|
Diskussionsforum: Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
31.03.2016, 20:43 | #136 | |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Ich frage jetzt mal ganz blöd, wieso wurde noch nicht das Bios vom Mainboard neu installiert oder mal richtig zurückgesetzt? Tutorial zur Entfernung eines VBR Rootkits https://www.youtube.com/watch?v=YMjjoPWTaqw Zitat:
Wieso, wenn man eine wichtige Position inne hat, ist es durchaus möglich gezielt mit professioneller Schadware angriffen zu werden Geändert von laxxal (31.03.2016 um 21:08 Uhr) |
31.03.2016, 21:02 | #137 | |
Gesperrt | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertZitat:
|
31.03.2016, 21:30 | #138 | ||
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertZitat:
Nichts ist unmoeglich, wenn es maszgeschneidert wird aber dann muessten auch die Tastatur und die Maus ausgetauscht werden, denn die haben teils wesentlich mehr Speicher frei verfuegbar. Selbstverstaendlich kann man das machen, ganz besonders wenn eine neuere Version verfuegbar ist. Allerdings weiss man nicht, ohne den Schaedling zu kennen, wieviel Erfolg beschieden sein wird. Denn von innerhalb des infizierten Systems wuerde ja moeglicherweise das Bios gleich wieder kompromittiert. Und wie boote ich in einen Zustand vor dem Bios? Ah, ASUS Dual-Bios muesste jeder haben ... Desweiteren sollte man nicht unbedingt das Bios ohne Not flashen, ohne Dual-Bios kann das auch mal mit einem Neukauf enden. Selbst Hersteller empfehlen oft, das Bios nur zu flashen zur Fehlerbehebung. Ein EEPROM laesst sich nur im Stueck schreiben. Also muesste der Schaedling das BIOS auslesen, modifizieren und modifiziert inklusive korrekter Checksumme zurueckschreiben. Ein erfolgreich verbreiteter Schaedling muesste eine moeglichst vollstaendige BIOS-Datenbank mit allen moeglichen Versionen mitfuehren fuer alle moeglichen Mainboards. Okay, einige Interrupte sind einfacher zu kompromittieren als andere, aber dann muesste der Schaedling immerhin in der Lage sein, erfolgreich kleinere Codestuecke zu analysieren. Und das bei einer absolut minimalen Groesse. Wie wir heute wissen, eine Maus zu infizieren ist erfolgversprechender. Sollten sich solche Schaedlinge irgendwann doch durchsetzen, dann muessen die BIOS-Programmierer nur den freien Platz im ROM mit Zufallszahlen fuellen und der Schaedling waere ausserstande Platz zu finden. Lohnt sich nicht mehr denn dank UEFI sind zukuenftig neue Strategien gefragt. Zertifikate, Zertifikate, Zertifikatkollisionen. Zitat:
Auch Google-Tochter Youtube hat es schon erwischt. (Ganz zu schweigen von Disaster-doubleclick) Wenn diese ihre Werbung outsourcen oder anderweitig gehackt werden, dann ist Unfug nicht weit. Naja, in so einer Position hat man regelmaessig eine gut bezahlte IT-Abteilung hinter oder neben sich und wird nicht im TB posten. |
31.03.2016, 22:59 | #139 | |
Gesperrt | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Jetzt weiß ich auch warum eine Google Suchmaschinenfunktion in TB integriert ist Wegen Avira: Avira arbeitet nicht mehr mit Ask zusammen falls man Avira Safe Search installieren würde, steht zwar noch so auf deren Webseite, aber ein Mitarbeiter von Avira hat heute in einem anderen Forum gepostet das Avira nun Yahoo als Partner hat: Zitat:
|
