Ring3NTrootkit新思路-网络安全焦点.PDF

Ring3 NT rootkit 新思路 author : baiyuanfan mail : baiyuanfan@163.com August 7, 2005 内容目录： 一、NT rootkit发展的现状 二、ring3 nt rootkit新思路 三、挂钩异步I/O调用实现端口复用 四、在ring3控制iis6的端口 五、隐藏自己：自删除和复活 六、另外一些思路和讨论 附录 一、NT rootkit发展的现状 随着后门攻击与防御技术 的发展，普通的远程管理 提供一个有效穿越 程序式的后门早已不能够 防火墙的通讯手段 隐藏自己的自启动 适应复杂的环境：防火 (如端口复用) 键值或其他手段 墙，安全策略，IDS等。 防火墙限制了程序随意开 放端口或者反弹连接；各 种监测工具列举可疑的进 Rootkit需要做 程文件启动项来发现和杀 到的一些事情 死后门。于是rootkit应运 而生。它们具备自我 隐藏好，能够穿越防火墙 隐藏自己新增的或 隐藏自己的进程 等安全设施的特性。 改写的磁盘文件 一、NT rootkit发展的现状 1. ring3范围： 代表作 黑客守卫者 （Hacker Denfender） 隐藏自己 增的磁盘文件和注册表服务键值使用hook ntdll.dll 中的nativeAPI实现 存在的问题：这个方法对付普通的管理员检查很有效，然而 对于来自内核的检测者直接进行的驱动级别的列举，完全无 能为力，因为后者不通过被hook过的执行路径。 端口复用通过挂接win32 API WSARecv / ReadFile实现 存在的问题：对新的IIS6无效 一、NT rootkit发展的现状 2. ring0范围，目前很少有实用的系统公开，本文内，不讨论 ring0的rootkit技术。不过，基本的是，ring0的rootkit 强大， 复杂，但是面对HIDS的挑战时，ring0的hook的危险级被认为比 ring3更高。 3. 因此我们发现，如何设计稳定有效的端口复用和如何对抗来自 于内核态的anti-rootkit的检查，是目前ring3 nt rootkit急需解决 的重要问题。 二、ring3 nt rootkit新思路 整体思路 1． 通过挂接native API实现同步和异步的端口复用 2． 特别的对不能直接挂接2003的iis6加以处理 3. 用自删除的方法代替以往的文件启动项隐藏技术，“没有”代替 “隐藏”，对抗来自内核的静态检查 4． 多线程协作体系解决部分进程权限不足 5． 自己完成大多数必要的控制任务，不和可能暴露我们自己的其 他后门程序协作 6. 印证我的这些新思路：一个测试中的ring3 nt rootkit： byshell v0.67 beta2 二、ring3 nt rootkit新思路 整体思路模式图 完整rootkit系统 端口复用模块 自删除和复活模块 命令解释模块 挂接网络 截获关机 判断并处理iis6 自删除