Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 27 reacties
Bron: SysInternals, submitter: musiman

Nadat Microsoft op de RSA Conference onlangs gewaarschuwd had voor het opduiken van rootkits voor Windows-systemen, is SysInternals met een programma op de proppen gekomen dat een poging doet deze malware te detecteren. Voor alle Windows-versies vanaf NT 4 probeert deze software onregelmatigheden in de systeem-API, het register en het bestandssysteem op te sporen om de gebruiker te waarschuwen. Volgens het bedrijf detecteert RootkitRevealer alle tegenwoordig bekende rootkits die in omloop zijn, waarbij het opmerkt dat de software niet bedoeld is om geheugenrootkits - die na een reboot verdwenen zijn - te detecteren.

Op ons forum Gathering of Tweakers wordt er echter gemeld dat het programma nog enkele problemen kent. Zo blijkt het onbruikbaar te zijn in combinatie met de iChecker- of iStreams-functie van Kaspersky Antivirus, omdat deze laatste een checksum van alle bestanden opslaat in een 'Alternate Data Stream'. Deze ADS wordt door RootkitRevealer als 'Hidden from the Windows API' aangemerkt, waardoor een gebruiker in dat geval honderden meldingen moet doorlopen om te controleren of er ook echt een rootkit aanwezig is. SysInternals benadrukt zelf ook dat het in theorie mogelijk is voor een rootkit om zich te verbergen voor software als RootkitRevealer, maar dat dit een complexiteit zou vereisen die tot op heden nog niet gezien werd in rootkits.

RootkitRevealer
Moderatie-faq Wijzig weergave

Reacties (27)

Even ter info wat een rootkit is (wist het zelf ook niet):

A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network, mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems
Je beschrijving is een beetje te algemeen imo.

Een rootkit is een stukje malware dat zich dusdanig diep in het systeem nestelt dat het in principe niet te detecteren is. Zo vervalst het de in gebruik zijnde schijfruimte, zodat je de 5MB die de rootkit inneemt bvb niet mist want die staat gewoon als "vrij" weergegeven in je besturingssysteem. Het onderschept bovendien API-calls zodat ook het bestand zelf niet gezien wordt, want het verbergt zichzelf en filtert zich uit de resultaten wanneer je explorer.exe opent en dergelijke meer. Door zich zo diep te nestelen heeft het in principe de volledige macht over je systeem en alles wat je doet.

Daarom ook dat een dergelijke rootkitrevealer niet meer kan zijn dan een hulpmiddel. Je kunt er echter niet op vertrouwen omdat een rootkit zich in principe voor alles kan verbergen. Het past namelijk je kernel in de kern aan zodat niet langer je besturingsssysteem, maar wel de rootkit bepaalt wat er op je scherm verschijnt.

De enige echte mogelijke detectie bij (vermoeden van) infectie door een rootkit is dan ook door gebruik te maken van een offline scan. Dit wil zeggen booten van een cd of ander gegarandeerd veilig medium en daarmee de harde schijf van de eventueel geïnfecteerde pc scannen. Als het systeem (en dus de rootkit) niet opgestart is, kan hij zich namelijk ook niet verbergen.

Wanneer er dan inderdaad een rootkit gedetecteerd wordt, is de enige echt veilige oplossing een format c: :)


EDIT, antwoord op mightytweety:
Het terugzetten van data boeit natuurlijk niet. Als je online een backup terug zet (dus met het systeem actief) van de uitvoerbare bestanden kan een rootkit het in principe inderdaad laten uitschijnen alsof je een backup terugzet, maar tegelijkertijd zichzelf ook in die teruggezette bestanden nestelen of de bestanden gewoon niet vervangen. Dit gaat natuurlijk wel heel ver, maar een offline backup (dus systeem uitschakelen en de backup met een gegarandeerd veilig systeem naar de harde schijf terugzetten) blijft het veiligste
Hoe zit dat dan met het terug zetten van een backup van data (database, documenten ed.))? Kunnen rootkits zich hier ook in verbergen?
Als jij een rootkit backuped, en daarna de backup restored krijg je terug wat je gabackuped hebt. Inclusief rootkit!

