Computerbeveiliging - Hoe je bad guys buiten de deur houdt

[Verwijderd]

20-11-2010, 23:51 door [Account Verwijderd], 10 reacties
[Verwijderd]
Reacties (10)
21-11-2010, 13:04 door [Account Verwijderd]
[Verwijderd]
21-11-2010, 13:52 door sjonniev
Een misschien ietwat overdreven maatregel om te voorkomen dat een root- of bootkit zich permanent nestelt in de MBR is het toepassen van een FDE-tool, al dan niet met pre-boot authenticatie en versleuteling. Een eigenschap van (sommige van) deze tools is dat zij ten tijde van installatie een kopie van deze MBR opslaan in hun kernel. Zodra het systeem weer start, wordt deze kopie aan het OS getoond als zijnde de actieve MBR.

Zaak is wel dat deze MBR op dat moment niet besmet moet zijn. Grote kans dat een installatie van een FDE-tool niet slaagt wanneer een besmetting al heeft plaats gevonden.

FDE-tools waar dit mee werkt zijn bijvoorbeeld SafeGuard Easy en SafeGuard Enterprise van Sophos, ongeacht of versleuteling of POA/PBA wordt toegepast. Of dit ook zo werkt bij andere FDE-tools ben ik uiteraard benieuwd naar.
SafeBoot-
Checkpoint-
TrueCrypt-
en andere-producten-kenners, meldt u.
21-11-2010, 14:13 door xy22
Beste Peter V, als ik de links nalees, lijkt er iets tegenstrijdigs te zijn bij de links:
Webwereld en jouw Topic gaan over TDL4. Net als de Kaspersky-link en Symantec's forum, maar bij Hitman kan ik niets vinden over de TDL4, wel over TDL3.
Of zou dat te maken hebben met dat het blog e.d. van Hitman achterlopen: build 116 staat beschreven, maar 117 (huidig) niet.
Weet jij daar iets meer van?

Verder doet de heisa eromheen me vooral denken aan het LNK-lek van een aantal maanden terug: een nieuw soort 'aanval' en tot dan toe nauwelijks bescherming van anti-virii ertegen.
21-11-2010, 15:23 door Erwtensoep
Er zijn inderdaad genoeg tools die 'm kunnen verwijderen, maar dan kan de schade al gedaan zijn en al gegevens zijn gestolen of backdoors geplaatst etc. Feit is dat ie gewoon de beveiliging kan omzeilen en veel samples ook niet gedetecteerd worden door AV software voordat ze uitgevoerd worden, in dat opzicht heeft Webwereld wel gelijk.

Door xy22: Beste Peter V, als ik de links nalees, lijkt er iets tegenstrijdigs te zijn bij de links:
Webwereld en jouw Topic gaan over TDL4. Net als de Kaspersky-link en Symantec's forum, maar bij Hitman kan ik niets vinden over de TDL4, wel over TDL3.
Of zou dat te maken hebben met dat het blog e.d. van Hitman achterlopen: build 116 staat beschreven, maar 117 (huidig) niet.
Weet jij daar iets meer van?

Verder doet de heisa eromheen me vooral denken aan het LNK-lek van een aantal maanden terug: een nieuw soort 'aanval' en tot dan toe nauwelijks bescherming van anti-virii ertegen.
De nieuwe TDL3 versie die nu ook 64 bit systemen kan infecteren word door sommigen ook TDL 4 genoemd, is dus hetzelfde, net als Alureon en TDSS.
21-11-2010, 17:04 door [Account Verwijderd]
[Verwijderd]
21-11-2010, 18:59 door Anoniem
Ik ben weer even aan het inlezen in de TDL rootkits, maar lees het artikel op de volgende link eens.
http://www.pcwebplus.nl/phpbb/viewtopic.php?f=222&t=4050
21-11-2010, 21:41 door [Account Verwijderd]
[Verwijderd]
22-11-2010, 10:07 door Anoniem
Door Peter V: Dan nog een rare ontdekking gedaan vandaag.

Er zijn rootkit scanners die helemaal niet werken op een Windows 64-bit-platform.
Zijn de AV-compagnies soms in slaap gesukkeld?

Er zijn inderdaad diverse scanners die niet x64 compatibel zijn zoals b.v. Rootkit Unhooker.
22-11-2010, 22:32 door xy22
Door Erwtensoep: Er zijn inderdaad genoeg tools die 'm kunnen verwijderen, maar dan kan de schade al gedaan zijn en al gegevens zijn gestolen of backdoors geplaatst etc. Feit is dat ie gewoon de beveiliging kan omzeilen en veel samples ook niet gedetecteerd worden door AV software voordat ze uitgevoerd worden, in dat opzicht heeft Webwereld wel gelijk.

De nieuwe TDL3 versie die nu ook 64 bit systemen kan infecteren word door sommigen ook TDL 4 genoemd, is dus hetzelfde, net als Alureon en TDSS.
Goed punt & dank voor de info, Erwtensoep! :)

Door Peter V: De tools zijn wel degelijk gebruikt bij TDL4, waarvan sommigen overigens beweerden dat die niet werkten om deze nieuwste variant te verwijderen. Maar of dat in alle gevallen zo zal blijken is nog niet te zeggen. Ik vermeld ze dus voor de volledigheid.

Pas als blijkt dat de tools inderdaad in alle gevallen niet werken kun je overstappen op plan B.
Thanks for sharing (van t topic) & dat t blijkbaar werkt bij een deel van de infecties wist ik niet (stond wel bij Symantec forum, maar toch) :)
23-11-2010, 05:46 door Anoniem
Bootsector malware laadt zichzelf voor het OS, in principe heeft alles wat voor het OS geladen wordt heeft de volledige controle. Dat is al decennia zo.

Sommige BIOSsen bieden bescherming tegen het beschrijven van de boot sector/MBR en mogelijk ook nog andere low-level data. Het kan zijn dat sommige OSsen daar niet mee om kan gaan, maar dat is natuurlijk de keuze van de OS producent en daarna die van jou.

Mocht er sprake zijn van een besmetting dan kun je zorgen dat je eerst schoon opstart vanaf alternatieve media, zodat de malware niet geladen is. Daarna kun je opruimen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.