Zitat:

Nunja....

BIOS-Rootkit LightEater: In den dunklen Ecken abseits des Betriebssystems
__________________
Grüße

Sandra

stolzes Mitglied von UNITE

Bootsektor, das liest sich ja wie ein Gruselroman von allerfeinster Güteund wenn es das im Darknet gibt, kann ich mir gut vorstellen das sich Hacker das besorgen und der TE einem solchen Angriff erlegen sein könnte.

Da steht nur was von proof-of-concept. Aber dass sowas möglich ist, war ja schon bei UEFI sowieso schon vorher klar und auch bei BIOS - ein Jumper, der nur das BIOS hardwareseitig auf readonly stellt würde sowas schnell zunichte machen.

Und wie sind auch schon wieder irgendwie bei schraubers Aussage, entweder war da was auf der Platte oder irgendwo in einem flashbaren Chip auf dem Rechner.

Liebes "Kompetenzteam", auch wenn der O-Poster keine wirkliche Ahnung hat, was los ist, würde ich doch euch als Experten um etwas mehr Professionalität bitten, anstatt hier wild herumzubashen.

Es gibt ein handfestes Indiz, dass etwas faul sein KÖNNTE: den Hinweis auf eine "Ebury"-Infektion.

Also bitte - HIERZU brauchbare Beiträge, oder eben keine, wenn sonst niemand etwas damit anfangen kann, höchstens den Hinweis an Dennis, er möge es bitte unterlassen, zusammenhangslos ellenlange Logs herumzuposten.

Alles andere spart euch bitte dann auch, Bashing-Beiträge sind ebensowenig hilfreich.

Und ja, es gibt Bootkits auf BIOS-Basis, lt. Blackhat-Konferenz u. a. Außerdem wird heute praktisch jedes Notebook ab Werk mit einem BIOS-Bootkit von Absolute Software ausgeliefert (Computrace), der vermutlich auf Intel's ME-Modul aufsetzt - firmiert dann nur offiziell als "Diebstahlschutz".

Zitat:

Zitat von milchkeks

Es gibt ein handfestes Indiz, dass etwas faul sein KÖNNTE: den Hinweis auf eine "Ebury"-Infektion.

Hättest du vllt auch die Güte auf diese Stelle genau hinzuweisen?

Zitat:

Zitat von milchkeks

Also bitte - HIERZU brauchbare Beiträge,

So brauchbar wie deiner jetzt?

Zitat:

Zitat von milchkeks

Und ja, es gibt Bootkits auf BIOS-Basis, lt. Blackhat-Konferenz u. a. Außerdem wird heute praktisch jedes Notebook ab Werk mit einem BIOS-Bootkit von Absolute Software ausgeliefert (Computrace), der vermutlich auf Intel's ME-Modul aufsetzt - firmiert dann nur offiziell als "Diebstahlschutz".

Nur weil es so etwas gibt heißt das nicht, dass dieser Fall auch wahrscheinlich ist. Aber wie gesagt, erleuchte uns doch mal indem du relevante Stellen zeigst.

http://www.trojaner-board.de/176707-...ml#post1571169

Das habt ihr ja selbst gelesen, seid aber leider nicht näher darauf eingegangen, was nun mit dieser Meldung anzufangen sei.

Die zweite Frage war, ob es hypothetische oder reale BIOS-Bootkits gibt, und die kann eindeutig mit ja beantwortet werden, wenn man die Funktionalität und Verhaltensweise von Computrace + UEFI + Windows betrachtet.

Hier handelt es sich nur um eine kommerzielle Variante. Proof-of-Concepts gibt es schon etliche andere, wie ihr ja bereits selbst geschrieben habt, und wiederum andere könnten z. B. von staatlicher, bzw. krimineller Seite kommen, s. Hacking Team, Bundestrojaner usw.

Zitat:

Es gibt ein handfestes Indiz, dass etwas faul sein KÖNNTE: den Hinweis auf eine "Ebury"-Infektion.

Gibt es nicht!
Ein simple SSH -G Funktion gibt nämlich folgendes aus:

Zitat:

Causes ssh to print its configuration after evaluating Host and Match blocks and exit.

