Rootkity i Bootkity

• Kategorie:
  1. Ebooki i Audiobooki »
  2. Informatyka
  1. Ebooki i Audiobooki »
  2. Technika
• Język wydania: polski
• ISBN: 978-83-01-21540-8
• ISBN druku: 978-83-01-21431-9
• Liczba stron: 492
• Sposób dostarczenia produktu elektronicznego
  Produkty elektroniczne takie jak Ebooki czy Audiobooki są udostępniane online po uprzednim opłaceniu (PayU, BLIK) na stronie Twoje konto > Biblioteka.

  Pliki można pobrać zazwyczaj w ciągu kilku-kilkunastu minut po uzyskaniu poprawnej autoryzacji płatności, choć w przypadku niektórych publikacji elektronicznych czas oczekiwania może być nieco dłuższy.

  Sprzedaż terytorialna towarów elektronicznych jest regulowana wyłącznie ograniczeniami terytorialnymi licencji konkretnych produktów.
• Ważne informacje techniczne
• Minimalne wymagania sprzętowe:
  • procesor: architektura x86 1GHz lub odpowiedniki w pozostałych architekturach
  • Pamięć operacyjna: 512MB
  • Monitor i karta graficzna: zgodny ze standardem XGA, minimalna rozdzielczość 1024x768 16bit
  • Dysk twardy: dowolny obsługujący system operacyjny z minimalnie 100MB wolnego miejsca
  • Mysz lub inny manipulator + klawiatura
  • Karta sieciowa/modem: umożliwiająca dostęp do sieci Internet z prędkością 512kb/s
• Minimalne wymagania oprogramowania:
  • System Operacyjny: System MS Windows 95 i wyżej, Linux z X.ORG, MacOS 9 lub wyżej, najnowsze systemy mobilne: Android, iPhone, SymbianOS, Windows Mobile
  • Przeglądarka internetowa: Internet Explorer 7 lub wyżej, Opera 9 i wyżej, FireFox 2 i wyżej, Chrome 1.0 i wyżej, Safari 5
  • Przeglądarka z obsługą ciasteczek i włączoną obsługą JavaScript
  • Zalecany plugin Flash Player w wersji 10.0 lub wyżej.
• Informacja o formatach plików:
  • PDF - format polecany do czytania na laptopach oraz komputerach stacjonarnych.
  • EPUB - format pliku, który umożliwia czytanie książek elektronicznych na urządzeniach z mniejszymi ekranami (np. e-czytnik lub smartfon), dając możliwość dopasowania tekstu do wielkości urządzenia i preferencji użytkownika.
  • MOBI - format zapisu firmy Mobipocket, który można pobrać na dowolne urządzenie elektroniczne (np.e-czytnik Kindle) z zainstalowanym programem (np. MobiPocket Reader) pozwalającym czytać pliki MOBI.
  • Audiobooki w formacie MP3 - format pliku, przeznaczony do odsłuchu nagrań audio.
• Rodzaje zabezpieczeń plików:
  • Watermark - (znak wodny) to zaszyfrowana informacja o użytkowniku, który zakupił produkt. Dzięki temu łatwo jest zidentyfikować użytkownika, który rozpowszechnił produkt w sposób niezgodny z prawem.
  • Brak zabezpieczenia - część oferowanych w naszym sklepie plików nie posiada zabezpieczeń. Zazwyczaj tego typu pliki można pobierać ograniczoną ilość razy, określaną przez dostawcę publikacji elektronicznych. W przypadku zbyt dużej ilości pobrań plików na stronie WWW pojawia się stosowny komunikat.

