Vba32 AntiRootkit 3.12.*.* beta

[sergey ulasen]

Привет!

Это мой первый пост на данном форуме. Надеюсь, что у нас получится взаимовыгодное сотрудничество и мои предложения вызовут интерес у местного комьюнити.

Хотел бы предложить поучаствовать в бета-тестировании нашего продукта Vba32 AntiRootkit 3.12.5.2 beta. Актуальный билд 168.

Предисторию можно посмотреть здесь.

Ссылки для скачивания:

http://anti-virus.by/en/beta.shtml

ftp://anti-virus.by/beta/vba32arkit_beta.7z

ftp://anti-virus.by/beta/vba32arkit_beta.rar

ftp://anti-virus.by/beta/vba32arkit_beta.zip

Данный скоуп получился очень насыщенным. В него вошло большое количество изменений, которыми я с вами с радостью поделюсь:

+ Окно Process List заменено на Process Manager. Значительно увеличено количество выводимой информации

+ Вывод списка аномалий для каждого процесса

+ Операции над процессами (Terminate, Terminate and Delete File, Suspend/Resume, Dump)

+ Вывод информации о модулях (в том числе скрытых)

+ Операции над модулями процессов (Unmap, Dump)

+ Вывод информации о потоках (в том числе скрытых), детектирование аномальных потоков

+ Операции над потоками, в т.ч. и над системными (Terminate, Suspend/Resume)

+ Вывод информации об открытых дескрипторах (хэндлах)

Добавили возможность полноценной работы с процессами:

- завершение процесса;
- блокирование (suspend)/разблокирование (resume) процесса;
- снятие дампа памяти с процесса.

Список процессов можно выводить в древовидной и списковой формах. По процессам можно выводить большое количество различной полезной информации - начиная с PID, заканчивая адресами EPROCESS, PEB и др. Весь вывод можно опционально настроить и выбрать только необходимые данные.

Определение скрытых процессов и поиск различных аномалий в процессах также осуществляется.



Работа с потоками:

- завершение потока;
- блокирование (suspend)/разблокирование (resume) потока.

Опционально можно задать вывод большого количества различной подробной информации о потоках.

Определение скрытых потоков и поиск различных аномалий в потоках также осуществляется.



Работа с модулями:

- выгрузка модуля из процесса;
- снятие дампа памяти с модуля.

Определение скрытых модулей и различных аномалий.



Также выводится информация об открытых дескрипторах процессов и возможна расшифровка обнаруженных аномалий.

+ Вывод информации о выгруженных модулях ядра

Данные модули помечаются как Unloaded module.

+ Детектирование IAT перехватов в модулях ядра

Еще один часто используемый способ внедрения.

+ Добавлен просмотр и возможность удаления нотификаторов типа Lego, SeFileSystem, LastChanceShutdown, Shutdown, BugCheckReason, FsRegistrationChange

Тоже может быть полезно.

+ Окно Network Tool (разбор файлов hosts и lmhost, поиск постоянных маршрутов в routes, LSP-провайдеры)

Работа с LSP-провайдерами перенесена в отдельное окно. Туда же добавлен вывод информации из файла Hosts и таблицы постоянных маршрутов. Файл Hosts можно изменять, удаляя из него "лишние" строки.

+ Возможность работы на выделенном рабочем столе

Еще один очень полезный функционал в свете большого количества различных блокировщиков.

Внимание: данный функционал по-умолчанию запускается с опцией Vba32 Defender, которая блокирует работу многих приложений.



+ Работа антируткита в Safe Mode

Теперь обеспечивается полноценная работа антируткита и в этом режиме.

+ Детектирование отозванных сертификатов при проверке цифровой подписи

Появление Stuxnet показало, что доверять цифровым подписям безоговорочно нельзя. Потому был добавлен вот такой режим. Но понятно, что его полноценная работа возможна или на обновленной Windows (с установленными обновлениями сертификатов) либо с доступом в Интернет.



