👨🏻‍💻 💳 🚴🏾 TDL4 रूटकिट विकास या हाल के महीनों की फ़ील्ड रिपोर्ट 🤶 🔞 🎃

हम लंबे समय से टीडीएल 4 की निगरानी कर रहे हैं, साथ ही साथ इस रूटकिट परिवार पर आधारित बॉटनेट भी। लेकिन हाल ही में Win64 / Olmarik स्थापित करने के लिए उपयोग किए गए x64 सिस्टम के लिए अहस्ताक्षरित ड्राइवरों को डाउनलोड करने के तरीकों को अवरुद्ध करने के लिए Microsoft से सुधार की रिहाई देखना विशेष रूप से दिलचस्प है।

चलो दूर से शुरू करते हैं, इसलिए अप्रैल के दिन एक्स, बाकी सभी के अलावा, KB2506014 पैच जारी किया गया था , जिसका कार्य ओएस के x64 संस्करणों के लिए winloader.exe मॉड्यूल में कई बदलाव करना था और इस तरह अहस्ताक्षरित ड्राइवरों को डाउनलोड करने से रोकना था। पैच स्थापित करने से पहले, बीसीडी (बूट कॉन्फ़िगरेशन डेटा) में तीन अलग-अलग बूट विकल्प होते हैं:

BcdLibraryBoolean_DisableIntegrityCheck - बल की जांच बंद करें (सबसे अधिक बार डिबगिंग उद्देश्यों के लिए उपयोग किया जाता है);
BcdOSLoaderBoolean_WinPEMode - OS स्थापना या पुनर्प्राप्ति मोड में बंद
BcdLibraryBoolean_AllowPrereleaseSignatures - एक परीक्षण डिजिटल हस्ताक्षर के साथ लोडिंग मॉड्यूल की अनुमति दें

पैच स्थापित करने के बाद, केवल दो विकल्प रहते हैं - BcdLibraryBoolean_DisableIntegrityCheck और BcdLibraryBoolean_AllowPrereleaseSignatures , और BcdOSLoaderBirean_WinPEMode का उपयोग अब ड्राइवर अखंडता जाँच नीतियों के कॉन्फ़िगरेशन में नहीं किया जाता है। Winloader.exe का एक विशेष कार्य है, BlImgQueryCodeIntegrityBootOptions , जो मान नीति को परिभाषित करने वाला मान लौटाता है।

नीचे दिया गया चित्र पैच के बाद BlImgQueryCodeIntegrityBootOptions प्रक्रिया दिखाता है:

जैसा कि हम देख सकते हैं, BcdOSLoaderBoolean_WinPEMode विकल्प का उपयोग नहीं किया जाता है, और TDL4 में उपयोग की जाने वाली लोडिंग विधि ने तब काम करना बंद कर दिया है (इसके कार्य के बारे में हमारी शोध रिपोर्ट "TDL का विकास: X64 जीतना" ) में पाया जा सकता है।

हालाँकि, हाल ही में TDL4 बूटकिट का एक नया संस्करण जारी किया गया है, जो इस फिक्स को भी दरकिनार कर देता है - इसमें ldr16 घटक को बदल दिया गया, जिसने TDL4 को x64-bit सिस्टम को संक्रमित करने की क्षमता हासिल करने की अनुमति दी। इसके अलावा, स्टोरेज डिवाइस मिनिपोर्ट ड्राइवर ऑब्जेक्ट से संबंधित निम्न-स्तरीय कर्नेल-मोड ईवेंट हैंडलर में सुधार करके डिटेक्शन और डिलीशन के खिलाफ मैलवेयर सुरक्षा में सुधार किया गया है।

Microsoft से अंतिम निर्धारण के बाद, WinPE मोड में डिजिटल कोड साइनिंग को सत्यापित करने की नीति को बायपास करना असंभव हो गया। TDL4 के रचनाकारों को 64-बिट ओएस के संक्रमण की रणनीति को बदलना पड़ा। यह विचार समान है: संक्रमित ओएस की थोड़ी गहराई के आधार पर kdcom.dll लाइब्रेरी में ld32 या ldr64 घटकों को बदलें। WinPE मोड पर स्विच करने के बजाय, नया TDL4 संस्करण I_CheckImageHashInCatalog प्रक्रिया को ठीक करता है। इस प्रक्रिया का उपयोग करते हुए, winload.exe द्वारा लोड किए गए मॉड्यूल की अखंडता की जांच की जाती है ।

