Zurück   Trojaner-Board > Web/PC > Alles rund um Mac OSX & Linux

Alles rund um Mac OSX & Linux: Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR

Windows 7 Für alle Fragen rund um Mac OSX, Linux und andere Unix-Derivate.

Antwort
Alt 17.03.2016, 22:02   #46
purzelbär
Gesperrt
 
Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR - Standard

Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR



Zitat:
Nunja....

BIOS-Rootkit LightEater: In den dunklen Ecken abseits des Betriebssystems
__________________
Grüße

Sandra

stolzes Mitglied von UNITE

Bootsektor, das liest sich ja wie ein Gruselroman von allerfeinster Güteund wenn es das im Darknet gibt, kann ich mir gut vorstellen das sich Hacker das besorgen und der TE einem solchen Angriff erlegen sein könnte.

Alt 18.03.2016, 00:05   #47
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR - Standard

Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR



Da steht nur was von proof-of-concept. Aber dass sowas möglich ist, war ja schon bei UEFI sowieso schon vorher klar und auch bei BIOS - ein Jumper, der nur das BIOS hardwareseitig auf readonly stellt würde sowas schnell zunichte machen.

Und wie sind auch schon wieder irgendwie bei schraubers Aussage, entweder war da was auf der Platte oder irgendwo in einem flashbaren Chip auf dem Rechner.
__________________

__________________

Alt 24.03.2016, 12:58   #48
milchkeks
 
Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR - Standard

Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR



Liebes "Kompetenzteam", auch wenn der O-Poster keine wirkliche Ahnung hat, was los ist, würde ich doch euch als Experten um etwas mehr Professionalität bitten, anstatt hier wild herumzubashen.

Es gibt ein handfestes Indiz, dass etwas faul sein KÖNNTE: den Hinweis auf eine "Ebury"-Infektion.

Also bitte - HIERZU brauchbare Beiträge, oder eben keine, wenn sonst niemand etwas damit anfangen kann, höchstens den Hinweis an Dennis, er möge es bitte unterlassen, zusammenhangslos ellenlange Logs herumzuposten.

Alles andere spart euch bitte dann auch, Bashing-Beiträge sind ebensowenig hilfreich.

Und ja, es gibt Bootkits auf BIOS-Basis, lt. Blackhat-Konferenz u. a. Außerdem wird heute praktisch jedes Notebook ab Werk mit einem BIOS-Bootkit von Absolute Software ausgeliefert (Computrace), der vermutlich auf Intel's ME-Modul aufsetzt - firmiert dann nur offiziell als "Diebstahlschutz".
__________________

Alt 24.03.2016, 13:21   #49
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR - Standard

Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR



Zitat:
Zitat von milchkeks Beitrag anzeigen
Es gibt ein handfestes Indiz, dass etwas faul sein KÖNNTE: den Hinweis auf eine "Ebury"-Infektion.
Hättest du vllt auch die Güte auf diese Stelle genau hinzuweisen?

Zitat:
Zitat von milchkeks Beitrag anzeigen
Also bitte - HIERZU brauchbare Beiträge,
So brauchbar wie deiner jetzt?

Zitat:
Zitat von milchkeks Beitrag anzeigen
Und ja, es gibt Bootkits auf BIOS-Basis, lt. Blackhat-Konferenz u. a. Außerdem wird heute praktisch jedes Notebook ab Werk mit einem BIOS-Bootkit von Absolute Software ausgeliefert (Computrace), der vermutlich auf Intel's ME-Modul aufsetzt - firmiert dann nur offiziell als "Diebstahlschutz".
Nur weil es so etwas gibt heißt das nicht, dass dieser Fall auch wahrscheinlich ist. Aber wie gesagt, erleuchte uns doch mal indem du relevante Stellen zeigst.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.03.2016, 17:34   #50
milchkeks
 
Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR - Standard

Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR



http://www.trojaner-board.de/176707-...ml#post1571169

Das habt ihr ja selbst gelesen, seid aber leider nicht näher darauf eingegangen, was nun mit dieser Meldung anzufangen sei.

Die zweite Frage war, ob es hypothetische oder reale BIOS-Bootkits gibt, und die kann eindeutig mit ja beantwortet werden, wenn man die Funktionalität und Verhaltensweise von Computrace + UEFI + Windows betrachtet.

