[Question] [Paper] .NET Framework Rootkits - Backdoors inside your Framework |
18/11/2008 00:39:17 (+0700) | #1 | 159179 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
.NET Framework Rootkits - Backdoors inside your Framework
Tác giả: Erez Metula
Tài liệu này bao gồm nhiều cách để hình thành rootkits cho framework .NET để tạo điều kiện cho các EXE/DLL có thể chạy trên một framework đã được biến cải, từ đó có thái độ khác với điều kiện bình thường. Quy trình "code reviews" sẽ không phát hiện được backdoors đã được cài bên trong framework bởi vì "payload" không nằm trong code mà lại nằm trong ứng dụng trên framework. Viết framework rootkits sẽ cho phép kẻ tấn công cài "reverse shell" bên trong framework để đánh cắp thông tin nhạy cảm, để trói các chìa khóa mã hóa, vô hiệu hóa các bước kiểm tra bảo mật và thực hiện các hành động nguy hiểm khác.
- http://www.applicationsecurity.co.il/LinkClick.aspx?fileticket=wkKIknI%2btog%3d&tabid=161&mid=555.
- http://www.applicationsecurity.co.il/LinkClick.aspx?fileticket=lJCfE83LS%2f8%3d&tabid=161&mid=555.
- http://www.applicationsecurity.co.il/LinkClick.aspx?fileticket=Yq0PeSqeyBo%3d&tabid=161&mid=555.
- http://www.applicationsecurity.co.il/LinkClick.aspx?fileticket=NyFyPgX0reg%3d&tabid=161&mid=555 (power point).
- http://www.applicationsecurity.co.il/LinkClick.aspx?fileticket=ycIS1bewMBI%3d&tabid=161&mid=555 (pdf). |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: [Paper] .NET Framework Rootkits - Backdoors inside your Framework |
18/11/2008 01:32:26 (+0700) | #2 | 159201 |
lamer
Elite Member
|
0 |
|
|
Joined: 26/02/2008 13:28:49
Messages: 215
Offline
|
|
Dùng cùng một cách thức (i.e. sửa file gốc, rồi đặt lại vào chỗ cũ) ta cũng có thể thay đổi được môi trường thực thi Java, Python, Ruby, hoặc cả kernel32.dll, ntdll.dll, v.v...
|
|
|
|
|
[Question] Re: [Paper] .NET Framework Rootkits - Backdoors inside your Framework |
12/03/2009 08:39:41 (+0700) | #3 | 172921 |
|
hoahongtim
Researcher
|
Joined: 15/07/2002 02:59:49
Messages: 156
Location: Underground
Offline
|
|
Mới vào blackhat xem thông tin, đề tài này cũng sẽ được trình bày vào tháng 4-2009.
Link : http://www.blackhat.com/html/bh-europe-09/bh-eu-09-speakers.html
Erez Metula
.NET Framework Rootkits: Backdoors inside your Framework
This presentation introduces application level rootkit attacks on managed code environments, enabling an attacker to change the language runtime implementation, and to hide malicious code inside its core. This presentation focuses on the .NET Framework, while covering various ways to develop malware (rootkits,backdoors,logic manipulation, etc.) for the .NET framework, by changing its behavior. It includes demos of information logging, reverse shells, backdoors, encryption keys fixation, and other nasty things.
This presentation also introduces ".Net-Sploit" - a new tool for building MSIL malware that will enable the user to inject preloaded/custom payload to the Framework core DLL.
The Whitepaper, .NET-Sploit, and source code can be found here
Erez Metula is a senior application security consultant, working as the application security department manager at 2BSecure. He has extensive hands-on experience performing security assessments, secure development consulting & training for clients in Israel and abroad such as banks, financial organizations, military, software development companies, telecom, and more. Erez is also a leading instructor for many information security training, especially on secure software development methodologies & techniques. He had lectured on advanced .NET security (and other development platforms) for worldwide organizations and is constant speaker for conferences such as Microsoft .NET Security User Group, OWASP (Open Web Application Security Project), and more. He holds a CISSP certification and is toward graduation of Msc in computer science.
|
|
|
|
|
[Question] Re: [Paper] .NET Framework Rootkits - Backdoors inside your Framework |
13/03/2009 04:01:22 (+0700) | #4 | 172995 |
|
rongchaua
Elite Member
|
0 |
|
|
Joined: 19/01/2003 04:09:23
Messages: 124
Offline
|
|
Thanx, một research khá hay, rất tiếc là tool .Net Sploit không chạy được trên máy mình để test. Cả một research quan trọng nhất chỉ mấy câu này
Trong Presentation
Another approach was taken, revealed during this research
It was found out that the signature is used just to map to the correct directory name on the GAC
the SN mechanism does not check the actual signature of a loaded DLL but just looks for a DLL inside a directory with this signature name !
Trong White Paper
Upon request for this DLL from other executables running inside the framework, the
framework will search for the required DLL based on his version and signature. The
framework will not check for the actual signature but instead will rely on the signature
mentioned in the directory file name.
Mình cũng sẽ nghiên cứu lại vấn đề này để chắc chắn và viết tool exploit riêng vì tool đi kèm không hoạt động trên máy mình rùi.
|
|
My website: http://rongchaua.net |
|
|
|
[Question] Re: [Paper] .NET Framework Rootkits - Backdoors inside your Framework |
13/03/2009 14:49:14 (+0700) | #5 | 173067 |
Nowhereman
Elite Member
|
0 |
|
|
Joined: 19/11/2003 06:25:42
Messages: 108
Offline
|
|
|
lang thang vẫn mãi không nhà
đôi chân lê bước thê lương tháng ngày
càng đi càng thấy đắm say
tình thương con Chúa lòng này chẳng phai
thời gian cứ mãi miệt mài
lang thang đi tiếp ....rồi bay lên z ời
cúi đầu con lạy Ông Trời
xin thươn |
|
[Question] Re: [Paper] .NET Framework Rootkits - Backdoors inside your Framework |
13/03/2009 19:46:26 (+0700) | #6 | 173069 |
|
rongchaua
Elite Member
|
0 |
|
|
Joined: 19/01/2003 04:09:23
Messages: 124
Offline
|
|
Vừa code xong 1 tool nhỏ để detect rootkit dạng này.
GAC Verifier
http://rongchaua.net/tools-mainmenu-36/129-gac-verifier
Nó sẽ quyét thư mục GAC và trả về trạng thái chữ ký của các assembly. Nếu assembly nào bị thay đổi sẽ có status là "Not valid". Từ đó có thể tiến hành các bước xử lý thích hợp.
Thân. |
|
My website: http://rongchaua.net |
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|