Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Stuxnet lässt grüßen: Trojaner hat…

Wie genau funktioniert der?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie genau funktioniert der?

    Autor: Serenity 24.11.14 - 09:16

    Mich würde es mal interessieren, wie die den so lange unbemerkt einsetzen konnten.
    ich schau schon des öfteren in meinem Tankmanager rein um unbekannte Prozesse zu entdecken. Wird allerdings eine DLL infiziert, bin ich mit der Technik machtlos.

    Auch welche Webseiten diesen Trojaner verbreitet haben, wäre doch sehr interessant.

    Da ich ein Verständnis der Programmierung habe würde ich gerne Wissen, wie solche Viren funktionieren. Hat da jemand eine Quelle zum erkundigen?

  2. Re: Wie genau funktioniert der?

    Autor: alter schnee 24.11.14 - 09:31

    hier der Link zum Thema:

    http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance

    whitepaper:
    http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf

    und hier kannst du jeden Virus nachschauen:
    http://de.norton.com/security_response/

  3. Re: Wie genau funktioniert der?

    Autor: HubertHans 24.11.14 - 10:25

    Serenity schrieb:
    --------------------------------------------------------------------------------
    > Mich würde es mal interessieren, wie die den so lange unbemerkt einsetzen
    > konnten.
    > ich schau schon des öfteren in meinem Tankmanager rein um unbekannte
    > Prozesse zu entdecken. Wird allerdings eine DLL infiziert, bin ich mit der
    > Technik machtlos.
    >
    > Auch welche Webseiten diesen Trojaner verbreitet haben, wäre doch sehr
    > interessant.
    >
    > Da ich ein Verständnis der Programmierung habe würde ich gerne Wissen, wie
    > solche Viren funktionieren. Hat da jemand eine Quelle zum erkundigen?

    Der Taskmanager hilft nicht mal im Geringsten, wenn die Malware Prozesse einfach ausblenden oder ganz aus dem Einflussbereich des Kernel verschwinden laesst. das ist eigentlich Standardvorgehen.

  4. Re: Wie genau funktioniert der?

    Autor: Serenity 24.11.14 - 11:07

    HubertHans schrieb:
    --------------------------------------------------------------------------------
    > Serenity schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Mich würde es mal interessieren, wie die den so lange unbemerkt
    > einsetzen
    > > konnten.
    > > ich schau schon des öfteren in meinem Tankmanager rein um unbekannte
    > > Prozesse zu entdecken. Wird allerdings eine DLL infiziert, bin ich mit
    > der
    > > Technik machtlos.
    > >
    > > Auch welche Webseiten diesen Trojaner verbreitet haben, wäre doch sehr
    > > interessant.
    > >
    > > Da ich ein Verständnis der Programmierung habe würde ich gerne Wissen,
    > wie
    > > solche Viren funktionieren. Hat da jemand eine Quelle zum erkundigen?
    >
    > Der Taskmanager hilft nicht mal im Geringsten, wenn die Malware Prozesse
    > einfach ausblenden oder ganz aus dem Einflussbereich des Kernel
    > verschwinden laesst. das ist eigentlich Standardvorgehen.

    Ich nutze einen anderen Taskmanger als den von Windows...
    Kernelprozesse kann man im neuen Taskmanager glaub ich anzeigen lassen, bin mir aber nicht sicher...

  5. Re: Wie genau funktioniert der?

    Autor: Wallbreaker 24.11.14 - 11:12

    Sofern ein 64Bit System hast, funktioniert er nach dem Whitepaper schonmal äußerst eingeschränkt.
    Und das lediglich RC5 für die Verschlüsselung genutzt wurde, ist einerseits peinlich oder so gewollt, dass der Schädling überhaupt analysiert werden kann.

