如何使用Kdrill检测Windows内核中潜在的rootkit

于 2024-08-26 19:57:52 发布
阅读量477 收藏 13
点赞数 19
分类专栏: 工具 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FreeBuf_/article/details/141572106
版权

关于Kdrill

Kdrill是一款用于分析 Windows 64b 系统内核空间安全的工具,该工具基于纯Python 3开发,旨在帮助广大研究人员评估Windows内核是否受到了rootkit攻击。

需要注意的是,该项目与Python2/3兼容,无其他依赖组件,无需 Microsoft 符号或网络连接即可执行安全检查。KDrill 还可以分析完整崩溃转储和内核崩溃转储(主要存储在 中C:\Windows\MEMORY.DMP)、完整原始内存转储和 AFF4 转储的压缩版本(zip,但不是压缩的)。

功能介绍

Kdrill可以访问物理内存并解码/重建操作系统内部结构来探索它们并验证它们的完整性,并能够执行以下检查:

1、已加载模块列表

2、内存代码中的驱动程序

3、内核对象和内部 ntoskrnl 列表的回调

4、即插即用树和过滤器

5、内核类型回调

6、FltMgr 回调

7、KTimers DPC 函数

8、IRP 驱动程序表

9、驱动程序使用回调签名全局变量

10、NDIS 筛选器和回调NDIS filters and callbacks

11、NetIO/FwpkCLNT 过滤调度

12、设备及其附加的设备对象

13、IDT 条目

14、PatchGuard 初始化和状态

工具要求

Python 3

工具安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/ExaTrack/Kdrill.git

Rootkit示例

Winnti

Winnti替换了 TCPIP 的 NDIS 回调中的函数指针。使用以下cndis命令我们可以识别它:

#>> cndis

 [*] Checking NDIS Firewall layers

  [*] List from fffffa80033d3d70

    Driver      : pacer.sys

    GUID        : {B5F4D659-7DAA-4565-8E41-BE220ED60542}

    Description : QoS Packet Scheduler

    Driver      : wfplwf.sys

    GUID        : {B70D6460-3635-4D42-B866-B8AB1A24454C}

    Description : WFP LightWeight Filter

 [*] Checking NDIS Protocol layers

  [*] List from fffffa8002a71a60

    Name : NDIS6FW

  Callback fffff88003329e50 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS

  Callback fffff88003329e50 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS

[...]

    Name : NDISWAN

    Name : WANARPV6

    Name : WANARP

    Name : TCPIP6TUNNEL

    Name : TCPIPTUNNEL

    Name : TCPIP6

    Name : TCPIP

  Callback fffff8800332a660 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS

  Callback fffff8800332a810 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS

Turla/Uroburos

PspCreateProcessNotifyRoutine 内部的回调:

#>> ccb

  [*] Checking \Callback\TcpConnectionCallbackTemp : 0xfffffa8002f38360

  [*] Checking \Callback\TcpTimerStarvationCallbackTemp : 0xfffffa8004dfd640

  [*] Checking \Callback\LicensingData : 0xfffffa80024bc2f0

  [*] Checking \Callback\LLTDCallbackRspndr0006000006000000 : 0xfffffa80048713a0

[...]

 [*] PspLoadImageNotifyRoutine

 [*] PspCreateProcessNotifyRoutine

  Callback fffffa8004bc2874 -> SUSPICIOUS ***Unknown*** 48 89 5c 24 08 57 48 81 ec 30 01 00 00 48 8b fa

该rootkit还在FwpkCLNT中插入了网络IO过滤:

#>> cnetio

  [*] FwpkCLNT/NetIo Callouts (callbacks) : fffffa8004965000 (4790)

  Callback fffffa8004bd9580 -> SUSPICIOUS ***Unknown*** 48 8b c4 48 89 58 08 48 89 50 10 55 56 57 41 54

  Callback fffffa8004bca6b0 -> SUSPICIOUS ***Unknown*** 33 c0 c3 cc 40 53 48 83 ec 20 48 8b 89 50 01 00

工具使用演示

列出模块(带或不带过滤器):

#>> lm winp

 fffff806bd4f0000    10000  \??\C:\Kdrill\winpmem_x64.sys

显示特定地址的转储:

#>> dq nt 40

 FFFFF80668000000  0000000300905A4D 0000FFFF00000004  MZ..........##..

 FFFFF80668000010  00000000000000B8 0000000000000040  ........@.......

 FFFFF80668000020  0000000000000000 0000000000000000  ................

 FFFFF80668000030  0000000000000000 0000011800000000  ................