  Więcej informacji o publikacjach elektronicznych

PRZEDMOWA Rodriga Rubia Branco  xxi
PODZIĘKOWANIA  xxv
SKRÓTY    xxvii
WPROWADZENIE   xxxi
Dlaczego warto przeczytać tę książkę?  xxxii
Co znajdziemy w tej książce?  xxxiii
Część 1: Rootkity xxxiii
Część 2: Bootkity xxxiii
Część 3: Obrona i techniki śledcze  xxxv
Jak czytać tę książkę  xxxvi
CZĘŚĆ I: ROOTKITY  1
1. CZYM JEST ROOTKIT: STUDIUM PRZYPADKU TDL3  3
Historia dystrybucji TDL3 w świecie  4
Procedura infekcji  5
Kontrola przepływu danych  8
	Bring Your Own Linker  8
	Jak działają hooki trybu jądra w TDL3  9
Ukryty system plików  12
Podsumowanie: TDL3 spotyka swoją Nemesis  13
2. ROOTKIT FESTI: NAJBARDZIEJ ZAAWANSOWANY BOT SPAMOWY I DDOS  15
Przypadek botnetu Festi  16
Analiza sterownika rootkita  17
	Informacje konfiguracyjne Festi do komunikacji z C&C  18
	Zorientowana obiektowo platforma Festi  19
	Zarządzanie wtyczkami  20
	Wbudowane wtyczki  21
	Techniki obrony przed uruchomieniem wmaszynie wirtualnej  23
	Techniki antydebuggerowe  25
	Metoda ukrywania złośliwego sterownika na dysku  25
	Metoda ochrony klucza rejestru Festi  28
Sieciowy protokół komunikacyjny Festi  29
	Faza inicjowania  29
	Faza robocza  30
Omijanie oprogramowania antywirusowego i oprogramowania do analizy śledczej  31
Algorytm generowania domeny na wypadek awarii C&C  34
Złośliwa funkcjonalność  35
	Moduł Spam  35
	Mechanizm DDoS  36
	Wtyczka proxy Festi  37
Podsumowanie  38
3. OBSERWOWANIE INFEKCJI ROOTKITAMI  41
Metody przechwytywania  42
	Przechwytywanie zdarzeń systemowych  42
	Przechwytywanie wywołań systemowych  44
	Przechwytywanie operacji plikowych  46
	Przechwytywanie dyspozytora obiektów  48
Przywracanie jądra systemu  50
Wielki rootkitowy wyścig zbrojeń: uwaga nostalgiczna  51
Podsumowanie  53
CZĘŚĆ II: BOOTKITY  55
4. EWOLUCJA BOOTKITU  57
Pierwsze bootkity  58
	Programy infekujące sektor rozruchowy 58
	Elk Cloner i Load Runner  58
	Wirus Brain  59
Ewolucja bootkitów  60
	Koniec ery BSI  60
	Zasada podpisywania kodu trybu jądra  60
	Pojawienie się Secure Boot  61
Nowoczesne bootkity  62
Podsumowanie  64
5. PODSTAWY PROCESU ROZRUCHU SYSTEMU OPERACYJNEGO  65
Ogólny przegląd procesu rozruchu systemu Windows  66
Starszy proces rozruchowy  67
Proces rozruchu Windows  68
	BIOS i środowisko przeduruchomieniowe  69
	Master Boot Record  69
	Volume Boot Record i Initial Program Loader  71
	Moduł bootmgr oraz Boot Configuration Data  73
Podsumowanie  77
6. ZABEZPIECZENIA PROCESU ROZRUCHU  79
Moduł Early Launch Anti-Malware  80
	Procedury wywołań zwrotnych API  80
	Jak bootkity omijają ELAM?  82
Zasada podpisywania kodu trybu jądra  83
	Sterowniki trybu jądra podlegające testom integralności  83
	Lokalizacja podpisów sterowników  84
	Słabość integralności starszego kodu  85
	Moduł ci.dll  87
	Zmiany wmechanizmach ochronnych Windows 8  89
Technologia Secure Boot  90
Zabezpieczenia oparte na wirtualizacji w Windows 10  91
	Second Level Address Translation  91
	Virtual Secure Mode i Device Guard  92
