Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Stuxnet lässt grüßen: Trojaner hat…

Wie genau funktioniert der?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie genau funktioniert der?

    Autor: Serenity 24.11.14 - 09:16

    Mich würde es mal interessieren, wie die den so lange unbemerkt einsetzen konnten.
    ich schau schon des öfteren in meinem Tankmanager rein um unbekannte Prozesse zu entdecken. Wird allerdings eine DLL infiziert, bin ich mit der Technik machtlos.

    Auch welche Webseiten diesen Trojaner verbreitet haben, wäre doch sehr interessant.

    Da ich ein Verständnis der Programmierung habe würde ich gerne Wissen, wie solche Viren funktionieren. Hat da jemand eine Quelle zum erkundigen?

  2. Re: Wie genau funktioniert der?

    Autor: alter schnee 24.11.14 - 09:31

    hier der Link zum Thema:

    http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance

    whitepaper:
    http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf

    und hier kannst du jeden Virus nachschauen:
    http://de.norton.com/security_response/

  3. Re: Wie genau funktioniert der?

    Autor: HubertHans 24.11.14 - 10:25

    Serenity schrieb:
    --------------------------------------------------------------------------------
    > Mich würde es mal interessieren, wie die den so lange unbemerkt einsetzen
    > konnten.
    > ich schau schon des öfteren in meinem Tankmanager rein um unbekannte
    > Prozesse zu entdecken. Wird allerdings eine DLL infiziert, bin ich mit der
    > Technik machtlos.
    >
    > Auch welche Webseiten diesen Trojaner verbreitet haben, wäre doch sehr
    > interessant.
    >
    > Da ich ein Verständnis der Programmierung habe würde ich gerne Wissen, wie
    > solche Viren funktionieren. Hat da jemand eine Quelle zum erkundigen?

    Der Taskmanager hilft nicht mal im Geringsten, wenn die Malware Prozesse einfach ausblenden oder ganz aus dem Einflussbereich des Kernel verschwinden laesst. das ist eigentlich Standardvorgehen.

  4. Re: Wie genau funktioniert der?

    Autor: Serenity 24.11.14 - 11:07

    HubertHans schrieb:
    --------------------------------------------------------------------------------
    > Serenity schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Mich würde es mal interessieren, wie die den so lange unbemerkt
    > einsetzen
    > > konnten.
    > > ich schau schon des öfteren in meinem Tankmanager rein um unbekannte
    > > Prozesse zu entdecken. Wird allerdings eine DLL infiziert, bin ich mit
    > der
    > > Technik machtlos.
    > >
    > > Auch welche Webseiten diesen Trojaner verbreitet haben, wäre doch sehr
    > > interessant.
    > >
    > > Da ich ein Verständnis der Programmierung habe würde ich gerne Wissen,
    > wie
    > > solche Viren funktionieren. Hat da jemand eine Quelle zum erkundigen?
    >
    > Der Taskmanager hilft nicht mal im Geringsten, wenn die Malware Prozesse
    > einfach ausblenden oder ganz aus dem Einflussbereich des Kernel
    > verschwinden laesst. das ist eigentlich Standardvorgehen.

    Ich nutze einen anderen Taskmanger als den von Windows...
    Kernelprozesse kann man im neuen Taskmanager glaub ich anzeigen lassen, bin mir aber nicht sicher...

  5. Re: Wie genau funktioniert der?

    Autor: Wallbreaker 24.11.14 - 11:12

    Sofern ein 64Bit System hast, funktioniert er nach dem Whitepaper schonmal äußerst eingeschränkt.
    Und das lediglich RC5 für die Verschlüsselung genutzt wurde, ist einerseits peinlich oder so gewollt, dass der Schädling überhaupt analysiert werden kann.

  6. Re: Wie genau funktioniert der?

    Autor: frostbitten king 24.11.14 - 12:53

    Das ist egal. Die laufenden Prozesse sind in einer LinkedList gespeichert. Was solche Rootkits machen ist folgendes:
    - Rootnode holen (jetzt Mutmaßung von mir: oberster parent process in linux init oder whatever).
    - durch die LinkedList durchgehen zu dem Prozess den die Malware verstecken will
    - den next/prev. link umhängen.
    - Profit
    Aber es gibt tools die diese Linkedlist nicht verwenden, und den Memory danach absuchen. Auf die Art findet man auch solche versteckten Prozesse - kann natürlich auch sein dass dein alternativer Process Monitor das macht.
    Ich kann mich nur dunkel erinnern, der Process Monitor vom Russinovich (kein unbekannter in der Szene) macht das nicht.

