Читаем онлайн «Руткиты и буткиты. Обратная разработка вредоносных программ и угрозы следующего поколения»

Алекс Матросов, Евгений Родионов, Сергей Братусь
Руткиты и буткиты
ROOTKITS
AND BOOTKITS
Reversing Modern Malware
and Next Generation Threats
by Alex Matrosov,
Eugene Rodionov,
and Sergey Bratus
San Francisco
РУТКИТЫ
И БУТКИТЫ
Обратная разработка
вредоносных программ и угрозы
следующего поколения
Алекс Матросов,
Евгений Родионов,
Сергей Братусь
Москва, 2022
УДК 004.056
ББК 32.973.202
М33
Алекс Матросов, Евгений Родионов, Сергей Братусь
М33 Руткиты и буткиты. Обратная разработка вредоносных программ и угрозы следующего поколения / пер. с англ. А. А. Слинкина. – М.: ДМК Пресс,
2022. – 442 с.: ил.
ISBN 978-5-97060-979-8
Эта книга посвящена обнаружению, анализу и обратной разработке вредоносного ПО. В первой части описываются примеры руткитов, показывающие, как
атакующий видит операционную систему изнутри и находит способы надежно
внедрить свои импланты, используя собственные структуры ОС. Вторая часть
рассказывает об эволюции буткитов, условиях, подхлестнувших эту эволюцию, и
методах обратной разработки таких угроз.
Издание адресовано широкому кругу специалистов по информационной
безопасности, интересующихся тем, как современные вредоносные программы
обходят защитные механизмы на уровне операционной системы.
УДК 004.056
ББК 32.973.202
Copyright © 2019 by Alex Matrosov, Eugene Rodionov, and Sergey Bratus. Title of Englishlanguage original: Rootkits and Bootkits: Reversing Modern Malware and Next Generation
Threats, ISBN 9781593277161, published by No Starch Press Inc. 245 8th Street, San Francisco,
California United States 94103. The Russian-Language 1st edition Copyright © 2022 by DMK
Press Publishing under license by No Starch Press Inc. All rights reserved.
Все права защищены. Любая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения
владельцев авторских прав.
ISBN 978-1-59327-716-1 (англ.)
ISBN 978-5-97060-979-8 (рус.)
Copyright © 2019 by Alex Matrosov, Eugene Rodionov,
and Sergey Bratus
© Перевод, оформление, издание, ДМК Пресс, 2022
Посвящается нашим семьям
и всем помогавшим в создании этой книги
СОДЕРЖАНИЕ
От издательства............................................................................................................... 13
Об авторах......................................................................................................................... 14
О техническом рецензенте. ......................................................................................... 14
Вступительное слово...................................................................................................... 15
Благодарности.................................................................................................................. 17
Список аббревиатур....................................................................................................... 18
Введение............................................................................................................................ 22
Для кого предназначена эта книга.............................................................................. 23
Структура книги............................................................................................................... 23
Как читать эту книгу. ...................................................................................................... 26
Часть I. Руткиты................................................................................................................ 27
Глава 1. Что такое руткит: TDL3.................................................................................. 28
История распространения TDL3 по миру. ................................................................. 29
Процедура заражения..................................................................................................... 30
Управление потоком данных......................................................................................... 32
Скрытая файловая система............................................................................................ 36
Итог: TDL3 встретил свою Немезиду............................................................................. 37
Глава 2. Руткит Festi: самый продвинутый бот для спама и DDoS-атак......... 39
Дело о сети ботов Festi.................................................................................................... 40
Устройство драйвера руткита. ...................................................................................... 41
Конфигурационная информация Festi для взаимодействия
с командно-управляющим сервером........................................................................ 42
Объектно-ориентированная структура Festi................................................................ 43
Управление плагинами................................................................................................... 44
Встроенные плагины...................................................................................................... 45
Методы противодействия виртуальной машине.......................................................... 47
Методы противодействия отладке................................................................................. 48
Метод сокрытия вредоносного драйвера на диске....................................................... 49
Метод защиты раздела реестра Festi............................................................................. 51
Сетевой протокол Festi................................................................................................... 52
Фаза инициализации...................................................................................................... 52
Рабочая фаза.................................................................................................................... 53
Обход средств обеспечения безопасности и КТЭ..................................................... 54
Алгоритм генерирования доменных имен в случае отказа C&C-сервера......... 57
Вредоносная деятельность. ........................................................................................... 57
Модуль рассылки спама.................................................................................................. 58
Проведение DDoS-атак................................................................................................... 58
Плагин прокси-сервиса..................................................................................................