Hallo,

für alle die gut Englisch können und Bock auf die Materie haben habe ich oben genannten Buchtipp.
Das Buch ist von 2019, also hochaktuell, und so geschrieben dass es auch Leute verstehen, die nicht unbedingt IDAPro-Profis sind.
Ein Bisschen Verständnis von Windows Betriebssystemarchitektur wird natürlich vorausgesetzt.
Lesenswert! Und ein Bisschen furchteinflößend

https://www.amazon.de/Rootkits-Bootkits-Reversing-Malware-Generation/dp/1593277164

Ich hab leider keine Leseprobe bei Google gefunden, vielleicht findet Ihr ja selber eine. Ist auf jeden Fall ein 500-Seiten-Wälzer.

Grüße,
X.

edit: Das Buch ist nichts für Leute die bei jedem kleinen Windows-Problem sofort denken, sie hätten 20 Keylogger installiert! Denn da steht wirklich jede Menge beängstigender Stoff drin. Also lieber nur lesen, wenn Ihr wirklich verstehen wollt wie so ein Root/Bootkit funktioniert und vielleicht tatsächlich mit IDAPro mal eins analysieren wollt. Ich denke da z.B. an die Experten-Fraktion hier im Forum, nicht an den Standard-Windows-User.

Und wie gesagt, man braucht ein Bisschen Ahnung von der Windows-Systemarchitektur.

Mir genügt es, wenn ich weiß, wie man die Malware vernichtet.

Und wenn ich etwas mehr wissen möchte, was eine bestimmte Malware wie macht, dann hole ich mir die Infos von Foren wie BleepingComputer oder Blogs wie den von MB, etc.
Da bin ich aktuell dran am Geschehen.

Die einzelnen Details (ausführliche Analyse) interessieren mich nicht, das wird mir dann auch zu komplex.



Wenn ich an frühere Rootkits denke... TDL, ZeroAcess, Necurs, etc... dann denke ich immer an die AntiVirenprogramme, wie sie versagt haben... und dann gleich an die Millionen von Nutzern, die immer noch denken, dass sie ihr Antivirenprogramm immer "beschützen" wird, egal welchen Mist sie auf dem PC machen... Die größte Schwachstelle sitzt ja bekanntlich vor dem PC.

Viele dieser "harten" Malware waren damals nur mit Spezialtools zu eliminieren... das war damals schon so und das gilt auch heute noch.
Für den Normalnutzer ist dann bei derartiger Malware eine Neuinstallation sinnvoller.

Kann man denn solche UEFI-Bootkits mit Spezialtools wie FRST überhaupt finden, wenn die sogar schon Secure Boot umgehen können?

edit: Also laut Buch lässt sich ein UEFI-Bootkit mit Tools wie FRST nicht erkennen, es sei denn, man entdeckt zufällig den encrypted storage Bereich des Rootkits, aber das ist nicht sehr wahrscheinlich.
Auch Patchguard und ähnliche Sicherheitsfunktionen scheinen für diese Art Malware kein größeres Problem zu sein.
Super auch zu wissen, dass manipulierte Firmware über die UEFI-Update-Funktion eingespielt werden kann.
Wie gesagt, das Buch ist nichts für schwache Nerven, aber trotzdem echt lesenswert

Zitat:

Zitat von M-K-D-B

Wenn ich an frühere Rootkits denke... TDL, ZeroAcess, Necurs, etc... dann denke ich immer an die AntiVirenprogramme, wie sie versagt haben... und dann gleich an die Millionen von Nutzern, die immer noch denken, dass sie ihr Antivirenprogramm immer "beschützen" wird, egal welchen Mist sie auf dem PC machen... Die größte Schwachstelle sitzt ja bekanntlich vor dem PC.

Das ist doch immer noch so und wird sich auch nie ändern.
Solche Anwender werden immer denken, das Wichtigste sei irgendein depperter Virenscanner und wenn der drauf ist kann man machen was man will, alles anklicken, jede Schrottsoftware installieren und jeden Crack probieren. Und bloß keine Backups machen, der Virenscanner hilft schon

Zitat:

Zitat von Xynthetic

edit: Also laut Buch lässt sich ein UEFI-Bootkit mit Tools wie FRST nicht erkennen, es sei denn, man entdeckt zufällig den encrypted storage Bereich des Rootkits, aber das ist nicht sehr wahrscheinlich.
Auch Patchguard und ähnliche Sicherheitsfunktionen scheinen für diese Art Malware kein größeres Problem zu sein.
Super auch zu wissen, dass manipulierte Firmware über die UEFI-Update-Funktion eingespielt werden kann.

In der Theorie mag es solche Malware geben, in "freier Wildbahn" habe ich davon noch nicht viel gelesen. Wenn überhaupt sind das dann sporatische Einzelfälle.

Diesbezüglich finde ich folgendes auch ganz interessant:
https://www.eset.com/de/uefi-rootkit...ck-discovered/
https://www.eset.com/de/about/presse...-uefi-rootkit/


Sicher ist das ein interessantes Thema. Aber ohne das "Zutun" einen Benutzer kommt die Malware auch nicht auf den PC.

Danke für die beiden Links.
Schade dass das Buch so teuer ist, wäre bestimmt was für Euch. Da gehts nicht nur um die Hardcore-Rootkits, sondern auch um Malware im Allgemeinen (und auch um deren Entfernung).
Ich finde aber auch leider nicht mal irgendwo das Inhaltsverzeichnis als Leseprobe, und einscannen und hochladen kann ichs leider nicht

In dem Bericht behauptet ESET ja, mit seinem UEFI-Scanner solche Rootkits erkennen zu können. Wie glaubwürdig ist das denn?

Zitat:

Zitat von Xynthetic

In dem Bericht behauptet ESET ja, mit seinem UEFI-Scanner solche Rootkits erkennen zu können. Wie glaubwürdig ist das denn?

In der Vergangenheit hat ESET immer wieder "Spezialtools" zum Entfernen von diversen Rootkits entwickelt bzw. diese Technologien relativ schnell in seine Produkte integriert.
Es würde mich also nicht wundern, wie sie einen Weg gefunden hätten, derartige Rootkits aufzuspüren.

Nicht ohne Grund verwenden wir bei Bereinigungen hier auf dem TB auch immer den ESET Online Scanner als Zweitmeinung, wenn die Logdateien "scheinbar" sauber sind.