RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Wednesday, November 5. 2008

Prawie schowany rootkit

Ostatnio w ramach zabijania długich wieczorów postanowiłem przyjrzeć się jakiemuś malware. Tym razem wybór padł na coś z rodziny Trojan:Win32/Alureon. Jest to (przynajmniej częściowo) rootkit, który dla przedłużenia swojej bytności w systemie, ukrywa się. Jeśli zrobi to dobrze, nie będzie widać podejrzanych procesów, plików, kluczy w rejestrze, tak więc ofiara może nie zauważyć gościa w systemie.

Sprawdzając system po infekcji w sposób wcześniej opisywany rzeczywiście nie znalazłem nowych (podejrzanych) plików. Okazało się natomiast, że w rejestrze jednak coś zostało. Pojawił się klucz HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS\0000, a w nim pojawiły się wpisy: Service: TDSSserv.sys Legacy: 1 ConfigFlags: 0 Class: LegacyDriver ClassGUID: {8ECC055D-047F-11D1-A537-0000F8753ED1} DeviceDesc: TDSSserv.sys Pliku TDSSserv.sys oczywiście nie ma co szukać (zarówno po całej nazwie, jak i po fragmentach, poza tym akurat ten klucz nie koniecznie zawiera nazwę pliku), gdyż się maskuje. W takim wypadku można wygenerować listę plików bez korzystania z API systemu operacyjnego. Tutaj pomocny może być Sleuthkit, a konkretnie ils. Po przerobieniu wyników na format CSV, w okolicach czasowych, gdy wspomniany klucz został utworzony, można odnaleźć utworzone/zmodyfikowane pliki o nazwach:

  • TDSSoiqh.dll,
  • TDSSpqxt.sys,
  • TDSS3b0c.tmp,
  • TDSS3b16.tmp,

Wszystkie one zaczynają się od TDSS, szukając więc tej frazy, znajduje się jeszcze coś w rezultacie handle:

244: File (R--) C:\WINDOWS\system32\TDSSoiqh.dll 
318: File (---) \Device\NamedPipe\TDSScmd 
31C: File (R--) C:\WINDOWS\system32\drivers\TDSSpqxt.sys

Całkiem spory punkt zaczepienia do dalszej ewentualnej analizy.

Ślady
Obcych procesów nie musi być
Lista procesów aktywnych w systemie jest jednym z podstawowych źródeł informacji o tym, czy przypadkiem nie działa jakiś "wrogi kod". Problem w tym, że ów wrogi kod wcale na liście procesów pojawić się nie musi, co jednak wcale nie musi być równoznaczne z
Weblog: Wampiryczny blog
Przesłany: Jun 06, 20:22
Komentarze
A toolsy typu Gmer czy Blacklight go nie łapią?
#1 kravietz (Strona) o 2008-11-05 09:18 (Odpowiedz)
Szczerze mówiąc - nie wiem. Cała moja zabawa polega na szukaniu śladów bez korzystania z tego typu narzędzi. No, w każdym razie staram się korzystać z narzędzi, które w stopniu minimalnym modyfikują stan badanego systemu. Próbowałem użyć na tym RootkitRevealer i o ile w rejestrze znajdował on ukryte klucze, o tyle w przypadku systemu plików był bezradny (malware go blokował).

Gmer jest fajnym (jeśli chodzi o możliwości) narzędziem, ale "brudzi" badany system. Wolałbym, gdyby nie pchał się do %systemroot%. Zresztą nie tylko on ma takie problemy, również RootkitRevealer zostawia po sobie ciekawy ślad w systemie (o tym może napiszę), także narzędzia do zrzucania pamięci (win32dd: http://win32dd.msuiche.net/) tchórzliwie odmawia zapisania zrzutu bezpośrednio na "udostępniony folder" w VirtualPC.

Tu: http://www.offensivecomputing.net/?q=node/945 jest informacja, że z RootkitRevealer i BlackLight ten rootkit sobie radzi, Gmer natomiast daje sobie radę.
#1.1 wampir o 2008-11-05 09:43 (Odpowiedz)
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023
Rajesh Penetrator
Saturday, 2 September 2023
random(random())
Tuesday, 1 August 2023

Losowe wpisy

Internet Explorer 8
Thursday, 19 March 2009
fwknop - ciekawostka
Saturday, 28 March 2015
Ruiny zamku Tenczyn
Sunday, 11 June 2006
To jak z tą kontrolą dostępu do funkcji?
Tuesday, 4 May 2010
InfoSec Kraków
Friday, 7 March 2014
Szybciej...
Friday, 14 February 2014
Trzy Korony
Saturday, 24 May 2008
Proszę pokazać mi moją zgodę... IV
Friday, 27 March 2009
Satelity - do czego mogą się przydać
Thursday, 23 April 2009
I'm old
Friday, 6 September 2013