1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Stuxnet lässt grüßen: Trojaner hat…

Wie genau funktioniert der?

Am 17. Juli erscheint Ghost of Tsushima; Assassin's Creed Valhalla und Watch Dogs Legions konnten wir auch gerade länger anspielen - Anlass genug, um über Actionspiele, neue Games und die Next-Gen-Konsolen zu sprechen! Unser Chef-Abenteurer Peter Steinlechner stellt sich einer neuen Challenge: euren Fragen.
Er wird sie am 16. Juli von 14 Uhr bis 16 Uhr beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. Wie genau funktioniert der?

    Autor: Serenity 24.11.14 - 09:16

    Mich würde es mal interessieren, wie die den so lange unbemerkt einsetzen konnten.
    ich schau schon des öfteren in meinem Tankmanager rein um unbekannte Prozesse zu entdecken. Wird allerdings eine DLL infiziert, bin ich mit der Technik machtlos.

    Auch welche Webseiten diesen Trojaner verbreitet haben, wäre doch sehr interessant.

    Da ich ein Verständnis der Programmierung habe würde ich gerne Wissen, wie solche Viren funktionieren. Hat da jemand eine Quelle zum erkundigen?

  2. Re: Wie genau funktioniert der?

    Autor: alter schnee 24.11.14 - 09:31

    hier der Link zum Thema:

    http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance

    whitepaper:
    http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf

    und hier kannst du jeden Virus nachschauen:
    http://de.norton.com/security_response/

  3. Re: Wie genau funktioniert der?

    Autor: HubertHans 24.11.14 - 10:25

    Serenity schrieb:
    --------------------------------------------------------------------------------
    > Mich würde es mal interessieren, wie die den so lange unbemerkt einsetzen
    > konnten.
    > ich schau schon des öfteren in meinem Tankmanager rein um unbekannte
    > Prozesse zu entdecken. Wird allerdings eine DLL infiziert, bin ich mit der
    > Technik machtlos.
    >
    > Auch welche Webseiten diesen Trojaner verbreitet haben, wäre doch sehr
    > interessant.
    >
    > Da ich ein Verständnis der Programmierung habe würde ich gerne Wissen, wie
    > solche Viren funktionieren. Hat da jemand eine Quelle zum erkundigen?

    Der Taskmanager hilft nicht mal im Geringsten, wenn die Malware Prozesse einfach ausblenden oder ganz aus dem Einflussbereich des Kernel verschwinden laesst. das ist eigentlich Standardvorgehen.

  4. Re: Wie genau funktioniert der?

    Autor: Serenity 24.11.14 - 11:07

    HubertHans schrieb:
    --------------------------------------------------------------------------------
    > Serenity schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Mich würde es mal interessieren, wie die den so lange unbemerkt
    > einsetzen
    > > konnten.
    > > ich schau schon des öfteren in meinem Tankmanager rein um unbekannte
    > > Prozesse zu entdecken. Wird allerdings eine DLL infiziert, bin ich mit
    > der
    > > Technik machtlos.
    > >
    > > Auch welche Webseiten diesen Trojaner verbreitet haben, wäre doch sehr
    > > interessant.
    > >
    > > Da ich ein Verständnis der Programmierung habe würde ich gerne Wissen,
    > wie
    > > solche Viren funktionieren. Hat da jemand eine Quelle zum erkundigen?
    >
    > Der Taskmanager hilft nicht mal im Geringsten, wenn die Malware Prozesse
    > einfach ausblenden oder ganz aus dem Einflussbereich des Kernel
    > verschwinden laesst. das ist eigentlich Standardvorgehen.

    Ich nutze einen anderen Taskmanger als den von Windows...
    Kernelprozesse kann man im neuen Taskmanager glaub ich anzeigen lassen, bin mir aber nicht sicher...