  7. Re: Wie genau funktioniert der?

    Autor: M.P. 24.11.14 - 13:24

    Nunja,
    irgendeine Liste muss es da schon geben, in der der Prozess steht - sonst gibt ihm der Scheduler ja kein Prozessorzeit ;-)

    Aber da gibt es wohl noch ganz andere Möglichkeiten:
    http://www.ceilers-news.de/serendipity/112-SubVirt-und-Blue-Pill-Rootkits-mit-Virtualisierung.html

  8. Re: Wie genau funktioniert der?

    Autor: frostbitten king 24.11.14 - 13:58

    Vermutlich, aber so hab ichs damals bei, ka Internet Security, oder Advanced Internet Security gelernt, dass die Liste über die das gemacht wird, manipulierbar ist, und so Prozesse verstecken kann vor dem User. Kernelseitig wird das noch irgendwie da sein, für Scheduling etc, aber ich denke mal das wird ein Interface für den Userspace sein um Prozessinfos abzufragen.

  9. Re: Wie genau funktioniert der?

    Autor: Leaper 24.11.14 - 18:54

    Um sich vor einfachen Taskmanagern als auch erweiterten Taskmanagern zu verstecken nutzen komplexe Malware-Systeme oft DKOM Attacken. Sie klinken sich aus der doubly-linked _EPROCESS Struktur mithilfe einer Manipulation der Flink/Blink Zeiger aus. Stell dir die _EPROCESS Struktur wie einen Kreis aus Menschen vor, die sich gegenseitig die Hand geben. Ein normaler Taskmanager fängt bei einer Person an und geht dann reihum, bis er wieder zur Position eins gelangt. Bei DKOM Attacken klinkt sich eine Person aus und schließt die entstandene Lücke, indem er seine beiden Nachbarn (Flink/Blink) verbindet . Ein normaler Taskmanager ist nun nicht mehr in der Lage, diese Person zu finden.

    Eine Erkennung dieser Technik ist auf dem betroffenden System schwierig. Die effektivste Methode ist eine Memory-Analyse. Bei Volatility z.B. leicht mit Cross-Referenzen von pslist/psscan oder psxscan zu erledigen. Mandiants Redline verwendet eine ähnliche Technik.

    Allerdings gibt es noch viele andere Möglichkeiten Prozesse zu verstecken. Brendan Dolan-Gavitt z.B. hat in "Robust Signatures for Kernel Data
    Structures" gezeigt, dass Prozesse bis zu 51 Felder in der _EPROCESS Struktur ändern können, ohne sich selbst oder den Kernel zu crashen.
    Nur ein kleines Beispiel; ein Prozess könnte das _EPROCESS.ExitTime Feld überschreiben und würde für normale Taskmanager als beendet (nicht mehr aktiv) erscheinen. Er wird demzufolge nicht mehr angezeigt.

    Die drei beliebtesten Methoden Kernelobjekte direkt zu manipulieren sind:

    -Kerneltreiber
    -\\Device\PhysicalMemory Objekte mit Schreibzugriff (Ab Vista haben Ring3 Prozesse nur noch eingeschränkten Zugriff)
    -Native APIs wie ZwSystemDebugControl

    LG
    Leaper

  10. Re: Wie genau funktioniert der?

    Autor: HubertHans 24.11.14 - 21:27

    Wobei die Schadsoftware ja nicht mal im RAM oder der CPu des PC laufen muss. Es gibt in Zwischen mehr als genug Hardware, die eine eigene CPU und RAM dabei hat. Grafikkarten, Maeuse, Festplatten, Netzwerkkarten, Modems...

  11. Re: Wie genau funktioniert der?

    Autor: plutoniumsulfat 25.11.14 - 08:18

    Können solche Viren denn auf die Festplatte zugreifen?

  12. Re: Wie genau funktioniert der?

    Autor: frostbitten king 25.11.14 - 12:05

    Leaper schrieb:
    ...
    > Eine Erkennung dieser Technik ist auf dem betroffenden System schwierig.
    > Die effektivste Methode ist eine Memory-Analyse. Bei Volatility z.B. leicht
    > mit Cross-Referenzen von pslist/psscan oder psxscan zu erledigen. Mandiants
    > Redline verwendet eine ähnliche Technik.
    Ah, stimmt Volatility war das, bei einer der Übungen zu Inetsec / Advanced Inetsec hatten wir einen Memory dump damit analysieren müssen.
    Das Teil hat dann auch eine Art Screenshot gedumped was zuletzt zu sehen war.
    [4.bp.blogspot.com], hat dann so ausgeschaut :D.
    >
    > Allerdings gibt es noch viele andere Möglichkeiten Prozesse zu verstecken.
    > Brendan Dolan-Gavitt z.B. hat in "Robust Signatures for Kernel Data
    > Structures" gezeigt, dass Prozesse bis zu 51 Felder in der _EPROCESS
    > Struktur ändern können, ohne sich selbst oder den Kernel zu crashen.
    > Nur ein kleines Beispiel; ein Prozess könnte das _EPROCESS.ExitTime Feld
    > überschreiben und würde für normale Taskmanager als beendet (nicht mehr
    > aktiv) erscheinen. Er wird demzufolge nicht mehr angezeigt.
    >
    Nice, ExitTime überschreiben, gefällt mir. Die Leute die da wirklich tief drin sind, sind so kreativ, das ist unglaublich.
    > Die drei beliebtesten Methoden Kernelobjekte direkt zu manipulieren sind:
    >
    > -Kerneltreiber
    > -\\Device\PhysicalMemory Objekte mit Schreibzugriff (Ab Vista haben Ring3
    > Prozesse nur noch eingeschränkten Zugriff)
    > -Native APIs wie ZwSystemDebugControl
    >
    > LG
    > Leaper

  13. Re: Wie genau funktioniert der?

    Autor: frostbitten king 25.11.14 - 12:07

    Wenns sich auf ein Firewire Device eingenistet hat glaub ich schon. Da hast irgendwie Zugriff auf den ganzen Bus (so hab ich das irgendwie in Erinnerung).

