Harde schijf rootkit in het wild gesignaleerd
Virusbestrijders hebben in het wild een rootkit ontdekt die het Master Boot Record (MBR) van harde schijven infecteert, en zo onopgemerkt Windows systemen overneemt. De malware wordt verspreidt via exploits voor oude Windows en applicatie lekken. Eenmaal actief overschijft het het MBR met de eigen code, en maakt een kopie van de originele MBR. De rootkit driver wordt opgeslagen op een niet gebruikt gedeelte van de harde schijf, meestal de laatste sectoren. Deze code zorgt ervoor dat Windows de driver laadt.
Tijdens de eerstvolgende herstart, iets wat de malware zelf kan regelen, neemt de rootkit BIOS interrupt 13h over, zodat het volledige controle heeft over wat het besturingssysteem laadt, en kan het de Windows kernel real-time aanpassen en overnemen. Op deze manier hoeft de malware niet het Windows register aan te passen en is er ook geen bestand nodig.
Om zichzelf in Windows te verbergen, wijzigt de rootkit verschillende disk.sys routines. Als een applicatie het MBR wil lezen, wordt de backup van het origineel getoond, zodat niemand wat door heeft. Daarnaast maakt de malware verbinding met verschillende hosts.
Windows Vista zou alleen kwetsbaar zijn als UAC is uitgeschakeld, omdat het dan het MBR kan overschrijven. Iets wat niet mogelijk is als UAC aan staat. Zelfs als de rootkit toch de code in het MBR weet te injecteren, kan die het systeem niet overnemen omdat het laadproces tussen Windows XP en Vista verschilt. Beveiligingsexperts verwachten dat we meer van dit soort rootkits kunnen zien, omdat veel anti-rootkit oplossingen die niet kunnen detecteren. "De strijd verlaat het besturingssysteem, en is het begin van een heel nieuwe oorlog", zegt Marco Giuliani van Prevx.
In Vista gewoon laten aanstaan levert een betere beveiliging op. Dat bewijst de bovenstaande thread wel.
En dat terwijl er gasten zijn die UAC (User Account Controle) in Vista niet nodig vinden.
In Vista gewoon laten aanstaan levert een betere beveiliging op.
stelt. Er bestaat malware die hier mee rekening mee houdt,
zoals escalation of priveleges
Advies: UAC gewoon aanzetten.
Inloggen met minder rechten is minder veilig dan je hier stelt. Er bestaat malware die hier mee rekening mee houdt, zoals escalation of priveleges
advies: haal die administrator rechten van het account.
Wel in Vista.
Als deze rootkit de MBR aanpast, dan is linux en freebsd ook
de dupe.
Niet dat ik nou blij ben met zo'n virus, maar ik had de
indruk dat bootsector- en MBR-virussen hun langste tijd
intussen al lang gezien hadden.
Als deze rootkit de MBR aanpast, dan is linux en freebsd ook
de dupe.
Wachten op een hypervisor MBR rootkit ;-)
quote:Door Anoniem
Als deze rootkit de MBR aanpast, dan is linux en freebsd ook
de dupe.
nee. . het zijn compleet verschillende OS-en
dd bs=512 count=1 if=/dev/sda of=pc-eric.mbr
en het bestandje pc-eric.mbr op een cd gebrand
Start je je pc met knoppix of andere live-ix en dan hersteld
men de mbr met:
dd bs=512 count=1 if=/media/cdrom/backupcdtje/pc-eric.mbr
of=/dev/sda
reboot, virus-warning enablen in bios.
Je weet alleen niet wat voor rommel zo'n rootkit nog meer
binnenhaald en in welke mate die rommel bijvoorbeeld ook
linux kan infecteren.
rootkit verschillende disk.sys routines. Als een applicatie
het MBR wil lezen, wordt de backup van het origineel
getoond, zodat niemand wat door heeft.
Jaren geleden deed de Lamer Exterminator iets vergelijkbaars.
Als deze rootkit de MBR aanpast, dan is linux en freebsd ook de dupe.
MBR aanpast boot je Linux/BSD niet meer. Maar echt de dupe
dat weer niet (wel mogelijk overigens mits specifiek
aangepast voor)..
dat een virus niet native-cross-platform is (heb er
tenminste nog nooit van gehoord).
http://www2.gmer.net/mbr/
Of voortaan alleen nog maar een virtual Os gebruiken ?
Is dat fixmbr commando trouwens wel zo eenvoudig als er
staat? Ik heb wel eens begrepen dat het je hele systeem naar
de vaantjes kan helpen.
Hoe moet je je dan goed beschermen tegen dit soort malware?
Is er trouwens bekend welke websites (ik las ergens dat er
al 30.000 websites zijn waar bezoekers met deze variant
geïnfecteerd kunnen raken) 'besmet' zijn?
Euhm boot from floppy misschien een maatregel ?
Maar goed, een floppy kun je beveiligen tegen schrijven. En nu ik er over na denk.. Hoe zit dat met die BIOS optie om je MBR tegen schrijven te beveiligen?
Is dat fixmbr commando trouwens wel zo eenvoudig als er staat?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