Kdrill 嵌入了 LDE,以实现最小的 x86 反汇编。你可以使用它来查看操作码的微小细节:

#>> u nt!NtReadFile 10

> fffff806685f44d0 | 4c894c2420                       |

  fffff806685f44d5 | 4c89442418                       |

  fffff806685f44da | 4889542410                       |

  fffff806685f44df | 53                               |

  fffff806685f44e0 | 56                               |

  fffff806685f44e1 | 57                               |

显示指向地址的转储:

#>> dq poi(nt!LpcPortObjectType)

 FFFFAA0F7DD524E0  FFFFAA0F7DD524E0 FFFFAA0F7DD524E0  .$.}..##.$.}..##

 FFFFAA0F7DD524F0  0000000000140012 FFFFD5000BF7DC90  ..............##

 FFFFAA0F7DD52500  00000000000000F9 0000107C0000002E  ............|...

 FFFFAA0F7DD52510  0000140B00000F31 000000000000137D  1.......}.......

您可以使用池中的引用来显示数据块Header:

#>> fpool poi(nt!LpcPortObjectType)

Pool        : ffffaa0f7dd52470

  Tag       : ObjT

  Size      : 150

  Prev Size : 0

列出对象目录对象:

#>> winobj \Callback

 Callback        \Callback\IGD_WNICShareObj  (ffffaa0f8697ae30)

 Callback        \Callback\WdProcessNotificationCallback  (ffffaa0f7ebf9d30)

 Callback        \Callback\LLTDCallbackRspndr0006008004000000  (ffffaa0f88872c60)

[...]

获取有关内存中随机对象的信息:

#>> !addr ffffaa0f7ed3fb10

Pool        : ffffaa0f7ed3fac0

  Tag       : Devi

  Size      : 210

  Prev Size : 0

#>> !addr FFFFF80668CFB280

fffff80668cfb280 in \SystemRoot\system32\ntoskrnl.exe

ntoskrnl+cfb280

获取页面的 PTE 权限:

#>> list fffff80668cfb280

    FFFFF80668CFB000 rw--

列出内核内存地址和映射文件之间的关系:

#>> filecache

Vacb : ffffaa0f7dde4000 ; size : 6

0xffffc186e4100000 \Windows\System32\catroot2\edb.log (9684)

0xffffc186fb4c0000 \$MapAttributeValue (320)

[...]

