NT Rootkits und so Einstellungen

[Gast_Nautilus_*]

Moin,

habt Ihr von Rokop schon mal (auch intern) mit verschiedenen Windows Rootkits getestet? Insbesondere: Haben AV/AT Scanner dagegen eine Chance? Auch gegen gepatchte Rootkits? Wie reagieren verschiedene Firewalls auf Port Cloaking?

Gruss Nautilus

P.S.: TrojanHunter 3.6 erkennt offenbar immer noch nur einen einzigen DLL Trojaner (=Beast 2) im Speicher. Kann es denn so schwer sein, fuer sowas eine Signatur zu erstellen (oder ist es mit einer einfachen Signatur nicht getan)? Meine entsprechende Anmerkung im Misec Forum wurde wohl gelöscht...

EDITED: Stimmt nicht. Das Posting wurde nicht gelöscht. Mein Fehler. Siehe unten!

Der Beitrag wurde von Nautilus bearbeitet: 24.08.2003, 15:34

[JoJo]

Also KAV erkennt einige NT Rootkits. Wie es nun aussieht wenn diese installiert sind weiß ich leider nicht, würde mich aber auch interessieren *blick-zum-rokop-team*

[Rokop]

habt Ihr von Rokop schon mal (auch intern) mit verschiedenen Windows Rootkits getestet? Insbesondere: Haben AV/AT Scanner dagegen eine Chance? Auch gegen gepatchte Rootkits? Wie reagieren verschiedene Firewalls auf Port Cloaking?

Nein, bisher noch gar nicht. Es fehlte immer die Zeit, sich damit zu beschäftigen. Es steht aber ganz oben auf meiner Liste.

P.S.: TrojanHunter 3.6 erkennt offenbar immer noch nur einen einzigen DLL Trojaner (=Beast 2) im Speicher. Kann es denn so schwer sein, fuer sowas eine Signatur zu erstellen (oder ist es mit einer einfachen Signatur nicht getan)? Meine entsprechende Anmerkung im Misec Forum wurde wohl gelöscht...

Diese Frage leite ich mal direkt an Magnus weiter. Er kann sicher am besten darauf antworten.

[Gast_Nautilus_*]

@JoJo Genau. Man muesste testen, ob auch das installierte Rootkit erkannt wird. Und man muesste testen, ob auch Firewalls mit Kernel Driver getunnelt werden, wenn das Rootkit bestimmte Ports "unsichtbar" macht. Ich habe bislang den Eindruck, dass viele Rootkits lediglich auf WinAPI Ebene arbeiten. Evt. wird daher nur der Windows Explorer und Netstat manipuliert. Ein ganz einfaches Rootkit hat beispielsweise der Nuclear Uploader eingebaut. Hier werden Files definitiv nur im Explorer versteckt. KAV kann die Files dagegen beim Scannen immer noch "sehen". Ich hab mal angefangen, ein paar Kits zu sammeln. Mir fehlt aber bspw. noch ytt hac, eine 0.8er Version von Hacker Defender, sowie die aktuelle 0.44 von NT Rootkit. Falls es Rootkits gibt, die im installierten Zustand auch vor KAV usw. unsichtbar sind, würde wohl nur noch ein Mem Scanner o.ä. helfen.

Ausserdem wüsste ich gern, wie leicht man Rootkits patchen bzw. modifizieren kann.

@Rokop Thx. Sag Magnus aber bitte, dass sich meine Bemerkung nicht gezielt gegen TH richtet. TDS ist IMHO auch nicht besser. Und BoClean schon gar nicht. Mich wundert halt nur, warum die nicht einfach ein paar Signaturen einfügen. Sonst geht das doch auch viel schneller...


Nautilus

P.S.: @JoJo Ich habe ein paar Samples erstellt und an Kaspersky gesandt, die die von Dir erwähnte NOP-Methode verwenden (die war mir noch nicht bekannt) bzw. einen umgebogenen OEP haben. Ich hoffe, dass KAV5 kurzen Prozess mit solchen Tricks machen wird ... ;-)

Der Beitrag wurde von Nautilus bearbeitet: 24.08.2003, 10:05

[JoJo]

@Nautilius: Ich kann dir wenn du willst per pm eine url zu einem Board geben in dem ich einen Thread extra nur für nt rootkits gestartet habe.

Ich hoffe, dass KAV5 kurzen Prozess mit solchen Tricks machen wird ... ;-)

Da bin ich auch mal gespannt. Habe schon einiges davon auch hier auf der rokop Seite davon gelesen. Bin mal gespannt wie diese Version so wird.

EDIT:
hack defender 0.8x ist noch in der Entwicklungsphase

Der Beitrag wurde von JoJo bearbeitet: 24.08.2003, 10:25

[Gast_Nautilus_*]

@JoJo Gerne. Bin gespannt.

