Reaktive Sicherheit Teil 6

Transkript

1 Reaktive Sicherheit Teil 6 Rootkits und Tarn-Techniken Michael Meier Lehrstuhl VI, Informationssysteme und Sicherheit Fakultät für Informatik Technische Universität Dortmund 11. Januar 2008

2 Organisatorisches Prüfungstermine und Anmeldeverfahren Prüfer: Michael Meier oder Ulrich Flegel 13./14.3. Prüfer: Michael Meier Prüfer: Michael Meier Übung vor der Vorlesung? Freitag Woche X Freitag Woche X+1 Variante : Vorlesung X 12.00: Vorlesung X : Übung X : Übung X Variante : Übung X : Übung X 14.00: Vorlesung X 14.00: Vorlesung X+1 2/58

3 Übersicht Rootkits und Tarn-Techniken 1. Einleitung 3. Fortgeschrittene (künftige) Techniken 4. Erkennung gängiger Techniken 5. Werkzeuge und populäre Rootkits 3/58

4 1. Einleitung Typische Vorgehensweise von Angreifern Informationssammlung Abtastung von Netzen und Systemen Ausnutzen gefundener Verwundbarkeiten, um Zugang zu erlangen Lokale Suche von Verwundbarkeiten Ausnutzen gefundener Verwundbarkeiten, um Rechte auszuweiten Spuren in Audit-Daten verwischen/löschen Zugang durch Hintertür konsolidieren Weitere Aktivitäten mittels Rootkit verbergen 4/58

5 1. Einleitung Definition Rootkit Ein Rootkit ist eine Menge von Programmen bzw. Code, die es einem Angreifer erlauben, ein kompromittiertes System unbemerkt zu nutzen. Basisfunktionalität Zugang gewähren über eine verborgene Hintertür (backdoor) Spuren vermeiden/löschen Manipulation von Log- und Audit-Daten unbemerkt bleiben (vor Beobachtern (ps, top, taskmanager) verstecken) Manipulation von Systemprogrammen oder Systemabläufen 5/58

6 1. Einleitung Anzahl seit 2000 in Software gefundener Tarn-Techniken kommerzielle Anwendungen PUP (Potentially Unwanted Programs) Spyware etc. Viren/Würmer/Bots Trojaner 6/58

7 1. Einleitung Tarn-Komponenten nach Plattform Linux/Unix/Free BSD/SunOS Windows 7/58

8 1. Einleitung Verbreitungskanäle von Rootkits 8/58

9 1. Einleitung Anmerkungen Rootkits sind kein Linux/Unix-, Windows- oder MacOS-Problem vielmehr existieren für alle Plattformen entsprechen Techniken und Werkzeuge wir betrachten eine Auswahl von Techniken aus der Windows- und Linux-Welt 9/58

10 1. Einleitung Übersicht 2.1 Spuren verwischen vs. Tarnen 2.2 Grundlagen/Systemabläufe 2.3 Manipulationsmöglichkeiten User Mode Installations-Vektoren Payload-Vektoren 2.4 Manipulationsmöglichkeiten Kernel Mode Installation-Vektoren Payload-Vektoren 10/58

11 Spuren verwischen vs. Tarnen Spuren von Aktionen verwischen Aufzeichnungen manipulieren Aktionen tarnen Systemabläufe manipulieren um Beobachtung zu entgehen 11/58

12 Manipulation von Audit-Daten Spuren verwischen linux:/home/rks # tail -3 /var/log/messages Jan 3 14:16:10 linux kernel: VFS: Disk change detected on device fd(2,0) Jan 3 14:19:39 linux sshd[1517]: WARNING: /etc/ssh/primes does not exist,\ using old prime Jan 3 14:19:43 linux sshd[1517]: Accepted password for seg from\ port ssh2 linux:/home/rks # sh t0rnsb seg * sauber by socked [ ] * * Cleaning logs.. This may take a bit depending on the size of the logs. * Cleaning messages (414 lines)...1 lines removed! * Cleaning boot.log (7mlines)...0 lines removed! (...) * Alles sauber mein Meister! linux:/home/rks # tail -3 /var/log/messages Jan 3 14:16:10 linux kernel: VFS: Disk change detected on device fd(2,0) Jan 3 14:19:39 linux sshd[1517]: WARNING: /etc/ssh/primes does not exist,\ using old prime Jan 3 14:20:21 linux syslogd 1.3-3: restart. Beispiel: Filtern anhand von Schlüsselwörtern (t0rnkit) 12/58

