Security Professionals
- ipfw add deny all from eindgebruikers to any
Hoe houd je rootkit blijven van je systeem?
(Voor de duidelijkheid, het gaat niet om mijn eigen Linux device maar van een andere windows eind-gebruiker)
Ik heb pas - een tijdje - bezig geweest om een rootkit succesvol van een volledig legale windows xp-sp3 pc te verwijderen.
Nu ben ik een preventie strategie / checklist aan het uitdenken om dit te helpen voorkomen in de toekomst:
Dit is mijn huidige aanpak (+ motivatie waarom)
1. Schoonmaken (wat er niet op hoeft, geeft ook geen extra risicio's en kan er af)
- Alle overbodige programma;s van de pc afgegooid
- Dubbel bestanden, dll's, recyle bins, caches , temp-dirs en andere opslagplaatsen gewist
- Alle browser toolbars verwijderd..
- Register optimizer en cleaners gedraait (om alle register-gerelateerde ellende er te krijgen en te houden)
2. Full backup maken van het systeem
- Des te sneller kun je weer up-and-running zijn in geval van rootkit, inbraak, andere ellende
3. Performance Tuning:
- Alle overbodige windows xp services uitgezet (wat niet hoeft kan uit, geeft ook geen extra security risks)
- Harddisk compleet ge-defragmenteerd
- Alle AUTO-UPDATERS van andere (niet windows) software uitgezet en permanent verwijderd (start ie lekker snel op)
De gebruiker kan zelf handmatig updaten op regelmatige basis! Dit werkt de security bewustwording in de hand
4 Internet verbindings security
- Firewall kompleet dicht gezet en alle programma;s om internet-toestemming laten vragen.
5. Het Windows XP platform zelf:
- Windows Update op automatisch gezet (dicht de lekken van ome bills software fabriek hopelijk :-P)
- Virusscanner - automatische updates aan
- Malware, spyware, x-ware scanners - automatische updates aan
>>
- Windows Defender - automatische updates aan (registeert Register veranderingen en stop meeste spyware af)
- Virusscanner - full scan gedaan (kijken of alles nu echt schoon is)
- Malware, spyware, x-ware scanners full scan gedaan (kijken of alles nu echt schoon is)
6. Gebruikers-tips:
- Nooit installeren vanuit "onbekende bron", "vage websites", "gratis sh*t" (nothing in live is free ;-)
- Alle download en email-attachments (handmatig) scanner op virus / malware / rootkits (verhoogd security bewustzijn)
- Gebruik geen internet exploder browser meer (moet ik daar nog wat over zeggen??)
- Gebruik Firefox met Noscript (take control BACK over de gedownloade web-pagina's en gedrag van je browser)
Nu loop ik nog te dubben over de volgend security maatregelen, waar ik graag jullie commentaar op hoor
A - Virtual Machine installeren onder windows xp (vmware, ms-virtual pc, ...)
Als het dan fout gaat, kun je gewoon weer "clean" beginnen vanaf een nieuw vm-image
B - Application "Sandbox software" installeren zoals http://www.sandboxie.com/
Daarbinnen alles wat op internet gaat zetten zoals Email, Internet Browsers, IM-clients zoals Msn
C - Application level Firewalls installeren zoals Online Armour
- Firewall die het gedrag van programma;s controlleert en aan banden legt
OF.... het gehele pc-based operating system concept laten varen en ....
D - Alleen maar online gaan met
- Live cdrom , dvd.. http://en.wikipedia.org/wiki/Live_CD
- Live usb-stick....... http://en.wikipedia.org/wiki/Live_USB
Tot Slot
Zo langzaam bekruipt me het gevoel dat wij - als technische security experts - een te groot deel van onze kostbare tijd bezig zijn onze EIGEN PC's HARDWARE regelmatige terug te hacken van iedereen (fabrikanten, software eigenaars. malware-virusmakers) die er zijn software op installeert (met of zonder onze toestemming).