	Ograniczenia Device Guard dotyczace tworzenia sterowników  93
Podsumowanie  94
7. TECHNIKI INFEKCJI BOOTKITÓW  95
Techniki infekcji MBR  96
	Modyfikowanie kodu MBR: technika infekcji TDL4  96
	Modyfikowanie tablicy partycji MBR  103
Techniki infekcji VBR/IPL  104
	Modyfikacje IPL: Rovnix  104
	Infekcja VBR: Gapz  105
Podsumowanie  106
8. STATYCZNA ANALIZA BOOTKITU PRZY UŻYCIU IDA PRO  107
Analizowanie MBR zainfekowanego przez bootkit  108
	Ładowanie ideszyfrowanie MBR  108
	Analizowanie usługi dyskowej BIOS  113
	Analiza tablicy partycji zainfekowanego MBR  118
Techniki analizy VBR  119
	Analizowanie IPL  120
	Inne komponenty bootkitów 121
Zaawansowane wykorzystanie IDA Pro: tworzymy niestandardowy loader MBR  122
	Poznajemy loader.hpp  122
	Implementowanie accept_file  123
	Implementowanie load_file  124
	Tworzenie struktury tablicy partycji  125
Podsumowanie  127
Ćwiczenia  127
9. DYNAMICZNA ANALIZA BOOTKITU: EMULACJA I WIRTUALIZACJA  129
Emulacja przy użyciu Bochs  130
	Instalowanie Bochs  131
	Tworzenie środowiska Bochs  131
	Infekowanie obrazu dysku  134
	Korzystanie zwewnętrznego debugera Bochs  136
	Łączenie Bochs z IDA  137
Wirtualizacja przy użyciu VMware Workstation  139
	Konfigurowanie VMware Workstation  140
	Łączenie VMware GDB z IDA 141
Microsoft Hyper-V iOracle VirtualBox  146
Podsumowanie  146
Ćwiczenia  146
10. EWOLUCJA TECHNIK INFEKOWANIA MBR I VBR: OLMASCO  149
Dropper  150
	Zasoby droppera  151
	Telemetria celem przyszłego rozwoju  152
	Triki zapobiegające debugowaniu iemulacji  153
Funkcjonalność bootkitu  155
	Technika infekcji bootkitem  155
	Proces rozruchu zainfekowanego systemu  156
Funkcjonalność rootkitu  158
	Zahaczanie obiektu urządzenia dysku twardego iwstrzyknięcie payloadu  158
	Obsługa ukrytego systemu plików  158
	Implementowanie Transport Driver Interface wcelu przekierowania łączności sieciowej  161
Podsumowanie  163
11. BOOTKITY IPL: ROVIX I CARBERP  165
Ewolucja bootkitu Rovnix  166
Architektura bootkitu  167
Infekowanie systemu  168
Proces rozruchowy po infekcji iIPL  171
	Implementowanie polimorficznego deszyfratora  171
	Rozszyfrowywanie programu ładującego Rovnix przy użyciu VMware i IDA Pro  172
	Przejmowanie kontroli przez łatanie rozruchowego programu Windows  179
	Ładowanie złośliwego sterownika trybu jądra  182
Funkcjonalność sterownika trybu jądra  184
	Wstrzykiwanie modułu payloadu  184
	Mechanizmy ukrywania isamoobrony  186
Ukryty system plików  187
	Formatowanie partycji jako Virtual FAT  188
	Szyfrowanie ukrytego systemu plików  188
	Uzyskiwanie dostępu do ukrytego systemu plików  189
Ukryty kanał łączności  190
Historia przypadku: połączenie ztrojanem Carberp  192
	Rozwój Carberp  192
	Ulepszenia droppera  194
	Wyciek kodu źródłowego  196
Podsumowanie  196
12. GAPZ: ZAAWANSOWANA INFEKCJA VBR  197
Dropper Gapz  198
	Algorytm droppera  200
	Analiza droppera  201
	Omijanie HIPS  202
Infekowanie systemu bootkitem Gapz  207
	Przypomnienie informacji o bloku parametrów BIOS-u  207