13 Unzulänglichkeiten bei der Manipulation von Audit-Daten Audit-Daten, die nicht das Schlüsselwort enthalten, können auf gelöschte Audit-Daten hinweisen siehe Zeile zu /etc/ssh/primes sichtbar bleiben laufende Sitzungen des Angreifers laufende Prozesse des Angreifers Dateien des Angreifers Netzwerkverbindungen des Angreifers 13/58

14 Grundlagen typischer Systemablauf Benutzer Tarnen: durch Filtern der Ein/Ausgaben zwischen den Schichten verbergen der Aktivitäten des Angreifers und des Rootkits vor legitimen Benutzern. Programme Bibliotheken Betriebssystem Hardware je tiefer um so verborgener! 14/58

15 Systemabläufe Programme und Bibliotheken Portable Executable (PE) Format (Windows) für binäre ausführbare Dateien (Programme) Header enthält Import Address Table (IAT) mit Verweisen auf Funktionen in andere Dateien (Dynamic Link Libraries, DLLs), die erst beim Laden des Programms aufgelöst werden Aufrufe externer Funktionen im Programm verweisen auf Einträge in IAT Aufruf Programm func1(); Bibliotheksfunktion func1 Verweis Import Address Table 15/58

16 Systemabläufe - Prozessormodi i386 Architektur bietet vier verschiedene Schutzbereiche Ringe erlaubt Durchsetzung von Schutz auf Hardwareebene typischerweise nutzen Betriebssysteme aus Kompatibilitätsgründen nur Ringe 0 und 3 Ring 0 (Protected Mode oder Kernel Mode) darf nur vom Betriebssystemkern betreten werden - alles ist erlaubt Ring 3 (User Mode) zur Ausführung von Programmen im nichtprivilegierten Modus Speicherschutz, eingeschränkter Befehlssatz Wie führen Programme privilegierte Instruktionen aus? 16/58

17 Systemabläufe System Calls Betriebssysteme bieten Programmen Systemrufe (System Calls), z.b. read(), write(), open() Systemrufe werden von Programmen nicht direkt verwendet, sondern sind in Bibliotheksfunktionen gekapselt, die von Hoch-Sprachen verwendet werden können (libc, glibc bei Unix, ntdll.dll u.a. bei Windows) Umsetzung (Linux) Kern-interne Systemruftabelle (SCT - System Call Table) ordnet jedem Systemruf eine Nummer und eine kern-interne Funktion zu Kern-interne Interrupt-Deskriptor-Tabelle (IDT) legt für jede Interruptnummer den Interrupt Handler fest 17/58

18 Umsetzung (Linux) Systemabläufe System Calls Programm legt Argumente für Systemruf in Registern ab Programm schreibt Systemrufnummer in EAX Programm löst Softwareinterrupt 128 (0x80) aus mov eax, 6 ; close() ist Systemaufruf 6 mov ebx, 15 ; Dateideskriptor als erstes Argument int 0x80 ; Softwareinterrupt auslösen Softwareinterrupt unterbricht Programmausführung im User Mode und erzwingt Ausführung eines Interrupt-Handlers (IH) im Kernel Mode (Kontextwechsel!) Interrupt-Handler wird entsprechend Interrupt-Deskriptor-Tabelle gewählt Kern-interner Interrupt-Handler liest EAX und ruft Kern-interne Funktion entsprechend Systemruftabelle mit Argumenten in Registern auf 18/58