Hier handelt es sich nur um eine kommerzielle Variante. Proof-of-Concepts gibt es schon etliche andere, wie ihr ja bereits selbst geschrieben habt, und wiederum andere könnten z. B. von staatlicher, bzw. krimineller Seite kommen, s. Hacking Team, Bundestrojaner usw.


Alt 24.03.2016, 19:48   #51
Dante12
/// Mac Expert
 
Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR - Standard

Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR



Zitat:
Es gibt ein handfestes Indiz, dass etwas faul sein KÖNNTE: den Hinweis auf eine "Ebury"-Infektion.
Gibt es nicht!
Ein simple SSH -G Funktion gibt nämlich folgendes aus:
Zitat:
Causes ssh to print its configuration after evaluating Host and Match blocks and exit.
Bei den oben erwähnten Test kann ich nämlich reinschreiben was ich will es kommt immer die letzte Meldung heraus. Mit dieser Methode haben sich selbst namhafte AV-Hersteller ins Bein geschossen.

Eine einfache Überprüfung des Shared Memories
Code:
ATTFilter
ipcs -m
         
und die Ausgabe (oder ähnliche Ausgabe) wie
Zitat:
key shmid owner perms bytes nattch
0x000006e0 65538 root 666 3283128 0
wäre schon ein sehr konkreter Hinweis einer Infektion.

Bedenken sollte man auch das Ebury über die Versionssprünge immer andere Wege für eine Infektion sucht, zum Beispiel frühere Versionen <1.5 ergeben folgende Ausgabe:
Code:
ATTFilter
key        shmid      owner     perms      bytes      nattch
0x0000091a     0      root      600        463084     0
         
Ein Prüfen der Checksummen auf ein Debian Linux-System
Code:
ATTFilter
debsums openssh-server
         
Alles andere als ein OK ist ein Indiz für manipulierte Dateien und auf Red Hat Systemen (Beispiel)

Code:
ATTFilter
rpm -Vv keyutils-libs-1.2-1.el5
         
Auf der linken Seite der Ausgabe dürfen ausser den Punkten nichts zu sehen sein

Code:
ATTFilter
........    /lib/libkeyutils-1.2.so
S.2.....    /lib/libkeyutils.so.1
A.5.....    /usr/share/doc/keyutils-libs-1.2
........  d /usr/share/doc/keyutils-libs-1.2/LICENCE.LGPL
         
Das ist ein infiziertes System.

Weder chrootkit noch ClamAV sind zurzeit in der Lage Ebury eindeutig zu Identifizieren. Von den anderen Herstellern mag ich lieber nicht reden.

Das Abschalten und neu Aufsätzen des Servers ist die einzige Möglichkeit Ebury vollständig zu eliminieren.

Tipp: Googled nach Windigo

So weit mein Kenntnisstand ....
__________________
--> Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR

Alt 24.03.2016, 20:04   #52
LfAnswers
 
Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR - Standard

Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR



Ich finde es ganz interessant das hier zu verfolgen, ich würde wahnsinnig werden, wenn ich das auf den Screenshots auf der ersten Seite hätte, aber jeder Experte sagt hier, dass alles in Ordnung ist. Ich sollte mich vielleicht länger hier im Forum rumtreiben um zu lernen und weniger ängstlich zu werden.

Alt 24.03.2016, 20:21   #53
purzelbär
Gesperrt
 
Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR - Standard

Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR



Falls Interesse besteht das zu lesen, es gibt wohl Schadsoftware(in dem Fall ein Erpessungstrojaner)die sich im MBR der Festplatte einnisten kann wenn ich das beim mitlesen richtig interpretiert habe in dem Thread: http://www.computerbase.de/forum/showthread.php?t=1571643

Alt 25.03.2016, 14:59   #54
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR - Standard

Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR



Zitat:
Zitat von milchkeks Beitrag anzeigen
http://www.trojaner-board.de/176707-...ml#post1571169

Das habt ihr ja selbst gelesen, seid aber leider nicht näher darauf eingegangen, was nun mit dieser Meldung anzufangen sei.

Die zweite Frage war, ob es hypothetische oder reale BIOS-Bootkits gibt, und die kann eindeutig mit ja beantwortet werden, wenn man die Funktionalität und Verhaltensweise von Computrace + UEFI + Windows betrachtet.

