3 replies to this topic

[Txon]

« News » de présentation du sujet -> Rootkit Unhooker 3.8

Rootkit Unhooker 3.8 ... C'est le Passé, le Présent et le Futur de la détection des rootkits Ntx86.

Traduction libre et partielle de la présentation faite par « DiabloNova » sur rootkit.com

« Il fallait d'abord répondre à l'existence ou la révélation récente de nouvelles techniques de rootkit implémentées par exemple dans "Rustock.C".

Longtemps, Kaspersky Labs a nié son existence . Après sa découverte par son rival DrWeb, il a bien entendu entamé une campagne médiocre, stupide, impuissante contre tous ceux qui ne s'alignaient pas sur sa passive position « proactive ». Il est connu que de nombreux crochets effectués par Rustock.C protègent ce rootkit contre sa détection et son éradication par les logiciels antivirus. Nous ne voulons plus parler de "Rustock" car c'est un thème évidemment mort. Trop d'argent des antivirus est en jeu et trop de merdes ont déjà été dites.

Il va de soi que nous ne pouvons pas faire un copier/coller de toutes les méthodes de détection des rootkits depuis la version VX de RkU vers la LE. Aussi, nous avons développé une nouvelle variante de détection basée sur la mise en évidence et la suppression des crochetages effectués par les rootkits.

La nouvelle version 3.8 LE ne détecte pas tous ces crochetages car il nous aurait fallu faire un trop important copier/coller du code de la version VX, ce que nous ne voulons pas du tout. Notre nouvelle cible est le "bootkit". Oui, c'est un assez ancien rootkit, déjà très connu, mais nous avons voulu ajouter quelque chose à sa détection, pas seulement un copier/coller comme le font certains antivirus ou ARKs (BlackLight, GMER (aswar) par exemple). L'idée pour détecter un "bootkit" n'est pas nouvelle, c'est un contrôle croisé des principaux secteurs de l'enregistrement de démarrage (généralement le 0) pour trouver les inadéquations entre deux scans différents. Le premier est effectué en « High Level API » et l'autre en lisant le disque à bas niveau. La plupart des ARKs utilisent pour ceci le "handler" original « ClassReadWrite » situé dans « classpnp.sys ». Nous trouvions cette méthode bonne mais elle n'est pas sûre car il existe plusieurs moyens de la contourner. Nous avons décidé de faire une petite expérience, et, comme nous ne pouvions rien utiliser des anciennes versions VX, nous avons décidé de créer une nouvelle méthode de détection. Nous avons choisi le « SCSI », actuellement le « SCSI_REQUEST_BLOCK ». Il est très bien documenté, mais pas très simple et pas très indépendant du matériel. Cependant, il fonctionne, tout au moins dans nos tests. L'éradication des "bootkits" aussi est basée sur la même méthode. Nous doutons de l'avenir des "bootkits" car ce qu'il faut chercher et où le trouver est bien connu et il importe peu que le "bootkit" change ou non la séquence de démarrage du BIOS.

Puis, nous avons vraiment commencé l'attaque des rootkits avec des méthodes ARK. Oui, ce genre de bébête existe et il y a de nouveaux flux dans le développement des rootkits. Parce qu'ils semblent incapables de contourner les ARKs, les concepteurs/codeurs de rootkits malveillants, dans leur manque total de professionnalisme et leur amour pour l'argent facile, ont commencé à attaquer les ARKs avec leurs produits merdiques. Ex : des filtres "FSD" qui empêchent les opérations "raw disk" des ARKs avec des crochets qui n'ont de sens que pour faire obstacle à leur bon fonctionnement. Dernièrement, nous avons vu les dangereuses méthodes d'un rootkit nommé « Siberia2 » qui endommage la « Object Directory » pour prévenir la détection des ARKS. Le côté amusant de ce rootkit est qu'il n'a rien d'intéressant à part sa défense agressive. D'autre rootkits disposant de cette technique viendront rapidement, nous n'en doutons pas.

Ensuite, il était nécessaire d'apporter une réponse à plusieurs nouveaux "POC" intéressants de l'année dernière. Cependant nous n'avons trouvé rien de remarquable (comme le « raw filtering ») dans plusieurs d'entre eux. Il n'y a pas eu de bonne réalisation pour le camouflage des secteurs du disque, seulement des générations de "BSoD" comme concept de mort. Il est très probable que ce type de technologie existe ailleurs puisque nous avons les mêmes pour des rootkits privés, de démonstration, non malicieux. Par conséquent, nous ne pouvons et ne voulons pas lutter avec des ombres dépourvues de sens.

Nous avons trouvé un moyen simple et efficace pour détecter les "processus" cachés dans les systèmes Windows 2003/Vista/2008. Rien de vraiment nouveau puisque Klister (ndlr : de Johanna Rutkowska) fournit depuis longtemps une analyse des « scheduler lists ». Mais depuis la version 2003, et le nouveau cœur de NT, aucun détecteur de rootkit avec les fonctionnalités de Klister n'a été développé. Le « scheduler » a été changé avec 2003 et il est appliqué à Vista et 2008.

Les « scheduler lists » sont maintenant accessibles depuis la « Processor Control Region » (KPCR) où le « scheduler » les traite à travers les zones spéciales des structures « PCRB » (Process Control Block) des processeurs.