19 Umsetzung (Windows) Systemabläufe System Calls sehr ähnlich Linux System Service Descriptor Table (SSDT) entspricht System Call Table 19/58

20 Systemabläufe Zusammenfassung User Mode Programm Bibliotheksfunktion Import Address Table verwendete Datenstruktur Ausführungspfad Verweis/Zeiger auf Speicherbereich Return Kernel Mode Wähle IH anhand IDT Wähle Syscall anhand SCT System Call Interrupt Descriptor Table System Call Table 20/58

21 Systemabläufe Manipulationsmöglichkeiten User Mode Programm Bibliotheksfunktion 2 Import Address Table 1 verwendete Datenstruktur Ausführungspfad Verweis/Zeiger auf Speicherbereich Return Kernel Mode Wähle IH anhand IDT 6 Wähle Syscall anhand SCT 5 System Call 4 3 Interrupt Descriptor Table System Call Table 21/58

22 Installations- und Payload-Vektoren Unterscheidung zwischen Installations-Vektoren Funktionalität des Angreifers an Ort und Stelle bringen, z.b. Rootkit-DLL im entsprechenden Verzeichnis unterbringen Rootkit-DLL in den Speicher eines Prozesses laden Root-Kit-Funktionen als Kernel-Modul laden Payload-Vektoren (Aktivieren/Einhängen des installierten Codes) durch Manipulation von Datenstrukturen die Ausführung der Rootkit- Funktionen veranlassen 22/58

23 Manipulationsmöglichkeiten User Mode User Mode Installations-Vektoren (Windows) zum Teil muss Rootkit-Funktionalität (DLL) innerhalb des Speicherbereichs des zu manipulierenden Prozesses (z.b. Prozess- Viewer) vorliegen Möglichkeiten zum Laden von Rootkit-DLLs in Prozessspeicher Mechanismen zu Erweiterung von Anwendungen Windows Messaging Filter: SetWindowsHookEx() Debug-Funktionen: CreateRemoteThread(), WriteProcess- Memory() 23/58

24 Mechanismen zur Erweiterung von Anwendungen Windows NT, 2000, XP unterstützen den Registry-Key HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Windows\AppInit_DLLs jeder Prozess, der die Datei user32.dll lädt, lädt auch die hier angegebene DLL (rootkit.dll) verwendet von Malware Urbin und Adware-FCHelp [2] Erweiterungen von Internet Explorer-Toolbar und Suche, Browser Helper Objects (BHO), usw. Windows Explorer-Shell-Erweiterungen MS-Office-Applets, -Plug-Ins und -Steuerelemente 24/58

25 Windows Messaging System Windows Messaging Filter (Technik aka DLL-Injection via API-Hooking) Kommunikation über Ereignisse (z.b. button pressed ), die von Interessenten (Programmen bzw. Funktionen) mittels sog. Hook- Funktionen gefangen und auswertet werden können Hook-Funktion wird noch vor der zuständigen Anwendung über Ereignisse informiert SetWindowsHookEx() richtet Hook-Funktion ein Parameter HookType HookFunction Process/DLL-Handle (in dem/der Funktion enthalten) Ziel-Threat-ID 25/58

26 Debug-Funktionen erfordern entsprechende Zugriffsrechte (Debug-Privileg) erlauben Speicherzugriffe und Anlegen neuer Ausführungs-Threads in einem Ziel-Prozess CreateRemoteThread() kann Code im Adressraum jedes Prozesses ausführen LoadLibrary() + rootkit.dll von Malware Adcliker-BA verwendete Technik [2] WriteProcessMemory() kann Code in Speicherbereich jedes Prozesses schreiben SetThreadContext() kann Befehlszeiger auf neu geschriebenen Code setzen Kein DLL im Dateisystem! Rootkit nur im Hauptspeicher! von Malware HackerDefender verwendete Technik 26/58