Dit vind ik een beetje zonde van mijn tijd en energie en dat moet ook anders kunnen lijkt mij..
Vandaar dat ik zeer benieuwd naar jullie professional opinion hierover...
Dev_Null
Ik heb pas - een tijdje - bezig geweest om een rootkit succesvol van een volledig legale windows xp-sp3 pc te verwijderen.
Nu ben ik een preventie strategie / checklist aan het uitdenken om dit te helpen voorkomen in de toekomst:
Dit is mijn huidige aanpak (+ motivatie waarom)
1. Schoonmaken (wat er niet op hoeft, geeft ook geen extra risicio's en kan er af)
- Alle overbodige programma;s van de pc afgegooid
- Dubbel bestanden, dll's, recyle bins, caches , temp-dirs en andere opslagplaatsen gewist
- Alle browser toolbars verwijderd..
- Register optimizer en cleaners gedraait (om alle register-gerelateerde ellende er te krijgen en te houden)
2. Full backup maken van het systeem
- Des te sneller kun je weer up-and-running zijn in geval van rootkit, inbraak, andere ellende
3. Performance Tuning:
- Alle overbodige windows xp services uitgezet (wat niet hoeft kan uit, geeft ook geen extra security risks)
- Harddisk compleet ge-defragmenteerd
- Alle AUTO-UPDATERS van andere (niet windows) software uitgezet en permanent verwijderd (start ie lekker snel op)
De gebruiker kan zelf handmatig updaten op regelmatige basis! Dit werkt de security bewustwording in de hand
4 Internet verbindings security
- Firewall kompleet dicht gezet en alle programma;s om internet-toestemming laten vragen.
5. Het Windows XP platform zelf:
- Windows Update op automatisch gezet (dicht de lekken van ome bills software fabriek hopelijk :-P)
- Virusscanner - automatische updates aan
- Malware, spyware, x-ware scanners - automatische updates aan
>>
- Windows Defender - automatische updates aan (registeert Register veranderingen en stop meeste spyware af)
- Virusscanner - full scan gedaan (kijken of alles nu echt schoon is)
- Malware, spyware, x-ware scanners full scan gedaan (kijken of alles nu echt schoon is)
6. Gebruikers-tips:
- Nooit installeren vanuit "onbekende bron", "vage websites", "gratis sh*t" (nothing in live is free ;-)
- Alle download en email-attachments (handmatig) scanner op virus / malware / rootkits (verhoogd security bewustzijn)
- Gebruik geen internet exploder browser meer (moet ik daar nog wat over zeggen??)
- Gebruik Firefox met Noscript (take control BACK over de gedownloade web-pagina's en gedrag van je browser)
Nu loop ik nog te dubben over de volgend security maatregelen, waar ik graag jullie commentaar op hoor
A - Virtual Machine installeren onder windows xp (vmware, ms-virtual pc, ...)
Als het dan fout gaat, kun je gewoon weer "clean" beginnen vanaf een nieuw vm-image
B - Application "Sandbox software" installeren zoals http://www.sandboxie.com/
Daarbinnen alles wat op internet gaat zetten zoals Email, Internet Browsers, IM-clients zoals Msn
C - Application level Firewalls installeren zoals Online Armour
- Firewall die het gedrag van programma;s controlleert en aan banden legt
OF.... het gehele pc-based operating system concept laten varen en ....
D - Alleen maar online gaan met
- Live cdrom , dvd.. http://en.wikipedia.org/wiki/Live_CD
- Live usb-stick....... http://en.wikipedia.org/wiki/Live_USB
Tot Slot
Zo langzaam bekruipt me het gevoel dat wij - als technische security experts - een te groot deel van onze kostbare tijd bezig zijn onze EIGEN PC's HARDWARE regelmatige terug te hacken van iedereen (fabrikanten, software eigenaars. malware-virusmakers) die er zijn software op installeert (met of zonder onze toestemming).