+ Увеличено количество проверяемых мест автозагрузки (Print Provider, Control Panel objects, Known DLLs, URLSearch IE, Toolbar IE, IE Extensions и др.)

Уже покрыто наверное большинство мест реестра, используемых для загрузки троянов. Если знаете что-то еще - делитесь

+ Добавлена поддержка Windows 7 SP1

Тут все понятно.

* Улучшен механизм получения списка модулей ядра, а также увеличено количество выявляемых в них аномалий

Да, теперь в этом окне намного больше всего полезного. И больше аномалий удается найти и отобразить.

* Значительно увеличена скорость проверки прямым чтением

Порядка 2-х раз удалось увеличить скорость алгоритма "прямого чтения".

* Исправлен BSOD при разборе файловой системы NTFS с сильно фрагментированной таблицей MFT

Старая ошибка, с которой долгое время не удавалось разобраться.

* Опция Don't display items digitally signed переименована в Don't display trusted items, также изменена логика работы (в соответствии с новым названием)

* В соответствии с новым функционалом доработан файл отчёта

Отчет теперь намного больше, чем был раньше. И анализировать его стало труднее. Потому в нем появились различные опции, которые позволяют скрывать часть "ненужной" информации.



* Улучшено кэширование проверяемых объектов при исследовании системы

Добавили еще оптимизации, что ускорило работу антируткита.

* Доработан файл помощи на русском языке

Конечно хэлп еще далек от идеала, но тем не менее полезной информации в нем стало больше.

Известные проблемы:

- окно Process Manager иногда зависает. Что приводит к необходимости перезагрузки системы. С проблемой сейчас разбираемся. Если вы нам предоставите еще больше дампов памяти зависшего процесса, то это ускорит исправление проблемы;

- запуск антируткита с выделенного рабочего стола иногда приводит к зависанию системы. Это связано с тем, что по-умолчанию запускается режим Vba32 Defender, который начинает блокировать работу драйверов на некоторых видеокартах от NVIDIA. Проблема достаточно серьезная и быстро не решается. Потому без лишней необходимости данный режим пока использовать не советую;

- проблема с пропаданием звука скорее всего связана с режимом Vba32 Defender, который блокирует загрузку драйвера kmixer.sys. В будущем решим и эту проблему.

Для поддержки данного продукта был заведен специальный ящик, на который можно слать свои пожелания, дампы и т.д. - arkit@anti-virus.by .

Отзывы в данном топике приветствуются

 

[akok]

Встроенный скриптовый язык изменялся?

 

[icotonev]

Это мой первый пост на данном форуме. Надеюсь, что у нас получится взаимовыгодное сотрудничество и мои предложения вызовут интерес у местного комьюнити.

Здравствуйте и добро пожаловать на наш форум, я надеюсь, что вы чувствовали себя комфортно..!

 

[Rashevskiy]

Сергей, привет!

Вообще, конечно, молодцы, много чего нового прикрутили, что не может не радовать.
Может вам свой раздел здесь сделать?

 

[sergey ulasen]

Встроенный скриптовый язык изменялся?

Первый вопрос и сразу в яблочко

В текущей бете скриптового языка нет вообще. Мы его оттуда сознательно убрали. Предыдущий вариант был во многом неудобен и неоптимален, что связывало нам руки дальнейшей разработки. Потому пока антируткит пригоден только для получения информации об удаленном компьютере. Никаких удаленных действий в автоматическом режиме проделать на нем нельзя.

Но мы понимаем, что данная задача приоритетна. У нас тоже есть своя тех. поддержка, которая остро нуждается в данном функционале. Потому в будущем этому будет посвящен отдельный спринт.

Я пока не готов принимать какие-то feature requests на эту тему, потому что следующий скоуп задач на разработку уже сформирован и какого-то принципиального мнения у нас на данный функционал для более предметного разговора пока нет. Но как только мы до этого доберемся, то ваше мнение как мнение профи в данном направлении было бы очень интересно.

Здравствуйте и добро пожаловать на наш форум, я надеюсь, что вы чувствовали себя комфортно..!