27 Manipulationsmöglichkeiten User Mode User Mode Payload-Vektoren Ersetzen von Systemprogrammen/-bibliotheken Ersetzen von Bibliotheksfunktionen Import Address Table Hooking API Hooking / Inline Detour Function 27/58

28 Ersetzen von Systemprogrammen Vorgehensweise des Angreifers: Ersetzen von Programmen, z.b. ls, ps, netstat, lsof, rpm, md5sum, tripwire, aide, syslogd, Neue Versionen der Programme filtern die Ausgaben anhand von Schlüsselwörtern Eigenschaften des Ansatzes Verbergen von Dateien, Prozessen und Verbindungen des Angreifers Bereitstellen von Hintertüren Liste der ersetzen Programme i.d.r. unvollständig Neustart laufender Programme erforderlich (Installations- und Payload-Vektor in einem) 28/58

29 Ersetzen von Systemprogrammen Beispiel t0rnkit v6.66: ausgetauschte Programme: login, ifconfig, ps, du, ls, netstat, in.fingerd, find, top Dateilänge und Zeitstempel an Originale angepasst Passwort in /etc/ttyhash Konfigurationsdaten und Sniffer in /usr/src/.puta SSH-Hintertür startet als nscd getarnt in /etc/rc.d/rc.sysinit telnet, shell und finger in inetd.conf aktiviert 29/58

30 1 Ersetzen von Bibliotheksfunktionen Import Address Table Hooking Ändern der IAT Einträge bestimmter Funktionen und Umlenken auf Funktionen im Rootkit-Code von Malware Adclicker-BA, AFXRootkit und Qoolaid verwendete Technik Programm func1(); func1 Aufruf Verweis Bibliotheksfunktion Rootkit-Funktion Import Address Table 30/58

31 2 Ersetzen von Bibliotheksfunktionen API Hooking aka Inline Detour Function Umleiten von Funktionen durch Überschreiben des Anfangs Jump (1 Byte) zu Adresse (4 Byte) 5 Byte-Patch von Malware Adclicker-BA, AFXrootkit, Adware-EliteBar, Backdoor-BAC verwendete Technik 31/58

32 Ersetzen von Bibliotheksfunktionen API Hooking 5 Byte Prozess CreateFileA aufrufen Kernel32.dll [CreateFileA]: 77E8C000 PUSH ebp 77E8C001 MOV ebp,esp 77E8C003 PUSH SS:[ebp+8] 77E8C005 CALL + $0000d Kernel32.dll [CreateFileA]: 77E8C000 jmp [hook] 77E8C005 CALL + $0000d265 rootkit.dll [hook]: 2100C000 rootkit code 2100C01F jmp [saved_stub] [saved-stub]: 3100A000 PUSH ebp 3100A001 MOV ebp,esp 3100A003 PUSH SS:[ebp+8] 3100A005 JMP $77E8C /58

33 Manipulationsmöglichkeiten Kernel Mode Kernel Mode Installationsvektoren Code von Kernel Rootkits gelangt in den Kernel-Adressraum durch Kernel-Modus-Gerätetreiber Kernel-Module 33/58

34 3 Systemrufe ändern Systemrufe ändern speziell präparierter Systemruf betrifft alle aufrufenden Programme Systemruf kann abhängig von übergebenen Argumenten agieren Return Return normales Verhalten wenn Erkennung des Rootkits befürchtet Modifikation von Systemruf-Code erfordert Runtime Kernel Patching an mehreren Stellen? Patched System Call gefährlich Fehler crashen Betriebssystem 34/58

35 4 System Call Table Hooking System Call Table Hooking häufigste Rootkit-Technik Systemrufe werden durch modifizierte Versionen ersetzt durch Ändern der Zeiger in der Systemruf-Tabelle Wähle Syscall anhand SCT System Call Table? System Call System Call Rootkit Function Rootkit-Systemruf kann abhängig von Argumenten agieren vorher z.b. open() schlägt fehl wenn Argument eine Rootkit-Ressource ist Problem es existieren mehrere Backup-Kopien von Systemruf-Tabellen durch Integritätsprüfung Rootkits leicht entdeckbar nachher 35/58