Dit vind ik een beetje zonde van mijn tijd en energie en dat moet ook anders kunnen lijkt mij..
Vandaar dat ik zeer benieuwd naar jullie professional opinion hierover...
Dev_Null
Reacties (14)
Het valt me op dat je een vraag stelt over rootkits, en met een waslijst komt aan maatregelen, waarvan 95% niets van doen heeft met bescherming tegen rootkits ?
11-04-2011, 12:18 door
SirDice
Je mist het belangrijkste, haal de administrator rechten van die gebruiker. Een rootkit heeft admin rechten nodig om zichzelf uberhaubt te kunnen installeren. Als men die rechten niet heeft kan ook een rootkit niet geinstalleerd worden.
11-04-2011, 14:05 door
xy22
Zonder reclame te willen maken of spammen:
Als ik me niet vergis stond in het tijdschrift C't van vorige maand (kijk anders bij je lokale bibliotheek of nabestellen) een groot artikel over hoe je systemen zo inricht dat na opnieuw opstarten alles weer bij het oude is. Documenten kun je dan op een aparte partitie of netwerklocatie opslaan.
C't nummer 4 van dit jaar: http://www.fnl.nl/ct/shop/nummers/
Nogmaals niet bedoeld om te spammen, maar omdat het wellicht interessant kan zijn.
Als ik me niet vergis stond in het tijdschrift C't van vorige maand (kijk anders bij je lokale bibliotheek of nabestellen) een groot artikel over hoe je systemen zo inricht dat na opnieuw opstarten alles weer bij het oude is. Documenten kun je dan op een aparte partitie of netwerklocatie opslaan.
C't nummer 4 van dit jaar: http://www.fnl.nl/ct/shop/nummers/
Nogmaals niet bedoeld om te spammen, maar omdat het wellicht interessant kan zijn.
Wat is de tijd geweest die je ermee bezig bent geweest? (Ik hoop dat je je vermaakt hebt)
Ohja, hoe weet je 100% zeker dat die rootkit er nu eraf is en nu niet in die full-backup zit?
Ohja, hoe weet je 100% zeker dat die rootkit er nu eraf is en nu niet in die full-backup zit?
12-04-2011, 08:32 door
SirDice
Door Anoniem: herinstallatie i.v.m flash geheugen virussen
Alleen jammer dat dan een eventueel flash virus niet weg is.
30-04-2011, 09:03 door
Euro10000
Harde schijf wissen, dus mbr en partities wissen. Dit geld ook bij nieuwe en gebruikte harde schijven.
Dan herinstalleren, een schoon gemaakte pc is nooit schoon.
-Wat ook fout is, alle software moet direct geupdate worden, bijv vlc heeft steeds fouten, dus bij een film spelen wordt je al gehackt. Dit moet zeker niet handmatig gebeuren, want dan word het niet gedaan, net als backuppen die niet gedaan wordt.
Flash, java, etc hebben steeds fouten die jij niet wilt updaten, lejkker veilig.
-Werken als admin is heel erg fout, alles wat jij start kan iets installeren in je systeem, ja alles, foto's, alles van office, films, etc.
Als niet admin werken dan kunnen ze bijna niks meer doen.
Zelfs een website openen zonder verder wat te doen kan je direct hacken.
-Firefox gebruiken, hier noscript en adblock installeren, dit geeft veel beschermig tegen website's.
Hier zie ook dat je update voor alle software moet doen, update voor firefox is zeer belangrijk.
-Het belangrijkste is blokkeren en niet achteraf schoon maken, want dan is het te laat.
-Software downloaden van alleen de originele site.
Wat leuk is, ik gebruik linux.
1 Linux installeren,
2 software installeren(zit allemaal in linux, virusvrij, spyware vrij, komt allemaal van 1 server), hier zit software in van alle firma's. Foto bewerkings software, film bewerken etc.