  6. Re: Wie genau funktioniert der?

    Autor: frostbitten king 24.11.14 - 12:53

    Das ist egal. Die laufenden Prozesse sind in einer LinkedList gespeichert. Was solche Rootkits machen ist folgendes:
    - Rootnode holen (jetzt Mutmaßung von mir: oberster parent process in linux init oder whatever).
    - durch die LinkedList durchgehen zu dem Prozess den die Malware verstecken will
    - den next/prev. link umhängen.
    - Profit
    Aber es gibt tools die diese Linkedlist nicht verwenden, und den Memory danach absuchen. Auf die Art findet man auch solche versteckten Prozesse - kann natürlich auch sein dass dein alternativer Process Monitor das macht.
    Ich kann mich nur dunkel erinnern, der Process Monitor vom Russinovich (kein unbekannter in der Szene) macht das nicht.

  7. Re: Wie genau funktioniert der?

    Autor: M.P. 24.11.14 - 13:24

    Nunja,
    irgendeine Liste muss es da schon geben, in der der Prozess steht - sonst gibt ihm der Scheduler ja kein Prozessorzeit ;-)

    Aber da gibt es wohl noch ganz andere Möglichkeiten:
    http://www.ceilers-news.de/serendipity/112-SubVirt-und-Blue-Pill-Rootkits-mit-Virtualisierung.html

  8. Re: Wie genau funktioniert der?

    Autor: frostbitten king 24.11.14 - 13:58

    Vermutlich, aber so hab ichs damals bei, ka Internet Security, oder Advanced Internet Security gelernt, dass die Liste über die das gemacht wird, manipulierbar ist, und so Prozesse verstecken kann vor dem User. Kernelseitig wird das noch irgendwie da sein, für Scheduling etc, aber ich denke mal das wird ein Interface für den Userspace sein um Prozessinfos abzufragen.

  9. Re: Wie genau funktioniert der?

    Autor: Leaper 24.11.14 - 18:54

    Um sich vor einfachen Taskmanagern als auch erweiterten Taskmanagern zu verstecken nutzen komplexe Malware-Systeme oft DKOM Attacken. Sie klinken sich aus der doubly-linked _EPROCESS Struktur mithilfe einer Manipulation der Flink/Blink Zeiger aus. Stell dir die _EPROCESS Struktur wie einen Kreis aus Menschen vor, die sich gegenseitig die Hand geben. Ein normaler Taskmanager fängt bei einer Person an und geht dann reihum, bis er wieder zur Position eins gelangt. Bei DKOM Attacken klinkt sich eine Person aus und schließt die entstandene Lücke, indem er seine beiden Nachbarn (Flink/Blink) verbindet . Ein normaler Taskmanager ist nun nicht mehr in der Lage, diese Person zu finden.

    Eine Erkennung dieser Technik ist auf dem betroffenden System schwierig. Die effektivste Methode ist eine Memory-Analyse. Bei Volatility z.B. leicht mit Cross-Referenzen von pslist/psscan oder psxscan zu erledigen. Mandiants Redline verwendet eine ähnliche Technik.

    Allerdings gibt es noch viele andere Möglichkeiten Prozesse zu verstecken. Brendan Dolan-Gavitt z.B. hat in "Robust Signatures for Kernel Data
    Structures" gezeigt, dass Prozesse bis zu 51 Felder in der _EPROCESS Struktur ändern können, ohne sich selbst oder den Kernel zu crashen.
    Nur ein kleines Beispiel; ein Prozess könnte das _EPROCESS.ExitTime Feld überschreiben und würde für normale Taskmanager als beendet (nicht mehr aktiv) erscheinen. Er wird demzufolge nicht mehr angezeigt.

    Die drei beliebtesten Methoden Kernelobjekte direkt zu manipulieren sind:

    -Kerneltreiber
    -\\Device\PhysicalMemory Objekte mit Schreibzugriff (Ab Vista haben Ring3 Prozesse nur noch eingeschränkten Zugriff)
    -Native APIs wie ZwSystemDebugControl

    LG
    Leaper

  10. Re: Wie genau funktioniert der?

    Autor: HubertHans 24.11.14 - 21:27

    Wobei die Schadsoftware ja nicht mal im RAM oder der CPu des PC laufen muss. Es gibt in Zwischen mehr als genug Hardware, die eine eigene CPU und RAM dabei hat. Grafikkarten, Maeuse, Festplatten, Netzwerkkarten, Modems...

