Руткиты и буткиты. Противодействие современному вредоносному ПО и угрозам следующего поколения.
Copyright © 2019 Alex Matrosov, Eugene Rodionov, and Sergey Bratus
Опубликовано No Starch Press, Inc.
|
Данный документ предоставляется по лицензии Creative Commons Attribution 3.0 License, за исключением разделов со специальными оговорками. |
Первая публикация на английском языке: Май 2019
Library of Congress Control Number: 2018949204
Все права защищены. Никакая часть данной работы не может быть воспроизведена или передана ни коим образом, электронно или механически, включая фотокопирование, запись либо любым информационным сохранением или извлечением без предварительного письменного согласия владельца авторских прав и издателя.
ISBN-13 978-1-59327-716-1
ISBN-10 1-59327-716-4
2020-04-29
- Авторы
- Алекс Матросов
- Евгений Родионов
- Сергей Братус
- Издатель
- Вильям Поллок
- Редактор выпуска
- Лаурель Чан
- Дизайн обложки
- Гарри Буз
- Дизайн внутреннего содержания
- Octopod Studios
- Редакторы разработки
- Лиз Чэдвик
- Вильям Поллок
- Фрэнсис Со
- Технический рецензент
- Родриго Рубира Брэнко
- Литературный редактор
- Рейчел Монаган
- Наборщики
- Кэсси Андредис
- Бритт Боган
- Корректор
- Паула Л. Флеминг
- Составитель индекса
- Эрика Орлофф
Алекс Матросов является ведущим исследователем безопасности в nVidia. Он обладает опытом в более чем два десятка лет относительно реверсивного проектирования, расширенного анализа вредоносного программного обеспечения (ПО), безопасности встраиваемого программного обеспечения и методов эксплуатации. До прихода в nVidia Алекс работал Главным исследователем безопасности в Intel Security Center of Excellence (SeCoE), провёл более шести лет в команде Intel Advanced Threat Research, а также был Старшим исследователем безопасности в ESET. Алекс был автором и соавтором многочисленных исследовательских работ, а также часто выступает на конференциях по безопасности, включая REcon, ZeroNights, Black Hat, DEFCON и тому подобных. Алекс получил награду от Hex-Rays за свой подключаемый модуль HexRaysCodeXplorer с открытым исходным кодом, поддерживаемый командой REhint начиная с 2013 года.
Евгений Родионов, доктор философии, является исследователем безопасности в Intel, работающим в области безопасности BIOSдля платформ клиентов. До этого Родионов работал во внутренних исследовательских проектах и проводил углубленный анализ сложных угроз в ESET. Сфера его интересов включает безопасность встраиваемого ПО, программирование в режиме ядра, технологии противодействия руткитам и реверсивное проектирование. Родионов выступал на конференциях по безопасности, таких как Black Hat, REcon, ZeroNights и CARO, а также являлся соавтором многочисленных исследовательских работ.
Сергей Братус является адьюнкт- профессором исследований на кафедре информатики в Дортмутском колледже. Ранее он работал в BBN Technologies в области исследований обработки естественного языка. Братус интересуется всеми вопросами безопасности Unix, в частности, безопасностью ядра Linux, а также выявлением и вредоностного ПО Linux и реверсивным проектированием.
Родриго Рубира Брэнко (BSDeamon) работает в качестве Главного исследователя безопасности в корпорации Intel, где он возглавляет команду STORM (Strategic Offensive Research and Mitigations, Стратегические наступательные исследования и смягчение последствий). Родриго выявил десятки уязвимостей во множестве важных технологий и опубликовал инновационные исследования в области эксплуатации, реверсивного проектирования и анализа вредоносного ПО. Он является участником RISE Security Group и одим из организаторов Hackers to Hackers Conference (H2HC), старейшей конференции по исследованию безопасности в Латинской Америке.
- Введение
- Часть I: Руткиты
- Глава 1. Что представляет собой руткит: на примере TDL3
- Глава 2. Руткит Festi: наиболее изощрённый бот спама и DDoS
- Пример сети ботов Festi
- Взламывая драйвер этого руткита
- Сведения конфигурации Festi для взаимодействия C&C
- Объектно- ориентированная инфраструктура Festi
- Управление подключаемыми модулями
- Встраивание подключаемых модулей
- Технологии противодействия виртуальным машинам
- Технологии противодействия отладке
- Основной метод сокрытия своего вредоносного драйвера на диске
- Основной метод защиты ключа регистрации самого Festi
- Сетевой протокол взаимодействия Festi
- Обход безопасности и ПО криминалистики
- Алгоритм генерации домена для отказа C&C
- Вредоносная функциональность
- Заключение
- Глава 3. Обзор заражения руткитами
- Часть II: Буткиты
- Глава 4. Эволюция буткитов
- Глава 5. Существенные моменты процесса загрузки операционной системы
- Глава 6. Безопасность процесса запуска
- Глава 7. Технологии заражения буткитом
- Глава 8. Статический анализ буткита с применением IDA Pro
- Глава 9. Динамический анализ буткита: эмуляция и виртуализация
- Глава 10. Развитие технологий заржений MBR и VBR: Olmasco
- Глава 11. Буткиты IPL Bootkits: Rovnix и Carberp
- Глава 12. Gapz: изощрённое заражение VBR
- Глава 13. Возникновение ПО MBR с требованием выкупа
- Глава 14. Сопоставление процессов загрузки UEFI и MBR/ VBR
- Глава 15. Буткиты- ровесники UEFI
- Глава 16. Уязвимости встраиваемого ПО UEFI
- Часть III: Техники защиты и криминалистики
- Глава 17. Как работает Безопасный запуск UEFI
- Что представляет собой Безопасный запуск?
- Подробности реализации Безопасного запуска UEFI
- Атаки на безопасный запуск
- Защита Безопасного запуска через Подтверждённый и выверенный запуск
- Защитник запуска Intel
- Доверенная плата запуска ARM
- Подтверждённый запуска против руткитов встроенного ПО
- Заключение
- Глава 18. Подходы анализа скрытых файловых систем
- Глава 19. Криминалистика BIOS/ UEFI: различные подходы получения и анализа встроенного ПО
- Ограничения наших технлогий криминалистики
- В чём смысл криминалистики встроенного ПО
- Основы овладения встроенным ПО
- Программный подход к овладению встроенным ПО
- Аппаратный подход к овладению встроенным ПО
- Анализ полученного образа встроенного ПО при помощи UEFITool
- Анализ полученного образа встроенного ПО с применением Chipsec
- Заключение
- Указатель