सामान्य परिस्थितियों में, जब I_CheckImageHashInCatalog प्रक्रिया मॉड्यूल की अखंडता को सत्यापित करने में विफल रहती है, तो यह 0xC0000428 (STATUS_INVALID_IMAGE_HASH) देता है , जो सिस्टम को बूट करने से रोकता है। TDL4 बूटकिट 0x0000C428 के परिणामस्वरूप परिवर्तन करता है जो 0xC0000428 के बजाय वापस किया जा रहा है । नया मान एक त्रुटि कोड नहीं है (कर्नेल मोड में, सबसे महत्वपूर्ण त्रुटि कोड बिट आमतौर पर 1 पर सेट होता है)। इस प्रकार, ओएस kdcom.dll लाइब्रेरी के लिए एक प्रतिस्थापन का पता नहीं लगाता है।

निम्न चित्र में winload.exe मक्खी पर ldr16 घटक को ठीक करने वाला कोड दिखाया गया है:

हालाँकि, यह नया तंत्र, जैसा कि यह निकला, काफी हद तक काम नहीं करता है। कुछ प्रणालियों पर, ओएस परिवर्तनों का पता लगा सकता है और स्टार्टअप पुनर्प्राप्ति शुरू कर सकता है, जैसा कि निम्नलिखित स्क्रीनशॉट में दिखाया गया है।

एक मजबूर रिबूट के बाद, सिस्टम पूरी तरह से अपरिहार्य हो जाता है।
स्टोरेज डिवाइस मिनीपोर्ट ड्राइवर ऑब्जेक्ट से संबंधित नए TDL4 वर्जन के निम्न-स्तरीय कर्नेल-मोड ईवेंट हैंडलर की दूसरी वृद्धि। मालवेयर के पिछले संस्करणों ने स्टोरेज डिवाइस स्टैक में सबसे निचले स्तर की डिवाइस ऑब्जेक्ट से संबंधित ड्राइवर ऑब्जेक्ट को कैप्चर किया, जैसा कि निम्नलिखित डायपर में दिखाया गया है:

इस स्थिति में, आप मिनिपोर्ट डिवाइस ऑब्जेक्ट (हार्ड ड्राइव पीडीओ, हार्ड डिस्क का पीडीओ ऑब्जेक्ट) को जल्दी से एक्सेस कर सकते हैं और फिर हार्ड डिस्क के मिनिपोर्ट ड्राइवर के "वास्तविक" ऑब्जेक्ट को पॉइंटर प्राप्त करने के लिए आसन्न डिवाइस ऑब्जेक्ट्स की सूची के माध्यम से जा सकते हैं। TDL4 के नए संस्करण में, हार्ड डिस्क के मिनिपोर्ट ड्राइवर की वस्तु को अधिक परिष्कृत तरीके से मास्क किया गया है:

इस स्थिति में, स्टोरेज स्टैक में सबसे निचले स्तर की डिवाइस ऑब्जेक्ट हार्ड डिस्क के अनुरूप पीडीओ नहीं रह गया है। इस तरह के बदलाव के बाद, इस मैलवेयर का पता लगाना और निकालना बहुत मुश्किल हो जाता है। ESET एंटीवायरस उत्पाद Win32 / Olmarik.AMN के रूप में नवीनतम TDL4 ड्रॉपर का पता लगाते हैं, और सभी उपचार प्रक्रियाएं सही ढंग से काम करती हैं।

पिछली पीढ़ी के TDL3 में, पहले से ही एक समान मामला था जब MS के एक अपडेट ने संक्रमित सिस्टम को नीली स्क्रीन में गिरा दिया था।

TDL4 रूटकिट विकास या हाल के महीनों की फ़ील्ड रिपोर्ट

More articles: