Skip to content

Rootkits gegen Festplattenverschlüsselung und für BSoD

Bootkits, Rootkits im Bootsektor wie z.B. der in der vorherigen Folge beschriebene Mebroot, kommen zum Zuge, bevor das Betriebssystem geladen wird und können daher auch

Festplattenverschlüsselungen aushebeln

Wie das funktioniert, hat Peter Kleissner auf der Sicherheitskonferenz Black Hat USA 2009 an einem Beispiel beschrieben (Paper und Präsentation): Sein im Sourcecode verfügbares "Stoned Bootkit" kann Windows XP, Server 2003, Vista, Server 2008 und 7 angreifen und insbesondere die Festplattenverschlüsselung von TrueCrypt unterlaufen. Das Bootkit kann auch so angepasst werden, dass es beliebige andere Software installiert, natürlich auch Schadsoftware. Das gefällt manchen Antiviren-Herstellern, z.B. Sophos, natürlich gar nicht. Und im Grunde haben sie dabei recht, die Cyberkriminellen sollen sich ihre Schadsoftware gefälligst selbst schreiben, leicht abwandelbare Proof of Concepts machen ihnen das Leben nur unnötig leicht. Andererseits hätten ohne funktionierenden PoC wohl viele und insbesondere die TrueCrypt-Entwickler nicht geglaubt, dass das Aushebeln der Festplattenverschlüsselung so einfach möglich ist.

Peter Kleissner wählte den Namen "Stoned" in Erinnerung an den gleichnamigen Bootsektor-Virus für DOS. Elia Florio von Symantec und Kimmo Kasslin von F-Secure veröffentlichten Anfang 2009 ein Paper mit dem Titel Your Computer is Now Stoned (...Again!) - The Rise of MBR Rootkits (PDF), in dem sie die Entwicklung der Bootkits, insbesondere Mebroot, beschrieben. Eine steinige Angelegenheit...

Von Mebroot zu Alureon

Im Mai 2010 berichtete Symantec über Verbindungen zwischen Mebroot und dem Trojaner Tidserv, während Trend Micro eine Verbindung zum Trojaner TDSS meldete. Kein Wunder, denn beide sind identisch - und haben noch einen weiteren Namen: Alureon. Alureon wiederum sorgte im Februar 2010 für Aufregung, weil die Installation der Updates zu Microsofts Security Bulletin MS10-015 auf damit infizierten Rechnern zu einem Blue Screen of Death beim Neustart führte. Auslöser waren hartkodierte Adressen im Rootkit. Microsoft musste das Update zeitweilig zurück ziehen und um eine Funktion zum Erkennen des Rootkits erweitern, so dass das Update ggf. eine Warnung ausgab und sich nicht installieren ließ, bevor das Rootkit entfernt wurde. Die Cyberkriminellen wiederum passten ihr Rootkit an die neuen Gegebenheiten an und entfernten die festen Adressen, so dass auch neuere Systeme infiziert werden konnten.

Alureon - 32 Bit sind nicht genug

Im August 2010 begann Alureon, auch 64-Bit-Rechner zu infizieren. Dazu ändert Alureon die Boot-Optionen, um einen unsignierten Treiber zu laden. Alureon war das erste 64-Bit-Bootkit "in the wild". Am April-Patchday 2011 hat Microsoft ein Security Advisory und ein Update für den Windows Operating System Loader der x64-basierten Versionen von Windows Vista, Server 2008, 7 und Server 2008 R2 veröffentlicht, dass die Signaturprüfung für Treiber verbessert und verhindert, das unsignierte Treiber geladen werden. Damit wird insbesondere der von Alureon genutzte Angriffsweg versperrt. Wie das funktioniert, wird im Blog von ESET beschrieben.

Alureon-Analysen

Alureon ist ein gut untersuchtes Bootkit. Mehrere Analysen gibt es von ESET: Im Juni 2010 wurde das Whitepaper "TDL3: The Rootkit of All Evil?" (PDF) veröffentlicht, im März 2011 das Whitepaper "The Evolution of TDL: Conquering x64" (PDF), außerdem gibt es noch einen Artikel aus dem Virus Bulletin: "Rooting about in TDSS" (PDF). Im Juni 2010 wurde von F-Secure das Whitepaper "The Case of Trojan DownLoader TDL3" (PDF) veröffentlicht, und Trend Micro beschreibt, wie Alureon sich Zugriff auf die Harddisk beschafft.

Speziell mit der 64-Bit-Variante befasst sich eine dreiteilige Serie auf "InfoSec Resources":

Statistiken

Microsofts Malware Protection Center hat im Januar 2010 einen Überblick über die damals aktuelle Situation veröffentlicht. Demnach waren 7% aller gemeldeten Infektionen mit Schadsoftware Rootkits. Wobei diese Aussage nicht zwingend genau sein muss, da Rootkits ja alles tun, um nicht entdeckt zu werden. Die Übersicht enthält eine ganze Reihe von Statistiken, von denen eine besonders interessant ist: Nur 0,67% der Rootkits liefen unter 64-Bit-Windows (und nur 5,28% der restlichen Schadsoftware), dessen Kernel durch die Verwendung signierter Treiber und der Kernel Patch Protection besonders geschützt ist (Alureon war der erste Bootkit für 64-Bit-Windows).
Und laut Damballa war Alureon 2010 für das am weitesten verbreitete Botnet verantwortlich (PDF). Und das, obwohl es erst im August 2010 anfing, rasant zu wachsen.

Update 7.7.2011:
Eine neue Variante von TDL sorgt für Panik im Internet. Mehr darüber erfahren Sie in der nächsten Folge!

Carsten Eilers


Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer - Schadsoftware, die sich selbst verbreitet
Trojaner - Der Feind im harmlosen Programm
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits
Rootkits - Schadsoftware im System
Rootkits gegen Festplattenverschlüsselung und für BSoD
TDL4 - Gefährliches Botnet oder nur eine neue Sau im digitalen Dorf?
SubVirt und Blue Pill - Rootkits mit Virtualisierung
Rootkits für Xen und SMM
Rootkits (fast) in der Hardware
Rootkits für Smartphones und Mac OS X
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets - Zombie-Plagen im Internet
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : Exploit-Kit über Wordpress Version 3.2.1 verbreitet

Vorschau anzeigen
Zwei Berichten zu Folge wird (relativ) massiv über kompromittierte Wordpress-3.2.1-Installationen ein Exploit-Kit verbreitet. Darüber, wie die Wordpress-Installationen kompromittiert werden, herrscht Unklarheit. Zumindest gibt es zwei E