3 codecs, flash etc installeren, zit ook op de linux server.
klaar voor gebruik.
Alle software wordt automatisch geupdate tav beveiliging, dus ook vlc word geupdate.
En linux wordt automatisch geupdate.
In linux heb je geen firewall, virusscanner, spyware scanner, nodig.
Nu weet je waarom ik linux gebruik.
Wat jij daar boven aan het doen bent heb ik vroeger ook gedaan.
Veel te veel werk, in linux hoef je niks te doen.(bijna niks dus)
Noscript en adblock doe ik in linux ook.
Zoek eens op de verschillen tussen windows en linux, zeker tav beveiliging, dan zie je waarom windows niet goed is, ook win 7, en xp is eigenlijk behoorlijk gevaarlijk aan het worden.
Zie reviews van win 7 op website's dan zie dat win 7 niet veilig is.
En update's van software, indien je deze site en andere beveiligings site leest dan zie je bepaalde software steeds voorbij komen met foute die bijna elke systeem kunne hacken, meestal maar een paar dagen mogelijk, dan komt er een update om dit tegen te gaan. Daarom is een volledige update belangrijk.
http://www.heise-security.co.uk/
Voor windows is er ook software die alles update, ook andere software, maar of dit veilig is weet ik niet, misschien zijn er reviews van te vinden.
En voor windows gebruikers, je hebt ook "open source software", zoek hier op, dan heb je gratis software, zonder dat ze extra rotzooi installeren. Kijk wel dat je van de originele site download.
Voorbeeld is gimp(photoshop), inkscape(vector teken programma), open office/libre office(een gratis office programma), en er zijn nog veel meer.
Dan herinstalleren, een schoon gemaakte pc is nooit schoon.
-Wat ook fout is, alle software moet direct geupdate worden, bijv vlc heeft steeds fouten, dus bij een film spelen wordt je al gehackt. Dit moet zeker niet handmatig gebeuren, want dan word het niet gedaan, net als backuppen die niet gedaan wordt.
Flash, java, etc hebben steeds fouten die jij niet wilt updaten, lejkker veilig.
-Werken als admin is heel erg fout, alles wat jij start kan iets installeren in je systeem, ja alles, foto's, alles van office, films, etc.
Als niet admin werken dan kunnen ze bijna niks meer doen.
Zelfs een website openen zonder verder wat te doen kan je direct hacken.
-Firefox gebruiken, hier noscript en adblock installeren, dit geeft veel beschermig tegen website's.
Hier zie ook dat je update voor alle software moet doen, update voor firefox is zeer belangrijk.
-Het belangrijkste is blokkeren en niet achteraf schoon maken, want dan is het te laat.
-Software downloaden van alleen de originele site.
Wat leuk is, ik gebruik linux.
1 Linux installeren,
2 software installeren(zit allemaal in linux, virusvrij, spyware vrij, komt allemaal van 1 server), hier zit software in van alle firma's. Foto bewerkings software, film bewerken etc.
3 codecs, flash etc installeren, zit ook op de linux server.
klaar voor gebruik.
Alle software wordt automatisch geupdate tav beveiliging, dus ook vlc word geupdate.
En linux wordt automatisch geupdate.
In linux heb je geen firewall, virusscanner, spyware scanner, nodig.
Nu weet je waarom ik linux gebruik.
Wat jij daar boven aan het doen bent heb ik vroeger ook gedaan.
Veel te veel werk, in linux hoef je niks te doen.(bijna niks dus)
Noscript en adblock doe ik in linux ook.
Zoek eens op de verschillen tussen windows en linux, zeker tav beveiliging, dan zie je waarom windows niet goed is, ook win 7, en xp is eigenlijk behoorlijk gevaarlijk aan het worden.
Zie reviews van win 7 op website's dan zie dat win 7 niet veilig is.