  5. Re: Wie genau funktioniert der?

    Autor: Wallbreaker 24.11.14 - 11:12

    Sofern ein 64Bit System hast, funktioniert er nach dem Whitepaper schonmal äußerst eingeschränkt.
    Und das lediglich RC5 für die Verschlüsselung genutzt wurde, ist einerseits peinlich oder so gewollt, dass der Schädling überhaupt analysiert werden kann.

  6. Re: Wie genau funktioniert der?

    Autor: frostbitten king 24.11.14 - 12:53

    Das ist egal. Die laufenden Prozesse sind in einer LinkedList gespeichert. Was solche Rootkits machen ist folgendes:
    - Rootnode holen (jetzt Mutmaßung von mir: oberster parent process in linux init oder whatever).
    - durch die LinkedList durchgehen zu dem Prozess den die Malware verstecken will
    - den next/prev. link umhängen.
    - Profit
    Aber es gibt tools die diese Linkedlist nicht verwenden, und den Memory danach absuchen. Auf die Art findet man auch solche versteckten Prozesse - kann natürlich auch sein dass dein alternativer Process Monitor das macht.
    Ich kann mich nur dunkel erinnern, der Process Monitor vom Russinovich (kein unbekannter in der Szene) macht das nicht.

  7. Re: Wie genau funktioniert der?

    Autor: M.P. 24.11.14 - 13:24

    Nunja,
    irgendeine Liste muss es da schon geben, in der der Prozess steht - sonst gibt ihm der Scheduler ja kein Prozessorzeit ;-)

    Aber da gibt es wohl noch ganz andere Möglichkeiten:
    http://www.ceilers-news.de/serendipity/112-SubVirt-und-Blue-Pill-Rootkits-mit-Virtualisierung.html

  8. Re: Wie genau funktioniert der?

    Autor: frostbitten king 24.11.14 - 13:58

    Vermutlich, aber so hab ichs damals bei, ka Internet Security, oder Advanced Internet Security gelernt, dass die Liste über die das gemacht wird, manipulierbar ist, und so Prozesse verstecken kann vor dem User. Kernelseitig wird das noch irgendwie da sein, für Scheduling etc, aber ich denke mal das wird ein Interface für den Userspace sein um Prozessinfos abzufragen.

  9. Re: Wie genau funktioniert der?

    Autor: Leaper 24.11.14 - 18:54

    Um sich vor einfachen Taskmanagern als auch erweiterten Taskmanagern zu verstecken nutzen komplexe Malware-Systeme oft DKOM Attacken. Sie klinken sich aus der doubly-linked _EPROCESS Struktur mithilfe einer Manipulation der Flink/Blink Zeiger aus. Stell dir die _EPROCESS Struktur wie einen Kreis aus Menschen vor, die sich gegenseitig die Hand geben. Ein normaler Taskmanager fängt bei einer Person an und geht dann reihum, bis er wieder zur Position eins gelangt. Bei DKOM Attacken klinkt sich eine Person aus und schließt die entstandene Lücke, indem er seine beiden Nachbarn (Flink/Blink) verbindet . Ein normaler Taskmanager ist nun nicht mehr in der Lage, diese Person zu finden.

    Eine Erkennung dieser Technik ist auf dem betroffenden System schwierig. Die effektivste Methode ist eine Memory-Analyse. Bei Volatility z.B. leicht mit Cross-Referenzen von pslist/psscan oder psxscan zu erledigen. Mandiants Redline verwendet eine ähnliche Technik.

    Allerdings gibt es noch viele andere Möglichkeiten Prozesse zu verstecken. Brendan Dolan-Gavitt z.B. hat in "Robust Signatures for Kernel Data
    Structures" gezeigt, dass Prozesse bis zu 51 Felder in der _EPROCESS Struktur ändern können, ohne sich selbst oder den Kernel zu crashen.
    Nur ein kleines Beispiel; ein Prozess könnte das _EPROCESS.ExitTime Feld überschreiben und würde für normale Taskmanager als beendet (nicht mehr aktiv) erscheinen. Er wird demzufolge nicht mehr angezeigt.

