〔转贴www.cnbeta.com〕360safe 发现俄罗斯新型rootkit隐藏技术

  最新消息, 两名俄罗斯黑客EP_XOFF和MP_ART于美国时间19日上午7时45公布了他们的新型Rootkit技术, 命名为"Unreal", 目前所有的Rootkit检测工具均对其无效, 中国RootKit研究者MJ0011在16时53分公布了对这种恶意软件的检测和清除技术.


美国时间19日上午7时45分 在Windows Sysinternals论坛的Malware (恶意软件) 版块上, 两名俄罗斯黑客发布了如下帖子:"New technology of rootkits: Unreal", 其中说明了他们最新发现的Unreal Rootkit技术, 并给出了一个样本. 声称该技术可以做到无进程, 隐藏文件和驱动, 无注册表隐藏, 包括俄罗斯, 中国, 美国, 波兰等多个国家的安全组织、杀毒软件厂商的25种权威反RootKit工具全都在这个新的RootKit技术前失效.



已被验证的失效反RootKit工具有:



1. Rootkit Unhooker v3.01
2. Rootkit Revealer v1.71
3. F-Secure Blacklight
4. DarkSpy v1.05
5. DarkSpy v1.05fixedbeta2
6. IceSword v1.20
7. GMER v1.012
8. Helios v1.1a
9. SVV v2.3
10. McAfee Rootkit Detective
11. Sophos AntiRootkit
12. TrendMicro RootkitBuster
13. AVG AntiRootkit
14. AVZ v4.23 ARK Module
15. BitDefender Rootkit Uncover
16. Panda AntiRootkit
17. Panda Tycan
18. modGreeper v0.3
19. flister
20. UnHackMe
21. SEEM v4.x
22. SafetyCheck v1.5.x
23. Avira AntiRootkit
24. HiddenFinder v1.301
25. RkDetector v0.6



其中包括趋势、麦克菲, 熊猫等著名杀毒厂商的反Rootkit工具, 以及国内知名的反rootkit工具Icesword(冰刃),DarkSpy,Rootkit Unhooker,Gmer等
俄罗斯黑客称他们都是 "no best antirootkits"



样本中的Unreal.exe虽然只是一个演示demo, 没有任何危害系统的部分 (只是不断地输出调试信息以证明自己的存在)
但是由于两名俄罗斯黑客同意向有需要的人提供样本的源代码, 因此该技术很容易被恶意软件的制作者利用.



两名俄罗斯黑客称, 虽然该技术理论上可以被检测和清除, 但实际上存在较大的困难. 该技术一旦被恶意利用, 可能很长一段时间内反病毒及反Rootkit厂商或作者都无法做出回击.



样本下载连接:
http://www.rku.xell.ru/?l=e&a=dl
帖子连接:
http://forum.sysinternals.com/forum_posts.asp?TID=9630&PN=1&TPN=1



21日的下午,来自360安全卫士的中国Rootkit研究者MJ0011得到该rootkit的样本, 并很快对该技术进行了彻底分析, 并与美国时间21日16时53分回复相关帖子, 声称自己的私有版本的Anti-Rootkit工具DarkDetector已经可以对使用了该技术的demo或是恶意软件进行检测和清除
并贴出了检测的截屏图, 公布了相关的技术信息,包括了该Rootkit使用的相关技术细节, 以及检测/清除方案


运行rootkit演示版本后, 文件被隐藏


使用DarkDetector, 检测出隐藏的文件 (目前所有反Rootkit工具无法做到,即使直接编辑磁盘的WINHEX也无法检查到该文件)


1.该Rootkit使用了ADS 即NTFS文件流技术对文件进行隐藏, 使很多反Rootkit工具失效



2.该Rootkit同时使用FileSystem Filter技术同ADS技术结合, 互相保护, 导致即使具有ADS检测功能的反Rootkit工具比如Gmer,Rootkit Revealer,Lads,Winhex也无效



3.该Rootkit使用了新型的DKOM, 即Direct Kernel Object Modify (内核模块直接修改) 技术, 不通过任何内核钩子, 对自己的Driver Object进行隐藏, 这种隐藏技术极难被检测出来, 此次放出的新型Rootkit使一些本来能检测DKOM隐藏的反RootKit工具比如DarkSpy,Rootkit Unhooker也都失效了, 可见使用了更高超的DKOM技术



由于此种Rootkit仍需依赖文件, 因此MJ0011提出直接将相关的FileSystem Filter清除或是绕过Filter, 直接读取ADS, 就可以检测出被隐藏的文件, 并清除之, 这样, 重启动后, 该Rootkit将无法继续生效. 据说在其最新的DarkDetector中, 就使用了相关的方法, 以使文件可以被检测出来并进行清除.



