V tomto článku si projdeme absolutně základní principy a fungování rootkitů v kernel mode - podíváme se na to, co je od rootkitů očekáváno a jak těchto očekávání dosáhnout. Rovněž si základní rootkit napíšeme a zaimplementujeme do něj nekteré krycí techniky a bypassneme tak například IceSword, či Eset SysInspector.

Pozvanie na rozhovor prijal zakladateľ a hlavný administrátor projektu HoneyNet.cz David Vorel. V rozhovore je veľa informácií o projekte, jeho činnosti a cieľoch, ale aj o IT hrozbách.

Mohol by si menej znalým čitateľom objasniť v stručnosti čo je honeypot?

Honeypoty jsou jednoduše řečeno systémy určené k lapení útočníka a zaznamenání průběhu jeho útoku. Honeypoty se pak na základě jejích použitého vybavení dělí na nativní/nenativní, s nízkou/vysokou mírou dle jejich interakce vůči okolí a výzkumné/produkční dle typu jejich nasazení.

V tomto článku si povíme něco o souborových systémech, jimiž byly formátovnány diskety a pevné disky v dobách MS-DOSu a "raných" verzí Windows. FAT souborové systémy se sice stále používají, ale s příchodem Windows NT byly zvláště na pevných discích nahrazeny souborovým systémem NTFS, o kterém si možná v budoucnu také něco řekneme.

Cílem tohoto článku není podat informace o tom, co FAT (ne)umí či jej srovnávat s NTFS (důvody vzniku obou systémů jsou rozdílné), ale podívat se, jak to na médiu formátovaném takovýmto jednoduchým souborovým systémem vypadá.

Většina škodlivého kódu je napsaná velmi lamersky. Proto jsou programy jako HjackThis nebo Combofix stále našimi dobrými pomocníky, ačkoliv mají fatální slabiny. Existuje však i malá část malware, která je napsána velmi zkušenými a vnitřností operačního systému znalými jedinci. Někteří (včetně mě) považují Rustock C právě za takový kousek. Proto si o něm povíme něco bližšího.

ENGLISH VERSION

Konečně vyšel čas a s ním je tu i nový proof-of-concept, který jsem se rozhodl napsat po určitém výroku ohledně HijackThis a Combofix, který zněl nějak podobně: "co nevidí HJT, uvidí Combofix". Oba dva programy jsou relativně hojně využívané a jejich logy jsou směrodatné v detekci a léčení nákazy v systému na nemálo fórech týkajících se bezpečnosti.

V ostatnom čase sa značne rozšíril škodlivý software označovaný ako INF/Autorun. V správe Eset-u o globálnych hrozbách za mesiac jún figuruje na treťom mieste. INF/Autorun je súhrnné označenie pre rodinu trójskych koní, ktoré na svoje šírenie zneužívajú funkciu automatického spustenia (autorun) vymeniteľných diskov (napr. USB kľúčov).