Sysinternals brengt tool uit om rootkits in Windows te vinden

Nadat Microsoft op de RSA Conference onlangs gewaarschuwd had voor het opduiken van rootkits voor Windows-systemen, is SysInternals met een programma op de proppen gekomen dat een poging doet deze malware te detecteren. Voor alle Windows-versies vanaf NT 4 probeert deze software onregelmatigheden in de systeem-API, het register en het bestandssysteem op te sporen om de gebruiker te waarschuwen. Volgens het bedrijf detecteert RootkitRevealer alle tegenwoordig bekende rootkits die in omloop zijn, waarbij het opmerkt dat de software niet bedoeld is om geheugenrootkits - die na een reboot verdwenen zijn - te detecteren.

Op ons forum Gathering of Tweakers wordt er echter gemeld dat het programma nog enkele problemen kent. Zo blijkt het onbruikbaar te zijn in combinatie met de iChecker- of iStreams-functie van Kaspersky Antivirus, omdat deze laatste een checksum van alle bestanden opslaat in een 'Alternate Data Stream'. Deze ADS wordt door RootkitRevealer als 'Hidden from the Windows API' aangemerkt, waardoor een gebruiker in dat geval honderden meldingen moet doorlopen om te controleren of er ook echt een rootkit aanwezig is. SysInternals benadrukt zelf ook dat het in theorie mogelijk is voor een rootkit om zich te verbergen voor software als RootkitRevealer, maar dat dit een complexiteit zou vereisen die tot op heden nog niet gezien werd in rootkits.

RootkitRevealer

Door Yoeri Lauwers

Eindredacteur

Feedback • 24-02-2005 09:56
27 • submitter: musiman

24-02-2005 • 09:56

27

Submitter: musiman

Bron: SysInternals

Lees meer

Microsoft brengt Sysinternals-tool Procdump voor Linux uit
Microsoft brengt Sysinternals-tool Procdump voor Linux uit Nieuws van 13 december 2017
Gratis Microsoft-tool rapporteert signalen van malware-infecties
Gratis Microsoft-tool rapporteert signalen van malware-infecties Nieuws van 8 augustus 2014
Microsoft neemt Winternals en Sysinternals over
Microsoft neemt Winternals en Sysinternals over Nieuws van 18 juli 2006
Eerste virus voor StarOffice duikt op
Eerste virus voor StarOffice duikt op Nieuws van 31 mei 2006
Kaspersky wijst 'rootkit'-beschuldiging van de hand
Kaspersky wijst 'rootkit'-beschuldiging van de hand Nieuws van 14 januari 2006
Intel werkt aan rootkit-detectie
Intel werkt aan rootkit-detectie Nieuws van 8 december 2005
Bezorgdheid om toename aanvallen op IM-netwerken
Bezorgdheid om toename aanvallen op IM-netwerken Nieuws van 2 november 2005
Registerbug kan virussen voor scanners verbergen
Registerbug kan virussen voor scanners verbergen Nieuws van 28 augustus 2005
Microsoft maakt zich zorgen om rootkits voor Windows
Microsoft maakt zich zorgen om rootkits voor Windows Nieuws van 19 februari 2005
Aanvallen op supercomputers leiden tot veiligheidsvragen
Aanvallen op supercomputers leiden tot veiligheidsvragen Nieuws van 15 april 2004
Details over inbraak Debian-servers
Details over inbraak Debian-servers Nieuws van 30 november 2003
Meer producten en artikelen
Software

Reacties (27)

-Moderatie-faq
27
26
19
13
6
3
Wijzig sortering
Nyarlathotep 24 februari 2005 10:01
Even ter info wat een rootkit is (wist het zelf ook niet):

A hacker security tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network, mask the fact that the system is compromised, and much more. Rootkit is a classic example of Trojan Horse software. Rootkit is available for a wide range of operating systems
AuteurYoeri @Nyarlathotep24 februari 2005 10:06
Je beschrijving is een beetje te algemeen imo.