36 5 Manipulation des Systemruf-Selektors statt Systemruf-Tabelle zu ändern, eine eigene Tabelle verwenden Funktion zur Auswahl des Systemrufs wird geändert, so dass statt Original die Rootkit-Systemruf-Tabelle verwendet wird System Call Table Wähle Syscall anhand SCT vorher Rootkit System Call Table nachher Änderung von Kernel-Funktionen zur Laufzeit erforderlich gefährlich! 36/58

37 6 Interrupt Descriptor Table Hooking Zeiger auf den Systemruf-Selektor in der IDT wird geändert und zeigt auf eine Rootkit-Version Rootkit-Version agiert wie originaler Systemruf-Selektor, verwendet aber eigene Systemruf-Tabelle mit manipulierten Systemrufen Wähle IH anhand IDT Interrupt Descriptor Table Keine Modifikation von Kernel-Funktionen (Systemruf-Selektor) notwendig Wähle Syscall Wähle Syscall Rootkit-Version vorher nachher Prinzipiell auch IDT austauschbar. Adresse der Rootkit-IDT steht dann im Interrupt Descriptor Table Register (IDTR) 37/58

38 Beispiel Kernel-Rootkit: Adore V0.42 Linux Kernelmodul adore.o ersetzt Systemaufrufe write(), getdents(), kill(), fork(), clone(), close(), open(), stat(), lstat(), oldstat(), oldlstat(), stat64(), lstat64(), mkdir(), getdents64() Hilfsmodul verbigt adore.o durch heraustrennen aus der Modulliste Programm ava als Schnittstelle zum Rootkit SSH-Hintertür wird von Rootkit verborgen 38/58

39 Übersicht 3. Fortgeschrittene (künftige) Techniken 3.1 Shadow Walker Manipulation des virtuellen Speichers 3.2 Virtual Machine Based Rootkits SubVirt Blue Pill 39/58

40 3. Fortgeschrittene (künftige) Techniken Manipulation des virtuellen Speichers Shadow Walker manipuliert Speichersubsystem von Windows um Erkennung im Hauptspeicher durch Virenscanner zu entgehen Grundidee Rootkit-Speicherseiten werden als nicht vorhanden ausgewiesen dadurch führt ein Lesezugriff zu einem Seitenfehler Seitenfehler-Handler wird manipuliert liefert falsche Daten an Aufrufer, wenn Virenscanner als Aufrufer vermutet Details Sherie Sparks, Jamie Butler: ShadowWalker - Raising The Bar For Windows Rootkit Detection. Phrack Mag. Vol. 0x0b, Issue 0x3d, Phile #0x08 40/58

41 3. Fortgeschrittene (künftige) Techniken Virtual Machine Based Rootkits SubVirt: Implementing malware with virtual machines. IEEE Symposium on Security and Privacy, Grundprinzip: Installation einer virtuellen Maschine Verlagern des ursprünglichen Betriebssystems in die virtuelle Maschine App1 App2 Target OS Hardware Vorher App App1 App2 Attack OS Target OS VMM Hardware Nachher Rootkit aus Target OS heraus kaum erkennbar 41/58

42 3. Fortgeschrittene (künftige) Techniken Virtual Machine Based Rootkits Blue Pill: Joanna Rutkowska: Subverting Vista Kernel For Fun And Profit. Black Hat entworfen für Plattformen mit Hardwareunterstützung für Virtualisierung Nutzt Hardwareunterstützung für Virtualisierung 42/58

43 Übersicht 4. Erkennung gängiger Techniken 3.1 Erkennung der Ersetzung von Systemprogrammen 3.2 Erkennung der Ersetzung von Bibliotheksfunktionen 3.3 Erkennung der Ersetzung von Systemrufen 43/58

