SHARE
TWEET

Untitled

a guest Feb 14th, 2013 3,156 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. Представляем Вам ранее анонсированный тут продукт.
  2. В связи с работой на другими проектами мы перенесли дату публичного релиза с мая 2012го на февраль 2013го.
  3. Теперь ядерный руткит АВАТАР доступен для аренды.
  4.  
  5. Некоторые технические данные:
  6.  
  7. - Использованы технологии:
  8. ..........* эксплоиты повышения привилегий до ring0 (не паблик)
  9. ..........* методы обхода UAC от висты до W8, 0-day
  10. ..........* метод загрузки драйвера из памяти(минуя HD), 0-day
  11. ..........* DKOM в ядре и ядерных компонентах OS
  12. ..........* заражение бут драйверов OS
  13. ..........* динамическая подмена минипорт-драйвера жесткого диска
  14. ..........* сокрытие/подмена данных на диске на уровне подмены секторов
  15. ..........* ядерный инжект в процессы, система "аватаров"
  16. ..........* полиморфный протокол обмена бот-сервер
  17. ..........* отсутствие привязки к C&C
  18. - Полезная нагрузка: драйвера, плагины командного центра, независимые пользовательские модули
  19. - Способ управления: гибридный (C&C и/или "особый метод")
  20. - Размер ехе(не уп.): 120 Кб
  21. - Написан на: C/C++/ASM
  22. - Количество строк написанного исходного кода: 327416
  23. - Поддерживаемые архитектуры процессоров: x86
  24. - Поддерживаемые OS: Вся линейка Windows начиная от Windows XP и до Windows 8
  25. - Не обнаруживается антируткитами: GMER, RKU
  26. - Не обнаруживается фаерволами: KIS12, COMODO CIS 2013, McAfee Internet Security 2013, Norton Internet Security 2013 и др.
  27.  
  28. Аннотация:
  29.  
  30. В данный момент на ботнет-сцене сложилась ситуация, когда усилия по поддержанию постоянно падающей численности ботнета во многих случаях приближаются к красной границе рентабельности как по средствам так и по временным затратам. Мы хорошо помним те старые, добрые времена когда ботнеты жили долго и росли быстро. Желание построить бота полностью отвечающего современным требованиям и стало стимулом к созданию АВАТАР.
  31.  
  32. Наш руткит предназначен для создания многомиллионных "неумирающих" ботнетов и не требующих постоянных чисток как самого себя так и пользовательских модулей. Система АВАТАР это параллельный мир в среде Windows. Пользовательские модули и плагины используют так называемые "аватары" для работы. Программная пользовательская оболочка под одноименным названием "Аватар" представляет собой виртуальное пространство в котором "живет" ваш процесс. Изготовление аватаров происходит в ядре по уникальной технологии, позволяющей не только незаметно и безопасно "гулять" по процессам но и назначать этим процессам любые права. Это особенно полезно для тех кто пишет инструменты для работы в приложениях, которые чаще всего имеют низкие права даже если учетка находится в группе админов.
  33.  
  34. АВАТАР полностью пенетрирован в систему и является ее неотъемлемой частью. Универсальный анализатор ядерного кода позволил построить руткит не на банальных хуках а на нэйтив коде, т.е. коде живущем глубоко внутри системы. В результате чего, анализаторам, сканирующим объекты ядерного кода на подозрительные модификации, не к чему прицепиться. Все модификации отражаются также в оригинальных файлах на уровне подмены секторов винта. Тело руткита находится в своей собственной файловой системе (ФС), расположенной в свободной области жесткого диска и защищенной как от просмотра, так и от записи. Для защиты данных ФС от удаленного анализа (например через Live CD) они криптуются на лету при помощи самописного крипто-алгоритма.
  35.  
