Bescherm Windows Veilige modus tegen malware
Er verschijnt steeds meer malware die voorkomt dat besmette Windows computers nog in de Veilige modus kunnen opstarten, maar de Belgische beveiligingsonderzoeker Didier Stevens heeft een oplossing. Het programma dat hij ontwikkelde maakt een speciale registersleutel aan die niet is te verwijderen. Ook is het mogelijk om al verwijderde registersleutels voor het opstarten in Veilige modus weer terug te zetten. Dat cybercriminelen dit niet willen blijkt wel uit het feit dat er inmiddels ook malware is die actief het register monitort om te voorkomen dat men verwijderde registersleutels weer terugzet. In dit geval moeten gebruikers via een LiveCD het systeem starten, wat volgens Stevens een complexe procedure is. Het zorgt er in ieder geval voor dat de malware niet draait terwijl men de Veilige modus registersleutel herstelt.
De registersleutel die het programma van de onderzoeker maakt zorgt ervoor dat zelfs systeembeheerders en het systeem account de sleutel niet kunnen verwijderen. Daardoor is het zelfs voor malware onmogelijk om dit te doen. Deze speciale rechten worden alleen aangemaakt als de registersleutel ontbreekt. "Je zult nu misschien denken dat virusschrijvers deze beveiliging kunnen omzeilen door de rechten aan te passen voordat ze de sleutels verwijderen. Dat klopt helemaal." Aangezien er op dit moment nog geen malware is die de Veilige modus registersleutel aanpast, is het nog niet nodig om de rechten van systeembeheerders of systeem accounts te wijzigen. "Dit zal ik oplossen als het uiteindelijk verschijnt."
Probleem
Volgens Stevens is het een groot probleem. "Ik heb in 2006 voor de eerste keer gepost over malware die de Veilige modus sleutels verwijderd om zo te vermijden dat de gebruiker in Veilige modus start om de malware uit te schakelen. Later heb ik een oplossing geplaatst om de Veilige modus te herstellen", zo laat de onderzoeker aan Security.nl weten. Het .REG bestand zou meer dan 30.000 keer gedownload zijn. "En het valt mij op dat de populariteit van deze oplossing de laatste maanden sterk toeneemt, wat mij doet geloven dat het probleem van malware die registersleutels verwijdert zich aan het uitbreiden is."
Mocht deze geen MW aangeven dan kan het natuurlijk altijd nog iets nieuws zijn, dus altijd oppassen.
Voor dat ik dan het progje installeer maak ik altijd eerst even een exportje van mijn Registry.
Mocht ik dan toch geïnfecteerd zijn dan doe nog een export van de Registry en vervolgens doe ik een File Compare om te zien wat voor bende zich heeft genesteld in de Registry.
Daarna doe ik een uninstall en zoek als laatste even welke files zijn blijven hangen (selecteer *.* op datum van die dag)
en dan Registry nog even terugzetten.
Niet helemaal waterdicht maar het werkt meestal wel goed !!
Ik vind het allang tof dat er een tool is om mij, of mensen om mij heen te helpen, mocht dat ooit het geval zijn.
Alle lof gaat naar Didier, goed werk.
Henk.
Ik vind het allang tof dat er een tool is om mij, of mensen om mij heen te helpen, mocht dat ooit het geval zijn.
Alle lof gaat naar Didier, goed werk.
Henk.
Ingewikkeld ??
Het gebeuren met die File Compare is alleen als je gedesinteresseerd bent in het hoe en wat van de Malware.
Een copy (export) van je registry maken is vrij eenvoudig hoor.
Regedit opstarten - File - Export en een naampje geven. (Niet veel anders als een download)
Didier raadt dan aan de permissions aan te passen met regedit.
Kan iemand mij zeggen hoe je dat precies doet?
Bedankt alvast.
Didier raadt dan aan de permissions aan te passen met regedit.
Kan iemand mij zeggen hoe je dat precies doet?
Bedankt alvast.
De SafeBoot keys moeten er altijd zijn. Als ze ontbreken is dit sterke aanwijzing van een besmette PC.
Heb je ooit al de permissions veranderd op een bestand?
Zo ja, is hetzelde, maar je start regedit, selecteerd the SafeBoot key en dan right-click Permissions...
Zo niet zal ik zien of ik tijd heb voor een nieuwe post met screenshots.
/*
UndeletableSafebootKey
Source code put in public domain by Didier Stevens, no Copyright
http://didierstevens.com
Use at your own risk
Shortcommings, or todo's ;-)
History:
2009/12/22: start
*/
#define REGKEY_SAFEBOOT TEXT("SYSTEM\\CurrentControlSet\\Control\\SafeBoot") ;-)
Echt waar ??
Als je Windows in Veilige Modus start dan start je eigenlijk Windows MINIMAAL op (alleen Windows dus en geen andere applicaties) dus vaak ook je Malware niet. Deze situatie (Veilige Modus) leent zich dan om je Computer van de Malware te ontdoen. Er bestaat nu Malware die de optie "Opstarten in Veilige Modus" uitschakelt. Vriend Didier heeft echter een applicatie gemaakt (die een patch genereert) die je op voorhand kunt uitvoeren zodat dit niet meer kan gebeuren (voorlopig) en stelt deze gratis ter beschikking.
Aardig toch ??
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
