【轉貼】iThome online : : 揪出資安威脅藏鏡人：傀儡程式

[FYI]

iThome online : : 揪出資安威脅藏鏡人：傀儡程式

在臺灣，傀儡網路攻擊案件媒體曝光率雖然不高，但臺灣卻是全球感染傀儡程式、遭受傀儡網路攻擊最盛的國家之一。根據賽門鐵克全球網路安全威脅報告指出，臺灣在2005年上半年，名列全球傀儡程式感染國第10名，到2005年下半年則上升為第7名；而臺北市更以全球14%的傀儡程式感染率，排名亞太區Bot感染城市第3名，全球排名第6名。

Sysinternals - RootkitRevealer
Tripwire Enterprise/Open Source Tripwire Comparison(Linux)
FREE TOOLS(有許多免費的掃描程式)

補充: (2006-12-28)
大砲開講 | 趨勢科技發佈 RootkitBuster BETA !
大砲開講
卡巴斯基 Kaspersky Blog | 防毒軟體如何對抗 Rootkit

補充: (2006-12-30)
【軟體】Sophos 提供免費 Rootkit 移除工具

補充: (2007-01-12)
malware-test.com > 中文討論區 (Chinese Edition) > 惡意程式分析工具/軟體
大砲開講 » Blog Archive » 反間諜軟體的未來
大砲開講 » Blog Archive » 如何辦識系統上有沒有惡意程式或間諜軟體(上)
大砲開講 » Blog Archive » 如何辦識系統上有沒有惡意程式或間諜軟體(下)

[FYI]

愈來愈多軟體商推出免費的反傀儡程式工具, 小弟前面也介紹了其中三套, 然而不論是哪一套, 還不如Rootkit 作者的說法來得有公信力

Sysinternals Forums: Unreal: Rootkit Detectors / Bypassing

ARK TESTS:
========================================
1. Rootkit Unhooker v3.01 BYPASSED
2. Rootkit Revealer v1.71 BYPASSED
3. F-Secure Blacklight BYPASSED
4. DarkSpy v1.05 BYPASSED
5. DarkSpy v1.05fixedbeta2 BYPASSED
6. IceSword v1.20 BYPASSED
7. GMER v1.012 BYPASSED
8. Helios v1.1a BYPASSED
9. SVV v2.3 BYPASSED
10. McAfee Rootkit Detective BYPASSED
11. Sophos AntiRootkit BYPASSED
12. TrendMicro RootkitBuster BYPASSED
13. AVG AntiRootkit BYPASSED
14. AVZ v4.23 ARK Module BYPASSED
15. BitDefender Rootkit Uncover BYPASSED
16. Panda AntiRootkit BYPASSED
17. Panda Tycan BYPASSED
18. modGreeper v0.3 BYPASSED
19. flister BYPASSED
20. UnHackMe BYPASSED
21. SEEM v4.x BYPASSED
22. SafetyCheck v1.5.x BYPASSED
23. Avira AntiRootkit BYPASSED
24. HiddenFinder v1.301 BYPASSED
25. RkDetector v0.6 BYPASSED
========================================

可別讓以上結果嚇壞了您, 先補充一下前提, 以免大家誤解其測試方法:

This rootkit is not intended to be runned with Host Intrusion Prevention Systems.
It is intended ONLY for testings with modern AntiRootkit software.

這一段說明得很清楚, 測試的目的不在於防止Unreal Test Rootkit 入侵, 而在於入侵之後, 如何以各家的Anti-Rootkit 技術偵測Unreal 的存在! 困難度可想而知, 除了Unreal 使用特殊隱藏技術之外, 如何根據其行為特徵把它找出來, 而不是靠肉眼瞎猜, 這才是重點, 此外為了避免被EP_X0FF 點名, 小弟也必須請大家仔細閱讀BYPASSED List 之前的介紹, 因為少數參與討論的人士未仔細閱讀前言, 因而引發不必要的論戰, 有人說他們能偵測Unreal, 然而那可能是 "看圖說故事" 的結果, 當然這還有爭論, 各有各的堅持, 若沒有把每個人的論點全盤看完, 還真難搭上腔, 小弟想指出的是Unreal 的目的在於測試各家Anti-Rootkit 的能力, 所以前提是假設你已經中了不知名的Rootkit, 要如何去找出來? 而不是拼命解釋這款代誌嘸可能發生, 我有安裝XXX, 所以一定可以偵測到, 或者只要使用受限制的用戶就不必擔心, 如此種種文不對題的話, 只會讓人看了搖頭, 再說天下沒有完美的系統, 就算使用受限制的用戶, Rootkit 還是有可能找出漏洞提昇權限, 如今Unreal.A 展示了一種新的能力(非指入侵, 而是隱藏), 也許您會說 "知道了, 我們可以對付它", 但是誰有把握對付尚未發表的Unreal.B 加上補也補不完的漏洞呢? 其實這本來就是一場永無止境的競賽, 勝利只是暫時的, 實在沒必要多做無謂的爭執, 不過小弟另外想指出的, 是參與討論的雙方實力不對等, 所以才無法激盪出智慧的火花, 除了並未露面的PJF 之外, 上得了檯面的也只有mj0011, 少了周瑜, 何以彰顯孔明的智慧?

PS. 這些俄共實在很厲害, 不但看老共的文章, 挖出人家的私房照, 就連malware-test.com 也被盯上, 當然也包含其他批評他們的文章, 似乎沒有什麼事情可以逃過他們的法眼, 實在冒犯不得啊!

除了冰刃(IceSword)之外, 小弟特別引用EP_X0FF 的一段話:

Unreal.A (v1.0) source code has been sent to F-Secure Researchers, because they antirootkit has the more potential than any other from AV company.

坦白說, 看老俄大喇喇地說 "BULLsh*t", "su**", "f**ked" 和 "WTF" (enhanced "f**k"), 看得小弟也不免血脈噴張, 真是快人快語!

[剛接觸的新手]

我對相關測試方法比較有興趣，能簡單介紹一下嘛?

[FYI]

方法? 就是要勇於嘗試啊! 看看您所使用的反間諜(毒)軟體是否能夠讓您高枕無憂? 不過千萬別告訴小弟您剛一安裝 "Unreal.A", 馬上就被反間諜軟體逮到了, LOL! 請把#2再看仔細一點, 否則別人無法研判該給您一本國語字典, 還是一張巨匠電腦的試聽券

Unreal & Rootkit Unhooker - Download

如果您還不放心的話, 那就借您一件金鐘罩鐵布杉

【轉貼】PowerShadow-方便安全的軟體測試平台 - PCZONE 討論區

不過小弟平時就有穿防彈衣做重點保護

【轉貼】Mark's Blog : Running as Limited User - the Easy Way - PCZONE 討論區

不入虎穴, 焉得虎子?

ROOTKIT
Anti Rootkit Software, News, Articles and Forums

Rootkit - Wikipedia, the free encyclopedia

There is a way to delete a rootkit using another filesystem driver when the system is online. Rkdetector v2.0 implements a way to wipe hidden files when the system is running using its own NTFS and FAT32 filesystem driver. Once erased and after a system reboot, rootkit files will not be loaded because data contained is corrupted.

徹底掃除Rootkit 的方法之一, 就是啟動另一個乾淨的系統, 然後進行地毯式搜尋, 當然這也是不得已的, 除了上述Rkdetector 之外, 製作一個WinPE/BartPE 緊急救援系統也不失為一個好方法, 平時就得多燒香, 才不會臨時抱佛腳