Security Professionals - ipfw add deny all from eindgebruikers to any

Rootkit in memory dump zoeken

12-09-2011, 23:43 door Bitwiper, 4 reacties
Heise heeft vandaag een leuk artikel gepubliceerd over het zoeken van rootkitsporen in memory dumps. Auteur Frank Boldewin laat nog eens zien hoe eenvoudig het voor een rootkit is om een virusscanner en personal firewall te bypassen - zodra de rootkit geïnstalleerd is.

Engelstalige versie: http://www.h-online.com/security/features/CSI-Internet-A-trip-into-RAM-1339479.html.
Originele Duitstalige versie: http://www.heise.de/security/artikel/Tatort-Internet-Eine-Reise-ins-RAM-1337160.html.

Stukje uit de Engelstalige versie:
Door Frank Boldewin: The malicious program first used such functions as VirtualAllocEx() to reserve memory in the context of the Explorer process and then used WriteProcessMemory to write its own code in. Since the Phrack article entitled NTIllusion:A portable Win32 userland rootkit (http://www.phrack.org/issues.html?issue=62&id=12), this has been a standard way of hijacking other processes to use them for your own purposes – such as calling home without the firewall knowing.
Er wordt o.a. gebruik gemaakt van van de WinDD utilities geschreven door Matthieu Suiche (zie http://www.msuiche.net/about/). Matthieu heeft o.a. voor ons NFI gewerkt en legt z'n tool uit in slides gepresenteerd op de Shakacon 2009, waarvan je een verwijzing hier kunt vinden: http://www.msuiche.net/2009/06/12/challenge-of-windows-physical-memory-acquisition-and-exploitation/.

De laatste versie van Matthieu's "MoonSols Windows Memory Toolkit" vind je hier: http://www.moonsols.com/windows-memory-toolkit/. De 32bit community edition is gratis (de 64bit versie niet).

Papers van Frank Boldewin vind je hier: http://www.reconstructer.org/papers.html.
Reacties (4)
13-09-2011, 09:01 door M_iky
Thanks Bitwiper, voor de zeer interresante links.

Nu zoek ik een (gratis) besturingssysteem/tools verzameling voor op een usb stick te installeren, waarmee ik zowel een deel forensisch onderzoek kan doen en eventueel de boel ook mee kan opschonen.
Wat kan je me aanraden?

Of is dit geen goede benadering omdat je dan de USB stick rechtstreeks in aan het geinfecteerde systeem hangt.

Ik ben op de hoogte van Hiren's boot CD en Ultimate boot cd en enkele Linux distro's (of Sysinternals) die hiervoor ook zeer praktisch zijn maar ben benieuwd naar ervaringen/mogelijkheden van andere gebruikers.

Waarvoor hartelijken dank.
13-09-2011, 09:15 door Bitwiper
Door M@iky: Of is dit geen goede benadering omdat je dan de USB stick rechtstreeks in aan het geinfecteerde systeem hangt.
Frank Boldewin gebruikt een USB stick met een read-only schakelaartje. Zoals hij aangeeft zijn die lastig verkrijgbaar.

Een beschrijfbaar medium is na aansluiten op een gecompromitteerd systeem niet meer betrouwbaar. Maar is natuurlijk wel handig als je even wat bestandjes wilt wegschrijven. Je zou het medium na gebruik 100% moeten overschrijven of bijv. op basis van de hashes van alle bestanden (aan een schone PC met autorun grappen 100% zeker disabled natuurlijk) weer voor veilig verklaren.

Ik heb geen eenduidige distributie met tools, hou me ook niet meer zoveel bezig met "opschonen" (maar vind het nog wel bere-interessant en probeer op de hoogte te blijven). Anderen goede tips?
13-09-2011, 14:45 door Niby
Ik gebruik de externe hard disk behuzing van Zalman (ZM-VE200) om forensisch onderzoek te doen. Daar zit een read only schakelaar op en er zit een daemon tools systeem ingebakken, dus zeer handig. :)
13-09-2011, 15:09 door Anoniem
Door M@iky: Thanks Bitwiper, voor de zeer interresante links.

Nu zoek ik een (gratis) besturingssysteem/tools verzameling voor op een usb stick te installeren, waarmee ik zowel een deel forensisch onderzoek kan doen en eventueel de boel ook mee kan opschonen.


Probeer REMnux eens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.