Bei den oben erwähnten Test kann ich nämlich reinschreiben was ich will es kommt immer die letzte Meldung heraus. Mit dieser Methode haben sich selbst namhafte AV-Hersteller ins Bein geschossen.

Eine einfache Überprüfung des Shared Memories

Code: Alles auswählenAufklappen

ATTFilter

ipcs -m
         

und die Ausgabe (oder ähnliche Ausgabe) wie

Zitat:

key shmid owner perms bytes nattch
0x000006e0 65538 root 666 3283128 0

wäre schon ein sehr konkreter Hinweis einer Infektion.

Bedenken sollte man auch das Ebury über die Versionssprünge immer andere Wege für eine Infektion sucht, zum Beispiel frühere Versionen <1.5 ergeben folgende Ausgabe:

Code: Alles auswählenAufklappen

ATTFilter

key        shmid      owner     perms      bytes      nattch
0x0000091a     0      root      600        463084     0
         

Ein Prüfen der Checksummen auf ein Debian Linux-System

Code: Alles auswählenAufklappen

ATTFilter

debsums openssh-server
         

Alles andere als ein OK ist ein Indiz für manipulierte Dateien und auf Red Hat Systemen (Beispiel)

Code: Alles auswählenAufklappen

ATTFilter

rpm -Vv keyutils-libs-1.2-1.el5
         

Auf der linken Seite der Ausgabe dürfen ausser den Punkten nichts zu sehen sein

Code: Alles auswählenAufklappen

ATTFilter

........    /lib/libkeyutils-1.2.so
S.2.....    /lib/libkeyutils.so.1
A.5.....    /usr/share/doc/keyutils-libs-1.2
........  d /usr/share/doc/keyutils-libs-1.2/LICENCE.LGPL
         

Das ist ein infiziertes System.

Weder chrootkit noch ClamAV sind zurzeit in der Lage Ebury eindeutig zu Identifizieren. Von den anderen Herstellern mag ich lieber nicht reden.

Das Abschalten und neu Aufsätzen des Servers ist die einzige Möglichkeit Ebury vollständig zu eliminieren.

Tipp: Googled nach Windigo

So weit mein Kenntnisstand ....

Ich finde es ganz interessant das hier zu verfolgen, ich würde wahnsinnig werden, wenn ich das auf den Screenshots auf der ersten Seite hätte, aber jeder Experte sagt hier, dass alles in Ordnung ist. Ich sollte mich vielleicht länger hier im Forum rumtreiben um zu lernen und weniger ängstlich zu werden.

Falls Interesse besteht das zu lesen, es gibt wohl Schadsoftware(in dem Fall ein Erpessungstrojaner)die sich im MBR der Festplatte einnisten kann wenn ich das beim mitlesen richtig interpretiert habe in dem Thread: http://www.computerbase.de/forum/showthread.php?t=1571643

Zitat:

Zitat von milchkeks

http://www.trojaner-board.de/176707-...ml#post1571169

Das habt ihr ja selbst gelesen, seid aber leider nicht näher darauf eingegangen, was nun mit dieser Meldung anzufangen sei.

Die zweite Frage war, ob es hypothetische oder reale BIOS-Bootkits gibt, und die kann eindeutig mit ja beantwortet werden, wenn man die Funktionalität und Verhaltensweise von Computrace + UEFI + Windows betrachtet.

Hier handelt es sich nur um eine kommerzielle Variante. Proof-of-Concepts gibt es schon etliche andere, wie ihr ja bereits selbst geschrieben habt, und wiederum andere könnten z. B. von staatlicher, bzw. krimineller Seite kommen, s. Hacking Team, Bundestrojaner usw.

Kannst du jetzt auf diese Stelle hinweisen und willst du hier nur rumschwätzen?

Hacking Team verwendet UEFI-Rootkit

BIOS and Secure Boot Attacks Uncovered (PDF)

Jede Software oder Funktion die über das laufende OS Zugriff auf das BIOS hat kann kompromittiert werden.

A Real SMM Rootkit: Reversing and Hooking BIOS SMI Handlers

EDIT: Im Augenblick sieht es hier etwas durcheinander aus. Kein Verweis auf Inhalte aus den Logs. Wäre schön wenn wir uns darauf konzentrieren könnten, allerdings hat der TO bis auf seine Logs nichts großartig dazu geschrieben
Sonst könnten wir hier weiter über allgemeine Inhalte diskutieren die aber der Funktion dieses Forums in Widerspruch stehen.
.