Een rootkit is een stukje malware dat zich dusdanig diep in het systeem nestelt dat het in principe niet te detecteren is. Zo vervalst het de in gebruik zijnde schijfruimte, zodat je de 5MB die de rootkit inneemt bvb niet mist want die staat gewoon als "vrij" weergegeven in je besturingssysteem. Het onderschept bovendien API-calls zodat ook het bestand zelf niet gezien wordt, want het verbergt zichzelf en filtert zich uit de resultaten wanneer je explorer.exe opent en dergelijke meer. Door zich zo diep te nestelen heeft het in principe de volledige macht over je systeem en alles wat je doet.

Daarom ook dat een dergelijke rootkitrevealer niet meer kan zijn dan een hulpmiddel. Je kunt er echter niet op vertrouwen omdat een rootkit zich in principe voor alles kan verbergen. Het past namelijk je kernel in de kern aan zodat niet langer je besturingsssysteem, maar wel de rootkit bepaalt wat er op je scherm verschijnt.

De enige echte mogelijke detectie bij (vermoeden van) infectie door een rootkit is dan ook door gebruik te maken van een offline scan. Dit wil zeggen booten van een cd of ander gegarandeerd veilig medium en daarmee de harde schijf van de eventueel geïnfecteerde pc scannen. Als het systeem (en dus de rootkit) niet opgestart is, kan hij zich namelijk ook niet verbergen.

Wanneer er dan inderdaad een rootkit gedetecteerd wordt, is de enige echt veilige oplossing een format c: :)


EDIT, antwoord op mightytweety:
Het terugzetten van data boeit natuurlijk niet. Als je online een backup terug zet (dus met het systeem actief) van de uitvoerbare bestanden kan een rootkit het in principe inderdaad laten uitschijnen alsof je een backup terugzet, maar tegelijkertijd zichzelf ook in die teruggezette bestanden nestelen of de bestanden gewoon niet vervangen. Dit gaat natuurlijk wel heel ver, maar een offline backup (dus systeem uitschakelen en de backup met een gegarandeerd veilig systeem naar de harde schijf terugzetten) blijft het veiligste
mightytweety @Yoeri24 februari 2005 10:19
Hoe zit dat dan met het terug zetten van een backup van data (database, documenten ed.))? Kunnen rootkits zich hier ook in verbergen?
Verwijderd @mightytweety24 februari 2005 10:26
Als jij een rootkit backuped, en daarna de backup restored krijg je terug wat je gabackuped hebt. Inclusief rootkit!

Een rootkit verspreid zich als een virus en kan zich dus, in potentie, in alle documenten verbergen waar een virus zich in kan verstoppen.
leuk_he @mightytweety24 februari 2005 11:08
Een rootkit kan zich alleen verbergen als hij actief is. Als hij niet actief is (nog niet geinstaleerd) is het mogelijk hem met de normale bekende antivirus methoden te detecteren.
RedLizard @Yoeri25 februari 2005 14:58
Het probleem is dan: wat is een gegarandeerd veilig systeem?

Aangezien ook harde schijven meestal hun firmware in flash hebben staan, kan een goede rootkit in principe ook rustig de HDD hooken. Zo van, bij het init'en van deze HDD, installeer de rootkit op deze pc. Als zoiets gemaakt wordt kun je, in effect, een HDD met rootkit in principe wegflikkeren, of je moet hele dure hardware hebben om je schijf te lezen _zonder_ hem te starten (lees: platters eruit en in een andere hdd douwen).

Overigens lost een format c: ook niks op in zo'n geval.
SirBlade 24 februari 2005 10:59
Hoe komt Sysinternals nou aan de diepgande kennis van windows die nodig is om dit soort software op te sporen en hoe komen de makers van rootkits aan diezelfde kennis om rootkits voor windows te maken? Zo veel software makers die lopen te roepen "omdat MS alles geheim houd kunnen wij geen goede software maken. Als ik dan deze berichten lees ga ik toch zo langzamerhand denken dat dat slechts een excuus is.

