微点交流论坛

标题: 俄罗斯黑客公布新型恶意软件技术中国黑客迅速破解之 [打印本页]

作者: 360SuperKill 时间: 2007-1-23 13:57 标题: 俄罗斯黑客公布新型恶意软件技术中国黑客迅速破解之

俄罗斯黑客公布新型恶意软件技术中国黑客迅速破解之

最新消息, 两名俄罗斯黑客EP_XOFF和MP_ART于美国时间19日上午7时45公布了他们的新型Rootkit技术, 命名为"Unreal", 目前所有的Rootkit检测工具均对其无效, 中国RootKit研究者MJ0011在16时53分公布了对这种恶意软件的检测和清除技术.

美国时间19日上午7时45分在Windows Sysinternals论坛的Malware (恶意软件) 版块上, 两名俄罗斯黑客发布了如下帖子:"New technology of rootkits: Unreal", 其中说明了他们最新发现的Unreal Rootkit技术, 并给出了一个样本. 声称该技术可以做到无进程, 隐藏文件和驱动, 无注册表隐藏, 包括俄罗斯, 中国, 美国, 波兰等多个国家的安全组织、杀毒软件厂商的25种权威反RootKit工具全都在这个新的RootKit技术前失效.

已被验证的失效反RootKit工具有:

1. Rootkit Unhooker v3.01
2. Rootkit Revealer v1.71
3. F-Secure Blacklight
4. DarkSpy v1.05
5. DarkSpy v1.05fixedbeta2
6. IceSword v1.20
7. GMER v1.012
8. Helios v1.1a
9. SVV v2.3
10. McAfee Rootkit Detective
11. Sophos AntiRootkit
12. TrendMicro RootkitBuster
13. AVG AntiRootkit
14. AVZ v4.23 ARK Module
15. BitDefender Rootkit Uncover
16. Panda AntiRootkit
17. Panda Tycan
18. modGreeper v0.3
19. flister
20. UnHackMe
21. SEEM v4.x
22. SafetyCheck v1.5.x
23. Avira AntiRootkit
24. HiddenFinder v1.301
25. RkDetector v0.6

其中包括趋势、麦克菲, 熊猫等著名杀毒厂商的反Rootkit工具, 以及国内知名的反rootkit工具Icesword(冰刃),DarkSpy,Rootkit Unhooker,Gmer等
俄罗斯黑客称他们都是 "no best antirootkits"

样本中的Unreal.exe虽然只是一个演示demo, 没有任何危害系统的部分 (只是不断地输出调试信息以证明自己的存在)
但是由于两名俄罗斯黑客同意向有需要的人提供样本的源代码, 因此该技术很容易被恶意软件的制作者利用.

两名俄罗斯黑客称, 虽然该技术理论上可以被检测和清除, 但实际上存在较大的困难. 该技术一旦被恶意利用, 可能很长一段时间内反病毒及反Rootkit厂商或作者都无法做出回击.

样本下载连接:
[url***]http://www.***.rku.xell.ru/?l=e&a=dl[/url]
帖子连接:
http://forum.sysinternals.com/fo ... &PN=1&TPN=1

21日的下午,来自360安全卫士的中国Rootkit研究者MJ0011得到该rootkit的样本, 并很快对该技术进行了彻底分析, 并与美国时间21日16时53分回复相关帖子, 声称自己的私有版本的Anti-Rootkit工具DarkDetector已经可以对使用了该技术的demo或是恶意软件进行检测和清除
并贴出了检测的截屏图, 公布了相关的技术信息,包括了该Rootkit使用的相关技术细节, 以及检测/清除方案

运行rootkit演示版本后, 文件被隐藏

使用DarkDetector, 检测出隐藏的文件 (目前所有反Rootkit工具无法做到,即使直接编辑磁盘的WINHEX也无法检查到该文件)