  11. Re: Wie genau funktioniert der?

    Autor: plutoniumsulfat 25.11.14 - 08:18

    Können solche Viren denn auf die Festplatte zugreifen?

  12. Re: Wie genau funktioniert der?

    Autor: frostbitten king 25.11.14 - 12:05

    Leaper schrieb:
    ...
    > Eine Erkennung dieser Technik ist auf dem betroffenden System schwierig.
    > Die effektivste Methode ist eine Memory-Analyse. Bei Volatility z.B. leicht
    > mit Cross-Referenzen von pslist/psscan oder psxscan zu erledigen. Mandiants
    > Redline verwendet eine ähnliche Technik.
    Ah, stimmt Volatility war das, bei einer der Übungen zu Inetsec / Advanced Inetsec hatten wir einen Memory dump damit analysieren müssen.
    Das Teil hat dann auch eine Art Screenshot gedumped was zuletzt zu sehen war.
    [4.bp.blogspot.com], hat dann so ausgeschaut :D.
    >
    > Allerdings gibt es noch viele andere Möglichkeiten Prozesse zu verstecken.
    > Brendan Dolan-Gavitt z.B. hat in "Robust Signatures for Kernel Data
    > Structures" gezeigt, dass Prozesse bis zu 51 Felder in der _EPROCESS
    > Struktur ändern können, ohne sich selbst oder den Kernel zu crashen.
    > Nur ein kleines Beispiel; ein Prozess könnte das _EPROCESS.ExitTime Feld
    > überschreiben und würde für normale Taskmanager als beendet (nicht mehr
    > aktiv) erscheinen. Er wird demzufolge nicht mehr angezeigt.
    >
    Nice, ExitTime überschreiben, gefällt mir. Die Leute die da wirklich tief drin sind, sind so kreativ, das ist unglaublich.
    > Die drei beliebtesten Methoden Kernelobjekte direkt zu manipulieren sind:
    >
    > -Kerneltreiber
    > -\\Device\PhysicalMemory Objekte mit Schreibzugriff (Ab Vista haben Ring3
    > Prozesse nur noch eingeschränkten Zugriff)
    > -Native APIs wie ZwSystemDebugControl
    >
    > LG
    > Leaper

  13. Re: Wie genau funktioniert der?

    Autor: frostbitten king 25.11.14 - 12:07

    Wenns sich auf ein Firewire Device eingenistet hat glaub ich schon. Da hast irgendwie Zugriff auf den ganzen Bus (so hab ich das irgendwie in Erinnerung).

  14. Re: Wie genau funktioniert der?

    Autor: HubertHans 27.11.14 - 09:44

    frostbitten king schrieb:
    --------------------------------------------------------------------------------
    > Wenns sich auf ein Firewire Device eingenistet hat glaub ich schon. Da hast
    > irgendwie Zugriff auf den ganzen Bus (so hab ich das irgendwie in
    > Erinnerung).

    Hast du mit PCI/ ISA und so weiter auch :)