  36. Как уже было упомянуто в анонсе наш руткит представляет собой независимую (от модификаций OS) надстройку к Windows, позволяющую скрыто выполнять любые действия в системе а также скрывающий присутствие как себя так и пользовательских модулей. Работа с файловой системой OS базируется на подмене (не хуках!) минипорт-драйвера жесткого диска, т.е. работа ведется "на самом дне" что позволяет оставться незамеченным для проактивок и антируткитов. Минипорт-драйвер каждый раз пересобирается на лету(в памяти) на этапе загрузки системы и поэтому софт, выполняющий анализ файлов на основе посекторного чтения жесткого диска не может увидеть ничего подозрительного и видит лишь данные, которые выдает(подменяет) сам руткит. АВАТАР не является буткитом, носителями его загрузчика являются системные драйвера, критические участки которых восстанавливаются(в памяти) к первоначальному виду каждый раз перед своим стартом. По этой причине АВАТАР удалить из системы сложнее чем буткит (ахиллесова пята буткитов - MBR(VBR)). Попытка лечения драйверов скорее всего приведет к голубым экранам и вариант остается один - реинстал системы.
  37.  
  38. Пользовательские модули включаются в работу (как уже было сказано выше) при помощи аватаров - специальных виртуальных пространств в нужных вам процессах. Не нужно путать аватаров с банальным инжектом т.к. "Аватар" это комплексное средство для скрытой работы в любом процессе. Аватар обеспечивает не только внедрение кода но контролирует и модифицирует на лету ядерные объекты процесса с тем чтобы обеспечить во-первых, "правильную", нэйтивную среду исполнения, чтобы, например, избежать неожиданных "вылетов" процесса; во-вторых, скрытность (используются внутренние функции ядра) и в третьих, - Аватар автоматически наделяет процесс всеми необходимыми(Admin/System) правами независимо от прав текущей учетной записи, что особенно полезно для тех кто инжектится в браузеры - у них как правило самые низкие права в системе. Плюс еще много чего, что делает Аватар чтобы Ваши модули вырастали "как из под земли" в любом процессе от smss.exe и ниже без вреда для последних и окликов проактивок.
  39.  
  40. Пользовательские модули могут быть 3 типов: драйвера, плагины(расширения командного модуля) и независимые модули. Загрузка модулей, как собственно и управление всей работой руткита, ведется при помощи вэб админки. В вэб админке реализован весь необходимый функционал для запуска, обновления и управления вашими модулями. При помощи плагинов Вы можете добавить любой функционал к командному модулю. Разработка плагинов тривиальна и хорошо описана (c примерами) в ASDK(Avatar Software Development Kit). Независимые модули и драйвера это ,собственно, ваша полезная нагрузка, выполняющая ваши задачи. Для упрощения работы для разработчиков создана специальная рантайм библиотека ARTL(Avatar Runtime Library).ARTL экспортирует такие функции как создание аватаров и высадка в любом процессе, назначение прав(токиенов) одного процесса другому, запуск драйверов из хранилища AVATAR и др. Работа с файловой системой AVATAR из пользовательских модулей абсолютно прозрачна, т.е. для чтения/записи достаточно обычных WinAPI или Native API функций. Каждый запускаемый модуль получает специальную структуру со всей необходимой информацией для работы с руткитом, в том числе и секретный путь в хранилище AVATAR, уникальный для каждого бота.
  41.  
  42. Во всех компонентах АВАТАР реализовано множество эксклюзивных технологий. Например, для начала работы по созданию ботнета не нужен сервер. Т.е. ботов можно просто грузить "в прок". Ваш С&C сервер(серверы) можно включить в любой момент и все боты в короткий период узнают о его существовании и начнут отстук на него. Даже если C&C сервер будет взломан(захвачен) и кто-то в админке подаст команду на обновление нового конфига на свой сервер, Вы ботов НЕ потеряете т.к. мастер-ключ хранится у Вас под подушкой. Это особенно важно когда ботнеты содержат миллионы ботов и потери ощутимы и финансово и по временным затратам. У всех в памяти угоны (закрытия) таких мощных ботнетов как Waledac, Coreflood, Kelihos, Rustock, Conficker и др. Способы защиты и построения ботнет сетей с помощью таких технологий как P2P и fast-flux не всегда оправдывают себя. Мы предлагаем другое решение, оно, как и вообще вся архитектура АВАТАР, не базируется на "секретах" реализации, мы защищаем себя концептуально. Это означает, что даже если мы отправим исходные коды АВАТАР в АВ лаборатории, ботнеты не будут уничтожены.
  43.  
  44. Протокол обмена ботов с C&C полностью полиморфен и зашифрован своим алгоритмом. Т.е. для одной и той же команды запрос будет разный как по бинарному составу так и по параметрам. Ключ шифрования уникален для каждого бота. Написать сетевой детектор трафика бота на основании логов протокола обмена, невозможно.
  45.  
  46. Инсталяция АВАТАРа в ОС производится при помощи специально написанных для него 0-day методов. Именно методов т.к. эксплоиты фиксятся в ближайших обновлениях Windows а методы живут годами т.к. базируются не на конкретных программных ошибках, которые можно быстро исправить, а на просчетах в архитектуре. К такому методу относится наш метод прогруза драйверов напрямую из памяти используя стандартные средства (не сплоит!). Такой метод позволил значительно повысить выживаемость при инстале т.к. драйвер руткита никогда не пишется на диск а грузится напрямую из памяти, т.е. не требует чистки и никогда не палится соответственно. К слову сказать, некоторые ядерные эксплоиты не нулевого дня, тоже использованы т.к. все еще полезны в определенных случаях. Также, специально для проекта АВАТАР, написан 0-day метод обхода UAC работающий вплоть до W8. Все эксплоиты и методы для нас пишет PlayBit, который представлял на форумах в прошлом году свой сплоит для загрузки драйверов.
  47.  
  48. Условия инсталляции:
  49.  
  50. - OS: - начиная с Windows XP RTM и заканчивая Windows 8 (включая все промежуточные версии и сервис паки)
  51. - Процессор: x86 (x64 в разработке)
  52. - Минимальные привилегии учетной записи:
  53. ..........* для систем с обновлениями до 2012 года - любые группы пользователей (т.е. ставится в любом случае)
  54. ..........* для систем со свежими обновлениями - учетка группы Administratоrs (с обходом UAC)
  55. - Обход проактивной защиты, UAC:
  56. ..........* для всех систем (с обновлениями в том числе) - обход проактивок и UAC
  57. проактивки проверялись на Win7SP1 + [KIS12, COMODO CIS 2013, McAfee Internet Security 2013, Norton Internet Security 2013] (режим настроек стандартный)
  58.  
  59. АВАТАР также тестился на таких антируткитах как GMER и RKU с негативным результатом для последних.
  60.  
  61. Векторы дальнейшего развития:
  62. - x64
  63. - форм-граббер плагин c поддержкой PCRE и прямым мостом между JavaScript и апи руткита
  64. - ядерный RDP модуль
  65.  
  66.  
  67. Условия аренды руткита АВАТАР:
  68.  
  69. Стоимость: 1500wmz или 1600LR в месяц.
  70.  
  71. В комплекте идет: дроппер настроенный на ваши сервера (смена конфига бесплатна), различные вспомогательные тулзы, админка, ASDK, документация, лицензия на купленный срок аренды.
  72. Каких-либо готовых пользовательских модулей мы на данный момент не предоставляем т.к. у большинства людей, судя по опросам, свои решения под свои темы. Поэтому руткит АВАТАР идет в чистом виде под любые Ваши задачи.
  73.  
  74. Столь низкая цена для продукта такого класса обусловлена временно отсутствующей поддержкой x64 и дебютом на рынке.
  75. В будущем цена будет корректироваться с тем чтобы продукт попадал только к профи.
  76.  
  77. Данный топик носит информационный характер и создан не для обсуждений, поэтому просьба заинтересованных людей задавать вопросы НЕ здесь, а приватно в ПМ. Мы также готовы обсудить интересные предложения о сотрудничестве.
  78. Готовы пройти любые проверки.
  79.  
  80. P.S. Предложения о продажи АВАТАР НЕ принимаются.
  81. P.P.S. Сотрудникам АВ компаний скидки и бонусы =)
  82. P.P.P.S. РК АВАТАР распространяется исключительно в ознакомительных целях и служит для исследования и улучшения систем безопасности OS Windows.
RAW Paste Data
Top