 "该技术较为稳定, 加上公开代码, 很可能被恶意软件利用,没有成熟的解决方案而只靠一两项简单的技术就想碎这种Rootkit的甲是很困难的. DarkDetector的相关技术在360安全卫士的内核部分360SuperKill中也有用到, 因此对这种使用了高级Rootkit技术的恶意软件, 360安全卫士一样可以轻松对付"  , MJ0011如是说.

看看先，谢谢

看看先，谢谢分享

晕，死老v，只是个根目录的MFT嘛

又是讨厌的binary文件

直接向设备发irp的方法磁盘，可以看到rootkit的流（见图），看来俄罗斯的牛人还没有真正做到磁盘级的Rootkit，这个工具我也发了，作者也是个mm：），不过比较漂亮温柔哦（想认识的可以问我要QQ：P）！
驱动很简单，通过文件路径获取驱动DriveObj，再自己创建Irp向这个DriveObj发包，找到流后就是清除这个流了，如果熟悉Fs，应该是很容易的事情了。

某XX装傻工夫一流

引用第33楼wangjianfeng于2007-03-07 14:55发表的“”:
MJMM说话真尖刻,哈哈,果然是女性特征.

mm？
这人有点莫名哦，还好是个mm，3 8节日到了，祝驱J 驱m们节日快乐

MJMM说话真尖刻,哈哈,果然是女性特征.

楼上的什么意思啊？ 说句360抄作这么来劲，什么菜鸟不菜鸟的啊？
winhex找不到？莫非做了磁盘级的hook？
下个来看看

winhex能找到？你自己看看就知道了，再看看那个Unreal.B,呵呵，象某个搞了7年安全开发的菜鸟估计是想破头也搞不定了
某些搞了几年开发却还是什么都不懂在一个垃圾公司混的菜鸟，实在让人恶呀

so old
无非是NTFS流(2000年就有29A牛人写过流的概念病毒) + 传统驱动保护
winhex是完全可以找到的, 因为流只是放在正常文件中的一部分而已, 正常文件一般有至少一个noname $DATA, 而这个带流的文件就多了一个name $DATA, 而这个$DATA name就是这个流名, 不写了, 免得有人说科普:)
对付这种东东其实很简单, 倒是那些喜欢抄作的人让人恶

引用第28楼imaoge于2007-02-15 05:21发表的“”:
再仔细看了一下NTFS的盘，原来相类似的用法也有啊，如
.:$TXF_DATA
这只是对微软的技术加以变化而已啊，或许可以保证，这种隐藏文件的技术早已经有了。

ADS早有了，不过是FileSystemFilter+ADS而已

再仔细看了一下NTFS的盘，原来相类似的用法也有啊，如
.:$TXF_DATA
这只是对微软的技术加以变化而已啊，或许可以保证，这种隐藏文件的技术早已经有了。

卸载之后能用WinHex看见根目录下的
.:unreal.sys
看后面的属性是(ADS)
即是Alternate Data Streams
微软：How To Use NTFS Alternate Data Streams
http://support.microsoft.com/kb/105763
而注册表的启动路径原来是这个样子啊
\??\C:\:unreal.sys
 

引用第25楼wingsoft于2007-01-29 01:11发表的“”:

360就爱这么搞，没办法，人品烂到家了

流氓也来掺一脚呀

引用第20楼xtmzl于2007-01-26 10:07发表的“”:
越来越恶心了啊。
想出名也不能这样搞。
炒作比较厉害。

360就爱这么搞，没办法，人品烂到家了

系统没有问题，如果不运行unreal,即是说如果彻底清除掉unreal，那么运行darkspy是没有问题的。蓝屏得很厉害啊

引用第22楼wowocock于2007-01-27 11:38发表的“”:

看来你中毒很深了,嘿嘿....
我测试了下,没问题,DARKSPY本来就不检测STREAM的东西,虽然一直想加入这个功能,可总静不下心来,郁闷......

但是stream被那个俄罗斯人吹得像朵花似的，哈哈。这么卖力的吹，莫非它们有商业目的？

引用第21楼imaoge于2007-01-27 10:55发表的“”:
运行unreal后，darkspy都不能运行，否则就蓝屏，is倒还可以 。

看来你中毒很深了,嘿嘿....
我测试了下,没问题,DARKSPY本来就不检测STREAM的东西,虽然一直想加入这个功能,可总静不下心来,郁闷......