  15. Re: Wie genau funktioniert der?

    Autor: HubertHans 27.11.14 - 11:40

    Übrigens ist das mit Firewire/ Thunderbolt und Co absoluter Bloedsinn. Ja, diese Bussysteme ermoeglichen den Zugriff auf den Speicher des PC per Definition in Hardware und im Busprotokoll somit implementiert. Was nicht bedeutet das da ein Sicherheitsloch existiert. Diese ganzen Spinner die behaupten, diese BUS-Systeme waeren deswegen unsicher machen sich nur wichtig. Denn so einfach ist das in der Praxis nicht und unter den Umstaenden, wo das ganze klappt, waere es auch mit USB moeglich. Und USB kann das eigentlich nicht nativ. Das entsprechende Geraet welches den RAM ausliest muesste per Treiber in das Betriebssystem eingebunden sein. Und hier besteht die Sicherheitsluecke. Denn ein normales Geraet, sei es Firewire oder PCIe, hat nur einen eigenen Speicherbereich auf den selbststaendig es zugreifen kann. Wuerde so ein Geraet versuchen, auf Speicherbereiche zuzugreifen, die nicht dem Geraet zugeordnet sind, wuerde Windows sofort einen Bluescreen schieben. Es braeuchte also einen SEHR SPEZIELLEN Treiber der den Speicherschutz des OS aushebelt. In der Praxis ist das also eher so, das es sich bei dieser "Sicherheitsluecke" um ein "Proof of Concept" handelt. Und so ein Treiber koennte das auch fuer ein USB-Geraet ermoeglichen. Nur waere dann der Treiber der Initiator und nicht das Geraet am Bus mit DMA. Es waere also etwas schwieriger.



    2 mal bearbeitet, zuletzt am 27.11.14 11:42 durch HubertHans.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. MBDA Deutschland, Schrobenhausen
  2. Advantest Europe GmbH, Böblingen
  3. Goodwheel GmbH, Soest
  4. SKF GmbH, Schweinfurt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 177,90€ + Versand (Bestpreis!)
  2. (u. a. Ryzen 5-2600X für 184,90€ oder Sapphire Radeon RX 570 Pulse für 149,00€)
  3. 245,90€ + Versand
  4. Rabattcodes PCGH-SOMMER! (Stühle) und PCGH-KEY! (Tastaturen)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    Sicherheitslücken: Zombieload in Intel-Prozessoren
    Sicherheitslücken
    Zombieload in Intel-Prozessoren

    Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
    Ein Bericht von Marc Sauter und Sebastian Grüner

    1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
    2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
    3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

    Mordhau angespielt: Die mit dem Schwertknauf zuschlagen
    Mordhau angespielt
    Die mit dem Schwertknauf zuschlagen

    Ein herausfordernd-komplexes Kampfsystem, trotzdem schnelle Action mit Anleihen bei Chivalry und For Honor: Das vom Entwicklerstudio Triternion produzierte Mordhau schickt Spieler in mittelalterlich anmutende Multiplayergefechte mit klirrenden Schwertern und hohem Spaßfaktor.
    Von Peter Steinlechner

    1. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
    2. Bright Memory angespielt Brachialer PC-Shooter aus China

    1. Reparaturprogramm: Apple repariert Macbook Pro wegen Flexkabeln kostenlos
      Reparaturprogramm
      Apple repariert Macbook Pro wegen Flexkabeln kostenlos

      Apple hat eingeräumt, dass bei einigen Macbook Pro das interne Displaykabel durch häufiges Auf- und Zuklappen des Notebooks brüchig werde, und es so zu Teilausfällen der Hintergrundbeleuchtung komme. Nun gibt es ein kostenloses Reparaturprogramm. Auch defekte Butterfly-Tastaturen werden repariert.

    2. Apple: Macbook Pro 15 hat acht Kerne und verbesserte Tastatur
      Apple
      Macbook Pro 15 hat acht Kerne und verbesserte Tastatur

      Das Macbook Pro 15 gibt es nun auch mit Octacore-Prozessoren, Apple spricht von bis zu 40 Prozent mehr Leistung. Obendrein soll das Material der Tastatur verändert worden sein und die Garantie wurde erweitert.

    3. Kreis Kleve: Deutsche Glasfaser versorgt weitere 13.000 Haushalte
      Kreis Kleve
      Deutsche Glasfaser versorgt weitere 13.000 Haushalte

      Im nordrhein-westfälischen Kreis Kleve hat Deutsche Glasfaser schon 40.000 Glasfaseranschlüsse verlegt. Jetzt kommen 13.000 geförderte Anschlüsse hinzu.


    1. 07:21

    2. 21:33

    3. 18:48

    4. 17:42

    5. 17:28

    6. 17:08

    7. 16:36

    8. 16:34