@LPEspecial: Maar dat verklaart nog steeds niet waarom Sysinternals en de rootkit-makers wel die kennis kunnen opdoen (sysinternals heeft dan misschien toegang tot de windows kernels-sourcecode e.d. maar dat zullen de rootkit-makers niet hebben). En bv het samba-team roept dat omdat MS alles geheim houd kunnen wij geen goede MS-compatible software maken. IMHO ligt dat dan aan de kwaliteit van de developers.
LPEspecial @SirBlade24 februari 2005 11:06
SysInternals heeft al jarenlang ervaring met low-level windows apps. Bekijk hun website maar eens. Het is wel heel specifieke kennis welke niet in elk bedrijf aanwezig is.
Verwijderd @LPEspecial24 februari 2005 16:27
Zelfs Microsoft verwijst in sommige Knowledge Base artikelen naar Sysinternals voor tools om problemen op te sporen of informatie over het systeem te vergaren.
Verwijderd @SirBlade24 februari 2005 14:16
Waarom de Samba-makers niet de kennis van de interne werking van Windows hebben is simpel:
Dat willen/mogen ze niet!

Ze hebben geen toestemming van MS om de windows-code te gebruiken.

Om de Samba-code 'schoon' te houden willen ze dus niet eens naar de SMB-code kijken, het risico is te groot dat je (onbewust) je eigen code daarop baseert.

De enige mogelijkheden zijn dus:

1) Reverse Engineering, hudige situatie (wat gebeurd er, en hoe bootsen we dat na).

2) MS geeft het SMP-protocol vrij (weinig kans).

Het is 2) waar het Samba-team om vraagt / over klaagt.
Niemand verwacht dat MS de SMB-code ooit in een GPL-compatible licensie zal vrijgeven, maar het vrijgeven van een protocol is wellicht haalbaar, bij voldoende druk van grote klanten zoals de (amerikaanse) overheid.

De rootkit-bouwers zullen niet schromen om in de kernelcode te duiken, ten eerste hoeven ze geen eigen code te schrijven met gelijke functionaliteit, te tweede hoeven ze zich niet te laten weerhouden door enige juridische of etische beperkingen...
Verwijderd @SirBlade24 februari 2005 14:17
IMHO ligt dat dan aan de kwaliteit van de developers.
Of aan de welwillendheid van MS. Ik denk dat ze eerder API-documentaties vrijgeven aan SysInternals dat slechts aanvullingen/beveiligingen maakt bovenop Windows, dan aan bijv. Mozilla, en andere "concurrenten".
RedLizard @SirBlade25 februari 2005 15:03
1. Natuurlijk hebben de rootkit jongens de windows kernel source wel. De w2k kernel was gelekt, en op kernelniveau is er maar erg weinig verschil tussen 2k / xp / 2k3.

2. Ook zonder source code kun je het allemaal achterhalen door te reverse engineeren, en door gebruik te maken van een kernel debugger. Zeker als je de checked windows versie koopt (met debug symbols) is dat erg goed te doen. Hoewel het wel meer werk is.

3. Een van de bekendste en eerste rootkits, ntrootkit van Greg Hoglund, is actually gebaseerd op de sourcecode van Sysinternals' Regmon, die van dezelfde technieken gebruikmaakt als veel rootkits. Enkele delen hiervan zijn wel closedsource, maar met een disassembler zijn die zo te decompilen aangezien het heel kleine delen zijn.
jesse282 24 februari 2005 11:21
Nu wachten op de eerste rootkit die in je bios of in een van je andere flash stukjes in je computer gaat zitten. Bijvoorbeeld gewoon in je netwerk kaart. Waarschijnlijk kan je dan zelf een rootkit maken die je gewoon niet kan verwijderen. Aangezien het flashen van sommige devices gebruik maakt van de al aanwezige code in de flash.
Het zelfde geld ook voor alle andere devices met een microprocessor en flash dat geupdate kan worden. Zoals printers, modems en andere aparaten en gadgets. Een makkelijk target is de linksys wireless router, ik dacht dat die op linux draaide.