    Die drei beliebtesten Methoden Kernelobjekte direkt zu manipulieren sind:

    -Kerneltreiber
    -\\Device\PhysicalMemory Objekte mit Schreibzugriff (Ab Vista haben Ring3 Prozesse nur noch eingeschränkten Zugriff)
    -Native APIs wie ZwSystemDebugControl

    LG
    Leaper

  10. Re: Wie genau funktioniert der?

    Autor: HubertHans 24.11.14 - 21:27

    Wobei die Schadsoftware ja nicht mal im RAM oder der CPu des PC laufen muss. Es gibt in Zwischen mehr als genug Hardware, die eine eigene CPU und RAM dabei hat. Grafikkarten, Maeuse, Festplatten, Netzwerkkarten, Modems...

  11. Re: Wie genau funktioniert der?

    Autor: plutoniumsulfat 25.11.14 - 08:18

    Können solche Viren denn auf die Festplatte zugreifen?

  12. Re: Wie genau funktioniert der?

    Autor: frostbitten king 25.11.14 - 12:05

    Leaper schrieb:
    ...
    > Eine Erkennung dieser Technik ist auf dem betroffenden System schwierig.
    > Die effektivste Methode ist eine Memory-Analyse. Bei Volatility z.B. leicht
    > mit Cross-Referenzen von pslist/psscan oder psxscan zu erledigen. Mandiants
    > Redline verwendet eine ähnliche Technik.
    Ah, stimmt Volatility war das, bei einer der Übungen zu Inetsec / Advanced Inetsec hatten wir einen Memory dump damit analysieren müssen.
    Das Teil hat dann auch eine Art Screenshot gedumped was zuletzt zu sehen war.
    [4.bp.blogspot.com], hat dann so ausgeschaut :D.
    >
    > Allerdings gibt es noch viele andere Möglichkeiten Prozesse zu verstecken.
    > Brendan Dolan-Gavitt z.B. hat in "Robust Signatures for Kernel Data
    > Structures" gezeigt, dass Prozesse bis zu 51 Felder in der _EPROCESS
    > Struktur ändern können, ohne sich selbst oder den Kernel zu crashen.
    > Nur ein kleines Beispiel; ein Prozess könnte das _EPROCESS.ExitTime Feld
    > überschreiben und würde für normale Taskmanager als beendet (nicht mehr
    > aktiv) erscheinen. Er wird demzufolge nicht mehr angezeigt.
    >
    Nice, ExitTime überschreiben, gefällt mir. Die Leute die da wirklich tief drin sind, sind so kreativ, das ist unglaublich.
    > Die drei beliebtesten Methoden Kernelobjekte direkt zu manipulieren sind:
    >
    > -Kerneltreiber
    > -\\Device\PhysicalMemory Objekte mit Schreibzugriff (Ab Vista haben Ring3
    > Prozesse nur noch eingeschränkten Zugriff)
    > -Native APIs wie ZwSystemDebugControl
    >
    > LG
    > Leaper

  13. Re: Wie genau funktioniert der?

    Autor: frostbitten king 25.11.14 - 12:07

    Wenns sich auf ein Firewire Device eingenistet hat glaub ich schon. Da hast irgendwie Zugriff auf den ganzen Bus (so hab ich das irgendwie in Erinnerung).

  14. Re: Wie genau funktioniert der?

    Autor: HubertHans 27.11.14 - 09:44

    frostbitten king schrieb:
    --------------------------------------------------------------------------------
    > Wenns sich auf ein Firewire Device eingenistet hat glaub ich schon. Da hast
    > irgendwie Zugriff auf den ganzen Bus (so hab ich das irgendwie in
    > Erinnerung).