En update's van software, indien je deze site en andere beveiligings site leest dan zie je bepaalde software steeds voorbij komen met foute die bijna elke systeem kunne hacken, meestal maar een paar dagen mogelijk, dan komt er een update om dit tegen te gaan. Daarom is een volledige update belangrijk.
http://www.heise-security.co.uk/
Voor windows is er ook software die alles update, ook andere software, maar of dit veilig is weet ik niet, misschien zijn er reviews van te vinden.
En voor windows gebruikers, je hebt ook "open source software", zoek hier op, dan heb je gratis software, zonder dat ze extra rotzooi installeren. Kijk wel dat je van de originele site download.
Voorbeeld is gimp(photoshop), inkscape(vector teken programma), open office/libre office(een gratis office programma), en er zijn nog veel meer.
Windows xp is sowieso niet veilig naar mijn idee. Beter kan die persoon overstappen op windows 7 of vista aangezien die meer maatregelen heeft tegen bufferoverflows etc zoals aslr, safeseh, dep.
Voor de rest, rootkits werken meestal met 1 (of meerdere) van de volgende methoden:
- dll vervangen (checksums van de systeemdll's maken en controleren. Zorg er wel voor dat je zeker weet dat de checksum software niet besmet is)
- dll hooking (lastig tegen te beveiligen. Meeste virusscanners hebben hier wel trucs voor maar lastig om tegen onbekende varianten te beschermen. Ja het kan wel maar dat betekend dat je extra exceptions, int3 breakpoints moet veranderen in de programma's maar ik neem aan dat dat iets te veel van het goede is ;-)
Voor de rest, rootkits werken meestal met 1 (of meerdere) van de volgende methoden:
- dll vervangen (checksums van de systeemdll's maken en controleren. Zorg er wel voor dat je zeker weet dat de checksum software niet besmet is)
- dll hooking (lastig tegen te beveiligen. Meeste virusscanners hebben hier wel trucs voor maar lastig om tegen onbekende varianten te beschermen. Ja het kan wel maar dat betekend dat je extra exceptions, int3 breakpoints moet veranderen in de programma's maar ik neem aan dat dat iets te veel van het goede is ;-)
30-04-2011, 13:34 door
Syzygy
90% van je maatregelen hebben niets met security te maken.
Belangrijkste is hetgeen SirDice al opgemerkt heeft.
Eindgebruikers niet onder Adminrechten laten draaien !!!
Belangrijkste is hetgeen SirDice al opgemerkt heeft.
Eindgebruikers niet onder Adminrechten laten draaien !!!
Door xy22: Zonder reclame te willen maken of spammen:
Als ik me niet vergis stond in het tijdschrift C't van vorige maand (kijk anders bij je lokale bibliotheek of nabestellen) een groot artikel over hoe je systemen zo inricht dat na opnieuw opstarten alles weer bij het oude is. Documenten kun je dan op een aparte partitie of netwerklocatie opslaan.
C't nummer 4 van dit jaar: http://www.fnl.nl/ct/shop/nummers/
Nogmaals niet bedoeld om te spammen, maar omdat het wellicht interessant kan zijn.
Als ik me niet vergis stond in het tijdschrift C't van vorige maand (kijk anders bij je lokale bibliotheek of nabestellen) een groot artikel over hoe je systemen zo inricht dat na opnieuw opstarten alles weer bij het oude is. Documenten kun je dan op een aparte partitie of netwerklocatie opslaan.
C't nummer 4 van dit jaar: http://www.fnl.nl/ct/shop/nummers/
Nogmaals niet bedoeld om te spammen, maar omdat het wellicht interessant kan zijn.
er zijn ook rootkits die niet als administrator draaien maar welliswaar met beperkte mogelijkheden
En de enige manier op er zeker van af te geraken is format en herinstallatie.
Een rootkit is nu eenmaal ontwikkeld om zichzelf te verbergen, soms zelf goed genoeg voor AV's en rootkit scanners.
