Евгений Родионов , Алекс Матросов , Сергей Братусь - Руткиты и буткиты. Обратная разработка вредоносных программ и угрозы следующего поколения

Алекс Матросов, Евгений Родионов, Сергей Братусь

Руткиты и буткиты

ROOTKITS
AND BOOTKITS
Reversing Modern Malware
and Next Generation Threats

by Alex Matrosov,
Eugene Rodionov,
and Sergey Bratus

San Francisco

РУТКИТЫ
И БУТКИТЫ
Обратная разработка
вредоносных программ и угрозы
следующего поколения

Алекс Матросов,
Евгений Родионов,
Сергей Братусь

Москва, 2022

УДК 004.056
ББК 32.973.202
М33

Алекс Матросов, Евгений Родионов, Сергей Братусь
М33 Руткиты и буткиты. Обратная разработка вредоносных программ и угрозы следующего поколения / пер. с англ. А. А. Слинкина. – М.: ДМК Пресс,
2022. – 442 с.: ил.
ISBN 978-5-97060-979-8
Эта книга посвящена обнаружению, анализу и обратной разработке вредоносного ПО. В первой части описываются примеры руткитов, показывающие, как
атакующий видит операционную систему изнутри и находит способы надежно
внедрить свои импланты, используя собственные структуры ОС. Вторая часть
рассказывает об эволюции буткитов, условиях, подхлестнувших эту эволюцию, и
методах обратной разработки таких угроз.
Издание адресовано широкому кругу специалистов по информационной
безопасности, интересующихся тем, как современные вредоносные программы
обходят защитные механизмы на уровне операционной системы.

УДК 004.056
ББК 32.973.202

Copyright © 2019 by Alex Matrosov, Eugene Rodionov, and Sergey Bratus. Title of Englishlanguage original: Rootkits and Bootkits: Reversing Modern Malware and Next Generation
Threats, ISBN 9781593277161, published by No Starch Press Inc. 245 8th Street, San Francisco,
California United States 94103. The Russian-Language 1st edition Copyright © 2022 by DMK
Press Publishing under license by No Starch Press Inc. All rights reserved.
Все права защищены. Любая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения
владельцев авторских прав.

ISBN 978-1-59327-716-1 (англ.)
ISBN 978-5-97060-979-8 (рус.)

Copyright © 2019 by Alex Matrosov, Eugene Rodionov,
and Sergey Bratus
© Перевод, оформление, издание, ДМК Пресс, 2022

Посвящается нашим семьям
и всем помогавшим в создании этой книги

СОДЕРЖАНИЕ

От издательства............................................................................................................... 13
Об авторах......................................................................................................................... 14
О техническом рецензенте. ......................................................................................... 14
Вступительное слово...................................................................................................... 15
Благодарности.................................................................................................................. 17
Список аббревиатур....................................................................................................... 18
Введение............................................................................................................................ 22
Для кого предназначена эта книга.............................................................................. 23
Структура книги............................................................................................................... 23
Как читать эту книгу. ...................................................................................................... 26

Часть I. Руткиты................................................................................................................ 27
Глава 1. Что такое руткит: TDL3.................................................................................. 28
История распространения TDL3 по миру. ................................................................. 29
Процедура заражения..................................................................................................... 30
Управление потоком данных......................................................................................... 32
Скрытая файловая система............................................................................................ 36
Итог: TDL3 встретил свою Немезиду............................................................................. 37

Глава 2. Руткит Festi: самый продвинутый бот для спама и DDoS-атак......... 39
Дело о сети ботов Festi.................................................................................................... 40
Устройство драйвера руткита. ...................................................................................... 41

Конфигурационная информация Festi для взаимодействия
с командно-управляющим сервером........................................................................ 42
Объектно-ориентированная структура Festi................................................................ 43
Управление плагинами................................................................................................... 44
Встроенные плагины...................................................................................................... 45
Методы противодействия виртуальной машине.......................................................... 47
Методы противодействия отладке................................................................................. 48
Метод сокрытия вредоносного драйвера на диске....................................................... 49
Метод защиты раздела реестра Festi............................................................................. 51
Сетевой протокол Festi................................................................................................... 52
Фаза инициализации...................................................................................................... --">