DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

ddos防护_云盾ddos监控网站_免费试用

01-12 CC防护

ddos防护_云盾ddos监控网站_免费试用

内核模式恶意软件是最难检测和删除的。在这篇文章中,作者是SANS的网络广播,由SANS分析师Jake Williams和VMRay资深威胁研究员Tamas Boczan介绍了内核模式rootkits的介绍,解释了攻击者使用它们的原因,它们如何绕过Windows中内置的缓解机制,并打破了为什么大多数传统的沙箱技术都不具备检测它们的能力。关于RootkitsJake在讨论开始时简要介绍了内核模式恶意软件及其重要性,概述了微软为"杀死rootkit"所做的努力,以及为什么大多数沙盒无法有效且一致地检测到它们。正如Jake所解释的,"内核模式的恶意软件是我们绝对谈得不够多的东西,现在大多数沙箱都有一个巨大的盲点。"Jake已经学习了这么久,以至于还记得rootkit类的教学和使用直接内核对象操作(DKOM)技术来修改跟踪和覆盖核心操作函数(如进程列表和打开的文件句柄)的结构。至于为什么rootkits一开始就很重要,Jake对此进行了详细的分析,他说rootkits"通过拦截API调用来向调查人员隐藏数据,使他们能够改变我们现有程序的行为,而这对于安全和监控工具来说尤其有问题——毕竟,我们首先要隐藏的是什么呢不是监视工具吗?"Jake接着解释说,在内核模式下拦截信息可能是一把双刃剑,因为尽管它使恶意软件更容易隐藏它们正在做的事情(即隐藏进程),反病毒和端点保护工具也通过"注意这些通知调用"来完成其任务。用一个钩子来统治他们攻击者在内核空间中运行代码的能力尤其强大,因为代码在系统的最高权限级别运行。正如Jake解释的那样,如果用户模式rootkit试图隐藏恶意行为,它需要钩住每个进程,并对每个进程隐藏行为。对于内核模式的rootkit,rootkit只需要安装一个钩子,以便在进程发现恶意行为时得到通知,并轻松地将其隐藏起来。杰克说:"这就是‘力量,无限力量’的来源。与使用大量挂钩相比,只需一个钩子就可以控制所有这些钩子。"微软认识到这种根级漏洞可能给组织带来的后果,这使得从windowsvista和server2008开始加载rootkit变得更加困难,这就要求在加载到64位系统之前对内核模块进行数字签名。为了进一步限制潜在的rootkit漏洞,微软还引入了一种称为内核补丁保护(又称"patch guard")的功能,它大大提高了检测rootkit操作的门槛。虽然这些增强功能表面上使恶意软件作者更难渗透和修改内核,为什么要用高防cdn高防,ddos攻击防御系统代码,但Jake警告说,高防cdn动态,现在宣布内核模式rootkit的死亡还为时过早。"令人惊讶的是,恶意软件作者已经很快适应使用数字签名设备驱动程序中的漏洞来加载其内核模块。"内核模式Rootkits与沙盒在他的演讲的最后一部分,防御cc攻击方法,Jake将介绍所有这些对恶意软件分析师意味着什么,以及他们如何使用沙盒技术在其操作环境中分析内核模式rootkit。正如Jake指出的,大多数恶意软件分析师都会使用沙箱来分类收集的大量恶意软件样本,以过滤出有趣的内容。杰克说,"那么我们应该在什么深度潜水呢?如果你在2020年在现代windows系统上加载了一个内核模块,那么这很有趣,你应该看看。"Jake在这方面发现的一个问题是内核模式rootkits与沙盒的使用。正如Jake解释的那样,大多数沙盒都是基于用户模式挂钩的,因此无法了解内核中发生的事情,并且无法分析rootkit。简言之,Jake总结道:"大多数恶意软件沙箱并不是为了处理内核模式的恶意软件而设计的"。VMRay的监视方法在这个意义上是特殊的,因为它在hypervisor层运行,它从内核模式下监视系统,并且监视Windows内核没有问题。在网络研讨会的后半部分,VMRay的高级威胁研究人员tamasboczan将从技术上更深入地研究内核模式攻击在Windows上的表现,以及研究人员如何借助沙箱更快地分析这些攻击。