Onzichtbare rootkit nog lastiger te verwijderen *update*
De MBR rootkit die eind vorig jaar voor het eerst werd ontdekt en waarvan laatst duidelijk werd dat die lastig is te verwijderen, is aangepast om het leven van virusscanners nog moeilijk te maken. De malware infecteert de Master Boot Record van de harde schijf en kan zodoende het besturingssysteem al infecteren voordat het geladen wordt. Om te bepalen of een systeem geïnfecteerd is moet beveiligingssoftware daarom eerder geladen worden dan de rookit.
Om zichzelf tegen anti-virus software te verdedigen houden veel rootkits de verschillende onderdelen in de gaten, zoals geheugen en het register. StealthMBR controleert deze zaken vanuit het kernelgeheugen. Als een virusscanner probeert het originele boot record terug te zetten of de rookit uit het geheugen te verwijderen, dan wordt vanuit de kernel het boot record weer gepatcht en het geheugen gekaapt.
Op geïnfecteerde systemen downloadt de rootkit aanvullende malware, bijvoorbeeld voor het plunderen van bankrekeningen. De rootkit verspreidt zich via drive-by downloads en misbruikt lekken in verschillende Microsoft programma's, maar ook in de software van AOL en Yahoo!.
Update 12:37
Virusbestrijders in het nauw
"De waarheid is dat op dit moment beveiligingsbedrijven achter de feiten aanlopen en de bende die deze rootkit ontwikkelt aan de winnende hand is. Deze rootkit weet bijna alle bekende beveiligingsproducten te omzeilen. Daarnaast lijkt het erop dat de bende heel actief is," zegt Marco Giuliani van Prevx, die op het blog van het beveiligingsbedrijf de volgende analyse maakte.
size=-2>Met dank aan ctrlaltdelete voor de update
want dan kan je de driveby download aan de poort blokkeren en dan komt de
rootkit dus niet eens aan bij de gebruiker.
Als vervolgens de Driveby download encrypted wordt dan wordt het lastiger
natuurlijk...
Wat kun je hier tegen doen, heren? Ben benieuwd naar jullie oplossingen
bij installatie een kopie van de MBR, die bij elke reboot
weer opgehoest wordt. Een door malware via het OS aangetaste
MBR is dan allang verdwenen voordat het OS weer op gang
komt. Uiteraard start het systeem van een MBR behorend bij
de versleutelingssoftware, die niet zomaar vanuit het OS te
overschrijven is.
Heeft ook een (klein) nadeel, na versleuteling
herpartitioneren of partitiegrootte aanpassen is er dan niet
meer bij.
welke ik regelmatig update. Mocht ik het slachtoffer worden van een MBR
rootkit dan formatteer ik de boel en zet de image terug.
niet heb alles al gedaan tot low formateren tot MBR deleten
en weer opnieuw herstellen met alles MBRTool,Vista
FIXMBR,TestDisk 6.9a,Doctor Partion Table 3.5,Norton
Internet Security bootable Fix,KillDisk,GData Bootcd,Online
scans Allemaal ook in veilige Bios,Bios Beveiligd met
password,MRB beveiligd,ik heb zowat alle Bootable Fix cd\'s
ja zelfs die van c\'t magazine gebruikt.Alle rootkits
gebruikt Gmer,RootkitUnhooker 3.7,enz,enz Helpt dus allemaal
niet en alle mensen die in mijn MSN Account zaten hebben het
nu ook en je Virusscanner merkt helemaal niks en ook niet je
Firewall niet het enigste wat ik merk en dat hebben ze
allemaal ook de nieuwe laptopje\'s:
initDiskillegal partition table *
drive 00 sector 0
illegal partition table * drive 00 sector 0
illegal partition table * drive 00 sector 0
illegal partition table * drive 00 sector 0
Bij het lowFormateren met Bootable cd Killdisk ik wacht al
op een oplossing zins oktober 2006 met dit probleem.
Sommige versleutelingssoftware (zoals SafeGuard Easy) maakt
bij installatie een kopie van de MBR, die bij elke reboot
weer opgehoest wordt. Een door malware via het OS aangetaste
MBR is dan allang verdwenen voordat het OS weer op gang
komt. Uiteraard start het systeem van een MBR behorend bij
de versleutelingssoftware, die niet zomaar vanuit het OS te
overschrijven is.
Heeft ook een (klein) nadeel, na versleuteling
herpartitioneren of partitiegrootte aanpassen is er dan niet
meer bij.
Sommige versleutelingssoftware (zoals SafeGuard Easy) maakt
bij installatie een kopie van de MBR, die bij elke reboot
weer opgehoest wordt. Een door malware via het OS aangetaste
MBR is dan allang verdwenen voordat het OS weer op gang
komt. Uiteraard start het systeem van een MBR behorend bij
de versleutelingssoftware, die niet zomaar vanuit het OS te
overschrijven is.
Heeft ook een (klein) nadeel, na versleuteling
herpartitioneren of partitiegrootte aanpassen is er dan niet
meer bij.
Sommige versleutelingssoftware (zoals SafeGuard Easy) maakt
bij installatie een kopie van de MBR, die bij elke reboot
weer opgehoest wordt. Een door malware via het OS aangetaste
MBR is dan allang verdwenen voordat het OS weer op gang
komt.
aangetast is?
De MBR wordt maar 1 keer gekopiëerd, tijdens installatie.
Als de MBR al besmet was, dikke pech natuurlijk, maar ook
grote kans dat de installatie van de versleutelinggsoftware
mislukt, juist vanwege de troep in de MBR. Die ervaring had
ik ook al met sommige imagingsoftware.
Garantie: die heb je eigenlijk alleen als je de
versleutelingssoftware meteen na de installatie van Windows
uitvoert (en 100% controle hebt over het uitrolgebeuren).
Tenminste, zolang fdisk /mbr of fixmbr gevolgd door het
booten van windows mogelijkerwijs alleen maar een vers
besmette MBR oplevert.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
