Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Stuxnet lässt grüßen: Trojaner hat…

Wie genau funktioniert der?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie genau funktioniert der?

    Autor: Serenity 24.11.14 - 09:16

    Mich würde es mal interessieren, wie die den so lange unbemerkt einsetzen konnten.
    ich schau schon des öfteren in meinem Tankmanager rein um unbekannte Prozesse zu entdecken. Wird allerdings eine DLL infiziert, bin ich mit der Technik machtlos.

    Auch welche Webseiten diesen Trojaner verbreitet haben, wäre doch sehr interessant.

    Da ich ein Verständnis der Programmierung habe würde ich gerne Wissen, wie solche Viren funktionieren. Hat da jemand eine Quelle zum erkundigen?

  2. Re: Wie genau funktioniert der?

    Autor: alter schnee 24.11.14 - 09:31

    hier der Link zum Thema:

    http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance

    whitepaper:
    http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf

    und hier kannst du jeden Virus nachschauen:
    http://de.norton.com/security_response/

  3. Re: Wie genau funktioniert der?

    Autor: HubertHans 24.11.14 - 10:25

    Serenity schrieb:
    --------------------------------------------------------------------------------
    > Mich würde es mal interessieren, wie die den so lange unbemerkt einsetzen
    > konnten.
    > ich schau schon des öfteren in meinem Tankmanager rein um unbekannte
    > Prozesse zu entdecken. Wird allerdings eine DLL infiziert, bin ich mit der
    > Technik machtlos.
    >
    > Auch welche Webseiten diesen Trojaner verbreitet haben, wäre doch sehr
    > interessant.
    >
    > Da ich ein Verständnis der Programmierung habe würde ich gerne Wissen, wie
    > solche Viren funktionieren. Hat da jemand eine Quelle zum erkundigen?

    Der Taskmanager hilft nicht mal im Geringsten, wenn die Malware Prozesse einfach ausblenden oder ganz aus dem Einflussbereich des Kernel verschwinden laesst. das ist eigentlich Standardvorgehen.

  4. Re: Wie genau funktioniert der?

    Autor: Serenity 24.11.14 - 11:07

    HubertHans schrieb:
    --------------------------------------------------------------------------------
    > Serenity schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Mich würde es mal interessieren, wie die den so lange unbemerkt
    > einsetzen
    > > konnten.
    > > ich schau schon des öfteren in meinem Tankmanager rein um unbekannte
    > > Prozesse zu entdecken. Wird allerdings eine DLL infiziert, bin ich mit
    > der
    > > Technik machtlos.
    > >
    > > Auch welche Webseiten diesen Trojaner verbreitet haben, wäre doch sehr
    > > interessant.
    > >
    > > Da ich ein Verständnis der Programmierung habe würde ich gerne Wissen,
    > wie
    > > solche Viren funktionieren. Hat da jemand eine Quelle zum erkundigen?
    >
    > Der Taskmanager hilft nicht mal im Geringsten, wenn die Malware Prozesse
    > einfach ausblenden oder ganz aus dem Einflussbereich des Kernel
    > verschwinden laesst. das ist eigentlich Standardvorgehen.

    Ich nutze einen anderen Taskmanger als den von Windows...
    Kernelprozesse kann man im neuen Taskmanager glaub ich anzeigen lassen, bin mir aber nicht sicher...

  5. Re: Wie genau funktioniert der?

    Autor: Wallbreaker 24.11.14 - 11:12

    Sofern ein 64Bit System hast, funktioniert er nach dem Whitepaper schonmal äußerst eingeschränkt.
    Und das lediglich RC5 für die Verschlüsselung genutzt wurde, ist einerseits peinlich oder so gewollt, dass der Schädling überhaupt analysiert werden kann.

  6. Re: Wie genau funktioniert der?

    Autor: frostbitten king 24.11.14 - 12:53

    Das ist egal. Die laufenden Prozesse sind in einer LinkedList gespeichert. Was solche Rootkits machen ist folgendes:
    - Rootnode holen (jetzt Mutmaßung von mir: oberster parent process in linux init oder whatever).
    - durch die LinkedList durchgehen zu dem Prozess den die Malware verstecken will
    - den next/prev. link umhängen.
    - Profit
    Aber es gibt tools die diese Linkedlist nicht verwenden, und den Memory danach absuchen. Auf die Art findet man auch solche versteckten Prozesse - kann natürlich auch sein dass dein alternativer Process Monitor das macht.
    Ich kann mich nur dunkel erinnern, der Process Monitor vom Russinovich (kein unbekannter in der Szene) macht das nicht.