寻找无限的力量Tamas在网络研讨会的开始部分首先分析了试图访问内核模式的攻击者的动机。"基本上,这意味着内核模式是一种完全访问系统所有资源的模式,如果攻击者设法确保内核模式访问的安全,并设法逃避诸如Jake所描述的那种检测,那么它们基本上就获得了对系统本身的无限权力。"Tamas接着解释说,这种能力用于实现两个目标:第一个目标是将有效负载本身作为驱动程序来实现,以获得较低级别的访问,ddos防御内容,从而使攻击者能够以更简单的方式实现某些功能。第二个也是更常见的目标是将有效负载保持在用户模式下,但使用内核特权将其隐藏起来,使其不受系统用户和端点防御产品的影响。Tamas补充道,rootkit被用来"隐藏进程、文件和注册表项等工件,通过在内核模式下编辑结构,可以完全隐藏在用户模式下。"正在分析ZeroCleare在详细说明了为什么开发驱动程序是一项具有挑战性的工作以及执行恶意驱动程序的困难之后,Tamas使用一些真实的示例详细概述了某些恶意软件是如何实现这一点的。他提供的第一个分析是ZeroCleare,一个磁盘雨刮器恶意软件,在2019年底浮出水面,被用于一系列针对中东公司和组织的有针对性的攻击(你可以阅读一份关于ZeroCleare的完整行为分析,它在1月份发表在VMRay博客上)。雨刮器恶意软件的目标很简单,它的名字暗含着:摧毁磁盘上的数据并导致服务中断。Tamas描述了ZeroCleare如何使用其他开发人员使用的五个快捷方式中的三个。开发人员错误地使用了第三方驱动程序而不是编写自己的驱动程序,通过开源工具绕过了数字签名强制,并将内核模式组件的功能限制在不触发Patchguard的操作上。深入研究ZeroCleare如何使用Turla驱动程序加载器,Tamas解释说"整个内核模式都是在单一特权级别上运行的。这意味着驱动程序中的任何一个漏洞都意味着整个内核模式都是脆弱的。因此,攻击者所要做的就是在任何具有内核权限的驱动程序或任何代码中发现任何漏洞,然后他们就可以获得内核模式的访问权限"。他接着解释说,找到一个可靠的、可移植的未修补漏洞仍然具有挑战性,这就是为什么Turla驱动程序加载程序通过安装易受攻击的驱动程序在内核中引入了自己的漏洞。分析GluptebaTamas接着给出了另一个恶意软件的例子,它使用内核模式rootkits:Glupteba。它包括三个rootkit,用于在用户模式下隐藏恶意软件,这样它就可以在不被发现的情况下传递其恶意负载。与ZeroCleare不同,Glupteba使用五种快捷方式的相反方式。正如Tamas解释的那样,"因此,它没有滥用第三方驱动程序,而是实现了自己的驱动程序,但使这些驱动程序非常简单。它没有绕过数字签名强制,而是关闭了数字签名强制。现在它需要关心Patchguard,因为它是Patchguard保护的经典的老式rootkit。"Tamas接着解释了恶意软件如何通过修改bootloader的开源工具禁用Patchguard。胜利:检测与分析塔马斯在总结他的分析时提供了一些指导,指导如何最好地使用沙盒来检测和分析内核模式攻击,强调在恶意软件有机会安装新驱动程序之前检测到它的重要性,关闭数字签名强制,并且在安装了rootkit之后不要信任任何东西。"因此,如果我们成功地检测到某个时间点安装了rootkit,那么在该时间之后由用户模式生成的任何数据都是无用的,因为它是由攻击者控制的……当然,如果我们分析的是驱动程序,那么从hypervisor进行分析就更容易了。"要了解关于内核模式恶意软件的更多信息,请查看完整的网络广播:"Power!无限的力量!"了解内核模式代码的技术"关于VMRay实验室团队VMRay研究团队提供关于恶意软件分析、事件响应和威胁情报的深入技术内容。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61135.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8150437访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X