Gevaarlijke Windows-rootkit verstopt zich dieper op schijf
Er is een nieuwe versie van de gevaarlijke TDL4 Windows-rootkit ontdekt, die zich nog dieper op de harde schijf verstopt. Vorige versies overschreven de MBR (Master Boot Record) en aan het einde van de harde schijf werd ruimte overgelaten om kwaadaardige onderdelen op te slaan. De nieuwste versie van TDL4 hanteert een geheel andere aanpak. Eerst maakt het een partitie aan op het einde van de harde schijf waarvan wordt opgestart. Bij Vista en nieuwere Windows-versies is er soms aan het einde van de harde schijf wat niet gepartitioneerde of ongealloceerde ruimte.
Meestal is deze ruimte voldoende voor de opslag van de rootkit-onderdelen. Soms is er zelfs voldoende ruimte beschikbaar voor een eigen "rootkit partitie", zo ontdekte anti-virusbedrijf ESET. De malware maakt in dit geval een verborgen partitie aan door de vrije partitie-tabel te wijzigen. De partitie wordt vervolgens als actief aangemerkt en de VBR (Volume Boot Record) van de nieuw aangemaakte partitie geïnitialiseerd.
Als er geen vrije ruimte in de partitie-tabel is, dan meldt de malware dit aan de Command & Control-server en stopt de installatie. Ook fouten worden aan de malware-maker doorgestuurd, wat volgens de virusbestrijder teken is dat de bot nog in ontwikkeling is.
Controle
Door deze aanpassingen wordt de MBR zelf niet aangepast. Het enige dat TDL4 wijzigt is de partitie-tabel. De volgende keer dat de computer wordt gestart, wordt na de MBR de VBR van de rootkit geladen, en daarna pas het Windows besturingssysteem. Ook controleert de malware of het niet in een virtual machine wordt geladen. Dit is standaard bij veel malware, maar nieuw voor de TDL4-rootkit, die als één van de meest geavanceerde rootkits te boek staat.
Volgens ESET wijzen de veranderingen erop dat het team dat de malware ontwikkelde is veranderd, of dat de ontwikkelaars zijn begonnen met de verkoop van een bootkit-builder aan andere cybercriminelen.
Unified Extensible Firmware Interface (UEFI), we gaan er allemaal aan.
[evenietsanders]Tweede artikel dat ik zie met een dubbel plaatje! Lijkt wel of security.nl gehakt of geviraald is! Komt in ieder geval niet door de gebruikers, die mogen geen plaatjes plaatsen! ;-)[/evenietsanders]
Dat kan worden voorkomen door de HD met fabriekssoftware te wissen, partitioneren & formatteren, bv. MaxBlast van Seagate, in feite Acronis, WD biedt er ook een versie van aan.
Vanaf daar kan je dan wel met het standaard Windows format de hele schijf wissen/laag-formatteren.
De niet gepartitioneerde of ongealloceerde ruimte aan het einde van de harde schijf word zover ik weet alleen veroorzaakt door te partitioneren met fdisk of diskpart, dus ook in pre-Vista.
Wat natuurlijk niet kan garanderen dat dit soort virea gebruik maakt van PartitionMagic-achtige functionaliteit.
Unified Extensible Firmware Interface (UEFI), we gaan er allemaal aan.
en het begin van de totale mallware controlle, want ook EFI wordt geknakt.
Unified Extensible Firmware Interface (UEFI), we gaan er allemaal aan.
Ik weet in ieder geval zeker dat Mingos er alles aan zal doen om GNU/Linux vriendelijke machines aan te bieden. Maak me daar eerlijk gezegd niet zo veel zorgen over.
Unified Extensible Firmware Interface (UEFI), we gaan er allemaal aan.
en het begin van de totale mallware controlle, want ook EFI wordt geknakt.
Als je niet weet wat je schrijft kun je maar beter niets schrijven: onder Linux zou UEFI direct als nieuw device herkenbaar zijn. Malle waar !
Zoja, ik ben benieuwt wat van bestandssysteem gebruikt is.
Zoja, ik ben benieuwt wat van bestandssysteem gebruikt is.
Is geen filesystem, er kan een wilekeurige reeks sectoren worden beschreven en geladen die buiten de gepartitioneerde delen van de schijf vallen.
Zoja, ik ben benieuwt wat van bestandssysteem gebruikt is.
Is geen filesystem, er kan een wilekeurige reeks sectoren worden beschreven en geladen die buiten de gepartitioneerde delen van de schijf vallen.
Dat hoeft niet een per-se bekend bestandssysteem te zijn!
CDFS, NTFS, HPFS, HQX, whatever...
FAT, FAT32,.. Ja?.. Nou &?..Atari???... ;-)
LL&P
Zoja, ik ben benieuwt wat van bestandssysteem gebruikt is.
Is geen filesystem, er kan een wilekeurige reeks sectoren worden beschreven en geladen die buiten de gepartitioneerde delen van de schijf vallen.
Dus er moet bootcode op staan. Nu staat het bootrecord van een (primaire) partitie buiten het filesysteem.
Maar de bootsector is maar 512 Bytes, dus daar kun je niet heel erg veel in kwijt.
Er hoeft geen compleet filesysteem op te staan, maar als ze zelf iets gemaakt hebben, moet je dus ook zelf een nieuwe bootrecord schrijven.
Ik vermoed dat er dus wel iets op staat wat heel erg veel lijkt op een bestaand filesysteem.
In het ergste geval kan het virus een hypervisor starten, zodat je eigen OS feitenlijk binnen een gevirtualiseerde omgeving draait.
Dit kun je vanuit je Windows (of Linux) niet zien en je kunt die extra partitie dan niet eens zien of benaderen.
- TDSSKiller van Kaspersky: http://support.kaspersky.com/faq/?qid=208283363
- FCleaner: https://www.ing.nl/particulier/internetbankieren/veilig-internetbankieren/cleaner/index.aspx
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