  7. Re: Wie genau funktioniert der?

    Autor: M.P. 24.11.14 - 13:24

    Nunja,
    irgendeine Liste muss es da schon geben, in der der Prozess steht - sonst gibt ihm der Scheduler ja kein Prozessorzeit ;-)

    Aber da gibt es wohl noch ganz andere Möglichkeiten:
    http://www.ceilers-news.de/serendipity/112-SubVirt-und-Blue-Pill-Rootkits-mit-Virtualisierung.html

  8. Re: Wie genau funktioniert der?

    Autor: frostbitten king 24.11.14 - 13:58

    Vermutlich, aber so hab ichs damals bei, ka Internet Security, oder Advanced Internet Security gelernt, dass die Liste über die das gemacht wird, manipulierbar ist, und so Prozesse verstecken kann vor dem User. Kernelseitig wird das noch irgendwie da sein, für Scheduling etc, aber ich denke mal das wird ein Interface für den Userspace sein um Prozessinfos abzufragen.

  9. Re: Wie genau funktioniert der?

    Autor: Leaper 24.11.14 - 18:54

    Um sich vor einfachen Taskmanagern als auch erweiterten Taskmanagern zu verstecken nutzen komplexe Malware-Systeme oft DKOM Attacken. Sie klinken sich aus der doubly-linked _EPROCESS Struktur mithilfe einer Manipulation der Flink/Blink Zeiger aus. Stell dir die _EPROCESS Struktur wie einen Kreis aus Menschen vor, die sich gegenseitig die Hand geben. Ein normaler Taskmanager fängt bei einer Person an und geht dann reihum, bis er wieder zur Position eins gelangt. Bei DKOM Attacken klinkt sich eine Person aus und schließt die entstandene Lücke, indem er seine beiden Nachbarn (Flink/Blink) verbindet . Ein normaler Taskmanager ist nun nicht mehr in der Lage, diese Person zu finden.

    Eine Erkennung dieser Technik ist auf dem betroffenden System schwierig. Die effektivste Methode ist eine Memory-Analyse. Bei Volatility z.B. leicht mit Cross-Referenzen von pslist/psscan oder psxscan zu erledigen. Mandiants Redline verwendet eine ähnliche Technik.

    Allerdings gibt es noch viele andere Möglichkeiten Prozesse zu verstecken. Brendan Dolan-Gavitt z.B. hat in "Robust Signatures for Kernel Data
    Structures" gezeigt, dass Prozesse bis zu 51 Felder in der _EPROCESS Struktur ändern können, ohne sich selbst oder den Kernel zu crashen.
    Nur ein kleines Beispiel; ein Prozess könnte das _EPROCESS.ExitTime Feld überschreiben und würde für normale Taskmanager als beendet (nicht mehr aktiv) erscheinen. Er wird demzufolge nicht mehr angezeigt.

    Die drei beliebtesten Methoden Kernelobjekte direkt zu manipulieren sind:

    -Kerneltreiber
    -\\Device\PhysicalMemory Objekte mit Schreibzugriff (Ab Vista haben Ring3 Prozesse nur noch eingeschränkten Zugriff)
    -Native APIs wie ZwSystemDebugControl

    LG
    Leaper

  10. Re: Wie genau funktioniert der?

    Autor: HubertHans 24.11.14 - 21:27

    Wobei die Schadsoftware ja nicht mal im RAM oder der CPu des PC laufen muss. Es gibt in Zwischen mehr als genug Hardware, die eine eigene CPU und RAM dabei hat. Grafikkarten, Maeuse, Festplatten, Netzwerkkarten, Modems...

  11. Re: Wie genau funktioniert der?

    Autor: plutoniumsulfat 25.11.14 - 08:18

    Können solche Viren denn auf die Festplatte zugreifen?

  12. Re: Wie genau funktioniert der?

    Autor: frostbitten king 25.11.14 - 12:05

    Leaper schrieb:
    ...
    > Eine Erkennung dieser Technik ist auf dem betroffenden System schwierig.
    > Die effektivste Methode ist eine Memory-Analyse. Bei Volatility z.B. leicht
    > mit Cross-Referenzen von pslist/psscan oder psxscan zu erledigen. Mandiants
    > Redline verwendet eine ähnliche Technik.
    Ah, stimmt Volatility war das, bei einer der Übungen zu Inetsec / Advanced Inetsec hatten wir einen Memory dump damit analysieren müssen.
    Das Teil hat dann auch eine Art Screenshot gedumped was zuletzt zu sehen war.
    [4.bp.blogspot.com], hat dann so ausgeschaut :D.
    >
    > Allerdings gibt es noch viele andere Möglichkeiten Prozesse zu verstecken.
    > Brendan Dolan-Gavitt z.B. hat in "Robust Signatures for Kernel Data
    > Structures" gezeigt, dass Prozesse bis zu 51 Felder in der _EPROCESS
    > Struktur ändern können, ohne sich selbst oder den Kernel zu crashen.
    > Nur ein kleines Beispiel; ein Prozess könnte das _EPROCESS.ExitTime Feld
    > überschreiben und würde für normale Taskmanager als beendet (nicht mehr
    > aktiv) erscheinen. Er wird demzufolge nicht mehr angezeigt.
    >
    Nice, ExitTime überschreiben, gefällt mir. Die Leute die da wirklich tief drin sind, sind so kreativ, das ist unglaublich.
    > Die drei beliebtesten Methoden Kernelobjekte direkt zu manipulieren sind:
    >
    > -Kerneltreiber
    > -\\Device\PhysicalMemory Objekte mit Schreibzugriff (Ab Vista haben Ring3
    > Prozesse nur noch eingeschränkten Zugriff)
    > -Native APIs wie ZwSystemDebugControl
    >
    > LG
    > Leaper