    Hast du mit PCI/ ISA und so weiter auch :)

  15. Re: Wie genau funktioniert der?

    Autor: HubertHans 27.11.14 - 11:40

    Übrigens ist das mit Firewire/ Thunderbolt und Co absoluter Bloedsinn. Ja, diese Bussysteme ermoeglichen den Zugriff auf den Speicher des PC per Definition in Hardware und im Busprotokoll somit implementiert. Was nicht bedeutet das da ein Sicherheitsloch existiert. Diese ganzen Spinner die behaupten, diese BUS-Systeme waeren deswegen unsicher machen sich nur wichtig. Denn so einfach ist das in der Praxis nicht und unter den Umstaenden, wo das ganze klappt, waere es auch mit USB moeglich. Und USB kann das eigentlich nicht nativ. Das entsprechende Geraet welches den RAM ausliest muesste per Treiber in das Betriebssystem eingebunden sein. Und hier besteht die Sicherheitsluecke. Denn ein normales Geraet, sei es Firewire oder PCIe, hat nur einen eigenen Speicherbereich auf den selbststaendig es zugreifen kann. Wuerde so ein Geraet versuchen, auf Speicherbereiche zuzugreifen, die nicht dem Geraet zugeordnet sind, wuerde Windows sofort einen Bluescreen schieben. Es braeuchte also einen SEHR SPEZIELLEN Treiber der den Speicherschutz des OS aushebelt. In der Praxis ist das also eher so, das es sich bei dieser "Sicherheitsluecke" um ein "Proof of Concept" handelt. Und so ein Treiber koennte das auch fuer ein USB-Geraet ermoeglichen. Nur waere dann der Treiber der Initiator und nicht das Geraet am Bus mit DMA. Es waere also etwas schwieriger.



    2 mal bearbeitet, zuletzt am 27.11.14 11:42 durch HubertHans.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. K&P Computer Service- und Vertriebs GmbH, verschiedene Standorte (Home-Office)
  2. Freie und Hansestadt Hamburg, Behörde für Inneres und Sport Landesamt für Verfassungsschutz, Hamburg
  3. Hays AG, Leipzig
  4. GK Software SE, Berlin, Köln

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 213,47€ (Bestpreis mit Saturn)
  2. (u. a. Crucial P2 250GB NVMe für 42,99€, Crucial Ballistix Sport 8GB (4GB x2) Speicher Kit DDR3...
  3. (aktuell u. a. Crucial MX 500 1TB für 98,45€ (mit Direktabzug - Bestpreis!), WD Blue SN550 1TB...
  4. (u. a. TT Isle of Man - Ride on the Edge 2 für 27,99€, Zombie Night Terror für 1,20€, Anno...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kryptographie: Die europäische Geheimdienst-Allianz Maximator
Kryptographie
Die europäische Geheimdienst-Allianz Maximator

Mit der Maximator-Allianz haben fünf europäische Länder einen Gegenpart zu den angelsächsischen Five Eyes geschaffen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Security Bundestagshacker kopierten Mails aus Merkels Büro
  2. Trumps Smoking Gun Vodafone und Telefónica haben keine Huawei-Hintertür
  3. Sicherheitsforscher Daten durch Änderung der Bildschirmhelligkeit ausleiten

Materiejets aus schwarzem Loch: Schneller als das Licht?
Materiejets aus schwarzem Loch
Schneller als das Licht?

Das schwarze Loch stößt Materie mit einer Geschwindigkeit aus, die wie Überlichtgeschwindigkeit aussieht.
Ein Bericht von Andreas Lutter

  1. Oumuamua Ein ganz normal merkwürdiger interstellarer Asteroid

Ultima 6 - The False Prophet: Als Britannia Farbe bekannte
Ultima 6 - The False Prophet
Als Britannia Farbe bekannte

Zum 30. Geburtstag von Ultima 6 habe ich den Rollenspielklassiker wieder gespielt - und war überrascht, wie anders ich das Spiel heutzutage wahrnehme.
Ein Erfahrungsbericht von Andreas Altenheimer

  1. Pathfinder 2 angespielt Abenteuer als wohlwollender Engel oder rasender Dämon
  2. 30 Jahre Champions of Krynn Rückkehr ins Reich der Drachen und Drakonier
  3. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale