BootKits time (Руткиты загрузочных областей)

Nov 23, 2010 04:06

Windows BootKit это реализация новой волны аттаки на все поддерживаемые версии windows от 2000 до 7. Буткит загружается до старта операционки и находится в памяти ввиде резидента контролируя ядро os windows. Stoned Bootkit один из полупубличных проектов, этот руткит поддерживает плагины, сборку под атаку. Проект является opensource'ным под веселой лицензией European Union public License.
Чуть подробнее:
Bootkit является загрузочным вирусом при помощи установки системных hook'ов и patch'ей интегрируется в ядро операционной системы Windows, и получает не авторизованный доступ к компьютеру. Это позволяет не обращаться внимание на шифрование файловой системы, так как master boot record не шифруется (ну а где оно шифруется хех). Допустим ваша загрузочная область жесткого диска содержит софт который спросит пароль, чтобы раскриптовать ваш диск, ну дык вот, буткит еще ниже себя пропишет, так увы никто не защищен. (Под сомнением, извратится можно, но не для лемингов увы). Протестировано на FAT/NTFS/TrueCrypt - owned:) Пароль на bios на спасет, так же как и протекцияч на запись загрузочной области из самого bios'a, работает только для DOS,win95/98, hardware защита ввиде донглов и usbflash тоже не спасает, так как все завязано на софт, который выполнится всегда после откротой для взлома загрузочной области.
Последнии версии от v2.х Stoned Bootkit поддерживают 64bit платформы windows, а так же Linux платформы, и ввиде експиримента заражение BIOS'a перепрошивка в свободную область ( уже нцать лет как не новость, но в массовый паблик релизы вот особо не выдавал никто).
Последний build умеет работать с токенами ядрами ( ну и ленивые суки ужс), поднимая себя до уровня system через вызов cmd.exe уже с нужными правами. Последнии сборки можно получать подписавших на рассылку на их сайте.
Собственно вопрос, как заразить жертву этим чудом, вот тут скромные

PDF with Stoned v2 Infector

You can create now your own PDF with malcode that executes the Stoned infector! The PDF Infector will infect the system when the PDF is viewed!

1. We use the new PDF exploit available from http://milw0rm.org/exploits/9579, download the package.
It works for Adobe Acrobat/Reader < 7.1.1/8.1.3/9.1 and Windows XP.
You need Pyhton 2 and Visual C++ installed (both free available).

2. Open the "Visual Studio 2008-Eingabeaufforderung" (Visual Studio command line prompt)
Download the source code for the dropper that downloads the infector from the internet and executes it. Save it as Stoned.c and run "cl /LD Stoned.c":

Unfortunately this specific PDF exploit does not allow big files as payload, so the infector cannot directly be embedded into the PDF (only the small dropper which downloads it from the internet). However, for other exploits, you can use the dll version of the infector (a LoadLibrary will do it).

3. Create the malicious PDF, in the package execute: evil_pdf.py Stoned.pdf Stoned.dll
You should also consider changing the displayed text of the PDF to something trustworthy, use CAD-KAS PDF Editor to edit the Stoned.pdf.

4. Everyone who opens Stond.pdf get's stoned!

Download the PDF infector (Warning, infects when viewing!)

Скачать - Stoned BootKit framework
Скачать - Infector file

newway, cpp, 2003, attack, bootkit, 2000, sources, vista, 7, xp, framework, windows

Previous post Next post
Up