1.该Rootkit使用了ADS 即NTFS文件流技术对文件进行隐藏, 使很多反Rootkit工具失效

2.该Rootkit同时使用FileSystem Filter技术同ADS技术结合, 互相保护, 导致即使具有ADS检测功能的反Rootkit工具比如Gmer,Rootkit Revealer,Lads,Winhex也无效

3.该Rootkit使用了新型的DKOM, 即Direct Kernel Object Modify (内核模块直接修改) 技术, 不通过任何内核钩子, 对自己的Driver Object进行隐藏, 这种隐藏技术极难被检测出来, 此次放出的新型Rootkit使一些本来能检测DKOM隐藏的反RootKit工具比如DarkSpy,Rootkit Unhooker也都失效了, 可见使用了更高超的DKOM技术

由于此种Rootkit仍需依赖文件, 因此MJ0011提出直接将相关的FileSystem Filter清除或是绕过Filter, 直接读取ADS, 就可以检测出被隐藏的文件, 并清除之, 这样, 重启动后, 该Rootkit将无法继续生效. 据说在其最新的DarkDetector中, 就使用了相关的方法, 以使文件可以被检测出来并进行清除.

"该技术较为稳定, 加上公开代码, 很可能被恶意软件利用,没有成熟的解决方案而只靠一两项简单的技术就想碎这种Rootkit的甲是很困难的. DarkDetector的相关技术在360安全卫士的内核部分360SuperKill中也有用到, 因此对这种使用了高级Rootkit技术的恶意软件, 360安全卫士一样可以轻松对付" , MJ0011如是说.

[ Last edited by Legend on 2007-1-23 at 14:09 ]

作者: Legend 时间: 2007-1-23 14:08
请勿在论坛发病毒样本的下载链接，避免其它网友误点。
下次您可以直接发到virus@micropoint.com.cn我们会具体测试分析，原链接已做屏蔽处理。

作者: 360SuperKill 时间: 2007-1-23 14:09
该病毒样本没有任何危害，并提供了直接卸载功能

作者: shaka47 时间: 2007-1-24 22:28 标题: 俄windows内核专家回复mj0011

这是俄windows内核专家回复mj0011，否定mj0011的研究成果：

EP_X0FF
Senior Member

Joined: 08 March 2006
Location: Russian Federation
Online Status: Offline
Posts: 3708 Posted: 21 January 2007 at 7:40am | IP Logged Some remarks. For mj0011 and others:

RkDetection it is not when you started few forensic tools and searched for known place where hidden object are located. And it is not cleaning FS filters, because this is a very likely will lead to BSOD (for example if you have EFS filters).

So what is the RkDetection?

1. It is when I started RkDetector on different computers, not only mine, and not got stupid BSOD on start.
2. It is when RkDetector can locate rootkits even if it is do not knows where rootkits are located.
3. It is when I do not worry about BSOD's only because somebody wanna cleanup fs-filter queue =))))
4. It is when I can locate these hidden objects not from the ass of the world (command line prompt with mount, unmount commands, forensic tools etc) From Normal GUI application with few pretty buttons (not f**ken labels or comboboxes) where one of them is named "SCAN" or "Scan for rk".

I see Nothing from this here right now, so further discussion have no sense.

作者: 360SuperKill 时间: 2007-1-25 01:33

Quote:

Originally posted by shaka47 at 2007-1-24 22:28:
这是俄windows内核专家回复mj0011，否定mj0011的研究成果：

EP_X0FF
Senior Member

Joined: 08 March 2006
Location: Russian Federation
Online Status: Offline
Posts: 3708 Posted: 21 January 2007 ...