44 4. Erkennung gängiger Techniken Erkennung der Ersetzung von Systemprogrammen Prüfung der Dateiintegrität (Tripwire, AIDE, rpm) + Schadensabschätzung möglich - Pflegeaufwändig (Vergleichswerte aktualisieren und schützen) Abgleich mit Signaturen (Chkrootkit, Rootkit Hinter, AV Scanner) + konkrete Identifikation des Rootkits - nur bekannte/unmodifizierte Rootkits aufspürbar manuelle Suche + praktisch jedes Rootkit hat erkennbare Merkmale - nur bekannte Rootkits erkennbar 44/58

45 4. Erkennung gängiger Techniken Beispiel zur Prüfung der Dateiintegrität AIDE und rpm entdecken das t0rnkit linux:/home/rks # aide -C AIDE found differences between database and filesystem!! Start timestamp: :32:11 Summary: Total number of files=17520,added files=16,removed files=0,changed files=43 [...] changed:/bin changed:/bin/ls changed:/bin/netstat changed:/bin/ps changed:/bin/login [...] linux:/home/rks # rpm -Vva [...] S.5...T /bin/ls S.5... /bin/netstat SM5... /bin/ps.m5...t /bin/login [...] 45/58

46 4. Erkennung gängiger Techniken Chkrootkit erkennt das t0rnkit Beispiel zur Signaturabgleich linux:/home/tools/chkrootkit-0.38 #./chkrootkit [...] Checking login... INFECTED Checking ps... INFECTED [...] Searching for t0rn s default files and dirs... Possible t0rn rootkit installed [...] 46/58

47 4. Erkennung gängiger Techniken Beispiel zur manuellen Suche I Alternativen zum Kommando ls linux:/usr/src # ls -al total 8 drwxr-xr-x 3 root root 4096 Jan 3 21:34. drwxr-xr-x 25 root root 4096 Jan 3 21:34.. linux:/usr/src # echo.*....puta linux:/usr/src # tar -cf -. tar -tvf - grep "^d" drwxr-xr-x root/root :34:51./ drwxr-xr-x root/root :19:24./.puta/ linux:/usr/src # rm -i.* rm: cannot remove. or.. rm: cannot remove. or.. rm:.puta is a directory linux:/usr/src/.puta # which ls /bin/ls linux:/usr/src/.puta # strings /bin/ls grep puta /usr/src/.puta/.1file 47/58

48 4. Erkennung gängiger Techniken Beispiel zur Manuellen Suche II Untersuchung von ls mittels strace linux:/usr/src/.puta # which ls /bin/ls linux:/home/rks # strace /bin/ls / 2> /tmp/tracefile linux:/home/rks # cat /tmp/tracefile grep open open("/etc/ld.so.cache", O_RDONLY) = 3 open("/lib/libc.so.5", O_RDONLY) = 3 open("/usr/local/share/locale/locale.alias", O_RDONLY) = -1 ENOENT open("./locale.alias", O_RDONLY) = -1 ENOENT open("/usr/share/locale/de_de/lc_ctype", O_RDONLY) = -1 ENOENT open("/usr/share/locale/de/lc_ctype", O_RDONLY) = -1 ENOENT open("/usr/src/.puta/.1file", O_RDONLY) = 3 open("/", O_RDONLY) = 3 48/58

49 4. Erkennung gängiger Techniken Erkennung der Ersetzung von Bibliotheksfunktionen Vergleich der Ausgabe mit extern statisch gebundener Version 49/58

50 4. Erkennung gängiger Techniken Erkennung der Ersetzung von Systemrufen Suche nach unbekannten Modulen - leicht zu umgehen Kontrolle kritischer Strukturen (kstat, ksec) + viele Kernel-Rootkits erkennbar - aufwändige Wartung der Referenzwerte Laufzeitmessung (patchfinder) + entdeckt auch unbekannte Kernel-Rootkits - minimale Modifikationen nicht von Messungenauigkeit unterscheidbar Manuelle Suche + praktisch jedes Rootkit hat erkennbare Merkmale - nur bekannte Rootkits erkennbar 50/58