	Infekowanie VBR  209
	Ładowanie złośliwego sterownika trybu jądra  210
Funkcjonalność rootkitu Gapz  212
Ukryty magazyn  215
	Samoobrona przed oprogramowaniem antywirusowym  216
	Wstrzyknięcie payloadu  218
	Interfejs komunikacyjny payloadu  224
	Niestandardowy stos protokołu sieciowego  226
Podsumowanie  229
13. ROZWÓJ RANSOMWARE MBR  231
Krótka historia ransomware  232
Ransomware z funkcjonalnością bootkitu  233
Modus operandi ransomware  234
Analiza ransomware Petya  236
	Uzyskiwanie uprawnień administratora  236
	Infekowanie dysku twardego (krok 1)  237
	Szyfrowanie przy użyciu danych konfiguracyjnych złośliwego programu ładującego  241
	Prowokowanie awarii systemu  245
	Szyfrowanie MFT (krok 2)  245
	Podsumowanie: końcowe przemyślenia na temat Petya  251
Analiza ransomware Satana  252
	Dropper Satana  252
	Infekowanie MBR  252
	Informacje debugowania droppera  254
	Złośliwy MBR Satana  255
	Podsumowanie: końcowe przemyślenia na temat Satana  257
Podsumowanie  258
14. ROZRUCH UEFI A PROCES ROZRUCHOWY MBR/VBR  259
Unified Extensible Firmware Interface  260
Różnice między starszym procesem rozruchowym BIOS a UEFI  261
	Przepływ procesu rozruchu  262
	Partycjonowanie dysku: MBR kontra GPT 262
	Inne różnice  263
Specyficzne cechy tablicy partycji GUID  265
Jak działa oprogramowanie wbudowane UEFI  269
	Specyfikacja UEFI  271
	Wewnątrz loadera systemu operacyjnego  272
	Windows Boot Loader  278
	Zalety UEFI z punktu widzenia bezpieczeństwa  281
Podsumowanie  282
15. WSPÓŁCZESNE BOOTKITY UEFI  283
Przegląd historycznych zagrożeń BIOS-u  284
	WinCIH, pierwszy złośliwy program atakujący BIOS  285
	Mebromi  285
	Przegląd innych zagrożeń i środków zaradczych  286
All Hardware Has Firmware  291
	Podatności UEFI  292
	(Nie)skuteczność bitów ochrony pamięci  293
	Sprawdzanie bitów ochrony  294
Sposoby infekowania BIOS-u  295
	Modyfikowanie niepodpisanego Option ROM UEFI  297
	Dodanie lub zmodyfikowanie sterownika DXE  299
Istota iniekcji rootkitu  300
Rootkity UEFI wykorzystywane watakach  306
	Rootkit Vector-EDK od Hacking Team  307
Podsumowanie  316
16. PODATNOŚCI OPROGRAMOWANIA UKŁADOWEGO UEFI  317
Co sprawia, że oprogramowanie wbudowane jest podatne?  318
Klasyfikowanie podatności UEFI  322
	Podatności „po przejęciu"  323
	Podatności umożliwiające przejęcie łańcucha zaopatrzenia  324
	Neutralizowanie podatności łańcucha dostaw  325
Historia zabezpieczeń oprogramowania układowego UEFI  325
	Jak działają zabezpieczenia BlOS-u  326
	Zabezpieczenia pamięci flash SPI i ich podatności  327
	Ryzyko związane z nieuwierzytelnioną aktualizacją BlOS-u  330
	Ochrona BlOS-u przy użyciu Secure Boot  331
Intel Boot Guard  332
	Technologia Intel Boot Guard  332
	Podatności w Boot Guard  333
Podatności w modułach SMM  336
	Istota SMM  336
	Nadużywanie programów obsługi SMI  336
Podatności w skrypcie rozruchu S3  341
	Istota S3 Boot Script  341
	Wyszukiwanie słabości w skrypcie rozruchu S3  342
	Wykorzystanie podatności skryptu rozruchu S3  343
