Nieuws
image

Microsoft waarschuwt voor gevaar van "rootkits"

vrijdag 18 februari 2005, 12:08 door Redactie, 15 reacties

Security onderzoekers van Microsoft waarschuwen voor een nieuwe generatie systeem-monitoring programma's, genaamd "rootkits", die bijna niet te traceren zijn met de huidige security software en hierdoor een zeer ernstig risico voor bedrijven en thuisgebruikers vormen. De onderzoekers bespraken de groeiende dreiging van kernel rootkits tijdens de RSA Security conferentie die deze week in San Francisco wordt gehouden. De kwaadaardige snooping programma's komen steeds vaker voor en zouden gebruikt kunnen worden om een nieuwe generatie van spyware en wormen te verspreiden. Is een rootkit eenmaal op een systeem geinstalleerd, dan draait het stilletjes in de achtergrond, vaak zonder dat de gebruiker dit doorheeft. Er zijn verschillende manieren om rootkits te ontdekken, maar de schrijvers van deze software worden steeds slimmer in het verstoppen van hun creatie, zo gaat dit artikel verder.

Update: tekst aangepast

Reacties (15)
18-02-2005, 12:29 door Anoniem
Jup en en als je t goed wilt doen pas je zelf de hook code aan en maak je
hem undetected voor die smerige RootKit Detectors uit spanje ... Zo krijgt
de admin lekker een vals signaal van veiligheid en kan de warezdump
mooi door blijven draaien ;-)
18-02-2005, 12:35 door Anoniem
chkrootkit :)
18-02-2005, 12:37 door Anoniem
tip:

zet

rkd*

in de hidden files table :)
maakt het onmogelijk om die orginele zip te downloaden
18-02-2005, 12:38 door Anoniem
volgens mij is een van de betere methodes een hash van al je
(belangrijke) programma's en libraries bijhouden (liefst op
read-only media) en regelmatig controleren.
18-02-2005, 12:42 door egeltje
De meeste spyware komt dus al aardig richting deze categorie. Ik vraag me
dan ook af of en hoe strafbaar spyware wordt...
18-02-2005, 13:14 door Anoniem
ook goede morgen.... http://www.rootkit.com
18-02-2005, 16:53 door Anoniem
Bedoelt Microsoft hier nou rootkits voor Windows mee of
rootkits voor linux? Rootkits voor diverse unices zijn niet
bepaald nieuw maar wel misschien voor Microsoft en z'n
FUD-campagne.
Ik wou dat iemand eens tegen M$ zou zeggen: Houd je kop
a.u.b. een tijdje en ga gewoon aan je werk.
18-02-2005, 21:36 door raboof
volgens mij is een van de betere methodes een hash
van al je (belangrijke) programma's en libraries bijhouden
(liefst op read-only media) en regelmatig controleren.

Niet onverstandig, maar ook geen fail-safe oplossing: een
goede rootkit `maskeert' zichzelf door allerlei acties te
onderscheppen en in plaats van de huidige, de oude of
gefilterde data door te geven. Het is dus best denkbaar dat
de rootkit ervoor zorgt dat de oude hashes worden getoond,
ook al staan er ondertussen feitelijk andere files.
18-02-2005, 22:28 door Anoniem
Oh, de massa media is ook op de hoogte.

Rootkits voor windowz is niks nieuws.
Iemand hier suggereerde hashes, en dan vergelijken als een
methode om te kijken of je files nog legit zijn.
Wat denk wat een goeie rootkit kan dan ?

Goeie rootkits vangen alle leeto system calls af, en doen er
mee wat ze willen.
Output die jij van het systeem krijgt kan je dus niet meer
vertrouwen:
Denk aan simpele output van dir command, of het netstat
commando.
Ze zitten op zoon diep niveau, dat je apps ook niks kunnen.
Applicaties zitten op ring3 (uit mijn hoofd) die kunnen niet
'zien' dat ze genaaid worden door een rootkit op een lagere
ring.

Maar zoals ik al zij, dit is allemaal niks nieuws. Phrack 62
is er zo'n beetje aan gewijd:
http://www.phrack.org/show.php?p=62
18-02-2005, 22:31 door Anoniem
Door Anoniem
Bedoelt Microsoft hier nou rootkits voor Windows mee of
rootkits voor linux? Rootkits voor diverse unices zijn niet
bepaald nieuw maar wel misschien voor Microsoft en z'n
FUD-campagne.
Ik wou dat iemand eens tegen M$ zou zeggen: Houd je kop
a.u.b. een tijdje en ga gewoon aan je werk.
Rootkits voor windows zijn niks nieuws.
Een goeie rootkit maker houdt zijn bek, en verspreid zijn
product niet.
De mass-media heeft nu een beetje door wat de argobots e.d.
doen.
Die botjes, das kinderspel.

Een goeie rootkit bypassed heel erg veel, een virusscanner
sowieso.
18-02-2005, 22:48 door Anoniem
Hoe denkt zo'n rootkit het netwerkverkeer te gaan maskeren?
18-02-2005, 23:12 door Anoniem
Door Anoniem
Hoe denkt zo'n rootkit het netwerkverkeer te gaan
maskeren?
Een goeie rootkit maskeert dit ook. Het is natuurlijk wel te
merken als de zaak buiten de geinfecteerde host om gaat
sniffen, maar op de geinfecteerde doos kan je het 100% maskeren.
18-02-2005, 23:17 door rob
Lol.. ze zijn bang dat het mainstream wordt. Inderdaad zoals
meerdere mensen hier zeggen is het niets nieuws.. het is
zelfs oud. Het is zelfs al heel ver doorontwikkeld. Alles is
mogelijk.
Het duurt niet lang meer en de media komt er ook achter dat
firwmare in devices gebackdoored wordt.
20-02-2005, 02:02 door Anoniem
Door Anoniem
Hoe denkt zo'n rootkit het netwerkverkeer te gaan
maskeren?


Middels icmp reply patterns, of weet jij uit je hoofd hoe
groot "standaard" icmp reply is?

mocht dat uit staan zal er altijd wel legitiem een andere
protocol te gebruiken zijn immers in 7 dagen elke seconde
416 bytes versturen is ook 10 MB, maar weinig IDS'en die
deze trend zullen herkennen, laatstaan de operator, die na
zoveelste false-positive hier niet naar kijken omdat ze er
geen info over vinden op google :-)
21-02-2005, 10:20 door Anoniem
ja 64 bytes
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure