Rootkits gegen Festplattenverschlüsselung und für BSoD
Bootkits, Rootkits im Bootsektor wie z.B. der in der vorherigen Folge beschriebene Mebroot, kommen zum Zuge, bevor das Betriebssystem geladen wird und können daher auch
Festplattenverschlüsselungen aushebeln
Wie das funktioniert, hat Peter Kleissner auf der Sicherheitskonferenz Black Hat USA 2009 an einem Beispiel beschrieben (Paper und Präsentation): Sein im Sourcecode verfügbares "Stoned Bootkit" kann Windows XP, Server 2003, Vista, Server 2008 und 7 angreifen und insbesondere die Festplattenverschlüsselung von TrueCrypt unterlaufen. Das Bootkit kann auch so angepasst werden, dass es beliebige andere Software installiert, natürlich auch Schadsoftware. Das gefällt manchen Antiviren-Herstellern, z.B. Sophos, natürlich gar nicht. Und im Grunde haben sie dabei recht, die Cyberkriminellen sollen sich ihre Schadsoftware gefälligst selbst schreiben, leicht abwandelbare Proof of Concepts machen ihnen das Leben nur unnötig leicht. Andererseits hätten ohne funktionierenden PoC wohl viele und insbesondere die TrueCrypt-Entwickler nicht geglaubt, dass das Aushebeln der Festplattenverschlüsselung so einfach möglich ist.
Peter Kleissner wählte den Namen "Stoned" in Erinnerung an den gleichnamigen Bootsektor-Virus für DOS. Elia Florio von Symantec und Kimmo Kasslin von F-Secure veröffentlichten Anfang 2009 ein Paper mit dem Titel Your Computer is Now Stoned (...Again!) - The Rise of MBR Rootkits (PDF), in dem sie die Entwicklung der Bootkits, insbesondere Mebroot, beschrieben. Eine steinige Angelegenheit...
Von Mebroot zu Alureon
Im Mai 2010 berichtete Symantec über Verbindungen zwischen Mebroot und dem Trojaner Tidserv, während Trend Micro eine Verbindung zum Trojaner TDSS meldete. Kein Wunder, denn beide sind identisch - und haben noch einen weiteren Namen: Alureon. Alureon wiederum sorgte im Februar 2010 für Aufregung, weil die Installation der Updates zu Microsofts Security Bulletin MS10-015 auf damit infizierten Rechnern zu einem Blue Screen of Death beim Neustart führte. Auslöser waren hartkodierte Adressen im Rootkit. Microsoft musste das Update zeitweilig zurück ziehen und um eine Funktion zum Erkennen des Rootkits erweitern, so dass das Update ggf. eine Warnung ausgab und sich nicht installieren ließ, bevor das Rootkit entfernt wurde. Die Cyberkriminellen wiederum passten ihr Rootkit an die neuen Gegebenheiten an und entfernten die festen Adressen, so dass auch neuere Systeme infiziert werden konnten.
Alureon - 32 Bit sind nicht genug
Im August 2010 begann Alureon, auch 64-Bit-Rechner zu infizieren. Dazu ändert Alureon die Boot-Optionen, um einen unsignierten Treiber zu laden. Alureon war das erste 64-Bit-Bootkit "in the wild". Am April-Patchday 2011 hat Microsoft ein Security Advisory und ein Update für den Windows Operating System Loader der x64-basierten Versionen von Windows Vista, Server 2008, 7 und Server 2008 R2 veröffentlicht, dass die Signaturprüfung für Treiber verbessert und verhindert, das unsignierte Treiber geladen werden. Damit wird insbesondere der von Alureon genutzte Angriffsweg versperrt. Wie das funktioniert, wird im Blog von ESET beschrieben.
Alureon-Analysen
Alureon ist ein gut untersuchtes Bootkit. Mehrere Analysen gibt es von ESET: Im Juni 2010 wurde das Whitepaper "TDL3: The Rootkit of All Evil?" (PDF) veröffentlicht, im März 2011 das Whitepaper "The Evolution of TDL: Conquering x64" (PDF), außerdem gibt es noch einen Artikel aus dem Virus Bulletin: "Rooting about in TDSS" (PDF). Im Juni 2010 wurde von F-Secure das Whitepaper "The Case of Trojan DownLoader TDL3" (PDF) veröffentlicht, und Trend Micro beschreibt, wie Alureon sich Zugriff auf die Harddisk beschafft.
Speziell mit der 64-Bit-Variante befasst sich eine dreiteilige Serie auf "InfoSec Resources":
- TDSS part 1: The x64 Dollar Question
- TDSS part 2: Ifs and Bots
- TDSS part 3: Bootkit on the Other Foot
Statistiken
Microsofts Malware Protection Center hat im Januar 2010 einen
Überblick
über die damals aktuelle Situation veröffentlicht. Demnach waren
7% aller gemeldeten Infektionen mit Schadsoftware Rootkits. Wobei diese
Aussage nicht zwingend genau sein muss, da Rootkits ja alles tun, um nicht
entdeckt zu werden. Die Übersicht enthält eine ganze Reihe von
Statistiken, von denen eine besonders interessant ist: Nur 0,67% der
Rootkits liefen unter 64-Bit-Windows (und nur 5,28% der restlichen
Schadsoftware), dessen Kernel durch die Verwendung signierter Treiber und
der
Kernel Patch Protection
besonders geschützt ist (Alureon war der
erste
Bootkit für 64-Bit-Windows).
Und
laut Damballa
war Alureon 2010 für das am weitesten verbreitete
Botnet
verantwortlich
(PDF).
Und das, obwohl es erst im August 2010 anfing, rasant zu wachsen.
Update 7.7.2011:
Eine neue Variante von TDL sorgt für Panik im Internet. Mehr darüber erfahren Sie in der
nächsten Folge!
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware - Der Spion in Ihrem Computer
- Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer - Schadsoftware, die sich selbst verbreitet
- Trojaner - Der Feind im harmlosen Programm
- Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
- Exploit-Kits - Die Grundlage für Drive-by-Infektionen
- Rootkits
-
- Rootkits - Schadsoftware im System
- Rootkits gegen Festplattenverschlüsselung und für BSoD
- TDL4 - Gefährliches Botnet oder nur eine neue Sau im digitalen Dorf?
- SubVirt und Blue Pill - Rootkits mit Virtualisierung
- Rootkits für Xen und SMM
- Rootkits (fast) in der Hardware
- Rootkits für Smartphones und Mac OS X
- Remote Administration Toolkits - Fernwartung in der Grauzone
- Botnets - Zombie-Plagen im Internet
- Schadsoftware - Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : Exploit-Kit über Wordpress Version 3.2.1 verbreitet
Vorschau anzeigen