51 4. Erkennung gängiger Techniken Beispiel zur Kontrolle kritischer Strukturen kstat entdeckt Adore s Manipulationen der Systemruf-Tabelle linux:/home/tools/kstat24/ #./kstat -s 0 sys_fork 0xf880c7a0 WARNING! should be at 0xc01058fc sys_write 0xf880ca30 WARNING! should be at 0xc013193c sys_open 0xf880dbd0 WARNING! should be at 0xc01312c8 sys_close 0xf880cb80 WARNING! should be at 0xc sys_oldstat 0xf880cff0 WARNING! should be at 0xc0137dd4 sys_kill 0xf880c900 WARNING! should be at 0xc011e1c8 sys_mkdir 0xf880ccb0 WARNING! should be at 0xc013bfc8 sys_oldlstat 0xf880d1e0 WARNING! should be at 0xc0137eb4 sys_stat 0xf880d3d0 WARNING! should be at 0xc0137e44 sys_lstat 0xf880d5c0 WARNING! should be at 0xc0137f24 sys_clone 0xf880c850 WARNING! should be at 0xc sys_getdents 0xf880c3c0 WARNING! should be at 0xc013ea58 sys_stat64 0xf880d7b0 WARNING! should be at 0xc sys_lstat64 0xf880d9c0 WARNING! should be at 0xc01382e4 sys_ni_syscall 0xf880c5b0 WARNING! should be at 0xc013ec5c linux:/home/tools/kstat24/ #./kstat -s 1 Restoring system calls addresses... 51/58

52 4. Erkennung gängiger Techniken Beispiel zur Laufzeitanalyse von Systemrufen Patchfinder entdeckt Laufzeitunterschiede von Adore s Systemrufen linux:/home/tools/rktest #./patchfinder -c referenz_ * FIFO scheduling policy has been set. * each test will take 1000 iteration * testing... done. * dropping realtime schedulng policy. test name current clear diff status open_file ALERT! stat_file ALERT! read_file ok open_kmem ALERT! readdir_root ALERT! readdir_proc ALERT! read_proc_net_tcp ok lseek_kmem ok read_kmem ok 52/58

53 Übersicht 5. Werkzeuge und populäre Rootkits 53/58

54 5. Werkzeuge und populäre Rootkits Werkzeuge Nuclear Rootkit 54/58

55 5. Werkzeuge und populäre Rootkits Werkzeuge 55/58

56 5. Werkzeuge und populäre Rootkits Populäre Rootkits : Sony XCP Digital Rights Management Software Extended Copyright Protection (XCP) von Sony BMG Verwendung von Tarn-Techniken enthüllt enthaltene Tarn-Techniken können auch von Angreifern genutzt werden Gerätetreiber versteckt DRM-Dateien und Prozesse um Deaktivierung und illegales Kopieren zu verhindern Dateien, Ordner und Prozesse die mit $sys$ beginnen werden versteckt im November 2005 taucht Malware (W32/Brepibot) auf, die sich entsprechend versteckt es sind weitere kommerzielle Anwendungen die Tarn-Techniken verwenden bekannt 56/58

57 Übersicht Rootkits und Tarn-Techniken 1. Einleitung 3. Fortgeschrittene (künftige) Techniken 4. Erkennung gängiger Techniken 5. Werkzeuge und populäre Rootkits 57/58

58 Literatur McAfee, Inc.: Whitepaper - Rootkits, Teil 1 von 3: Die wachsende Bedrohung. April McAfee, Inc.: Whitepaper Rootkits, Teil 2: Überblick über eingesetzte Techniken. April Andreas Bunten: Rootkits: Techniken und Abwehr.In R. Schaumburg and M. Thorbrügge, editors, Tagungsband des 10. DFN-CERT Workshops über Sicherheit in vernetzten Systemen, pages E1 23. DFN-CERT, Books on Demand, February Andreas Bunten. Unix und Linux basierte Kernel Rootkits. DIMVA 2004, July /58