Home
Articoli
Downloads
Informazioni
Utility
giu 02 2010
Windows AVs => SSDT hooking bypass
Pubblicato da :Alex | 597 letture
La maggior parte dei software di sicurezza sotto windows svolgono il
loro compito basandosi oltre che sulle firme, sulle caratteristiche di
vulnerabilità note nel corso del tempo sui sistemi microsoft, altri
ancora lavorano sull'user mode, e cosi via. Questa metodologia
aggiuntiva di approccio utilizza la tecnica del kernel hooking.
Molti produttori (di cui trovate una lista sotto) hanno deciso di modificare la parte del kernel del sistema che implementa il meccanismo di chiamata, tramite la tecnica detta SSDT hooking, ossia la modifica dei contenuti di System Service Descriptor Table
La tecnica in esame, consiste nel consentire ad un utente remoto di bypassare questa metodologia di approccio di protezione, e iniettare codice nocivo nel sistema. Una sorta di privilege escalation, attuata tramite la vulnerabilità insita nella stessa tecnologia di protezione. L'attacco è efficace sia contro le varie modalità utente, che contro le kernel hooks.
Il proof of concept sviluppato dalla MatoUsec Corporation, prende in esame le SSDT, in quanto sono le kernel hooks più utilizzate al momento dalle case di sicurezza.
Possiamo dunque definire l'attacco un bypassing del modulo denominato System Service Descriptor Table (SSDT) collegato al kernel di Windows, sfruttato i tutti i software Antivirus. Una sorta di race condition con un tasso abbastanza elevato di successo che permette ad un malware di bypassare tutti gli antivirus che utilizzano la tecnica dell'SSDT hooking per interfacciarsi col kernel, ossia il 90% degli antivirus in commercio.
I software affetti da tale vulnerabilità al momento sono i seguenti :
Codice
=== Vulnerabilità ===
Le applicazioni comunicano con il kernel del so attraverso le funzioni esportate dalle varie librerie di collegamento dinamico delle API di win, quali
kernel32.dll, user32.dll, advapi32.dll e ntdll.dll.
Queste routine di solito trasmette il flusso di esecuzione alle librerie di interfaccia, ntdll.dll (e in parte user32.dll e gdi32.dll), che utilizza le istruzioni speciali, come INT 0x2E, SYSENTER o syscall, per chiamare il kernel.
Le hooks si pongono all'inizio di questo processo, evitando che venga trasmesso codice nocivo.
Tuttavia, tutte le librerie di linking dinamico risiedono nella parte user-mode dello spazio di indirizzo del processo, quindi, se l'applicazione necessita di comunicare con il kernel, è possibile utilizzare l'istruzione di chiamata di sistema direttamente.
E questa azione non può essere bloccata da nessuna forma di hooking.
=== Proof of Concept ===
Un chiarimento generale sulle SSDT:
Le System Service Descriptor Tables appartengono alla modalità kernel di implementazione dell'interfaccia di chiamata sistema e contengono gli indirizzi delle routines.
Attraverso SSDTs, si può controllare ogni passaggio utile dalla modalità utente alla modalità kernel.
Il security hooking spesso modifica indirizzi memorizzati nelle tabelle per puntare a proprie routine e funzioni di hooking.
Queste funzioni eseguono controlli per verificare pericoli per il sistema o minacce per la sicurezza delle applicazioni stesse.
In questi casi, il gestore di hooks chiede all'utente finale quale azione intraprendere.
Da questo ragionamento è nato il Proof of concept sviluppato dalla MatoUsec relativamente alle SSDTs, all'interno del progetto KHOBE (Kernel Hook Bypassing Engine), un malware sviluppato appositamente per mettere in pratica la linea teorica di bypassing spiegata brevemente sopra.
Per chi volesse approfondire l'argomento (che è sinceramente abbastanza lungo da trattare qui, e la resa in italiano non è sempre ottimale ed esplicativa del concetto quanto quella inglese) :
http://www.matous...ftware.php <<< KHOBE
http://www.sophos...th-shaker/ <<< La risposta della azienda SOPHOS, relativamente alla NON vulnerabilità (secondo loro e il loro HIPS) del malware.
Molti produttori (di cui trovate una lista sotto) hanno deciso di modificare la parte del kernel del sistema che implementa il meccanismo di chiamata, tramite la tecnica detta SSDT hooking, ossia la modifica dei contenuti di System Service Descriptor Table
La tecnica in esame, consiste nel consentire ad un utente remoto di bypassare questa metodologia di approccio di protezione, e iniettare codice nocivo nel sistema. Una sorta di privilege escalation, attuata tramite la vulnerabilità insita nella stessa tecnologia di protezione. L'attacco è efficace sia contro le varie modalità utente, che contro le kernel hooks.
Il proof of concept sviluppato dalla MatoUsec Corporation, prende in esame le SSDT, in quanto sono le kernel hooks più utilizzate al momento dalle case di sicurezza.
Possiamo dunque definire l'attacco un bypassing del modulo denominato System Service Descriptor Table (SSDT) collegato al kernel di Windows, sfruttato i tutti i software Antivirus. Una sorta di race condition con un tasso abbastanza elevato di successo che permette ad un malware di bypassare tutti gli antivirus che utilizzano la tecnica dell'SSDT hooking per interfacciarsi col kernel, ossia il 90% degli antivirus in commercio.