31.03.2016, 23:31 | #140 |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Um mal noch "kurz" meinen Senf dazuzugeben (Muss ich ja fast irgendwann mal bei einem Thread über Boot- bzw. Rootkits) - In einem oder mehreren Logs von dennissteins werden "Hooks" im Kernel angezeigt. Die Hooks auf dem 32-Bit Windows 7 sind zum Grossteil von Kaspersky. klif.sys biegt hier einiges auf sich um, damit dein AV informiert wird, wenn seltsames Verhalten im System auftritt (Behavior-based Analysis). Hooking ist hier in Ordnung, weil es für x86 keinen PatchGuard (KPP) gibt. Usermode-Hooking hängt mit Sandboxen (von vorgestern) und/oder mit Kompatibilitäts-Shims zusammen. Das APIset Schema von Windows 7?+ z.B. kann zu Meldungen von IAT- resp. EAT-Hooks in Rootkitscannern führen. - Hooking seitens Boot-/Rootkits ist absolut veraltet und untauglich. - Wenn ich ein Rootkit schreiben müsste, das auch nur annähernd so unentdeckbar sein soll, wie du es beschreibst, würde ich es als wiederentladenen Gerätetreiber tarnen, dessen Code per APC zur Laufzeit EINZIG und ALLEIN im Kernelspeicher umherhüpft. Eher NIEMALS würde ich unbekannte Benutzer anlegen, oder gar Systemaufrufe modifizieren. Abgesehen von der Sinnlosigkeit von Hooking und unbekannten Benutzern hat dein Rootkit sein primäres Ziel ganz deutlich verfehlt. Das primäre Ziel ist es, solange wie möglich ohne Notiz des Opfers die Maschine zu infiltrieren. Du hast das Bootkit aber "entdeckt". Wenn der Angreifer tatsächlich BIOS und UEFI patchen würde, würde er bestimmt keine Entdeckung wollen. Fazit, ich gehe kaum bis nicht davon aus, dass da in deinem PC oder Netzwerk irgendetwas 0.08 % Spezielles ist. @bombinho: Der grösste Sprung bzgl. Kernelveränderung ist für mich Windows 2003/XP zu Vista. Die ganzen Neuerungen wie Protected Media Path, UAC, Session-Isolation und neue Prozesserstellung mittels "NtCreateUserProcess" statt "NtCreateProcess(Ex)" beziehen sich nicht nur auf den Usermodus... Markant sind auch die Unterschiede von 32- und 64-Bit. PatchGuard, Treiber-Signierungszwang, x64-ABI und Neudesign von strukturierter Fehlerbehandlung (SEH). Mit Windows 10 wurde ausser DeviceGuard und weiteren HV-basierten Neuerungen nicht viel am Kernel verändert. Die Einführung des Metro-Designs hat ausser AppContainer nicht viel mit dem Kernel zu tun. Was hingegen stark überarbeitet wurde, ist der graphische Teil des Kernels. Neben tiefem (!) "Aufräumen" und "Ausmisten" des Codes gibt's jetzt statt nur einer "win32k.sys" gleich drei davon. Freundliche und bootkit-freie Grüsse! Microwave |
01.04.2016, 06:04 | #141 | |||
/// the machine /// TB-Ausbilder | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertZitat:
Zitat:
Zitat:
Nochmal: Es gibt Bootkits, ja Es gibt Rootktis, ja Gibt es sowas wie du es beschreibst > vielleicht Wo > nur im Labor oder bei Personen, die von Interesse sind Jetzt gehen wir mal davon aus du wärst US Präsident oder Trilliardär, und nicht jedem anderen Menschen, vor allem Malwareschreibern, scheiss egal, und du hättest so eine Malware: Glückwunsch. Bau das Board und die Platte mit allen Controllern aus, kannste dir einrahmen und hinhängen. Da kann kein Mensch helfen, und erst recht nicht über ein Forum, mit normalen Tools und Logs. Und weil wir das wissen, brauchen wir auch keine 10 Minuten Lebenszeit zu verschwenden.