Probeer Ninite of een andere AppInstaller als http://www.freenew.net (maar alleen met de eerste heb ik ervaring), deze installeert en update de software elke keer als hij gedraaid wordt. I.c.m. RunasSpc (http://www.robotronic.de/runasspcEn.html) kun je ook onder een gebruikersaccount zonder adminrechten de boel updaten.
Een snelkoppeling in de map "Opstarten"en het wordt elke dag geupdate. Kun je inderdaad de interne auto-updaters van de software zelf uitzetten.
Werkt zelfs onder W7 maar dan moet er nog wel elke keer toestemming gegeven worden zolang UAC aanstaat.
Een snelkoppeling in de map "Opstarten"en het wordt elke dag geupdate. Kun je inderdaad de interne auto-updaters van de software zelf uitzetten.
Werkt zelfs onder W7 maar dan moet er nog wel elke keer toestemming gegeven worden zolang UAC aanstaat.
@euro10000:
Je zegt: "In linux heb je geen firewall, virusscanner, spyware scanner, nodig"
Waar baseer je dat in vredesnaam op? Er komen steeds meer en meer virussen voor Linux uit...
Je zegt: "In linux heb je geen firewall, virusscanner, spyware scanner, nodig"
Waar baseer je dat in vredesnaam op? Er komen steeds meer en meer virussen voor Linux uit...
02-05-2011, 11:40 door
SirDice
Door Anoniem: @euro10000:
Je zegt: "In linux heb je geen firewall, virusscanner, spyware scanner, nodig"
Waar baseer je dat in vredesnaam op? Er komen steeds meer en meer virussen voor Linux uit...
Het is een trol. Gewoon negeren.Je zegt: "In linux heb je geen firewall, virusscanner, spyware scanner, nodig"
Waar baseer je dat in vredesnaam op? Er komen steeds meer en meer virussen voor Linux uit...
http://en.wikipedia.org/wiki/Troll_%28Internet%29
26-05-2011, 19:29 door
Dev_Null
@11-04-2011, 12:18 door Anoniem: Ik denk meteen iets verder dan alleen het huidige (rootkit) probleem.
@SirDice: Das idd een hele goede suggestie, waar ik nog niet aan gedacht had! Op het Windows platform(tm) is dit, mijn inziens, voor een groot deel verantwoordelijk voor (bijna) alle digitale infecties. Maar ja, wrong by design he ;-) en met zijn allen maar digitaal water hozen uit een lekke operatings system boot, wat dat is ons vertrouwd
@30-04-2011, 11:07 door Anoniem:
Helemaal mee eens, Echter is "even overstappen" nu geen optie, want wie gaat dat (weer) betalen?
Juist de consument van een het rotte windows XP produkt, en niet de veroorzaker / fabrikant ervan...
Klopt niet voor mijn gevoel.
@30-04-2011,13:34 door Syzygy: klopt, zie reply 1
Dames, Heren
Mag ik u allen hartelijk bedanken voor uw medewerking c.q.oplossingen!
@SirDice: Das idd een hele goede suggestie, waar ik nog niet aan gedacht had! Op het Windows platform(tm) is dit, mijn inziens, voor een groot deel verantwoordelijk voor (bijna) alle digitale infecties. Maar ja, wrong by design he ;-) en met zijn allen maar digitaal water hozen uit een lekke operatings system boot, wat dat is ons vertrouwd
@30-04-2011, 11:07 door Anoniem:
Helemaal mee eens, Echter is "even overstappen" nu geen optie, want wie gaat dat (weer) betalen?
Juist de consument van een het rotte windows XP produkt, en niet de veroorzaker / fabrikant ervan...
Klopt niet voor mijn gevoel.
@30-04-2011,13:34 door Syzygy: klopt, zie reply 1
Dames, Heren
Mag ik u allen hartelijk bedanken voor uw medewerking c.q.oplossingen!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
