журнал Хакер #069Журнал Хакер #068Журнал Хакер #067Журнал Хакер #066Журнал Хакер #065Журнал Хакер #064Журнал Хакер #063Журнал Хакер #062Журнал Хакер #061Журнал Хакер #060Журнал Хакер #059Журнал Хакер #058Журнал Хакер #057Журнал Хакер #056Журнал Хакер #055Журнал Хакер #054Журнал Хакер #053Журнал Хакер #052Журнал Хакер #051Журнал Хакер #050Журнал Хакер #049Журнал Хакер #048Журнал Хакер #047Журнал Хакер #046Журнал Хакер #045Журнал Хакер #044Журнал Хакер #043Журнал Хакер #042Журнал Хакер #041Журнал Хакер #040Журнал Хакер #039Журнал Хакер #038Журнал Хакер #037Журнал Хакер #036Журнал Хакер #035Журнал Хакер #034Журнал Хакер #033Журнал Хакер #032Журнал Хакер #031Журнал Хакер #030Журнал Хакер #029Журнал Хакер #028Журнал Хакер #027Журнал Хакер #026Журнал Хакер #025Журнал Хакер #024Журнал Хакер #023Журнал Хакер #022Журнал Хакер #021Журнал Хакер #020Журнал Хакер #019Журнал Хакер #018Журнал Хакер #017Журнал Хакер #016Журнал Хакер #015Журнал Хакер #014Журнал Хакер #013Журнал Хакер #012Журнал Хакер #011Журнал Хакер #010Журнал Хакер #009Журнал Хакер #008Журнал Хакер #007Журнал Хакер #006Журнал Хакер #005Журнал Хакер #004Журнал Хакер #003Журнал Хакер #002Журнал Хакер #001