许可证协议

本项目的开发与发布遵循BSD-3-Clause开源许可协议。

项目地址

Kdrill:【GitHub传送门

参考资料

GitHub - BeaEngine/lde64: LDE64 (relocatable) source code

WinPmem/src/binaries/winpmem_x64.sys at master · Velocidex/WinPmem · GitHub

FreeBuf-
关注
  • 19
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
审计发现 FBI 的数据存储管理存在重大漏洞
08-26 73
据The Hacker News消息,美国司法部监察长办公室 (OIG) 的一项审计发现, FBI 在库存管理和处置涉及机密数据的电子存储媒体方面存在“重大漏洞”。此外,FBI表示正在安装一种保护性“笼子”,用作文件的存储点,这些文件将被视频监控全方位覆盖。OIG 希望 FBI 在 90 天内落实相应的整改。FBI 存储设施中使用的保护性铁笼。FBI 设施中暴露的存储设备托盘。
博客
SecretPixel:一款整合了多种技术的高级图像隐写工具
08-23 938
1、高级加密:SecretPixel 使用 AES-256 加密数据,并使用 RSA 公钥加密技术进一步加密会话密钥。这种双层加密确保只有相应 RSA 私钥的持有者才能解密隐藏信息,从而提供高水平的安全性;2、压缩:加密前,使用 zlib 压缩数据以减小其大小。这不仅使流程更加高效,还有助于最大限度地减少可能被隐写分析工具检测到的模式;3、种子 LSB 隐写术:该工具采用种子随机数生成器来确定用于嵌入数据的像素位置。这种方法将隐藏位分散到整个图像中,使其更能抵抗 zsteg 等隐写分析工具的检测;
博客
官方强烈建议更新,关键漏洞影响GitHub Enterprise Server 所有版本
08-23 351
近日,GitHub Bug Bounty 计划报告了一个影响 GitHub Enterprise Server(GHES)当前所有支持版本的关键漏洞(CVE-2024-6800),该漏洞可能允许攻击者获得对该实例内容的无限制访问。目前,漏洞已经解决,强烈建议管理员尽快更新,以确保系统安全。
博客
Dumpy:一款针对LSASS数据的动态内存取证工具
08-22 853
为了在不调用 lsass 上的 OpenProcess 的情况下获得有效的进程句柄,系统中的所有进程句柄都使用 NtQuerySystemInformation、NtDuplicateObject、NtQueryObject 和 QueryFullProcessImageNameW 进行分析。它将执行转储 lsass 的主要逻辑。如果您想要为 x86 系统编译该工具,请修改文件 .cargo\config 中的选项“target”的值(例如:target =“i686-pc-windows-msvc”)。
博客
单个像素的威胁:微小的变化如何欺骗深度学习系统
08-22 1093
深度学习是人工智能的一个子集,涉及训练神经网络来识别数据中的模式。这些神经网络会模仿人类大脑的结构和功能,使它们能够从大量数据中学习,并做出预测或决策。例如,深度学习模型可以识别图像中的物体,理解口语(自然语言处理/ NLP),甚至可以从医学图像中诊断疾病。单像素攻击通过改变输入图像的单个像素来攻击深度学习模型,导致模型对图像进行错误分类。这种攻击使用差分进化算法来识别要修改的最优像素。该方法在不知道模型内部参数的情况下仍然有效。单像素攻击在许多领域都会带来严重风险。
博客
攻击手法罕见!ESET披露最新网络钓鱼活动,专门针对Android、iPhone用户
08-21 509
ESET 研究人员发现了一种罕见的网络钓鱼活动,专门针对 Android 和 iPhone 用户。他们分析了一个在野外观察到的案例,该案例主要是针对一家著名的捷克银行的客户。值得注意的是这种攻击主要是从第三方网站安装钓鱼应用程序,而无需用户主动安装。这有可能导致使用安卓系统的用户设备上会被隐秘安装一种特殊的 APK,隐蔽性很高,很难发现,它看起来甚至有点像是用户从 Google Play 商店安装的。这种钓鱼攻击威胁也针对 iOS 用户。PWA 网络钓鱼流程(来源:ESET)
博客
Agentic Security:一款针对LLM模型的模糊测试与安全检测工具
08-21 1308
1、可定制的规则集;2、基于代理的测试;3、针对任何 LLM 进行全面模糊测试;4、LLM API 集成和压力测试;5、整合了多种模糊测试和安全检测技术;
博客
WPS Office两个严重漏洞曝光,已被武器化且在野利用
08-19 1449
WPS Office作为一款用户基数超过2亿的广泛使用的办公套件,被发现存在两个关键漏洞(CVE-2024-7262和CVE-2024-7263),这些漏洞可能导致用户遭受远程代码执行攻击。这两个漏洞的CVSS评分为9.3,表明它们的严重性很高,且易于被利用。其中CVE-2024-7262已经被武器化,ESET的安全研究人员发现它正在野外被积极利用。但也有圈内小道消息称,该漏洞只会影响国际版,国内版本不受影响。
博客
Startup-SBOM:一款针对RPM和APT数据库的逆向安全工具
08-19 1121
此命令以 chroot 分析模式运行程序,它分析安装在位于/mnt的已安装卷上的软件包,并将输出保存在名为 的 JSON 文件中output.json。Startup-SBOM是一款针对RPM和APT数据库的逆向分析与安全检测工具,该工具本质上是一个简单的 SBOM 实用程序,旨在提供正在执行的包的内部视图,可以帮助广大研究人员枚举所有软件包以及可执行文件、服务和版本。它分析安装在位于/mnt的已安装卷上的软件包,并将输出保存在名为output.json的 JSON 文件中。指定静态模式的分析类型。
博客
Ropdump:针对二进制可执行文件的安全检测工具
08-16 670