1。DarkDetector的确顺利检测出其隐藏文件并清除之，这是不争的事实。他们也没有说能把我的DarkDetector给BYPASSED了，拜托转文之前先自己用英语或者用翻译机看清楚老外说的是什么

2。此人并非什么专家，作者之一而已

3。俄国佬不厚道，过不了我的检测就说不是“检测”~不算什么本事~

4。EP_X0FF有点技术，可以承认，不过大多是玩花头，根本不敢硬碰硬，你让他隐藏下注册表看看？他保证萎了----------这也就是为什么Unreal不隐藏注册表的原因，当然在目前的结构包括DarkSpy，DarkDetector下隐藏注册表是非常困难的，当然并不是说不可能，我这里就有方案，不过的确很难，不是俄国佬能做到的，呵呵
在除了DarkSpy,DarkDetector，RootkitUnhooker外的其他工具下隐藏个注册表简直太容易了
随便用一下inline hook就会挂掉一大片Anti-Rootkit工具，包括HIPS例如微点等等，呵呵

5.之前CVC也有说过,Rootkit is a kit,是用来“帮助”R3的工具，只有你能真正隐藏起来，并提供“帮助”才算是KIT，被检测出来被清除掉，算什么Rootkit?充其量算一只内核木马而已。在是不是"Detection"上扣字眼是在不算高手所为

[ Last edited by 360SuperKill on 2007-1-25 at 01:45 ]

作者: shaka47 时间: 2007-1-25 02:08 标题: 其实UnReal不难清除...

UnReal并不难清除，只要把服务删除，重启一下，用很多工具都可以看到那个文件流。
清除方法：
开始－运行－CMD
输入SC Delete UnReal
回车。
出现删除成功的提示。
重启。
开始－运行－CMD
输入notepad.exe C:\:unreal.sys
这时记事本打开，里面有一大堆乱码
按Ctrl+A全选，然后按Delete键删除。
按Ctrl+S保存。
UnReal在弹指间灰飞烟灭。

作者: 360SuperKill 时间: 2007-1-25 10:26
他自己说过了，没有隐藏注册表，当然容易删除了，不要以为人家就这点办法而已，我说了，随便inline 一下就能挂掉一大片包括微点之流，呵呵！
当然人家俄罗斯大牛牛不屑于用HOOK：D
相比的微点用十几个驱动去HOOK一大片API，高下立分哦

作者: 360SuperKill 时间: 2007-1-27 16:10
1.很多工具可以检测出ADS，比如gmer,winhex,lads,filereg等，但是由于unreal结合了file system filter，因此这些工具都挂了(filereg自己分析fs,因此也不怕这个），当然真正的anti-rookit工具应该能bypass这些hook,filereg走的是自己分析的路线，icesword走的才是bypass,DarkDetector也是如此。只是Dark的bypass要比is的更深，呵呵

2.自己分析HIVE的确是可以bypass任何的registry hook，但是很简单的说，我不让你访问HIVE，或者让你访问的HIVE是错的，怎么办？除此之外还有1000种方法可以让访问HIVE无效，当然那些都不算真本事，hive以后也会发展到direct modify的地步,呵呵,那样即使你无阻HIVE也不见得就OK
另外，访问HIVE不是说做就做的，完全的undoc,直接访问HIVE是极其危险的。目前很少几个能做到很好的读写hive,俄国佬的Rootkit Unhooker就只能读，哈哈，
cardmagic的darkspy做得就很不错，不过还是危险

3.DarkDetector的目标就是流氓，呵呵，相信它们对付我是没什么办法的。下流的招数我也有手段防.高级的技术更别想过我的 Dark,看看目前技术最强的流氓CNNIC的下场就知道了-----前天晚上顶不住压力，修改了自己的规则包，加了一条规则：“阻止以下驱动加载:大小:8567,包含字符串:MJ0011" ;)

作者: shaka47 时间: 2007-1-28 04:53

Quote:

Originally posted by 360SuperKill at 2007-1-27 16:10:
前天晚上顶不住压力，修改了自己的规则包，加了一条规则：“阻止以下驱动加载:大小:8567,包含字符串:MJ0011" ...

哈哈哈哈~:D

作者: flykey 时间: 2007-2-1 11:27
晕
高手呀，看不懂咯

作者: wujiang6518 时间: 2007-2-1 11:46
看不懂才要学嘛

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn