Hallo,

mich würde mal interessieren, welche Maßnahmen ihr aufgreift um Rootkits zu erkennen.

Welche Tools setzt ihr dazu ein?

TCPView (sofern Ports geöffnet werden)
RootkitRevealer (erkennbar sind ja nicht alle Rootkits)


Es gibt ja noch eine ganze Reihe von Tools von Sysinternals. Allerdings weiss ich nicht genau, welche zur Rootkiterkennung empfehlenswert sind.

Zitat:

Zitat von *Christian*

mich würde mal interessieren, welche Maßnahmen ihr aufgreift um Rootkits zu erkennen.

Ich versuche es mit Brain 1.0.
Für Dienigen, die davon nix halten, ein Link: ftp://data.kaspersky.ru/Docs/

He he ... ach was!

Keine Sorge, mein Rechner hat auch ganz sicher keine Rootkits installiert.

Im übrigen dürfte Kaspersky an einem aktiven Rootkit nicht mehr viel auszurichten haben, denke ich mal.

a) ein zwischengeschalteter Rechner mit ethereal
b) ein Portscan von aussen

In den einschlägig bekannten Foren kann man ja lesen, dass RATs - wenn gut programmiert - von keinem RK-Scanner detektiert werden können und auch Netzwerkanalysetools - wenn auch dem befallenen Rechner installiert - ins Leere laufen.

Zitat:

Zitat von MightyMarc

a) ein zwischengeschalteter Rechner mit ethereal
b) ein Portscan von aussen

In den einschlägig bekannten Foren kann man ja lesen, dass RATs - wenn gut programmiert - von keinem RK-Scanner detektiert werden können und auch Netzwerkanalysetools - wenn auch dem befallenen Rechner installiert - ins Leere laufen.

Wenn es ein guter Rootkit ist, der jede Systemabfrage abfängt gebe ich dir recht. Allerdings weiss ich nicht, ob alle derzeitigen Rootkits so gut sind.

Zitat:

Zitat von *Christian*

Allerdings weiss ich nicht, ob alle derzeitigen Rootkits so gut sind.

Natürlich nicht. Es gibt die Standardrootkits, die vermutlich auch die größte Verbreitung haben. Und dann gibt es die RATs die sich einer selbst schreibt und den Quellcode maximal an drei oder vier ihm persönliche bekannte Personen weitergibt. Das sind die wirklich gefährlichen.

Im übrigen ist es durchaus sinnvoll, zwei oder mehr RK-Scanner zu verwenden. Sie kommen sich ja auch nicht gegenseitig ins Gehege wie On-Access-Virenscanner.

Naja, ob Scanner so sinnvoll sind ... ich weiss nicht ...
Ich würde versuchen mit anderen Tools danach zu suchen.

Auf Anhieb fällt mir nur RootkitRevealer und F-Secure BlackLight als Scanner ein. Hier dürften wohl die Programmierer genau diese Scanner austricksen.

Zitat:

b) ein Portscan von aussen

dürfte in der Regel keine Aussagekraft haben, da mit Sicherheit in Zeiten der Router etwas mit reverser Verbindung laufen würde.

Viele Grüße,
Heike

Spaßeshalber laufen auf meinem PC derzeit:
Active Ports
Processexplorer - welche Ports und welche Proggis sind es?
TCPView
F-Secure
a-Squared
Router ist ein Netgear mit Firewall und Portsperrung für alle die ich nicht brauche.

Manchmal erwische ich eine IP, die nur wenige Sekunden auftaucht. Auf der Webseite von http://daniel.rehbein.net (auch mit 3D Trace) suche ich nach den Adressen, um dann herauszufinden, dass diese überall auf dem Planeten sind.

Was bringt mir das? Vielleicht ist hier jemand der daraus mehr erzählen kann, denn erkannt werden Rootkits ja nur, wenn die auch den "Jägern" bekannt sind.
Jungbrunnen

Zitat:

Was bringt mir das? Vielleicht ist hier jemand der daraus mehr erzählen kann, denn erkannt werden Rootkits ja nur, wenn die auch den "Jägern" bekannt sind.

also ich habe die erfahrung gemacht, dass selbst einige "non-public" rootkits von F-Secure BlackLight erkannt werden.
aber im allgemeinen hat man sogut wie keine chance selbstgecodeten sachen.

mfg chillmode

Tachen Leute,

aus eigener Erfahrung und Tests weiß ich, daß Brain 1.0 gegen Schädlinge, die mit Rootkittechnolgie hochgerüstet wurden allein nichts ausrichtet. In Kombination mit den entsprechenden Tools können diese aber meistens erfolgreich abgewehrt werden.