Спасибо.

Сергей, привет!

Вообще, конечно, молодцы, много чего нового прикрутили, что не может не радовать.
Может вам свой раздел здесь сделать?

Спасибо.

Вопрос о разделе я тут уже перетер в кулуарах с администрацией. Может чуть позже мы выйдем и на этот этап.

 

[akok]

Из пожеланий в менеджере автозапуска может заблокировать возможность кликать до завершения проверки. Я "наклацал" кучу всего еще до момента как эти файлы были помечены как безопасные.


Как утилита определяет Hosts файл? Или просто берется путь?

 

[sergey ulasen]

Из пожеланий в менеджере автозапуска может заблокировать возможность кликать до завершения проверки. Я "наклацал" кучу всего еще до момента как эти файлы были помечены как безопасные.

Специально не блокировали контекстное меню... Проверка может длится долго. А иногда требуется сделать что-то из этого окна по быстрому. Если у окна "съезжает" крыша или начинаются вылеты, то их надо править. А запрещать наверное все-таки нецелесообразно.

Как утилита определяет Hosts файл? Или просто берется путь?

Путь к этому файлу в реестре хранится. Соответственно там и берется.

 

[Arbitr]

Файл Hosts можно изменять, удаляя из него "лишние" строки.

есть ли возможность в один клик оставить лишь локалхост?

Работа с модулями:
- выгрузка модуля из процесса;

если зловред сопротивляется, в бсод вывалит?? удаление файла без остановки процесса как проходит?

Возможность работы на выделенном рабочем столе
Еще один очень полезный функционал в свете большого количества различных блокировщиков.

опишите возможность запуска VBA при блокировке? вероятно из safe mode с поддержкой командной строки?
а так же механизм защиты (варианты запуска в обычном режиме) если зловред не дает запуск VBA , здесь же отличаются ли логи созданные в обычном и в безопасном режимах?

+ Добавлена поддержка Windows 7 SP1

как работает с х64??

реализована ли возможность правки реестра в один клик?
(пример блокировка диспетчера задач)

 

[akok]

как работает с х64??

Похоже не в полном объеме... ибо мне заявляли, что система не x86

Сергей, может таки стоить сделать систему бекапа данных до изменений... сняли галку, в папке ключик реестра с откатом создался.

 

[sergey ulasen]

есть ли возможность в один клик оставить лишь локалхост?

Если вы имеете в виду заменить текущий файл сразу на чистый, то - нет. Только выделить "левые" строчки, удалить их и сохранить файл. Хотя в будущем, если будем реализовывать поддержку работы скриптов, то такой функционал придется добавлять. Для ТП и Хелпера это удобнее.

Сча запишу FR

если зловред сопротивляется, в бсод вывалит??

Может и в BSOD вывалить.

удаление файла без остановки процесса как проходит?

Есть функция Wipe, которая умеет затирать файл нулями. После перезагрузки он в подовляющем большинстве случаев удаляется без проблем.

опишите возможность запуска VBA при блокировке?

Если идет речь о блокировщике Windows, то поддерживается режим работы на выделенном рабочем столе.

вероятно из safe mode с поддержкой командной строки?

Работа в Safe Mode тоже доступна. Только про командную строку поясните. А то я не понял зачем она там нужна.

а так же механизм защиты (варианты запуска в обычном режиме) если зловред не дает запуск VBA ,

1) Есть возможность "слить" антируткит с нашего сайта со случайным именем.

2) Реализован механизм Vba32 Defender, который не дает стартовать новым процессам и загружаться драйверам во время работы антируткита.

3) Плюс надо делать самозащиту "от дурака". Потому что в современных условиях, если установлен руткит, который работает в ring0, и он нацелен на убиение конкретного процесса/файла, то противостоять этому практически невозможно. Способов сделать это - вагон и маленькая тележка.

здесь же отличаются ли логи созданные в обычном и в безопасном режимах?

Нет, не отличаются. Но пометка о том, в каком режиме сделан лог, имеется.