  14. Re: Wie genau funktioniert der?

    Autor: HubertHans 27.11.14 - 09:44

    frostbitten king schrieb:
    --------------------------------------------------------------------------------
    > Wenns sich auf ein Firewire Device eingenistet hat glaub ich schon. Da hast
    > irgendwie Zugriff auf den ganzen Bus (so hab ich das irgendwie in
    > Erinnerung).

    Hast du mit PCI/ ISA und so weiter auch :)

  15. Re: Wie genau funktioniert der?

    Autor: HubertHans 27.11.14 - 11:40

    Übrigens ist das mit Firewire/ Thunderbolt und Co absoluter Bloedsinn. Ja, diese Bussysteme ermoeglichen den Zugriff auf den Speicher des PC per Definition in Hardware und im Busprotokoll somit implementiert. Was nicht bedeutet das da ein Sicherheitsloch existiert. Diese ganzen Spinner die behaupten, diese BUS-Systeme waeren deswegen unsicher machen sich nur wichtig. Denn so einfach ist das in der Praxis nicht und unter den Umstaenden, wo das ganze klappt, waere es auch mit USB moeglich. Und USB kann das eigentlich nicht nativ. Das entsprechende Geraet welches den RAM ausliest muesste per Treiber in das Betriebssystem eingebunden sein. Und hier besteht die Sicherheitsluecke. Denn ein normales Geraet, sei es Firewire oder PCIe, hat nur einen eigenen Speicherbereich auf den selbststaendig es zugreifen kann. Wuerde so ein Geraet versuchen, auf Speicherbereiche zuzugreifen, die nicht dem Geraet zugeordnet sind, wuerde Windows sofort einen Bluescreen schieben. Es braeuchte also einen SEHR SPEZIELLEN Treiber der den Speicherschutz des OS aushebelt. In der Praxis ist das also eher so, das es sich bei dieser "Sicherheitsluecke" um ein "Proof of Concept" handelt. Und so ein Treiber koennte das auch fuer ein USB-Geraet ermoeglichen. Nur waere dann der Treiber der Initiator und nicht das Geraet am Bus mit DMA. Es waere also etwas schwieriger.



    2 mal bearbeitet, zuletzt am 27.11.14 11:42 durch HubertHans.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Modis GmbH, Berlin
  2. TOTAL Bitumen Deutschland GmbH, Brunsbüttel
  3. STIEBEL ELTRON GmbH & Co. KG, Holzminden
  4. KRATZER AUTOMATION AG, Unterschleißheim bei München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-10%) 89,99€
  2. 12,99€
  3. 4,99€
  4. 69,99€ (Release am 25. Oktober)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

  1. BSI-Präsident: "Emotet ist der König der Schadsoftware"
    BSI-Präsident
    "Emotet ist der König der Schadsoftware"

    Das BSI sieht eine weiterhin steigende Bedrohung durch Gefahren im Internet, vor allem setzt demnach die Schadsoftware Emotet der Wirtschaft zu. BSI-Präsident und Bundesinneminister betonen ihre Hilfsbereitschaft in Sachen Cybersicherheit, appellieren aber auch an die Verantwortung von Verbrauchern und Unternehmen.

  2. Flip 2: Samsungs digitales Flipchart wird größer und kann Office 365
    Flip 2
    Samsungs digitales Flipchart wird größer und kann Office 365

    Das Samsung Flip 2 ist im Kern wieder ein Flipchart, an welchem Teams ihre Ideen zu digitalem Papier bringen können. Ein Unterschied: Es wird auch eine 65-Zoll-Version geben. Außerdem kann es in Verbindung mit Office 365 genutzt werden.

  3. Star Wars Jedi Fallen Order angespielt: Die Rückkehr der Sternenkriegersolospiele
    Star Wars Jedi Fallen Order angespielt
    Die Rückkehr der Sternenkriegersolospiele

    Seit dem 2003 veröffentlichten Jedi Academy warten Star-Wars-Fans auf ein mächtig gutes neues Actionspiel auf Basis von Star Wars. Demnächst könnte es wieder soweit sein: Beim Anspielen hat Jedi Fallen Order jedenfalls viel Spaß gemacht - trotz oder wegen Anleihen bei Tomb Raider.


  1. 19:25

  2. 17:18

  3. 17:01

  4. 16:51

  5. 15:27

  6. 14:37

  7. 14:07

  8. 13:24