Hier handelt es sich nur um eine kommerzielle Variante. Proof-of-Concepts gibt es schon etliche andere, wie ihr ja bereits selbst geschrieben habt, und wiederum andere könnten z. B. von staatlicher, bzw. krimineller Seite kommen, s. Hacking Team, Bundestrojaner usw.
Kannst du jetzt auf diese Stelle hinweisen und willst du hier nur rumschwätzen?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.03.2016, 16:59   #55
Dante12
/// Mac Expert
 
Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR - Standard

Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR



Hacking Team verwendet UEFI-Rootkit

BIOS and Secure Boot Attacks Uncovered (PDF)

Jede Software oder Funktion die über das laufende OS Zugriff auf das BIOS hat kann kompromittiert werden.

A Real SMM Rootkit: Reversing and Hooking BIOS SMI Handlers

EDIT: Im Augenblick sieht es hier etwas durcheinander aus. Kein Verweis auf Inhalte aus den Logs. Wäre schön wenn wir uns darauf konzentrieren könnten, allerdings hat der TO bis auf seine Logs nichts großartig dazu geschrieben
Sonst könnten wir hier weiter über allgemeine Inhalte diskutieren die aber der Funktion dieses Forums in Widerspruch stehen.
.
__________________
-----------------
-Gruß dante12
-----------------
Lob, Kritik, Wünsche? Spende fürs trojaner-board?

Geändert von Dante12 (25.03.2016 um 17:21 Uhr)

Alt 26.03.2016, 00:44   #56
milchkeks
 
Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR - Standard

Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR



Thanks Dante12,

für die Einblicke, genau so etwas hatte ich mir gewünscht

Alt 27.03.2016, 00:51   #57
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR - Icon32

Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR



Zitat:
Zitat von milchkeks Beitrag anzeigen
Thanks Dante12,

für die Einblicke, genau so etwas hatte ich mir gewünscht
Von dir wünschen wir uns leider immer noch die konkreten Sachen. Oder sollen wir das als Dünnschiss werten?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 27.03.2016, 11:37   #58
W_Dackel
 
Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR - Standard

Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR



Milchkeks hat in einem Punkt schon Recht: die meisten Antworten hier sind nicht geeignet den Threadersteller zu beruhigen.

@Dennissteins: statt über theoretische Gefahren zu diskutieren sollten wir uns einfach mal in die Rolle der Trojaner/ Rootkitschreiber versetzen.

Warum schreibt jemand so etwas ?

1. Kommerzielles Interesse (Spam, Krypto, DDOS, gekaperte Rechner vermieten).

Da geht es schlichtweg um Gewinne, also mit möglichst wenig Aufwand viele Rechner zu kapern. Da im Web Millionen von schlecht gesicherten Windows Kisten unterwegs sind wird sich ein Profi nie die Mühe machen ein Linux (1,8% Marktanteil) oder ein BIOS ( noch geringerer Martkanteil da jeder Virus direkt auf eine Variante eines bestimmten BIOS aufsetzen muss) zu infizieren- zu viel Aufwand zu wenig Gewinn.

2. Ein Geheimdienst ist hinter dir her. Sollte das so sein ist ein Forum der falsche Weg, dann musst du dich an Profis aus der Geheimdienst-Szene wenden. So etwas wie Stuxnet etc. entdeckt man nicht mit AV Programmen oder Rootkit-Hunter Shellskripten.


Da 2. unwahrscheinlich ist und 1. kaum über BIOS oder Linux geht wirst du hier hochgenommen. Bei den Ubuntu Logs in die ich reingeguckt habe fand ich auch nichts Auffälliges. Allerdings muss ich zugeben dass ich selbst nach ~15 Jahren Linux nicht sicher bin ob ich ein Rootkit fände, daher finde ich deinen Anspruch das nach einem halben Jahr können zu wollen etwas ambitioniert: du kennst das System einfach nicht gut genug um zu erkennen welche Meldungen auf ernste Anomalien hindeuten. Außerdem würde ein Geheimdienst-Angreifer dafür sorgen dass genau diese Meldungen nicht im System Log landen. Zumal dein Ubuntu bestimmt nicht mehr das traditionelle System Log verwendet (zumindest weist eine der Fehlermeldungen darauf hin) sondern bestimmt systemctl.

Beruhigt ?

Zum Win 10 kann ich nichts sagen, da solltest du vielleicht einfach mal die typischen Foren-Tools drüberlaufen lassen und einen Thread aufmachen. Nicht Win und Linux vermischen.