Thanks Dante12,

für die Einblicke, genau so etwas hatte ich mir gewünscht

Zitat:

Zitat von milchkeks

Thanks Dante12,

für die Einblicke, genau so etwas hatte ich mir gewünscht

Von dir wünschen wir uns leider immer noch die konkreten Sachen. Oder sollen wir das als Dünnschiss werten?

Milchkeks hat in einem Punkt schon Recht: die meisten Antworten hier sind nicht geeignet den Threadersteller zu beruhigen.

@Dennissteins: statt über theoretische Gefahren zu diskutieren sollten wir uns einfach mal in die Rolle der Trojaner/ Rootkitschreiber versetzen.

Warum schreibt jemand so etwas ?

1. Kommerzielles Interesse (Spam, Krypto, DDOS, gekaperte Rechner vermieten).

Da geht es schlichtweg um Gewinne, also mit möglichst wenig Aufwand viele Rechner zu kapern. Da im Web Millionen von schlecht gesicherten Windows Kisten unterwegs sind wird sich ein Profi nie die Mühe machen ein Linux (1,8% Marktanteil) oder ein BIOS ( noch geringerer Martkanteil da jeder Virus direkt auf eine Variante eines bestimmten BIOS aufsetzen muss) zu infizieren- zu viel Aufwand zu wenig Gewinn.

2. Ein Geheimdienst ist hinter dir her. Sollte das so sein ist ein Forum der falsche Weg, dann musst du dich an Profis aus der Geheimdienst-Szene wenden. So etwas wie Stuxnet etc. entdeckt man nicht mit AV Programmen oder Rootkit-Hunter Shellskripten.


Da 2. unwahrscheinlich ist und 1. kaum über BIOS oder Linux geht wirst du hier hochgenommen. Bei den Ubuntu Logs in die ich reingeguckt habe fand ich auch nichts Auffälliges. Allerdings muss ich zugeben dass ich selbst nach ~15 Jahren Linux nicht sicher bin ob ich ein Rootkit fände, daher finde ich deinen Anspruch das nach einem halben Jahr können zu wollen etwas ambitioniert: du kennst das System einfach nicht gut genug um zu erkennen welche Meldungen auf ernste Anomalien hindeuten. Außerdem würde ein Geheimdienst-Angreifer dafür sorgen dass genau diese Meldungen nicht im System Log landen. Zumal dein Ubuntu bestimmt nicht mehr das traditionelle System Log verwendet (zumindest weist eine der Fehlermeldungen darauf hin) sondern bestimmt systemctl.

Beruhigt ?

Zum Win 10 kann ich nichts sagen, da solltest du vielleicht einfach mal die typischen Foren-Tools drüberlaufen lassen und einen Thread aufmachen. Nicht Win und Linux vermischen.


Zu der Ubunut Ebury Warnung:

http://ubuntuforums.org/showthread.php?t=2291968

Die Rootkit Skripte warnen lieber einmal zu viel als zu wenig, und produzieren daher oft Fehlalarme. Daher sollte man solche Warnungen googlen und kommt dann auf Seiten mit weiteren Hinweisen (z.B. andere Desktopsysteme auf denen diese Warnung als Fehlerhafte Warnung kam).

Wenn du sicher gehen willst lies das hier durch und führe die Tests durch:

https://www.cert-bund.de/ebury-faq

.. wie ein Forenteilnehmer oben schon als Beispiel brachte.


Bei RK Suche musst du also Schritt für Schritt und mit Systematik vorgehen, außerdem die Logik nicht außen vor lassen: Ebury würde dein Linux infizieren, weder Win10 noch BIOS wären betroffen. Außerdem ist eine Infektion von Desktop Systemen ziemlich unwahrscheinlich, da müssen die Angreifer erst mal durch deinen Internet Router durch. Solange du also nicht Binaries aus zweifelhaften Quellen installierst ist das extrem unwahrscheinlich.