  13. Re: Wie genau funktioniert der?

    Autor: frostbitten king 25.11.14 - 12:07

    Wenns sich auf ein Firewire Device eingenistet hat glaub ich schon. Da hast irgendwie Zugriff auf den ganzen Bus (so hab ich das irgendwie in Erinnerung).

  14. Re: Wie genau funktioniert der?

    Autor: HubertHans 27.11.14 - 09:44

    frostbitten king schrieb:
    --------------------------------------------------------------------------------
    > Wenns sich auf ein Firewire Device eingenistet hat glaub ich schon. Da hast
    > irgendwie Zugriff auf den ganzen Bus (so hab ich das irgendwie in
    > Erinnerung).

    Hast du mit PCI/ ISA und so weiter auch :)

  15. Re: Wie genau funktioniert der?

    Autor: HubertHans 27.11.14 - 11:40

    Übrigens ist das mit Firewire/ Thunderbolt und Co absoluter Bloedsinn. Ja, diese Bussysteme ermoeglichen den Zugriff auf den Speicher des PC per Definition in Hardware und im Busprotokoll somit implementiert. Was nicht bedeutet das da ein Sicherheitsloch existiert. Diese ganzen Spinner die behaupten, diese BUS-Systeme waeren deswegen unsicher machen sich nur wichtig. Denn so einfach ist das in der Praxis nicht und unter den Umstaenden, wo das ganze klappt, waere es auch mit USB moeglich. Und USB kann das eigentlich nicht nativ. Das entsprechende Geraet welches den RAM ausliest muesste per Treiber in das Betriebssystem eingebunden sein. Und hier besteht die Sicherheitsluecke. Denn ein normales Geraet, sei es Firewire oder PCIe, hat nur einen eigenen Speicherbereich auf den selbststaendig es zugreifen kann. Wuerde so ein Geraet versuchen, auf Speicherbereiche zuzugreifen, die nicht dem Geraet zugeordnet sind, wuerde Windows sofort einen Bluescreen schieben. Es braeuchte also einen SEHR SPEZIELLEN Treiber der den Speicherschutz des OS aushebelt. In der Praxis ist das also eher so, das es sich bei dieser "Sicherheitsluecke" um ein "Proof of Concept" handelt. Und so ein Treiber koennte das auch fuer ein USB-Geraet ermoeglichen. Nur waere dann der Treiber der Initiator und nicht das Geraet am Bus mit DMA. Es waere also etwas schwieriger.



    2 mal bearbeitet, zuletzt am 27.11.14 11:42 durch HubertHans.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Orsted Wind Power Germany GmbH, Norddeich
  2. Pfennigparade SIGMETA GmbH, München
  3. UDG United Digital Group, Ludwigsburg, Herrenberg, Hamburg, Karlsruhe, Mainz
  4. Badenoch + Clark, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 79,00€
  2. 59,99€
  3. ab 17,99€
  4. 799,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

  1. Quartalsbericht: Amazons Umsatz steigt nicht mehr so stark
    Quartalsbericht
    Amazons Umsatz steigt nicht mehr so stark

    Amazon macht im ersten Quartal 3,6 Milliarden US-Dollar Gewinn. Doch das Umsatzwachstum fällt von 43 auf 17 Prozent.

  2. Partner-Roadmap: Intel plant 10-nm-Desktop-Chips nicht vor 2022
    Partner-Roadmap
    Intel plant 10-nm-Desktop-Chips nicht vor 2022

    Roadmaps von Dell zufolge wird Intel in den kommenden Jahren primär das Mobile-Segment mit Prozessoren im 10-nm-Verfahren bedienen. Im Desktop-Bereich müssen Comet Lake und Rocket Lake mit zehn Kernen und 14 nm gegen AMDs Ryzen 3000/4000 mit 7(+) nm antreten.

  3. Mobilfunk: Nokia macht wegen 5G-Sicherheitsbedenken Verlust
    Mobilfunk
    Nokia macht wegen 5G-Sicherheitsbedenken Verlust

    Nokia kann von der US-Kampagne gegen Huawei nicht profitieren, sondern verbucht einen unerwarteten Verlust. Investitionen seien erforderlich, erklärte Konzernchef Rajeev Suri.


  1. 23:51

  2. 21:09

  3. 18:30

  4. 17:39

  5. 16:27

  6. 15:57

  7. 15:41

  8. 15:25