как работает с х64??

Пока никак.

реализована ли возможность правки реестра в один клик? (пример блокировка диспетчера задач)

Твики реестра (или политики, как угодно) уже частично реализованы, но в текущую бету еще не попали. Так что тоже будут сделаны.

Сергей, может таки стоить сделать систему бекапа данных до изменений... сняли галку, в папке ключик реестра с откатом создался.

Такой FR в уже с списке задач на реализацию имеется

 

[akok]

Тогда стоит добавить фичу которая на файл hosts ставит признак "только чтение".

 

[Arbitr]

Если вы имеете в виду заменить текущий файл сразу на чистый, то - нет. Только выделить "левые" строчки, удалить их и сохранить файл. Хотя в будущем, если будем реализовывать поддержку работы скриптов, то такой функционал придется добавлять. Для ТП и Хелпера это удобнее.

да.. так как таких строк бывает иногда пару сотен.. и более

Если идет речь о блокировщике Windows, то поддерживается режим работы на выделенном рабочем столе.

речь идет о работе руткита который блокирует запуск известных ему антируткитов.

Работа в Safe Mode тоже доступна. Только про командную строку поясните. А то я не понял зачем она там нужна.

иногда только поддержка командной строки дает возможность запуска разных утилит.

1) Есть возможность "слить" антируткит с нашего сайта со случайным именем.

если же я самостоятельно переименую в например lsas.exe explorer.exe ??

2) Реализован механизм Vba32 Defender, который не дает стартовать новым процессам и загружаться драйверам во время работы антируткита.

вот здесь не совсем понятно... у нас же вариант когда зверь уже живет в системе и на момент работы с VBA уже давно запущен и работает... и либо надо перегружаться и механизм Vba32 Defender при перезагрузке запускался и блокировал лишние процессы.. либо???

Плюс надо делать самозащиту "от дурака". Потому что в современных условиях, если установлен руткит, который работает в ring0,

вот здесь вероятно и будет вываливать в бсод при попутке отключения удаления..и вероятно здесь поможет Wipe??

Твики реестра (или политики, как угодно) уже частично реализованы, но в текущую бету еще не попали. Так что тоже будут сделаны.

можете предварительно ознакомить с тем что уже реализовано, возможно у нас появятся предложения по добавлению весьма насущных функций восстановления.

 

[sergey ulasen]

Alex с NT Internals протестировал новый функционал определения скрытых модулей в процессах в своем тесте Hidden Dynamic-Link Library Detection Test. Результаты достаточно хорошие

Добавлено через 3 часа 26 минут 28 секунд

Тогда стоит добавить фичу которая на файл hosts ставит признак "только чтение".

1) 7-ка (и возможно Vista, не помню) устанавливают на hosts файл этот аттрибут по-умолчанию;
2) те трояны, которые мне попадались в последнее время, тоже ставят этот аттрибут на файл (точно также как и снимают его);
3) антируткит после сохранения измененного файла восстанавливает его аттрибуты на те, которые были до изменения.

В свете вышесказанного фича всего лишь приятная и иногда полезная против какой-то древности, потому сделать ее конечно же стоит. Но то, что сейчас это от чего-то спасет, вот тут уж вряд ли.

можете предварительно ознакомить с тем что уже реализовано, возможно у нас появятся предложения по добавлению весьма насущных функций восстановления.

Пока не очень много сделано:

1) Валидность значений в реестре для типов *.bat, *.pif, *.lnk, *.exe, *.scr, *.com, *.reg;

2) Разблокировка запуска TaskManager;

3) Разблокировка запуска Regedt32.exe и Regedit.exe;

4) Восстановление запуска Explorer.exe;

5) Восстановление запуска Userinit.exe;

6) Восстановление SafeMode.

опишите возможность запуска VBA при блокировке? вероятно из safe mode с поддержкой командной строки?

иногда только поддержка командной строки дает возможность запуска разных утилит.