__________________ --> Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert |
01.04.2016, 06:51 | #142 | |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertZitat:
Ich guck mal ob ich das finde aber im Prinzip ging es darum, dass viele Aufrufe nichts im Kernel verloren haben und eine Ausfuehrung im Usermode voellig ausreichend ist. Dass der Umbau fuer die Software transparent bleiben sollte ist ziemlich klar aber es wurde Augenmerk darauf gelegt, was ueberhaupt zwingend im Kernelmode laufen muss, alles andere flog raus und darf sich jetzt im Usermode tummeln. Damit soll im Prinzip die Angriffsflaeche fuer Rechteausweitungen deutlich verschlankt werden bei moeglichst hoher Rueckwaertskompatibilitaet. |
01.04.2016, 12:36 | #143 | |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertZitat:
Es reicht aus ein hoher Beamter, ein Ingenieure, ein Techniker bei einem sicherheitsrelevanten Unternehmen zu sein oder man ist ein Dschihadist. Ein Szenario: Max Mustermann hat nach der Schule eine Ausbildung bei Rheinmetall gemacht. Auf einer Messe trifft er die hübsche Asiatin Hanna. Hanna ist traurig, ihr Laptop sei kaputt gegangen und sie müsse wichtige Dokumente nochmal bearbeiten und dann unbedingt drucken. Ganz verzaubert von Hanna steckt Max Mustermann den USB Stick von Hanna in den Firmenlaptop und öffnet die Dokumente. Drei Knutscher später wählt sich Max Mustermann via VPN ins Interne Firmenetz ein Geändert von laxxal (01.04.2016 um 12:41 Uhr) |
01.04.2016, 12:41 | #144 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert MaxMustermann hat natürlich auch volle Adminrechte und weil man bei $bigCompany noch nie was von Gruppenrichtlinien und Security gehört hat gibt es auch keine aktiven Software Restriction Policies
__________________ Logfiles bitte immer in CODE-Tags posten |
01.04.2016, 14:07 | #145 | ||
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertZitat:
Zitat:
So ganz nebenbei ist das hier aber ein vermutetes Bootkit, was erstmal nur auf Max Mustermanns Rechner haust, der MBR vom AD-Server ist in weiter Ferne. Moeglicherweise ist ueber das VPN aber gar nur ein Webinterface erreichbar. Also muss das Boot/Rootkit furchtbar leise sein, denn es weiss nicht, welche (Netzwerk)aktivitaeten ueberwacht werden. Es sollte sich am besten nur auf den lokalen Rechner beschraenken. Aber dann wird es mit dem Verbreiten bloed. Oder wir kommen wieder auf die maszgeschneiderte Loesung zurueck, aber da schliesst sich der Kreis wieder (Aufwand/Nutzen). Lohnt es sich, hunderte oder gar tausende von Mannstunden fuer ein paar Euro vom Paypalkonto und ein paar Dokumente eines Mitarbeiters, der keine streng ueberwachten Informationen bearbeitet, aufzuwenden? Wenn das so ist, dann tausche ich freiwillig meine Tabelle mit den Heizkosten gegen ein Exemplar solch ausgefeilter Malware. Schon aus Neugier. Ich lege auch noch freiwillig ein paar Screenshots drauf. Malware zu schreiben ist einfach, erfolgreiche Malware zu schreiben ist schon schwieriger, aber langfristig verbreitete Malware zu schreiben ist ein Vollzeit-Job. Denn es ist ziemlich ungewoehnlich, dass sich ein Impressum in der Malware befindet, wo dann auch Supportadressen zu finden sind, falls die Malware mal nicht wie erwartet funktioniert. Ob man Dschihadisten mit Cyberwaffen ausstatten sollte, bleibt fraglich. |
01.04.2016, 14:40 | #146 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Joar, das kommt noch hinzu. Selbst wenn Max über VPN drin ist ist die Frage was die malware denn nun da machen soll ohne aufzufallen. Mal abgesehen davon, dass die liebe Hanna ja nur "normale" malware auf das Notebook gebracht hat und keine magic malware wie DennisSteins die
__________________ Logfiles bitte immer in CODE-Tags posten |
01.04.2016, 18:36 | #147 | |
/// the machine /// TB-Ausbilder | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertZitat:
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
01.04.2016, 19:20 | #148 |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert @dennissteins Ich habe nochmal deine Posts angeschaut, mein dringlichster Rat ist, nicht mehr als Administrator zu arbeiten ausser es ist notwendig, wenn Du Adminrechte brauchst, dann nutze einfach "Ausfuehren als". Manchmal ist der Umweg ueber einen Rechtsklick auf das Symbol in der Taskleiste notwendig aber es ist fast alles machbar. Zum anderen wuerde ich mal Sysinternals ProcessExplorer benutzen. Mark Russinovich hat eine tolle Anleitung (auf Englisch) in https://www.youtube.com/watch?v=Wuy_Pm3KaV8&ebc . Genial ist die Moeglichkeit, die Signaturen ueberpruefen zu lassen und in der Uebersicht anzeigen zu lassen. Ebenfalls genial finde ich die Farbcodes. |
02.04.2016, 19:45 | #149 |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Process Hacker >> Process Explorer (imho) Grüsse - Microwave |
03.04.2016, 16:17 | #150 |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert @Microwave, Cool, habe ich schon seit Jahren nicht mehr angeschaut, hat sich zu einem netten Spielzeug entwickelt. |
Themen zu Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert |
anderen, bootkit, desktop, festplatte, folge, folgen, foren, hardware, hilft, infiziert, links, linux, löschen, malware, nemesis, neuinstallation, ordner, partition, platte, rechner, rootkit, sichtbar, systeme, thema, unmöglich, versteckte, ähnliches |