Een rootkit verspreid zich als een virus en kan zich dus, in potentie, in alle documenten verbergen waar een virus zich in kan verstoppen.
Een rootkit kan zich alleen verbergen als hij actief is. Als hij niet actief is (nog niet geinstaleerd) is het mogelijk hem met de normale bekende antivirus methoden te detecteren.
Het probleem is dan: wat is een gegarandeerd veilig systeem?

Aangezien ook harde schijven meestal hun firmware in flash hebben staan, kan een goede rootkit in principe ook rustig de HDD hooken. Zo van, bij het init'en van deze HDD, installeer de rootkit op deze pc. Als zoiets gemaakt wordt kun je, in effect, een HDD met rootkit in principe wegflikkeren, of je moet hele dure hardware hebben om je schijf te lezen _zonder_ hem te starten (lees: platters eruit en in een andere hdd douwen).

Overigens lost een format c: ook niks op in zo'n geval.
Hoe komt Sysinternals nou aan de diepgande kennis van windows die nodig is om dit soort software op te sporen en hoe komen de makers van rootkits aan diezelfde kennis om rootkits voor windows te maken? Zo veel software makers die lopen te roepen "omdat MS alles geheim houd kunnen wij geen goede software maken. Als ik dan deze berichten lees ga ik toch zo langzamerhand denken dat dat slechts een excuus is.

@LPEspecial: Maar dat verklaart nog steeds niet waarom Sysinternals en de rootkit-makers wel die kennis kunnen opdoen (sysinternals heeft dan misschien toegang tot de windows kernels-sourcecode e.d. maar dat zullen de rootkit-makers niet hebben). En bv het samba-team roept dat omdat MS alles geheim houd kunnen wij geen goede MS-compatible software maken. IMHO ligt dat dan aan de kwaliteit van de developers.
SysInternals heeft al jarenlang ervaring met low-level windows apps. Bekijk hun website maar eens. Het is wel heel specifieke kennis welke niet in elk bedrijf aanwezig is.
Zelfs Microsoft verwijst in sommige Knowledge Base artikelen naar Sysinternals voor tools om problemen op te sporen of informatie over het systeem te vergaren.
Waarom de Samba-makers niet de kennis van de interne werking van Windows hebben is simpel:
Dat willen/mogen ze niet!

Ze hebben geen toestemming van MS om de windows-code te gebruiken.

Om de Samba-code 'schoon' te houden willen ze dus niet eens naar de SMB-code kijken, het risico is te groot dat je (onbewust) je eigen code daarop baseert.

De enige mogelijkheden zijn dus:

1) Reverse Engineering, hudige situatie (wat gebeurd er, en hoe bootsen we dat na).

2) MS geeft het SMP-protocol vrij (weinig kans).

Het is 2) waar het Samba-team om vraagt / over klaagt.
Niemand verwacht dat MS de SMB-code ooit in een GPL-compatible licensie zal vrijgeven, maar het vrijgeven van een protocol is wellicht haalbaar, bij voldoende druk van grote klanten zoals de (amerikaanse) overheid.

De rootkit-bouwers zullen niet schromen om in de kernelcode te duiken, ten eerste hoeven ze geen eigen code te schrijven met gelijke functionaliteit, te tweede hoeven ze zich niet te laten weerhouden door enige juridische of etische beperkingen...
IMHO ligt dat dan aan de kwaliteit van de developers.
Of aan de welwillendheid van MS. Ik denk dat ze eerder API-documentaties vrijgeven aan SysInternals dat slechts aanvullingen/beveiligingen maakt bovenop Windows, dan aan bijv. Mozilla, en andere "concurrenten".
1. Natuurlijk hebben de rootkit jongens de windows kernel source wel. De w2k kernel was gelekt, en op kernelniveau is er maar erg weinig verschil tussen 2k / xp / 2k3.

2. Ook zonder source code kun je het allemaal achterhalen door te reverse engineeren, en door gebruik te maken van een kernel debugger. Zeker als je de checked windows versie koopt (met debug symbols) is dat erg goed te doen. Hoewel het wel meer werk is.