Zu der Ubunut Ebury Warnung:

http://ubuntuforums.org/showthread.php?t=2291968

Die Rootkit Skripte warnen lieber einmal zu viel als zu wenig, und produzieren daher oft Fehlalarme. Daher sollte man solche Warnungen googlen und kommt dann auf Seiten mit weiteren Hinweisen (z.B. andere Desktopsysteme auf denen diese Warnung als Fehlerhafte Warnung kam).

Wenn du sicher gehen willst lies das hier durch und führe die Tests durch:

https://www.cert-bund.de/ebury-faq

.. wie ein Forenteilnehmer oben schon als Beispiel brachte.


Bei RK Suche musst du also Schritt für Schritt und mit Systematik vorgehen, außerdem die Logik nicht außen vor lassen: Ebury würde dein Linux infizieren, weder Win10 noch BIOS wären betroffen. Außerdem ist eine Infektion von Desktop Systemen ziemlich unwahrscheinlich, da müssen die Angreifer erst mal durch deinen Internet Router durch. Solange du also nicht Binaries aus zweifelhaften Quellen installierst ist das extrem unwahrscheinlich.

Geändert von W_Dackel (27.03.2016 um 11:44 Uhr)

Alt 27.03.2016, 17:03   #59
milchkeks
 
Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR - Standard

Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR



@W_Dackel:
UEFI bedeutet ja "Unified Extensible Firmware Interface", d. h. es baut auf genormte Schnittstellen auf, und ist modular konzipiert, wodurch es eben weitaus einfacher ist, als früher, für unterschiedliche Hardware Firmware-Schadcode zu schreiben, der sich als Modul in die Firmware einklinkt. Zumal wir es im Grunde nur mit 2 Anbietern von Firmware zu tun haben. Außerdem verwenden diese Anbieter proprietäre Module weiterer Hersteller, wie Intel's ME, welche wiederum API's anbieten, an denen auch Schadcode andocken kann.

Dann ist es wohl auch so, dass sich UEFI-Schadcode, einmal für eine Plattform etabliert, im Grunde völlig unabhängig von dem aufsetzenden OS (und von diesem nicht kontrollierbar) einsetzen lässt.
Dank der grenzenlosen Ignoranz der Hardwarehersteller, die selbst noch den Schreibschutz-Jumper und Flash-Stecksockel auf den Mainboards einsparen, ist man spätestens seit UEFI der Gefahr einer irreversiblen und kaum auffindbaren Infektion der Hardware ausgesetzt - q. e. d.

Die Investition in den Entwicklungsaufwand lohnt sich also.

Ich sehe daher die Gefahr einer neuen Welle von Bootkit-Trojanern in naher Zukunft (abseits der bereits erwähnten ohnehin schon ab Werk vorhandenen), gegen die wir ziemlich wehrlos sein werden, als durchaus real, bzw. wahrscheinlich an. Man muss sich dazu nur den proprietären Charakter eines UEFI-Stacks samt Hardwaretreibern, nebst der nicht vorhandenen Langzeit-Updates vor Augen halten - hier ist eigentlich fast immer nach ca. 3 Jahre Schluss.

Und ich gebe dir Recht hinsichtlich der Rootkits unter Linux: nach einer Infektion durch "t0rn" war der erste Hinweis auf die Infektion, dass das einloggen als root nicht mehr funktionierte.
Die Logs waren teils gelöscht und es hätte schon einen IT-Forensiker gebraucht, um hier vielleicht noch Informationen über den Angriffsvektor herauszufinden.


@cosinus:
Nur so als Tipp - ein Admin sollte, finde ich, gewisse stilistische Standards haben und "Netiquette" sollten ihm nicht nur ein Begriff sein sondern auch von ihm gelebt werden, sprich: vulgäre Beleidigungen müssen tabu sein, schließlich hat er Vorbildfunktion. Nur so lassen sich konstruktive Diskussionen führen.

Dante12 hatte die von mir (in Voraussetzung der Kenntnis allgemein bekannter Berichte und Hinweise in den einschlägigen Foren nur angerissenen) Punkte bereits "mit Fleisch" angereichert, wozu also noch mehr redundante Informationen liefern, die man in 1 Minute ergoogeln oder auf Wikipedia nachlesen kann.