[Gast_SHAKAL_*]

Einen Artikel den ich Euch mal dezent wärmstens empfehlen möchte wenns um Rootkits geht:

1. Mixter (pab)
Tarnkappen für Einbrecher
Rootkits: Funktionsweisen und Gegenmaßnahmen
Praxis, Rootkits, t0rnkit, tornkit, KIS, adore, knark, heroin, rootkit, LKM, kmem, mixter
c't 4/02, Seite 196

Da geht es um echte Rootkits und wie damit gearbeitet wird etc.
Die Materie der rootkits versteht sich als eine eigene, daher:
http://www.heise.de/ct/03/14/020/default.shtml

Gruß

[Gast_Nautilus_*]

@JoJo Wenn es allerdings der Thread im T-Forge "Nachfolgeboard" ist ... den kenne ich schon :-)

@Shakal Linux kennt Rootkits ja schon lange. Und bei Linux sind es meist auch "echte" Kernel-Patches, wenn ich mich nicht irre. Habe dagegen den Eindruck, dass die Windows Rootkits nicht so tief ins System eingreifen und damit auch nicht so wirksam sind.

Gruss Nautilus

Der Beitrag wurde von Nautilus bearbeitet: 24.08.2003, 10:39

[JoJo]

@JoJo Wenn es allerdings der Thread im T-Forge "Nachfolgeboard" ist ... den kenne ich schon :-)

bingo

[Gast_SHAKAL_*]

korrekt @Nautilus.
Bei Windows ist das anhand der Betriebssystemstruktur halt etwas anders.
Aber Hinweise dazu findet man hier:
http://www.megasecurity.org

[JoJo]

noch als Ergänzung: h**p://www.heise.de/security/artikel/38057

[Gast_Nautilus_*]

Muss mich verbessern. Mein Posting aus dem TH Forum wurde doch nicht gelöscht. Ich war nur nicht in der Lage, es über die Boardsuche wiederzufinden. Mea culpa.

Magnus hat bereits alles zur Kenntnis genommen und sich sogar freundlich bedankt. Dauert wohl noch eine kleine Weile, bis weitere Mem Signaturen vorhanden sind.

Nautilus

[Rokop]

Hallo Nautilus und Jojo,

wenn ich meine derzeitige Arbeit hier beendet habe, werde ich mich mal persönlich an Euch wenden. Ich muß zugeben, daß ich dieses Thema bisher vernachlässigt habe. Dies sollte aber schleunigst nachgeholt werden.

[Gast_Nautilus_*]

@Rokop Ich bin bald wieder fuer ein paar Wochen offline. Hab alle Rootkits, die ich gesammelt habe (bis auf yythac, welches ich erst später fand), heute an DrSeltsam geschickt.

Gruss Nautilus

[Heike]

Es scheint wirklich ein interessantes Thema zu sein:

Rootkits und die Integrität

Informationen zu Rootkits

Die Infos sind für mich sehr aufschlußreich, vielleicht für andere, die auch etwas weniger wissen, auch.

Ja, und man findet bei der Uni-Stuttgart auch Quellen zu Download-Möglichkeiten.
Ich habe es gesehen und ich hoffe, hier wird der Informationsgehalt der Seite insgesamt bewertet. Nicht, dass wir bei diesem interessanten Thema wieder in eine Diskussion über Verlinkungen zu "bösen" Sachen einsteigen, dass ist nicht meine Absicht.

[forge77]

OptixPro 1.3 hat doch auch ein cloaking-Funktion, die die Datei und Reg-Einträge versteckt - und wenn ich mich nicht sehr irre, kann z.B. KAV den 'cloaked' Server nicht finden (hab's aber nicht gerade intensiv getestet...)

Der Beitrag wurde von forge77 bearbeitet: 25.08.2003, 15:53

[JoJo]

diese claoking Funktion wird in der nächsten Version verbessert, also wenn ihr solche Sachen testen wollt, dann solltet ihr vielleicht auf Version 1.32 oder so warten.

[Gast_Andreas Haak_*]

Das Cloaking von Optix ist ein einfacher IAT Patch. TrojanHunter und andere Delphi Programme kann das nichts anhaben. Kein Open Source IAT Patch den ich bislang gesehen habe ist in der Lage Delphi Anwendungen erfolgreich zu "patchen".

Die Rootkits kann ich Dir schicken Roman.

[Gast_Nautilus_*]

@Andreas Die Rootkits habe ich Roman schon geschickt. War jetzt sogar noch yythac dabei. Was noch fehlt ist vanquish und das fu rootkit (da die Hostseite down ist). Ausserdem brauchen wir jemand mit dem MS C++ DDK, um das NT Rootkit 0.44 kompilieren zu können. Und schliesslich muss noch jemand (JoJo?) den Entwickler von Hacker Defender überreden, einen aktuellen Release 0.83 oder so rauszurücken. Dann hätten wir so ziemlich alle beieinander.

Gruss Ntl

Der Beitrag wurde von Nautilus bearbeitet: 25.08.2003, 15:47

[Gast_Andreas Haak_*]

Ich kann prinzipiell alles compilen *g*.