ROOTKITS
AND BOOTKITS
Reversing Modern Malware
and Next Generation Threats
by Alex Matrosov,
Eugene Rodionov,
and Sergey Bratus
San Francisco
РУТКИТЫ
И БУТКИТЫ
Обратная разработка
вредоносных программ и угрозы
следующего поколения
Алекс Матросов,
Евгений Родионов,
Сергей Братусь
Москва, 2022
УДК 004.056
ББК 32.973.202
М33
Алекс Матросов, Евгений Родионов, Сергей Братусь
М33 Руткиты и буткиты. Обратная разработка вредоносных программ и угрозы следующего поколения / пер. с англ. А. А. Слинкина. – М.: ДМК Пресс,
2022. – 442 с.: ил.
ISBN 978-5-97060-979-8
Эта книга посвящена обнаружению, анализу и обратной разработке вредоносного ПО. В первой части описываются примеры руткитов, показывающие, как
атакующий видит операционную систему изнутри и находит способы надежно
внедрить свои импланты, используя собственные структуры ОС. Вторая часть
рассказывает об эволюции буткитов, условиях, подхлестнувших эту эволюцию, и
методах обратной разработки таких угроз.
Издание адресовано широкому кругу специалистов по информационной
безопасности, интересующихся тем, как современные вредоносные программы
обходят защитные механизмы на уровне операционной системы.
Посвящается нашим семьям
и всем помогавшим в создании этой книги
СОДЕРЖАНИЕ
От издательства............................................................................................................... 13
Об авторах......................................................................................................................... 14
О техническом рецензенте. ......................................................................................... 14
Вступительное слово...................................................................................................... 15
Благодарности.................................................................................................................. 17
Список аббревиатур....................................................................................................... 18
Введение............................................................................................................................ 22
Для кого предназначена эта книга.............................................................................. 23
Структура книги............................................................................................................... 23
Как читать эту книгу. ...................................................................................................... 26
Часть I. Руткиты................................................................................................................ 27
Глава 1. Что такое руткит: TDL3.................................................................................. 28
История распространения TDL3 по миру. ................................................................. 29
Процедура заражения..................................................................................................... 30
Управление потоком данных......................................................................................... 32
Скрытая файловая система............................................................................................ 36
Итог: TDL3 встретил свою Немезиду............................................................................. 37
Глава 2. Руткит Festi: самый продвинутый бот для спама и DDoS-атак......... 39
Дело о сети ботов Festi.................................................................................................... 40
Устройство драйвера руткита. ...................................................................................... 41
Конфигурационная информация Festi для взаимодействия
с командно-управляющим сервером........................................................................ 42
Объектно-ориентированная структура Festi................................................................ 43
Управление плагинами................................................................................................... 44
Встроенные плагины...................................................................................................... 45
Методы противодействия виртуальной машине.......................................................... 47
Методы противодействия отладке................................................................................. 48
Метод сокрытия вредоносного драйвера на диске....................................................... 49
Метод защиты раздела реестра Festi............................................................................. 51
Сетевой протокол Festi................................................................................................... 52
Фаза инициализации...................................................................................................... 52
Рабочая фаза.................................................................................................................... 53
Обход средств обеспечения безопасности и КТЭ..................................................... 54
Алгоритм генерирования доменных имен в случае отказа C&C-сервера......... 57
Вредоносная деятельность. ........................................................................................... 57
Модуль рассылки спама.................................................................................................. 58
Проведение DDoS-атак................................................................................................... 58
Плагин прокси-сервиса..................................................................................................
Последние комментарии
1 день 3 часов назад
1 день 12 часов назад
1 день 18 часов назад
1 день 20 часов назад
2 дней 1 час назад
2 дней 1 час назад