Microsoft waarschuwt voor gevaar van "rootkits"
Security onderzoekers van Microsoft waarschuwen voor een nieuwe generatie systeem-monitoring programma's, genaamd "rootkits", die bijna niet te traceren zijn met de huidige security software en hierdoor een zeer ernstig risico voor bedrijven en thuisgebruikers vormen. De onderzoekers bespraken de groeiende dreiging van kernel rootkits tijdens de RSA Security conferentie die deze week in San Francisco wordt gehouden. De kwaadaardige snooping programma's komen steeds vaker voor en zouden gebruikt kunnen worden om een nieuwe generatie van spyware en wormen te verspreiden. Is een rootkit eenmaal op een systeem geinstalleerd, dan draait het stilletjes in de achtergrond, vaak zonder dat de gebruiker dit doorheeft. Er zijn verschillende manieren om rootkits te ontdekken, maar de schrijvers van deze software worden steeds slimmer in het verstoppen van hun creatie, zo gaat dit artikel verder.
Update: tekst aangepast
hem undetected voor die smerige RootKit Detectors uit spanje ... Zo krijgt
de admin lekker een vals signaal van veiligheid en kan de warezdump
mooi door blijven draaien ;-)
zet
rkd*
in de hidden files table :)
maakt het onmogelijk om die orginele zip te downloaden
(belangrijke) programma's en libraries bijhouden (liefst op
read-only media) en regelmatig controleren.
dan ook af of en hoe strafbaar spyware wordt...
rootkits voor linux? Rootkits voor diverse unices zijn niet
bepaald nieuw maar wel misschien voor Microsoft en z'n
FUD-campagne.
Ik wou dat iemand eens tegen M$ zou zeggen: Houd je kop
a.u.b. een tijdje en ga gewoon aan je werk.
van al je (belangrijke) programma's en libraries bijhouden
(liefst op read-only media) en regelmatig controleren.
Niet onverstandig, maar ook geen fail-safe oplossing: een
goede rootkit `maskeert' zichzelf door allerlei acties te
onderscheppen en in plaats van de huidige, de oude of
gefilterde data door te geven. Het is dus best denkbaar dat
de rootkit ervoor zorgt dat de oude hashes worden getoond,
ook al staan er ondertussen feitelijk andere files.
Rootkits voor windowz is niks nieuws.
Iemand hier suggereerde hashes, en dan vergelijken als een
methode om te kijken of je files nog legit zijn.
Wat denk wat een goeie rootkit kan dan ?
Goeie rootkits vangen alle leeto system calls af, en doen er
mee wat ze willen.
Output die jij van het systeem krijgt kan je dus niet meer
vertrouwen:
Denk aan simpele output van dir command, of het netstat
commando.
Ze zitten op zoon diep niveau, dat je apps ook niks kunnen.
Applicaties zitten op ring3 (uit mijn hoofd) die kunnen niet
'zien' dat ze genaaid worden door een rootkit op een lagere
ring.
Maar zoals ik al zij, dit is allemaal niks nieuws. Phrack 62
is er zo'n beetje aan gewijd:
http://www.phrack.org/show.php?p=62
Bedoelt Microsoft hier nou rootkits voor Windows mee of
rootkits voor linux? Rootkits voor diverse unices zijn niet
bepaald nieuw maar wel misschien voor Microsoft en z'n
FUD-campagne.
Ik wou dat iemand eens tegen M$ zou zeggen: Houd je kop
a.u.b. een tijdje en ga gewoon aan je werk.
Een goeie rootkit maker houdt zijn bek, en verspreid zijn
product niet.
De mass-media heeft nu een beetje door wat de argobots e.d.
doen.
Die botjes, das kinderspel.
Een goeie rootkit bypassed heel erg veel, een virusscanner
sowieso.
Hoe denkt zo'n rootkit het netwerkverkeer te gaan
maskeren?
merken als de zaak buiten de geinfecteerde host om gaat
sniffen, maar op de geinfecteerde doos kan je het 100% maskeren.
meerdere mensen hier zeggen is het niets nieuws.. het is
zelfs oud. Het is zelfs al heel ver doorontwikkeld. Alles is
mogelijk.
Het duurt niet lang meer en de media komt er ook achter dat
firwmare in devices gebackdoored wordt.
Hoe denkt zo'n rootkit het netwerkverkeer te gaan
maskeren?
Middels icmp reply patterns, of weet jij uit je hoofd hoe
groot "standaard" icmp reply is?
mocht dat uit staan zal er altijd wel legitiem een andere
protocol te gebruiken zijn immers in 7 dagen elke seconde
416 bytes versturen is ook 10 MB, maar weinig IDS'en die
deze trend zullen herkennen, laatstaan de operator, die na
zoveelste false-positive hier niet naar kijken omdat ze er
geen info over vinden op google :-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!