如何使用Kdrill检测Windows内核中潜在的rootkit

标签：Name 48 Callback Kdrill SUSPICIOUS 转储 Windows rootkit

关于Kdrill

Kdrill是一款用于分析 Windows 64b 系统内核空间安全的工具，该工具基于纯Python 3开发，旨在帮助广大研究人员评估Windows内核是否受到了rootkit攻击。

需要注意的是，该项目与Python2/3兼容，无其他依赖组件，无需 Microsoft 符号或网络连接即可执行安全检查。KDrill 还可以分析完整崩溃转储和内核崩溃转储（主要存储在中C:\Windows\MEMORY.DMP）、完整原始内存转储和 AFF4 转储的压缩版本（zip，但不是压缩的）。

功能介绍

Kdrill可以访问物理内存并解码/重建操作系统内部结构来探索它们并验证它们的完整性，并能够执行以下检查：

1、已加载模块列表

2、内存代码中的驱动程序

3、内核对象和内部 ntoskrnl 列表的回调

4、即插即用树和过滤器

5、内核类型回调

6、FltMgr 回调

7、KTimers DPC 函数

8、IRP 驱动程序表

9、驱动程序使用回调签名全局变量

10、NDIS 筛选器和回调NDIS filters and callbacks

11、NetIO/FwpkCLNT 过滤调度

12、设备及其附加的设备对象

13、IDT 条目

14、PatchGuard 初始化和状态

工具要求

Python 3

工具安装

由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/ExaTrack/Kdrill.git

Rootkit示例

Winnti

Winnti替换了 TCPIP 的 NDIS 回调中的函数指针。使用以下cndis命令我们可以识别它：

#>> cndis

 [*] Checking NDIS Firewall layers

  [*] List from fffffa80033d3d70

    Driver      : pacer.sys

    GUID        : {B5F4D659-7DAA-4565-8E41-BE220ED60542}

    Description : QoS Packet Scheduler

    Driver      : wfplwf.sys

    GUID        : {B70D6460-3635-4D42-B866-B8AB1A24454C}

    Description : WFP LightWeight Filter

 [*] Checking NDIS Protocol layers

  [*] List from fffffa8002a71a60

    Name : NDIS6FW

  Callback fffff88003329e50 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS

  Callback fffff88003329e50 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS

[...]

    Name : NDISWAN

    Name : WANARPV6

    Name : WANARP

    Name : TCPIP6TUNNEL

    Name : TCPIPTUNNEL

    Name : TCPIP6

    Name : TCPIP

  Callback fffff8800332a660 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS

  Callback fffff8800332a810 -> c:\users\toto\appdata\local\temp\tmp1ec3.tmp (not in white list) SUSPICIOUS

Turla/Uroburos

PspCreateProcessNotifyRoutine 内部的回调：

#>> ccb

  [*] Checking \Callback\TcpConnectionCallbackTemp : 0xfffffa8002f38360

  [*] Checking \Callback\TcpTimerStarvationCallbackTemp : 0xfffffa8004dfd640

  [*] Checking \Callback\LicensingData : 0xfffffa80024bc2f0

  [*] Checking \Callback\LLTDCallbackRspndr0006000006000000 : 0xfffffa80048713a0

[...]

 [*] PspLoadImageNotifyRoutine

 [*] PspCreateProcessNotifyRoutine

  Callback fffffa8004bc2874 -> SUSPICIOUS ***Unknown*** 48 89 5c 24 08 57 48 81 ec 30 01 00 00 48 8b fa

该rootkit还在FwpkCLNT中插入了网络IO过滤：

#>> cnetio

  [*] FwpkCLNT/NetIo Callouts (callbacks) : fffffa8004965000 (4790)

  Callback fffffa8004bd9580 -> SUSPICIOUS ***Unknown*** 48 8b c4 48 89 58 08 48 89 50 10 55 56 57 41 54

  Callback fffffa8004bca6b0 -> SUSPICIOUS ***Unknown*** 33 c0 c3 cc 40 53 48 83 ec 20 48 8b 89 50 01 00

工具使用演示

列出模块（带或不带过滤器）：

#>> lm winp

 fffff806bd4f0000    10000  \??\C:\Kdrill\winpmem_x64.sys

显示特定地址的转储：

#>> dq nt 40

 FFFFF80668000000  0000000300905A4D 0000FFFF00000004  MZ..........##..

 FFFFF80668000010  00000000000000B8 0000000000000040  ........@.......

 FFFFF80668000020  0000000000000000 0000000000000000  ................

 FFFFF80668000030  0000000000000000 0000011800000000  ................

Kdrill 嵌入了 LDE，以实现最小的 x86 反汇编。你可以使用它来查看操作码的微小细节：

#>> u nt!NtReadFile 10

> fffff806685f44d0 | 4c894c2420                       |

  fffff806685f44d5 | 4c89442418                       |

  fffff806685f44da | 4889542410                       |

  fffff806685f44df | 53                               |

  fffff806685f44e0 | 56                               |

  fffff806685f44e1 | 57                               |

显示指向地址的转储：

#>> dq poi(nt!LpcPortObjectType)

 FFFFAA0F7DD524E0  FFFFAA0F7DD524E0 FFFFAA0F7DD524E0  .$.}..##.$.}..##

 FFFFAA0F7DD524F0  0000000000140012 FFFFD5000BF7DC90  ..............##

 FFFFAA0F7DD52500  00000000000000F9 0000107C0000002E  ............|...

 FFFFAA0F7DD52510  0000140B00000F31 000000000000137D  1.......}.......

您可以使用池中的引用来显示数据块Header：

#>> fpool poi(nt!LpcPortObjectType)

Pool        : ffffaa0f7dd52470

  Tag       : ObjT

  Size      : 150

  Prev Size : 0

列出对象目录对象：

#>> winobj \Callback

 Callback        \Callback\IGD_WNICShareObj  (ffffaa0f8697ae30)

 Callback        \Callback\WdProcessNotificationCallback  (ffffaa0f7ebf9d30)

 Callback        \Callback\LLTDCallbackRspndr0006008004000000  (ffffaa0f88872c60)

[...]

获取有关内存中随机对象的信息：

#>> !addr ffffaa0f7ed3fb10

Pool        : ffffaa0f7ed3fac0

  Tag       : Devi

  Size      : 210

  Prev Size : 0

#>> !addr FFFFF80668CFB280

fffff80668cfb280 in \SystemRoot\system32\ntoskrnl.exe

ntoskrnl+cfb280

获取页面的 PTE 权限：

#>> list fffff80668cfb280

    FFFFF80668CFB000 rw--

列出内核内存地址和映射文件之间的关系：

#>> filecache

Vacb : ffffaa0f7dde4000 ; size : 6

0xffffc186e4100000 \Windows\System32\catroot2\edb.log (9684)

0xffffc186fb4c0000 \$MapAttributeValue (320)

[...]

许可证协议

本项目的开发与发布遵循BSD-3-Clause开源许可协议。

项目地址

Kdrill：【GitHub传送门】

参考资料

GitHub - BeaEngine/lde64: LDE64 (relocatable) source code

WinPmem/src/binaries/winpmem_x64.sys at master · Velocidex/WinPmem · GitHub

标签：Name,48,Callback,Kdrill,SUSPICIOUS,转储,Windows,rootkit
From： https://blog.csdn.net/FreeBuf_/article/details/141572106