Phân tích rootkit Necurs

[HustReMw]

Trước khi vào phân tích, chúng ta tóm tắt các hành vi chính của rootkit

• Block driver của hơn 30 AV
• obfuscated code
• Giải mã code
• Tự động bảo vệ chính nó bằng cách chặn các tác động đến process và registry

Trước khi tiếp tục đọc phần phân tích ở dưới. Bạn có thể tham khảo link sau để nắm được các phân tích động rootkit bằng windbg: https://whitehat.vn/threads/phan-tich-dong-rootkit-bang-windbg.4906/#post-24303

Sau khi load được rootkit, đi từng bước các lệnh, nhận thấy được code giải mã như sau

Sử dụng commanline s 822bbe2b L-10000 'M' 'Z' để tìm tới MZ để dump code

Sau khi dump được code, tới đây chúng ta đã được code sạch, từ đây có thể phân tích tĩnh bằng IDA

Rootkit đăng ký nhận thông tin mỗi khi có driver được load bằng hàm LoadImageNotifyRoutine(https://msdn.microsoft.com/en-us/library/windows/hardware/ff559957(v=vs.85).aspx)

Nó kiểm tra driver trong blacklist, nếu có sẽ return STATUS_UNSUCCESSFULL, như vậy driver sẽ không load thành công.

Rootkit chặn các tác động đến key registry của nó. Kỹ thuật này bạn có thể tham khảo ở link sau https://msdn.microsoft.com/ru-ru/library/windows/hardware/ff545879(v=vs.85).aspx

Ngoài các hành vi phân tích ở trên, Necurs còn có một số hành vi khác. Dưới đây là sơ đồ tổng hợp tất cả hành vi của nó một cách dễ hiểu nhất

 

Mình có một số câu hỏi:

1. Các trình AV có self-defense thì con rootkit này block driver như nào?
2. Đối với Windows 7 x64 trở nên SSDT đã bị bảo vệ bởi Windows thì con rootkit này làm các nào để hook ssdt

Câu hỏi của bạn rất hay. mình trả lời 2 câu hỏi của bạn
1. Điều này chỉ đúng khi máy bị nhiễm rootkit trước.
2. Win 64bit, cơ chế bảo vệ cao hơn nhiều so với win32 như: check signature, chặn hook... Rookit trên win64 ít hơn nhiều so với 32.