@W_Dackel:
UEFI bedeutet ja "Unified Extensible Firmware Interface", d. h. es baut auf genormte Schnittstellen auf, und ist modular konzipiert, wodurch es eben weitaus einfacher ist, als früher, für unterschiedliche Hardware Firmware-Schadcode zu schreiben, der sich als Modul in die Firmware einklinkt. Zumal wir es im Grunde nur mit 2 Anbietern von Firmware zu tun haben. Außerdem verwenden diese Anbieter proprietäre Module weiterer Hersteller, wie Intel's ME, welche wiederum API's anbieten, an denen auch Schadcode andocken kann.

Dann ist es wohl auch so, dass sich UEFI-Schadcode, einmal für eine Plattform etabliert, im Grunde völlig unabhängig von dem aufsetzenden OS (und von diesem nicht kontrollierbar) einsetzen lässt.
Dank der grenzenlosen Ignoranz der Hardwarehersteller, die selbst noch den Schreibschutz-Jumper und Flash-Stecksockel auf den Mainboards einsparen, ist man spätestens seit UEFI der Gefahr einer irreversiblen und kaum auffindbaren Infektion der Hardware ausgesetzt - q. e. d.

Die Investition in den Entwicklungsaufwand lohnt sich also.

Ich sehe daher die Gefahr einer neuen Welle von Bootkit-Trojanern in naher Zukunft (abseits der bereits erwähnten ohnehin schon ab Werk vorhandenen), gegen die wir ziemlich wehrlos sein werden, als durchaus real, bzw. wahrscheinlich an. Man muss sich dazu nur den proprietären Charakter eines UEFI-Stacks samt Hardwaretreibern, nebst der nicht vorhandenen Langzeit-Updates vor Augen halten - hier ist eigentlich fast immer nach ca. 3 Jahre Schluss.

Und ich gebe dir Recht hinsichtlich der Rootkits unter Linux: nach einer Infektion durch "t0rn" war der erste Hinweis auf die Infektion, dass das einloggen als root nicht mehr funktionierte.
Die Logs waren teils gelöscht und es hätte schon einen IT-Forensiker gebraucht, um hier vielleicht noch Informationen über den Angriffsvektor herauszufinden.


@cosinus:
Nur so als Tipp - ein Admin sollte, finde ich, gewisse stilistische Standards haben und "Netiquette" sollten ihm nicht nur ein Begriff sein sondern auch von ihm gelebt werden, sprich: vulgäre Beleidigungen müssen tabu sein, schließlich hat er Vorbildfunktion. Nur so lassen sich konstruktive Diskussionen führen.

Dante12 hatte die von mir (in Voraussetzung der Kenntnis allgemein bekannter Berichte und Hinweise in den einschlägigen Foren nur angerissenen) Punkte bereits "mit Fleisch" angereichert, wozu also noch mehr redundante Informationen liefern, die man in 1 Minute ergoogeln oder auf Wikipedia nachlesen kann.

Zitat:

Zitat von milchkeks

@cosinus:
Nur so als Tipp - ein Admin sollte, finde ich, gewisse stilistische Standards haben und "Netiquette" sollten ihm nicht nur ein Begriff sein sondern auch von ihm gelebt werden, sprich: vulgäre Beleidigungen müssen tabu sein, schließlich hat er Vorbildfunktion. Nur so lassen sich konstruktive Diskussionen führen.

Dante12 hatte die von mir (in Voraussetzung der Kenntnis allgemein bekannter Berichte und Hinweise in den einschlägigen Foren nur angerissenen) Punkte bereits "mit Fleisch" angereichert, wozu also noch mehr redundante Informationen liefern, die man in 1 Minute ergoogeln oder auf Wikipedia nachlesen kann.

Wenn vom TO einfach nur planlos ellenlange Logs hier reingeknallt werden bekommt man schon den Eindruck, dass der einen verschaukeln will. Und dasselbe mit dir, DU hast behauptet in den Logs des TO findet sich etwas, sülzt irgendwas rein, meinst da würde es ja Hinweise gaben aber nach mehreren Nachfragen, endlich mal die Stellen aus den Logs zu zitieren, kommt nur weiteres Gesülze - wie soll man denn da vernünftig noch weiter diskutieren?

Wenn du etwas thematisierst dann sei auch konkret anstatt dich darüber zu beschweren, dass man dir dann Gesülze vorwirft und das versuchst als vulgäre Beleidigungen darzustellen.