I software affetti da tale vulnerabilità al momento sono i seguenti :
Codice
3D EQSecure Professional Edition 4.2
avast! Internet Security 5.0.462
AVG Internet Security 9.0.791
Avira Premium Security Suite 10.0.0.536
BitDefender Total Security 2010 13.0.20.347
Blink Professional 4.6.1
CA Internet Security Suite Plus 2010 6.0.0.272
Comodo Internet Security Free 4.0.138377.779
DefenseWall Personal Firewall 3.00
Dr.Web Security Space Pro 6.0.0.03100
ESET Smart Security 4.2.35.3
F-Secure Internet Security 2010 10.00 build 246
G DATA TotalCare 2010
Kaspersky Internet Security 2010 9.0.0.736
KingSoft Personal Firewall 9 Plus 2009.05.07.70
Malware Defender 2.6.0
McAfee Total Protection 2010 10.0.580
Norman Security Suite PRO 8.0
Norton Internet Security 2010 17.5.0.127
Online Armor Premium 4.0.0.35
Online Solutions Security Suite 1.5.14905.0
Outpost Security Suite Pro 6.7.3.3063.452.0726
Outpost Security Suite Pro 7.0.3330.505.1221 BETA VERSION
Panda Internet Security 2010 15.01.00
PC Tools Firewall Plus 6.0.0.88
PrivateFirewall 7.0.20.37
Security Shield 2010 13.0.16.313
Sophos Endpoint Security and Control 9.0.5
ThreatFire 4.7.0.17
Trend Micro Internet Security Pro 2010 17.50.1647.0000
Vba32 Personal 3.12.12.4
VIPRE Antivirus Premium 4.0.3272
VirusBuster Internet Security Suite 3.2
Webroot Internet Security Essentials 6.1.0.145
ZoneAlarm Extreme Security 9.1.507.000
avast! Internet Security 5.0.462
AVG Internet Security 9.0.791
Avira Premium Security Suite 10.0.0.536
BitDefender Total Security 2010 13.0.20.347
Blink Professional 4.6.1
CA Internet Security Suite Plus 2010 6.0.0.272
Comodo Internet Security Free 4.0.138377.779
DefenseWall Personal Firewall 3.00
Dr.Web Security Space Pro 6.0.0.03100
ESET Smart Security 4.2.35.3
F-Secure Internet Security 2010 10.00 build 246
G DATA TotalCare 2010
Kaspersky Internet Security 2010 9.0.0.736
KingSoft Personal Firewall 9 Plus 2009.05.07.70
Malware Defender 2.6.0
McAfee Total Protection 2010 10.0.580
Norman Security Suite PRO 8.0
Norton Internet Security 2010 17.5.0.127
Online Armor Premium 4.0.0.35
Online Solutions Security Suite 1.5.14905.0
Outpost Security Suite Pro 6.7.3.3063.452.0726
Outpost Security Suite Pro 7.0.3330.505.1221 BETA VERSION
Panda Internet Security 2010 15.01.00
PC Tools Firewall Plus 6.0.0.88
PrivateFirewall 7.0.20.37
Security Shield 2010 13.0.16.313
Sophos Endpoint Security and Control 9.0.5
ThreatFire 4.7.0.17
Trend Micro Internet Security Pro 2010 17.50.1647.0000
Vba32 Personal 3.12.12.4
VIPRE Antivirus Premium 4.0.3272
VirusBuster Internet Security Suite 3.2
Webroot Internet Security Essentials 6.1.0.145
ZoneAlarm Extreme Security 9.1.507.000
=== Vulnerabilità ===
Le applicazioni comunicano con il kernel del so attraverso le funzioni esportate dalle varie librerie di collegamento dinamico delle API di win, quali
kernel32.dll, user32.dll, advapi32.dll e ntdll.dll.
Queste routine di solito trasmette il flusso di esecuzione alle librerie di interfaccia, ntdll.dll (e in parte user32.dll e gdi32.dll), che utilizza le istruzioni speciali, come INT 0x2E, SYSENTER o syscall, per chiamare il kernel.
Le hooks si pongono all'inizio di questo processo, evitando che venga trasmesso codice nocivo.
Tuttavia, tutte le librerie di linking dinamico risiedono nella parte user-mode dello spazio di indirizzo del processo, quindi, se l'applicazione necessita di comunicare con il kernel, è possibile utilizzare l'istruzione di chiamata di sistema direttamente.
E questa azione non può essere bloccata da nessuna forma di hooking.
=== Proof of Concept ===
Un chiarimento generale sulle SSDT:
Le System Service Descriptor Tables appartengono alla modalità kernel di implementazione dell'interfaccia di chiamata sistema e contengono gli indirizzi delle routines.
Attraverso SSDTs, si può controllare ogni passaggio utile dalla modalità utente alla modalità kernel.
Il security hooking spesso modifica indirizzi memorizzati nelle tabelle per puntare a proprie routine e funzioni di hooking.
Queste funzioni eseguono controlli per verificare pericoli per il sistema o minacce per la sicurezza delle applicazioni stesse.
In questi casi, il gestore di hooks chiede all'utente finale quale azione intraprendere.
Da questo ragionamento è nato il Proof of concept sviluppato dalla MatoUsec relativamente alle SSDTs, all'interno del progetto KHOBE (Kernel Hook Bypassing Engine), un malware sviluppato appositamente per mettere in pratica la linea teorica di bypassing spiegata brevemente sopra.
Per chi volesse approfondire l'argomento (che è sinceramente abbastanza lungo da trattare qui, e la resa in italiano non è sempre ottimale ed esplicativa del concetto quanto quella inglese) :
http://www.matous...ftware.php <<< KHOBE
http://www.sophos...th-shaker/ <<< La risposta della azienda SOPHOS, relativamente alla NON vulnerabilità (secondo loro e il loro HIPS) del malware.
0 Commenti · 597 letture
·
| Condividi News | |
| AddThis: | |
| URL: | |
| BBcode: | |
| HTML: | |
| Facebook Like: |
|
Scrivi commento
Per favore loggati per poter scrivere un commento
