unsere besten emails
Registrierung
Teammitglieder
Zur Startseite
Mitgliederliste
Suche
Kalender
Häufig gestellte Fragen
Zum Portal

Dedies-Board » Sicherheit » Sicherheits Tips » Windows Rootkits 2005 » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Windows Rootkits 2005
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »

dedie dedie ist männlich
Administrator


images/avatars/avatar-188.jpg

Dabei seit: 04.03.2005
Beiträge: 2.952

Level: 54 [?]
Erfahrungspunkte: 20.650.558
Nächster Level: 22.308.442
1.657.884 Erfahrungspunkt(e) für den nächsten Levelanstieg

Update Windows Rootkits 2005 Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Windows Rootkits 2005, Teil 1
Schadsoftware wurde 2005 deutlich raffinierter. Das zeigt vor allem der Einsatz von Windows-Rootkit-Techniken in Viren, Würmern, Spy- und Adware. Deshalb wird es immer wichtiger, diese Gefahr zu verstehen und zu wissen, wie man ihr begegnen kann.

Der erste Artikel dieses Dreiteilers erklärt, was Rootkits sind und was sie so gefährlich macht. Wir betrachten verschiedene Arten, den Code zur Ausführung zu bringen und wie dieser dann mit dem Kernel interagiert: indem man Tabelleneinträge verbiegt (Table Hooking), Filter-Treiber installiert oder direkt Kernel-Objekte manipuliert. Der zweite Teil wird sich mit der neuesten Windows-Rootkit-Technik beschäftigen, die Zugriffe auf virtuellen Speicher kontrolliert und damit sehr verdeckt arbeitet. Der dritte und letzte Artikel diskutiert dann verschiedene Methoden, Rootkits aufzuspüren und sich davor zu schützen.

Definition
Ein Rootkit ist ein Programm oder ein Paket von Programmen, das ein Einbrecher benutzt, um seine Anwesenheit auf einem Computer zu verbergen, und das ihm auch zukünftig Zugriff auf das System gewährt. Dazu ändert das Rootkit interne Abläufe des Betriebssystems oder es manipuliert Datenstrukturen, auf die sich das Betriebssystem beim Verwalten und Überprüfen verlässt.

Ein Rootkit ist kein Exploit sondern das, was ein Angreifer einsetzt, nachdem er eine Schwachstelle mit einem Exploit ausgenutzt hat. Es ist daher in vieler Hinsicht interessanter als ein Exploit, selbst als ein sogenannter Zero-Day-Exploit, der erscheint, bevor ein Patch verfügbar ist. Die meisten Anwender haben widerstrebend die Tatsache akzeptiert, dass kontinuierlich weitere Sicherheitslücken in Computersystemen entdeckt werden. Während ein Zero-Day-Exploit nur eine Kugel ist, kann ein Rootkit viel über den Angreifer verraten – zum Beispiel warum er damit geschossen hat. Indem wir analysieren, was ein Rootkit macht, können wir erforschen, was der Angreifer stehlen will, mit wem er kommuniziert und wie raffiniert er dabei vorgeht. Doch bevor wir uns mit dem "warum" beschäftigen, ist das "wie" an der Reihe.

WEITER GEHT ES HIER


__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen
12.01.2006 18:34 dedie ist offline E-Mail an dedie senden Homepage von dedie Beiträge von dedie suchen Nehmen Sie dedie in Ihre Freundesliste auf Fügen Sie dedie in Ihre Kontaktliste ein Jabber Screennamen von dedie: dedie@jabber.ccc.de

dedie dedie ist männlich
Administrator


images/avatars/avatar-188.jpg

Dabei seit: 04.03.2005
Beiträge: 2.952

Level: 54 [?]
Erfahrungspunkte: 20.650.558
Nächster Level: 22.308.442
1.657.884 Erfahrungspunkt(e) für den nächsten Levelanstieg

Themenstarter Thema begonnen von dedie
Update Windows Rootkits 2005, Teil 2 Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden   Zum Anfang der Seite springen
Windows Rootkits 2005, Teil 2
Der erste Artikel dieser Serie beschäftigte sich mit aktuellen Rootkit-Techniken. Dieser Teil geht einen Schritt weiter und konzentriert sich auf kommende, innovative Techniken. Der dritte und letzte Artikel dreht sich um verschiedene Methoden, Rootkits aufzuspüren, und den vorbeugenden Schutz.

Die in diesem Artikel vorgestellten Methoden präsentierten wir in unserer Konzeptstudie Shadow Walker auf der Black Hat 2005. Sie ermöglichen es einem Angreifer, sowohl bekannten als auch unbekannten Schadcode vor einem Security-Scanner zu verstecken, indem sie dessen Speicherzugriffe auf Hardware-Ebene kontrollieren. Die Implikationen sind umso alarmierender, weil diese Technik nicht auf Rootkits beschränkt ist, sondern für alle Formen von Schadsoftware von Würmern bis hin zu Spyware anwendbar ist.

Persistente versus speicherbasierte Rootkits
Verallgemeinert gibt es zwei Typen von Rootkits: persistente Rootkits und speicherbasierte. Der primäre Unterschied ist die Lebensdauer des Rootkits auf einer infizierten Maschine. Persistente Rootkits überleben einen Neustart des Systems, während speicherbasierte dies nicht tun. Um einen Neustart zu überstehen, müssen zwei Voraussetzungen erfüllt sein. Erstens muss das Rootkit seinen Code irgendwo auf dem System permanent speichern können -- etwa auf der Festplatte. Zweitens muss es sich so in die Boot-Sequenz des Systems einklinken, dass es von der Platte geladen und ausgeführt wird.

