|
01.
11.
2013
Auf Rootkit-Spurensuche mit MAS
Marcus Peinado
Microsoft Research
Dynamische Datenstrukturen werden immer häufiger von Rootkits benutzt,
um Kontrolle über Computersysteme zu erlangen. Bisher waren
Analyseprogramme jedoch nur in der Lage, einen Bruchteil des
dynamischen Kernspeichers zu inspizieren.
Dieser Vortrag beschreibt MAS, ein System, das dynamische Kerndaten
fast komplett identifizieren kann. Im Gegensatz zu früheren Lösungen,
die verkettete Listen, VOID-Pointer und UNIONS außer Acht lassen,
benutzt KOP statische Analysemethoden, um die konkreten Datentypen
solcher Strukturen zu finden. Ungültige Pointer und die Ausbreitung der
daraus resultierenden Fehler sind weitere praktische Probleme. Unsere
statische Analyse stattet MAS mit einer verlässlichen partiellen
Datentypzuweisung aus und erlaubt es MAS, fehleranfällige Operationen
zu vermeiden.
Wir haben mit Hilfe von MAS zwei größere Malwarestudien durchgeführt.
In der ersten Studie haben wir hunderte von Windows Kern-Crashdumps mit
MAS auf Spuren von Malware untersucht. Die zweite Studie analysiert
mehr als 150000 potentielle Malwarefiles.
|