	Naprawianie podatności skryptu rozruchu S3  346
Podatności wIntel Management Engine  346
	Historia podatności ME  347
	Ataki na kod ME  347
	Studium przypadku: ataki na Intel AMT i BMC  348
Podsumowanie  351
CZĘŚĆ III: OBRONA I TECHNIKI ANALIZY  353
17. JAK DZIAŁA UEFI SECURE BOOT  355
Czym jest Secure Boot?  356
Szczegóły implementacji UEFI Secure Boot 357
	Sekwencja rozruchu  357
	Uwierzytelnianie plików wykonywalnych za pomocą podpisów cyfrowych  359
	Baza danych db  360
	Baza danych dbx  364
	Uwierzytelnienie oparte na czasie  365
	Klucze Secure Boot  366
	UEFI Secure Boot: pełny obraz  368
	Zasady Secure Boot  370
	Ochrona przed bootkitami przy użyciu Secure Boot  373
Atakowanie Secure Boot  374
	Łatanie oprogramowania PI w celu wyłączenia Secure Boot  374
	Modyfikowanie zmiennych UEFI w celu obejścia testów zabezpieczeń  376
Ochrona Secure Boot za pomocą weryfikowanego lub mierzonego rozruchu  377
	Weryfikowany rozruch  378
	Mierzony rozruch  379
Intel BootGuard  379
	Odszukiwanie ACM  380
	Poznawanie FIT  382
	Konfigurowanie Intel BootGuard  384
ARM Trusted Boot Board  386
	ARM Trust Zone  386
	Programy ładujące warchitekturze ARM  387
	Przebieg Trusted Boot  389
Weryfikowany rozruch kontra rootkity oprogramowania układowego  391
Podsumowanie  392
18. SPOSOBY ANALIZOWANIA UKRYTYCH SYSTEMÓW PLIKÓW 393
Przegląd ukrytych systemów plików  394
Odczytywanie danych bootkitu z ukrytego systemu plików  395
	Odczytywanie danych z systemu w stanie offline  395
	Odczytywanie danych w działającym systemie  396
	Zahaczanie sterownika miniportu urządzenia pamięci masowej  396
Analizowanie obrazu ukrytego systemu plików  403
Narzędzie HiddenFsReader  403
Podsumowanie  405
19. ŚLEDZTWA BIOS/UEFI: PODEJŚCIA DO ZDOBYWANIA OPROGRAMOWANIA UKŁADOWEGO I ANALIZ  407
Ograniczenia naszych technik badania  408
Dlaczego badanie oprogramowania układowego jest ważne  408
	Atakowanie łańcucha dostaw  409
	Przełamanie zabezpieczeń BIOS-u przez podatność oprogramowania układowego  409
Pozyskiwanie oprogramowania układowego  410
Podejście programowe do uzyskiwania oprogramowania układowego  411
	Lokalizowanie rejestrów obszaru konfiguracji PCI  412
	Obliczanie adresów rejestru konfiguracji SPI  413
	Korzystanie zrejestrów SPI  414
	Czytanie danych z pamięci flash SPI  416
	Uwzględnianie niedoskonałości podejścia programowego  417
Sprzętowe podejście do uzyskiwania oprogramowania układowego  419
	Przegląd analizy przypadku Lenovo ThinkPad T540p  420
	Lokalizowanie układu pamięci flash SPI  421
	Odczytywanie pamięci flash SPI przy użyciu modułu FT2232  422
Analizowanie obrazu oprogramowania układowego przy użyciu UEFITool  425
	Poznawanie regionów pamięci flash SPI  425
	Przeglądanie regionów pamięci flash SPI przy użyciu UEFITool  426
	Analizowanie regionu BIOS-u  428 
Analizowanie obrazu oprogramowania układowego przy użyciu Chipsec  432
	Poznawanie architektury Chipsec  433
	Analizowanie oprogramowania układowego przy użyciu Chipsec Util  434
Podsumowanie  437
SKOROWIDZ  439