Om hier tegen te beschermen vereist echt security en niet de fake security die we nu hebben |:(
SchizoDuckie @jesse28224 februari 2005 11:24
juist om de reden dat er linux draait op sommige routers vind ik dat bijv. UPNP verbannen moet worden... Da's toch één van de _aller_ foutste uitvindingen van de afgelopen paar jaar imho..
RedLizard @jesse28225 februari 2005 15:05
Echte security zal je hier niet verder helpen. De reden hiervoor is dat rootkits in de regel rootrechten nodig hebben voordat ze zichzelf uberhaupt kunnen installeren. Hoe wil je echt beveiligen als je box eenmaal is geroot? Het hele idee van root is juist dat hij beveiligingen kan omzeilen...
Wolfboy 24 februari 2005 10:03
Hoe kan je ooit een rootkit hebben als je geen root hebt :P

Maar toch een goed initiatief opzich, maar toch betwijfel ik of de applicatie erg veel nut zal hebben. Met windows is het over het algemeen erg eenvoudig om te zien wat er wel en niet draait en daarmee dus ook of de bak 'geroot' is.
sus @Wolfboy24 februari 2005 10:12
Wat dus juist niet kan, omdat de rootkit API-calls afvangt. Hierdoor kan je

1) het bestand niet zien
2) het proces niet zien
3) niet zien dat er extra schijfruimte wordt ingenomen.

Dus, "simpel" kunnen zien wat er wel-en-niet draait werkt niet in dit geval.
Wolfboy @sus24 februari 2005 10:58
Daar heb je het punt al ja, de API-calls.
Daarom moet je ook niet controleren via de explorer of de standaard task manager nee, dat heeft geen zin aangezien zelfs relatief eenvoudige programma's zich daar al regelmatig verbergen.
Sowieso als je denkt dat een bak geroot is het uberhaupt niet aan te raden om draaiende te kijken wat er gestart word, altijd via een bootcd oid. controleren.
JockJam 24 februari 2005 13:41
De oprichter van SysInternals is een ex hoofd van de Developer afdeling van Microsoft in Redmond.
Hij heeft het team geleid tijdens het bouwen van het OS Windows. Dus zodoende hebben ze dus wel degelijk de kennis in huis om dit soort tools te ontwerpen.
Verwijderd 24 februari 2005 14:24
krijg tijdens het "revealen" een BSOD
macine_exeption_error

meer mense hier last van?
numm!e 24 februari 2005 18:37
Ik ben benieuwd of de NSA rootkit in Windows ook gevonden wordt ;)

(eigenlijk is de knipoog niet eens nodig)
Verwijderd 24 februari 2005 09:58
Lijkt me een goede zaak dat er van dit soort programma`s op de markt komen.

Nu maar afwachten of ze ook echt effectief zullen zijn.
boner 24 februari 2005 10:24
moet je niet als supervisor zijn ingelogd om dit te installeren?

Om dan alsvolgt een soort superrootkit in introduceren?
zordaz @boner24 februari 2005 11:06
In theorie wel, maar:
1) MS Windows XP Home kent maar hele beperkte user rechten;
2) De meeste mensen zijn administrator op hun PC omdat een MS Windows machine anders vaak bijna niet werkbaar is;
3) Er komen nog steeds veel lekken boven om vanaf buiten administrator rechten te verkrijgen op een machine;
4) Active X
oRc 24 februari 2005 13:20
http://www.sysinternals.com/files/rootkitrevealer.zip


http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml
Verwijderd @oRc24 februari 2005 15:08
Heb net die tool gedraait. Mijn virusscanner (mcafee enterprise) wist niet wat die zag. Ik kreeg in eens 10 exploit waarschuwingen die gedelete werden |:(
En dan heb ik die scanner op on-acces staan. Ben sinds paar weken over gestapt op firefox hoop daarmee van zulk soort rotzooi af te zijn. :Y)


edit: typo

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq