0wning Vista from the boot ? [Vbootkit - Boot/BIOS rootkit]

0wning Vista from the boot ? [Vbootkit - Boot/BIOS rootkit]

offline
  • DEMIAN  Male
  • Legendarni građanin
  • IT Manager
  • Pridružio: 25 Mar 2005
  • Poruke: 3706
  • Gde živiš: The darkest place on earth..

Vista definitivno pomera granice svega do sada poznatog.. Smile

Po svemu sudeci napravljen je prvi rootkit specijalno dizajniraran za Vistin kernel pod nazivom Vbootkit. Testiran i radi na 32-bitnim RC verzijama Viste, test na RTM verziji je u toku. Sa mogucnoscu njegovog postavljanja unutar samog B.I.O.S.-a i velicine oko samo 1500 bajta, itekako se moze iskoristiti za zaobilazenje aktivacije Viste ili onemogucavanje DRM-a.

"Kvaka" sa ovim rootkitom je u tome sto se koristi jedinstvenim metodama i moze da se ucita na sistem sa boot sektora ili uredjaja (MBR, CD, PXE, Flopi..itd), i opstane u memoriji dovoljno dugo da bi mogao da nastavi dalje svoj put u zasticeni rezim i startup OS-a.

Rootkit-ovi se instaliraju kada je OS u radu zbog toga sto su im potrebne odredjeni servisi OS-a ili privilegije na njemu za instalaciju. Vbootkit je poseban jer on koristi boot medij za napad na operativni sistem i napravljen je totalno u "in-Ram" conceptu.

Princip rada: BIOS --> Vbootkit kod (sa CD,PXE itd.) --> MBR --> NT Boot sector --> Windows Boot manager --> Windows Loader --> Vista Kernel.

Za sada je poznato da ovaj rootkit moze sledece:

* Periodicno podize privlilegije Command Prompt-a na nivo "System" nakon svakih nekoliko sekundi.
* Modifikuje Registry i pokrece telnet server automatski.
* Kreira thread u user mod-u i omogucava isporuku payload-a kroz kontekst sistemskih (zasticenih) procesa (LSASS.EXE, Winlogon.exe..itd)

Zloupotreba naravno moze biti daleko veca, jer u globalu sa njim se moze uraditi sve ali sve sto moze i Vistin kernel. Jos nema zvanicnog odgovora na ovo od strane AV kompanija.
Autori ovog rootkita naglasavaju da je softverska zastita nedovoljna da bi se napad na OS tako sprecio. Na pitanje "kako se zastiti" odgovaraju da je jedina zastita moguca na hardverskom nivou kroz TPM model i Secure Startup.

Ostatak clanka tj. tacnije kompletan intervju sa autorima ovog rootkita moze se procitati na linku ispod:

http://www.securityfocus.com/columnists/442



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
Ko je trenutno na forumu
 

Ukupno su 747 korisnika na forumu :: 35 registrovanih, 7 sakrivenih i 705 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: A.R.Chafee.Jr., aleksmajstor, alkatraz080, bojank, Drug pukovnik, Fog of War, galijot, goxin, havoc995, HrcAk47, Insan, ivan979, komesm, Krusarac, kunktator, Lord Nem, Marko Marković, MB120mm, mihajlo.hrin, mustangkg, Nomenklatura, Oscar2, ostoja, Pohovani_00, RJ, S-lash, sakota79, Smiljke, stegonosa, Toni, vathra, VJ, Vlada1389, vrlenija, zixmix