Empfehlen kann ich: IceSword, Darkspy, den System Virginity Verifier, Black Light, Rootkit Revealer. Außer Black Light sind die anderen "nur" Detektoren bzw. die Entfernung funktioniert "händisch" (Brain 1.0 wieder erforderlich)

Noch ein kleiner Tipp: Die meisten o.g. Tools erkennen Rootkits nicht an ihrer Signatur, sondern an ihrem Verhalten, weswegen diese Werkzeuge auch gegen neue, unbekannte RKs wirken.

RATS sind übrigens keine Rootkits; ein Rootkit ist eine Art Tarnkappe für Schädlinge, z.B. für Trojaner, Keylogger, Remote Access Tools etc.

Wer´s genauer wissen will: Anti Hackerz Book, Kapitel 6 über Rootkits

Zitat:

Zitat von Plummser

aus eigener Erfahrung und Tests weiß ich, daß Brain 1.0 gegen Schädlinge, die mit Rootkittechnolgie hochgerüstet wurden allein nichts ausrichtet.

*kopfschüttel*
Du hast nichts verstanden.
Das A&O eines gesunden Umgangs mit dem Internet und auch eines "Computerlebens" ist das Verhindern einer Infektion! Und dies ist im Allgemeinen mit Hirn, Brain oder brain.exe gemeint. Nicht die Nachsorge, das Entfernen, dies ist ja erst nach Versagen von Brain (und/oder anderen Sicherheitsmaßnahmen) erforderlich
Auch mit noch so viel "Brain" sieht man einer "normalen" Datei nicht unbedingt an, ob sie ein Trojaner ist oder nicht. Aber mit Brain kann man relativ gut verhindern, dass man in potentiell gefährdeten Gebieten sich bewegt und sich von dort eben überhaupt Dateien holt.
Gegen das Sony-Rootkit mag dies vielleicht nicht unbedingt relevant sein. Obwohl meinem Hirn seit Jahren(!) bekannt ist, dass die eine oder andere Silberscheibe gerne was auf Windows-PCs spielt, also habe ich seit Jahren keine (aktuellen) Musik-CD mehr in Windows-PCs eingelegt! Mein Hirn hätte/hat also auch das Sony-Rootkit verhindert.
Natürlich - wie auch ähnlich beim Sony-Fall* - stößt Brain dann schnell an seine Grenzen (aber unabhängig ob Rootkit oder konventionelle Malware), wenn die Quelle seriös ist oder auch beim gesunden Menschenverstand seriös zu sein scheint.

Dass ein mit Hirn gesegneter Computernutzer mit genügend großem Aufwand, theoretisch auch quasi jeden konventionellen Bösewicht ohne Hilfsprogramme von Drittanbietern entfernen kann und dies bei Rootkits eben nicht mehr so geht, steht auf einem anderen Blatt, aber eben nicht im Brain.exe-Lastenheft => Verhindern ist dessen Devise.


* Sony-Fall: Einschränkung, weil ja eigentlich bekannt war, dass Musik-CDs auch gerne mal was hinterlassen. Einschränkung weil das Sony-Rootkit an sich ja wohl nichts weiteres Böses gemacht hat - außer sich eben installiert zu haben, was per se aber schon "böse" ist. Die Gefahr war/ist ja dabei, dass andere die Tarnkappe ausgenutzt haben/ausnützen.

@ Shadow

Full Ack! Leider gehts ja meistens gar nicht um das Versagen von Brain.exe. Ich glaube sogar, dass eben diese bei den meisten Leuten gut funktioniert. Vielmehr handelt es sich eher um einen fahrlässigen Umgang mit dieser.
Aber wie immer ist auch eine solche Diskussion müßig. Im Umgang mit dem Computer gehts wie im Umgang mit dem eigenen Körper eigentlich nur um folgendes:

Vorsorge ist besser als Nachsorge, Über Konsequenzen nachdenken ist die beste Prävention - und im PC Bereich ist man noch gut dran, den kann man im worst-case nochmal neu aufsetzen.

Benutz einfach Linux das ist gegen Rootkits geschütz es gibt noch keinen Linux Rechner der mit einem Rootkit infiziert worden ist meines Wissens nach
Und sonst also so richtig gute Tools gegen Rootkits gibt es noch nicht wirklich. Anscheinend musst du warten bis es richtig gute Tools gegen Rootkits gibt oder schreib einfach ein eigenes

Hallo,
du weißt aber schon das der Begriff Rootkit von Unix Systemen stammt (auch wenn sich die moderne Bedeutung etwas gewandelt hat).
Und natürlich gibt es sowohl Kernel als auch Userrootkits für Linux, also informiere dich vorher besser bevor du irgendwelche Behauptungen herausbläst.

Zitat:

Und sonst also so richtig gute Tools gegen Rootkits gibt es noch nicht wirklich.

Also zur Entdeckung gibt es doch so einige Tools, da gibt diese Seite einen recht schönen Überblick, ist auch allgemein zur Information über Rootkits geeignet.
Entfernen von Rootkits macht imho sowieso keinen Sinn, da ist Neuaufsetzen angesagt.



Grüße Wildone