Alt 27.03.2016, 17:12   #60
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR - Icon32

Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR



Zitat:
Zitat von milchkeks Beitrag anzeigen
@cosinus:
Nur so als Tipp - ein Admin sollte, finde ich, gewisse stilistische Standards haben und "Netiquette" sollten ihm nicht nur ein Begriff sein sondern auch von ihm gelebt werden, sprich: vulgäre Beleidigungen müssen tabu sein, schließlich hat er Vorbildfunktion. Nur so lassen sich konstruktive Diskussionen führen.

Dante12 hatte die von mir (in Voraussetzung der Kenntnis allgemein bekannter Berichte und Hinweise in den einschlägigen Foren nur angerissenen) Punkte bereits "mit Fleisch" angereichert, wozu also noch mehr redundante Informationen liefern, die man in 1 Minute ergoogeln oder auf Wikipedia nachlesen kann.
Wenn vom TO einfach nur planlos ellenlange Logs hier reingeknallt werden bekommt man schon den Eindruck, dass der einen verschaukeln will. Und dasselbe mit dir, DU hast behauptet in den Logs des TO findet sich etwas, sülzt irgendwas rein, meinst da würde es ja Hinweise gaben aber nach mehreren Nachfragen, endlich mal die Stellen aus den Logs zu zitieren, kommt nur weiteres Gesülze - wie soll man denn da vernünftig noch weiter diskutieren?

Wenn du etwas thematisierst dann sei auch konkret anstatt dich darüber zu beschweren, dass man dir dann Gesülze vorwirft und das versuchst als vulgäre Beleidigungen darzustellen.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR
required




Ähnliche Themen: Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR


  1. Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert
    Diskussionsforum - 17.04.2016 (158)
  2. Pc spinnt / Unknown MBR Code... Bootkit?
    Log-Analyse und Auswertung - 27.10.2015 (11)
  3. Malware in Firmware und Hardware
    Diskussionsforum - 18.08.2015 (26)
  4. Neuinstallation & MBR , evtl Malware - Wechsel zu Linux
    Alles rund um Mac OSX & Linux - 11.06.2015 (25)
  5. Malware für das Bios... gibt es Schutz?
    Antiviren-, Firewall- und andere Schutzprogramme - 02.01.2014 (8)
  6. Bootkit Remover hat ein Problem erkannt, wie gehts jetzt weiter?
    Log-Analyse und Auswertung - 22.11.2013 (26)
  7. C:\WINXP\system32\dllcache\explorer.exe (Trojan.Bootkit.Dropper)
    Log-Analyse und Auswertung - 30.08.2012 (13)
  8. Bootkit Mebratix.B ?
    Log-Analyse und Auswertung - 06.04.2012 (10)
  9. (Unbekanntes) Bootkit
    Plagegeister aller Art und deren Bekämpfung - 12.10.2011 (6)
  10. AVAST findet Bootkit?
    Plagegeister aller Art und deren Bekämpfung - 25.04.2011 (86)
  11. Bootkit Remover findet anscheinend defekten MBR, was nun?
    Plagegeister aller Art und deren Bekämpfung - 10.02.2011 (4)
  12. Virus überschreibt MBR immer neu.. (evt Bootkit?)
    Plagegeister aller Art und deren Bekämpfung - 19.10.2010 (19)
  13. Bootkit Remover
    Anleitungen, FAQs & Links - 30.05.2010 (1)
  14. BIOS/Firmware Virus/RK sehr hartnäckig und intelligent
    Plagegeister aller Art und deren Bekämpfung - 20.03.2010 (11)
  15. Rechner infiziert? Linux/Rootkit-S Linux/Posix HTML/Spoofing.Gen adaware
    Log-Analyse und Auswertung - 26.01.2010 (1)
  16. Bootkit hebelt Festplattenverschlüsselung aus
    Nachrichten - 30.07.2009 (0)
  17. Windows als Bios für Linux
    Alles rund um Mac OSX & Linux - 27.01.2004 (1)

Zum Thema Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR - Zitat: Nunja.... BIOS-Rootkit LightEater: In den dunklen Ecken abseits des Betriebssystems __________________ Grüße Sandra stolzes Mitglied von UNITE Bootsektor, das liest sich ja wie ein Gruselroman von allerfeinster Güte und - Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR...
Archiv
Du betrachtest: Linux: Bootkit Nemesis- Bios/Firmware Malware im VBR auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.