Rootkits gegen Festplattenverschlüsselung und für BSoD
Bootkits, Rootkits im Bootsektor wie z.B. der in der vorherigen
Folge
beschriebene Mebroot, kommen zum Zuge, bevor das Betriebssystem geladen
wird und können daher auch
Festplattenverschlüsselungen aushebeln
Wie das funktioniert, hat Peter Kleissner auf der Sicherheitskonferenz
Black Hat USA 2009
an einem Beispiel
beschrieben
(Paper und Präsentation):
Sein im Sourcecode verfügbares
“Stoned Bootkit”
kann Windows XP, Server 2003, Vista, Server 2008 und 7 angreifen und
insbesondere die Festplattenverschlüsselung von TrueCrypt unterlaufen.
Das Bootkit kann auch so angepasst werden, dass es beliebige andere
Software installiert, natürlich auch Schadsoftware. Das gefällt
manchen Antiviren-Herstellern, z.B.
Sophos,
natürlich gar nicht. Und im Grunde haben sie dabei recht, die
Cyberkriminellen sollen sich ihre Schadsoftware gefälligst selbst
schreiben, leicht abwandelbare Proof of Concepts machen ihnen das Leben
nur unnötig leicht. Andererseits hätten ohne funktionierenden PoC wohl
viele und insbesondere die TrueCrypt-Entwickler nicht geglaubt, dass das
Aushebeln der Festplattenverschlüsselung so einfach möglich ist.
Peter Kleissner wählte den Namen “Stoned” in Erinnerung an den
gleichnamigen
Bootsektor-Virus
für DOS.
Elia Florio
von Symantec und
Kimmo Kasslin
von F-Secure veröffentlichten Anfang 2009 ein Paper mit dem Titel Your
Computer is Now Stoned (…Again!) – The Rise of MBR Rootkits
(PDF),
in dem sie die Entwicklung der Bootkits, insbesondere Mebroot,
beschrieben. Eine steinige Angelegenheit…
Von Mebroot zu Alureon
Im Mai 2010 berichtete Symantec über
Verbindungen
zwischen Mebroot und dem
Trojaner
Tidserv, während Trend Micro eine
Verbindung
zum Trojaner TDSS meldete. Kein Wunder, denn beide sind identisch – und
haben noch einen weiteren Namen:
Alureon.
Alureon wiederum sorgte im Februar 2010 für Aufregung, weil die
Installation
der Updates zu Microsofts Security Bulletin
MS10-015
auf damit infizierten Rechnern zu einem
Blue Screen of Death
beim Neustart
führte.
Auslöser waren hartkodierte Adressen im Rootkit. Microsoft musste das
Update zeitweilig zurück ziehen und um eine Funktion zum Erkennen des
Rootkits erweitern, so dass das Update ggf. eine Warnung ausgab und sich
nicht installieren ließ, bevor das Rootkit entfernt wurde. Die
Cyberkriminellen wiederum passten ihr Rootkit an die neuen Gegebenheiten
an und entfernten die festen Adressen, so dass auch neuere Systeme
infiziert werden konnten.
Alureon – 32 Bit sind nicht genug
Im August 2010 begann Alureon, auch 64-Bit-Rechner
zu infizieren.
Dazu
ändert
Alureon die
Boot-Optionen,
um einen unsignierten
Treiber zu laden.
Alureon war das erste 64-Bit-Bootkit
“in the wild”.
Am April-Patchday 2011 hat Microsoft ein
Security Advisory
und ein Update für den Windows Operating System Loader der x64-basierten
Versionen von Windows Vista, Server 2008, 7 und Server 2008 R2 veröffentlicht,
dass die Signaturprüfung für Treiber verbessert und verhindert, das
unsignierte Treiber geladen werden. Damit wird insbesondere der von
Alureon genutzte Angriffsweg
versperrt.
Wie das funktioniert, wird im Blog von ESET
beschrieben.
Alureon-Analysen
Alureon ist ein gut untersuchtes Bootkit. Mehrere Analysen gibt es von
ESET: Im
Juni 2010
wurde das Whitepaper “TDL3: The Rootkit of All Evil?”
(PDF)
veröffentlicht, im
März 2011
das Whitepaper “The Evolution of TDL: Conquering x64”
(PDF),
außerdem gibt es noch einen Artikel aus dem Virus Bulletin:
“Rooting about in TDSS”
(PDF).
Im
Juni 2010
wurde von F-Secure das Whitepaper “The Case of Trojan
DownLoader TDL3″
(PDF)
veröffentlicht, und Trend Micro
beschreibt,
wie Alureon sich Zugriff auf die Harddisk beschafft.
Speziell mit der 64-Bit-Variante befasst sich eine dreiteilige Serie auf
“InfoSec Resources”:
- TDSS part 1: The x64 Dollar Question
- TDSS part 2: Ifs and Bots
- TDSS part 3: Bootkit on the Other Foot
Statistiken
Microsofts Malware Protection Center hat im Januar 2010 einen
Überblick
über die damals aktuelle Situation veröffentlicht. Demnach waren
7% aller gemeldeten Infektionen mit Schadsoftware Rootkits. Wobei diese
Aussage nicht zwingend genau sein muss, da Rootkits ja alles tun, um nicht
entdeckt zu werden. Die Übersicht enthält eine ganze Reihe von
Statistiken, von denen eine besonders interessant ist: Nur 0,67% der
Rootkits liefen unter 64-Bit-Windows (und nur 5,28% der restlichen
Schadsoftware), dessen Kernel durch die Verwendung signierter Treiber und
der
Kernel Patch Protection
besonders geschützt ist (Alureon war der
erste
Bootkit für 64-Bit-Windows).
Und
laut Damballa
war Alureon 2010 für das am weitesten verbreitete
Botnet
verantwortlich
(PDF).
Und das, obwohl es erst im August 2010 anfing, rasant zu wachsen.
Update 7.7.2011:
Eine neue Variante von TDL sorgt für Panik im Internet. Mehr darüber erfahren Sie in der
nächsten Folge!
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware – Der Spion in Ihrem Computer
- Viren – Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer – Schadsoftware, die sich selbst verbreitet
- Trojaner – Der Feind im harmlosen Programm
- Zeus – Trojaner, Botnet, Schädlingsbaukasten, …
- Exploit-Kits – Die Grundlage für Drive-by-Infektionen
- Rootkits
-
- Rootkits – Schadsoftware im System
- Rootkits gegen Festplattenverschlüsselung und für BSoD
- TDL4 – Gefährliches Botnet oder nur eine neue Sau im digitalen Dorf?
- SubVirt und Blue Pill – Rootkits mit Virtualisierung
- Rootkits für Xen und SMM
- Rootkits (fast) in der Hardware
- Rootkits für Smartphones und Mac OS X
- Remote Administration Toolkits – Fernwartung in der Grauzone
- Botnets – Zombie-Plagen im Internet
- Schadsoftware – Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : Exploit-Kit über WordPress Version 3.2.1 verbreitet
Vorschau anzeigen
Kommentar schreiben
Kommentare
Ansicht der Kommentare:
Linear | Verschachtelt