3. Een van de bekendste en eerste rootkits, ntrootkit van Greg Hoglund, is actually gebaseerd op de sourcecode van Sysinternals' Regmon, die van dezelfde technieken gebruikmaakt als veel rootkits. Enkele delen hiervan zijn wel closedsource, maar met een disassembler zijn die zo te decompilen aangezien het heel kleine delen zijn.
Nu wachten op de eerste rootkit die in je bios of in een van je andere flash stukjes in je computer gaat zitten. Bijvoorbeeld gewoon in je netwerk kaart. Waarschijnlijk kan je dan zelf een rootkit maken die je gewoon niet kan verwijderen. Aangezien het flashen van sommige devices gebruik maakt van de al aanwezige code in de flash.
Het zelfde geld ook voor alle andere devices met een microprocessor en flash dat geupdate kan worden. Zoals printers, modems en andere aparaten en gadgets. Een makkelijk target is de linksys wireless router, ik dacht dat die op linux draaide.

Om hier tegen te beschermen vereist echt security en niet de fake security die we nu hebben |:(
juist om de reden dat er linux draait op sommige routers vind ik dat bijv. UPNP verbannen moet worden... Da's toch één van de _aller_ foutste uitvindingen van de afgelopen paar jaar imho..
Echte security zal je hier niet verder helpen. De reden hiervoor is dat rootkits in de regel rootrechten nodig hebben voordat ze zichzelf uberhaupt kunnen installeren. Hoe wil je echt beveiligen als je box eenmaal is geroot? Het hele idee van root is juist dat hij beveiligingen kan omzeilen...
Hoe kan je ooit een rootkit hebben als je geen root hebt :P

Maar toch een goed initiatief opzich, maar toch betwijfel ik of de applicatie erg veel nut zal hebben. Met windows is het over het algemeen erg eenvoudig om te zien wat er wel en niet draait en daarmee dus ook of de bak 'geroot' is.
Wat dus juist niet kan, omdat de rootkit API-calls afvangt. Hierdoor kan je

1) het bestand niet zien
2) het proces niet zien
3) niet zien dat er extra schijfruimte wordt ingenomen.

Dus, "simpel" kunnen zien wat er wel-en-niet draait werkt niet in dit geval.
Daar heb je het punt al ja, de API-calls.
Daarom moet je ook niet controleren via de explorer of de standaard task manager nee, dat heeft geen zin aangezien zelfs relatief eenvoudige programma's zich daar al regelmatig verbergen.
Sowieso als je denkt dat een bak geroot is het uberhaupt niet aan te raden om draaiende te kijken wat er gestart word, altijd via een bootcd oid. controleren.
De oprichter van SysInternals is een ex hoofd van de Developer afdeling van Microsoft in Redmond.
Hij heeft het team geleid tijdens het bouwen van het OS Windows. Dus zodoende hebben ze dus wel degelijk de kennis in huis om dit soort tools te ontwerpen.
krijg tijdens het "revealen" een BSOD
macine_exeption_error

meer mense hier last van?
Ik ben benieuwd of de NSA rootkit in Windows ook gevonden wordt ;)

(eigenlijk is de knipoog niet eens nodig)
moet je niet als supervisor zijn ingelogd om dit te installeren?

Om dan alsvolgt een soort superrootkit in introduceren?
In theorie wel, maar:
1) MS Windows XP Home kent maar hele beperkte user rechten;
2) De meeste mensen zijn administrator op hun PC omdat een MS Windows machine anders vaak bijna niet werkbaar is;
3) Er komen nog steeds veel lekken boven om vanaf buiten administrator rechten te verkrijgen op een machine;
4) Active X
Heb net die tool gedraait. Mijn virusscanner (mcafee enterprise) wist niet wat die zag. Ik kreeg in eens 10 exploit waarschuwingen die gedelete werden |:(
En dan heb ik die scanner op on-acces staan. Ben sinds paar weken over gestapt op firefox hoop daarmee van zulk soort rotzooi af te zijn. :Y)


edit: typo
Lijkt me een goede zaak dat er van dit soort programma`s op de markt komen.

Nu maar afwachten of ze ook echt effectief zullen zijn.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True