Nous continuons le développement des deux versions LE et VX car, même si les sources de VX ont été vendues l'année dernière, les droits sur ce code nous appartiennent toujours. De nouvelles techniques seront implantées pour améliorer leur facilité d'utilisation, leur stabilité et leurs méthodes de détection/éradication. »




Les mots entre " " ont une explication dans le lexique du Windows furtif.

.../...

[Txon]

...\...

Caractéristiques de RkU 3.8 LE

YOU USE THIS SOFTWARE AT YOUR OWN RISK.
REMOVE ALL PREVIOUS LE VERSIONS BEFORE USING THAT VERSION!

[1] Installation ...
Pensez à désinstaller complètement toute ancienne version de RkU.
Rien de nouveau. Le processus porte toujours un nom aléatoire.

[2] Nouvelle option dans les paramètres [ Setup ] - [ Settings]
[ Main Boot Record Verification ] Vérification du MBR.

''MBR'' (Master Boot Record), enregistrement dans le premier secteur du disque de démarrage (secteur d'amorce). Il comprend une ''routine'' et les informations sur la table des partitions. Il est lu et exécuté par le BIOS au début de la mise en route de l'ordinateur et a pour fonction d'établir le lien avec la table de partition active. Les attaques portées sur la MBR sont connues depuis les virus sous DOS. Sa détérioration peut entraîner de graves dysfonctionnements comme l'impossibilité de lancer le système d'exploitation ... Tous les systèmes dérivés de Windows NT, y compris Vista, permettent la modification du MBR, même en ''mode utilisateur'' ...
Les rootkits de ce type se lancent en mémoire avant le système d'exploitation et les logiciels de protection connus qu'ils peuvent éventuellement empêcher de démarrer. Ils sont donc théoriquement plus difficiles à détecter et éradiquer.

[ ] Check MBR for mismatches at program start (SCSI level) – Case à cocher pour le contrôle d'erreurs dans le MBR au démarrage de RkU (niveau SCSI).

[3] Nouveau ''driver'' : « sybex38.sys » et ''thread''

Dans les anciennes versions, les ''drivers'' ont été « rkhdrv40.sys » et, avant, « rkhdrv31.sys ».
En plus du ''driver'' sybex38.sys, Rku 3.8 utilise un ''thread'' au nom aléatoire, considéré comme un « service » indépendant pour le scan de recherche des fichiers cachés.


[4] Autres vues par IceSword ...
Aucun crochetage visible dans la SSDT et aucune clé de lancement dans le Registre.

...

[5] Autorisations ...
Il est évident que le module logiciel principal au nom aléatoire et le driver doivent être autorisés par vos logiciels de défense.

...

Si un logiciel bloque quand même le ''thread'' cité ci-dessus, autorisez-le aussi ou désactivez momentanément le logiciel en question (exemple Spyware Terminator pour le scan à la recherche de fichiers douteux).

.../...

[Txon]

...\...

[5] Téléchargement ...
La version 3.8.341.553 de RkU LE est disponible sur Rapidshare ... http://rapidshare.co...41.553.rar.html
MD5 ... ea7b1e93a7d8d68985901fd3bef68efa *RkU3.8.341.553.exe
Veuillez signaler toute indisponibilité sur ce serveur pour que nous mettions le fichier à disposition sur Infomars.


[6] Détection des rootkits Rustock.C et phide ...

...

[7] Notes ...
... a ... RkU 3.8 LE fonctionne sans problème apparent au sein de VirtualBox et de Virtual PC 2007.
... b ... Précisions sur les actions de RkU 3.8

"Kill" utilise des techniques standards pour mettre fin à la vie d'un processus. "Force Kill" efface le processus en mémoire virtuelle (ce qui le neutralise totalement). "Force Kill + File Erase" fait la même chose que le précédent, et, en plus, efface le fichier du disque.
"Wipe File + Force Kill" effectue un "Force Kill" et accède au fichier à bas niveau ("raw") pour le remplir avec des zéros.

Pour toutes les fonctions de Rootkit Unhooker,
veuillez consulter le dossier de RkU 3.7
-> ICI <-

Pour nous faire part de vos commentaires
(critiques, corrections d'erreurs, demandes de renseignements complémentaires, suggestions ... ),
veuillez cliquer ...
-> ICI <-

Agur !

[Txon]

Hi !!!

RkU 3.8.342.554
21 septembre 2008

Cette nouvelle version amène essentiellement deux améliorations :

• [ Do not scan Processes in the User Mode (increases speed) ]
  Possibilité de ne pas scanner les processus qui fonctionnent en "mode utilisateur" (user mode pour gagner du temps en ne se consacrant qu'au "mode noyau" (kernel mode)
• [ List whole IDT ]
  La mise en option du scan de l'ensemble de la "IDT" qui, par ailleurs, a été « légèrement amélioré ».

Essai réalisé avec Windows XP SP3 sans autre logiciel de protection que Avira Antivir, mais en présence de IceSword. Pas d'incompatibilié.

...

L'exemple ci-dessus montre des crochetages dans lesquels sont impliqués en particulier ntoskrnl.exe et hal.dll qui sont lancés par le NTLDR (NT Loader) situé dans la partition amorçable active. Voir -> Les processus de démarrage de Windows XP et -> Comment faire pour déterminer la couche d'abstraction matérielle (HAL) qui est utilisée dans Windows XP

Téléchargement
ICI

@+