Anders als persistente Rootkits versuchen das die speicherbasierten gar nicht erst. Ihr Code existiert nur im flüchtigen Speicher und sie können verdeckt durch einen Exploit installiert werden. So agieren sie heimlicher als ihre persistenten Geschwister und sind mit forensischen Methoden schwerer aufzuspüren. Auch wenn ihre Unfähigkeit, einen Neustart zu überleben, ihre Nützlichkeit stark einschränkt, bleiben doch Server-Systeme oft für Tage, Wochen oder Monate online. Und in der Praxis kann es dem Angreifer wichtiger sein, nicht aufgespürt werden zu können, als auszuschließen, dass er ein infiziertes System verliert.

Ein Rootkit verstecken
Rootkit-Autoren haben eine Reihe raffinierter Methoden entwickelt, die Anwesenheit ihres Rootkits auf einem System zu verbergen. Sie reichen von diversen Hooking-Tricks bis hin zur direkten Manipulation von Kernel-Objekten (DKOM). Doch auch die ausgefeiltesten Rootkits wie FU haben ein inhärentes Problem [1]. Sie sind zwar Meister darin, den Ausführunsgsablauf zu kontrollieren, aber sie weisen bisher kaum Fähigkeiten auf, zu kontrollieren, wie Applikationen den Speicher sehen. Somit müssen solche Rootkits zwei Dinge gewährleisten, wenn sie unbemerkt bleiben wollen: Sie müssen ihren eigenen ausführbaren Code verstecken und die von ihnen durchgeführten Veränderungen im Speicher verbergen – also beispielsweise die Hooks.

Ohne diese Fähigkeiten sind auch die ausgefeiltesten, veröffentlichten Kernel-Rootkits "stehende Ziele" für primitive Signatur-Scans im Speicher wie sie Antiviren-Programme seit 20 Jahren einsetzen. Darüber hinaus müssen persistente Rootkits ihren Code auf dem nichtflüchtigen Speichermedium und auch den Eintrag in der Boot-Sequenz des Systems verstecken. In diesem Artikel beschäftigen wir uns mit den ersten beiden Aspekten und ignorieren den dritten, was faktisch die Diskussion auf speicherbasierte Rootkits begrenzt.

Das Problem, Code und/oder Änderungen im Speicher zu verstecken, erinnert daran, wie die ersten Virenschreiber versuchten, ihren Code im Dateisystem zu verstecken. Sie reagierten auf die ersten signaturbasierten Virenscanner, indem sie polymorphe und metamorphe Viren entwickelten. Polymorphismus versucht das äußerliche Erscheinungsbild eines Code-Blocks zu modifizieren, ohne seine Funktion zu ändern. Als einfaches Analogon kann man Synonyme betrachten -- also verschiedene Wörter mit exakt der gleichen Bedeutung. Ein polymorpher Virus ersetzt Befehle (Wörter) durch andere Opcodes (Synonymen), die exakt die gleiche Funktion haben. Damit ändert sich das "Aussehen" des Virus und er ist immun gegen einfache musterbasierte Erkennung.

Nur sehr wenige veröffentlichte Rootkits haben nennenswerte Anstrengungen unternommen, polymorphe Techniken der Viren einzubauen. Obwohl Polymorphismus durchaus effektiv sein kann, um Code vor Signatur-Scans zu verbergen, hilft er wenig, um die Änderungen zu verbergen, die ein Rootkit an existierendem Binärcode in anderen Systemkomponenten vornimmt. Anders gesagt bleiben gekaperte Systemkomponenten anfällig für Integritäts-Checks im Speicher. Eine bessere Lösung ist es folglich, nicht den Rootkit-Code selbst zu ändern, sondern das, was andere Systemkomponenten von ihm "sehen".

In den folgenden Absätzen zeigen wir, wie die aktuelle Architektur es erlaubt, die virtuelle Speicherverwaltung so zu unterwandern, dass ein nicht-polymorphes Kernel-Mode-Rootkit die lesenden Speicherzugriffe des Betriebssystems und anderer Prozesse kontrollieren kann. Zunächst liefern wir dazu einen Überblick über die Architektur des virtuellen Speichers. Danach schildern wir, wie die Konzeptstudie Shadow Walker das Speichersubssystem unterwandert, um ausgeführten Code vor einem Security-Scanner zu verbergen. Und schließlich diskutieren wir die Implikationen dieser Technik sowohl für Security-Profis als auch Hacker.


WEITER GEHT ES HIER


__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen
19.01.2006 18:22 dedie ist offline E-Mail an dedie senden Homepage von dedie Beiträge von dedie suchen Nehmen Sie dedie in Ihre Freundesliste auf Fügen Sie dedie in Ihre Kontaktliste ein Jabber Screennamen von dedie: dedie@jabber.ccc.de
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
Dedies-Board » Sicherheit » Sicherheits Tips » Windows Rootkits 2005

Impressum|Boardregeln


secure-graphic.de
Board Blocks: 368.799 | Spy-/Malware: 5.599 | Bad Bot: 1.542 | Flooder: 281.746 | httpbl: 6.555
CT Security System 10.1.7 © 2006-2024 Security & GraphicArt

Ja, auch Dedies-Board verwendet Cookies. Hier erfahrt ihr alles zum Datenschutz
Verstanden;

Nach oben