1、识别二进制可执行文件中的潜在 ROP 小工具。2、通过分析易受攻击的函数来检测潜在的缓冲区溢出漏洞。3、生成漏洞检测模板,加快漏洞检测过程4、通过分析内存分配函数来识别潜在的内存泄漏漏洞。5、可以打印函数名称和地址以供进一步分析。6、支持搜索特定的指令模式。
博客
Gafgyt僵尸网络针对云原生环境,SSH弱密码成GPU挖矿新目标
08-16 526
它还会执行一个蠕虫模块,这是一个基于 Go 的 SSH 扫描器,名为 ld-musl-x86,负责扫描互联网上安全性较差的服务器,并将恶意软件传播到其他系统,从而有效扩大僵尸网络的规模。值得注意的是,Gafgyt 的源代码于 2015 年初在网上泄露,进一步助长了其新版本和适应版本的出现。最新的攻击链涉及使用弱密码暴力破解 SSH 服务器,部署下一阶段有效载荷,以便使用 “systemd-net ”进行加密货币挖矿攻击,但在这一过程中,会先终止在受感染主机上运行的其他竞争性恶意软件。
博客
XMGoat:一款针对Azure的环境安全检测工具
08-15 912
XMGoat是一款针对Azure的环境安全检测工具,XM Goat 由 XM Cyber Terraform 模板组成,可帮助您了解常见的 Azure 安全问题。2、使用初始用户和服务主体凭据,根据场景流程对目标环境执行安全测试(例如,XMGoat/scenarios/scenario_1/scenario1_flow.png)。3、如果您需要安全测试帮助,请参考解决方案(例如,XMGoat/scenarios/scenario_1/solution.md)。1、运行安装程序然后开始。
博客
GitHub Actions 遭利用,14个热门开源项目令牌泄露风险激增
08-15 1060
近日,有攻击者通过 CI/CD 工作流中的 GitHub Actions 工具窃取了谷歌、微软、AWS 和 Red Hat 等多个知名开源项目的 GitHub 身份验证令牌。窃取这些令牌的攻击者可在未经授权的情况下访问私有存储库、窃取源代码或向项目中注入恶意代码。Palo Alto Networks Unit 42 发现这个情况后,立刻敦促所有受到影响的企业立刻采取行动。但由于 GitHub 暂未对此有所行动,因此根本问题仍未解决。
博客
X-Recon:一款针对Web安全的XSS安全扫描检测工具
08-14 1788
1、子域名发现:检索目标网站的相关子域名并将其整合到白名单中。这些子域名可在抓取过程中使用;2、全站链接发现:根据提供的白名单和指定的max_depth收集整个网站的所有链接;3、表单和输入提取:识别提取的链接中找到的所有表单和输入,生成 JSON 输出。此 JSON 输出是利用该工具的 XSS 扫描功能的基础;4、XSS 扫描:一旦开始侦察选项返回包含提取条目的自定义 JSON,X-Recon 工具就可以启动 XSS 漏洞测试过程并为您提供所需的结果;
博客
2024年运营技术与网络安全态势研究报告:遭遇多次网络威胁的比例暴增
08-14 1027
OT 对于全球各地的企业和政府而言至关重要,因为它囊括了关键基础设施、医疗保健系统和制造运营系统。OT 和 ICS 系统不可或缺的性质恰恰使它们面临更高的安全风险。据 NIST 称,OT 安全目标通常优先考虑完整性和可用性,其次是机密性,但随着 OT 网络环境的急剧恶化,组织也应将 OT 安全视为首要任务。正如《2024 年运营技术与网络安全态势研究报告》显示,有积极迹象表明,OT安全在许多组织中正趋于成熟。
博客
FreeBSD 针对OpenSSH 高危漏洞发布紧急补丁
08-13 1046
近日,FreeBSD 项目的维护者针对OpenSSH 高危漏洞发布了紧急补丁。该漏洞被追踪为 CVE-2024-7589,CVSS 得分为 7.4(最高分为 10.0)。通过利用该漏洞,黑客能够在权限提升的情况下远程执行任意代码。根据上周发布的一份公告,sshd(8) 中的一个信号处理器可能会调用一个不安全的异步信号记录函数。而当客户端未在 LoginGraceTime 秒数(默认为 120 秒)内通过身份验证时,将调用该信号处理程序。
博客
PIP-INTEL:一款多功能OSINT开源情报与数据收集工具
08-13 457
PIP-INTEL的另一个重要特点是其高度可定制性。用户可以根据自己的需求配置不同的数据源和分析方法,并且可以通过自定义插件扩展其功能。这使得 PIP-INTEL成为一款适用于各种复杂情报需求的工具,无论是个人研究、企业安全分析,还是机构的情报工作。
博客
如何使用Extrude分析和检测二进制源码中的安全问题
08-12 348
当前版本的Extrude支持执行下列检测。
博客
微软披露Office最新零日漏洞,可能导致数据泄露
08-12 439
在披露该漏洞的同时,微软还表示其正在努力解决CVE-2024-38202 和 CVE-2024-21302两个零日漏洞,这些漏洞可能被利用来 "解除 "最新 Windows 系统的补丁,并重新引入旧漏洞。微软在一份公告中提到:在基于网络的攻击场景中,攻击者可以托管一个网站,或利用一个接受或托管用户提供内容的受攻击网站,该网站包含一个特制文件专门利用该漏洞。该公司还指出,虽然客户已经在所有支持版本的微软Office和微软365上得到了保护,但为了最大程度的规避安全风险,用户应在最终版本的补丁发布后立即更新。
博客
Volana:一款基于Go开发的Shell命令代码混淆工具
08-09 1522
在红队测试过程中,隐蔽性是非常重要的一个方面,许多基础设施会记录命令并实时将其发送到 SIEM,这使得事后清理部分本身毫无用处。Volana通过提供自己的 shell 运行时(输入你的命令,volana 会为你执行),提供一种在目标设备上执行的命令的隐蔽且简单的方法。因为我们希望受到保护,免受触发base64使用警报或在命令中寻找 base64 文本的系统的影响。Volana是一款功能强大的Shell命令代码混淆工具,该工具基于Go语言开发,可以帮助广大研究人员实现对Shell命令或脚本代码的混淆处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值