То, что командная строка нужна для того, чтобы была возможность автоматизации запуска программ, мне понятно. Мне не ясна необходимость наличия ком. строки для борьбы с блокировщиками из Safe Mode. Ну т.е. если нужна автоматизация каких-то действий на удаленной машине, то понятно. А вот если я сам за ней сижу и у меня есть какой-то графический интерфейс, то зачем ? Пример можно привести или там сэмплом каким-то поделиться, на примере которого можно это посмотреть ?

Сейчас два ключа только доступны:

/ForceLoad - позволяет единовременно загрузить несколько копий программы;
/DedicatedDesktop ON[OFF] - позволяет задать режим запуска программы с/без выделенного рабочего стола.

если же я самостоятельно переименую в например lsas.exe explorer.exe ??

Да любое имя можете дать, главное чтобы оно не совпадало с именем из списка трояна на блокировку.

вот здесь не совсем понятно... у нас же вариант когда зверь уже живет в системе и на момент работы с VBA уже давно запущен и работает... и либо надо перегружаться и механизм Vba32 Defender при перезагрузке запускался и блокировал лишние процессы.. либо???

Да, тут я неверный контекст выбрал. Vba32 Defender пока имеет только функционал для блокировки работы вируса. А планируемая самозащита будет развиваться в контексте дефендера.

вот здесь вероятно и будет вываливать в бсод при попутке отключения удаления..и вероятно здесь поможет Wipe??

Предугадать, где продукты с антируткитными технологиями вывалятся в BSOD, дело неблагодарное. Их отладка - дело длительное и кропотливое.

 

[Arbitr]

Предугадать, где продукты с антируткитными технологиями вывалятся в BSOD, дело неблагодарное.

гадать не будем, в случае если клиент жалуется на выпадение системы в осадок то делаем через Wipe и будет нам щасте?

или там сэмплом каким-то поделиться

ну вероятно что то подберем ..или\ .
по функциям восстановления, основное у вас есть, надо будет плотнее поглядеть на них в лечении (наравне с AVZ восстановление системы..)
остается добавить удаление mount points и MountPoints2 (иногда надо)
ну и ждем правку статических маршрутов.

 

[sergey ulasen]

гадать не будем, в случае если клиент жалуется на выпадение системы в осадок то делаем через Wipe и будет нам щасте?

Wipe File - это функционал, позволяющий на низком уровне затереть содержимое жесткого диска нулями.
Если вы уверены, что некий файл является вредоносным, то его можно либо удалить через функцию Delete File, либо затереть его нулями и удалить после перезагрузки компьютера.

ну вероятно что то подберем ..или\ .
по функциям восстановления, основное у вас есть, надо будет плотнее поглядеть на них в лечении (наравне с AVZ восстановление системы..)
остается добавить удаление mount points и MountPoints2 (иногда надо)
ну и ждем правку статических маршрутов.

Постоянные маршруты (persistent routes) уже добавлены в окно Network Tools и выводятся в лог. У уже возможно их удаление.

 

[akok]

Постоянные маршруты (persistent routes) уже добавлены в окно Network Tools и выводятся в лог. У уже возможно их удаление.

Они как-то фильтруются? Не всегда постоянные маршруты вредоносны... иногда провайдеры шалят.

 

[sergey ulasen]

Они как-то фильтруются? Не всегда постоянные маршруты вредоносны... иногда провайдеры шалят.

Нет, не фильтруются. И, в общем-то, это вряд ли реально. По крайней мере, мне такого способа не известно.

Если есть какая-то идея на этот счет - делись

 

[akok]

Определить IP которые наиболее часто блокируются (АВ компании и т.д.) ну и подкрашивать их красным.

 

[K_Mikhail]

Определить IP которые наиболее часто блокируются (АВ компании и т.д.) ну и подкрашивать их красным.

В HOSTS красным светятся любые записи, кроме "поумолчабельной" 127.0.0.1 localhost.

 

[akok]

В HOSTS красным светятся любые записи, кроме "поумолчабельной" 127.0.0.1 localhost.

Я о списке persistent routes