[HaBo]

steven85

Anzeige

Hallo

Bin neu hier also hoffe ich das ich das richtige Sub-Forum erwischt habe.

Von der Thematik her geht es mir darum das ich wenn ich zb irgendwelche suspekten Files hab und ich meinen Viren Scanner nicht traue dies selbst auf bösartige aktivitäten zu überprüfen.

Hab mir da schon ein paar gedanken dazu gemacht mir fehlen aber noch ein paar tool's und eventuell inputs.

Grundsätzlich sollte das das Suspekte File auf einer Virtuellen maschine mit windows gestartet werden.

Danach mit zb filemon von sysinternals den zugriff auf die Hd überwachen.

Weiters danach die Prozesses überwachen die das file öffnet bzw nicht beendet mit zb icesword.

Weiters könnte man noch mit ethereal Verbindungsversuche ins internet ausfindig machen. Und eventuell mit einem Port scanner nach offenen ports suchen die backdoors öffnen.

Weiters geistern mir noch 2 sachen im Kopf herum die ich aus der Windows 3.1 zeit von diesen Uninstallern kenne.

Tools zu Registry vergleichen zb. vor dem ausführen scannen das file ausführen und danach scannen und es zeigt mir die änderunge auf.
Das gleiche für Datei auf der Festplatte.

Eventuell wäre es praktisch wenn ma das von einem Anderen System aus machen könnte: zb die infizierte VM-Festplatte in eine ander VM einbinden und von der cleanen scanne.

So könnte man auch rootkits aufspüren.

Kennt jetz jemand eventuell tools die ich dazu nutzen könnte?
Was ist allgemein von so einem Konzept zu halten?

Wie gehen Virenscanner hersteller vor?

Tip's und diskussionen erwünscht.

lg
Stefan

CDW

Ich übernehme keine Garantie für Richtigkeit, also mit Vorsicht "genießen"
nur als Vermutung: filemon hookt im Kernel die Zugriffsroutinen. Hier wäre aber das Problem mit den "identitäten". Was z.B bei einer Manipulierung der SDT (Service Descriptor Table ) durch Malware und den Logs von Filemon rauskommt? Loggt dann Filemon wirklich und wohin verweisen die Logs? (das kann ich Dir nicht sagen ), aber die Malware könnte durchaus einen "respektablen" Prozess wie z.B Explorer oder einen Systemdienst (genug Rechte vorausgesetzt) dazu missbrauchen. Also sich oder einen Ableger reininjezieren.
Dann hat man im Log nur zugriffe von Explorer oder sonstigem. Und wenn man sich als Malwareautor nicht ganz so ungeschickt anstellt (also die Filezugriffsapis redirekted) dann hat man genau dann die Plattenaktivität, wenn der User auch wirklich was macht.

Oder man nutzt Regmon (wobei dann dasselbe Problem wie beim filemon wäre: SDTs manipulation und was da rauskommt). Ansonsten macht auch Win genug Einträge - sollte nicht ganz so einfach werden. Desweiteren kann ich mir auch vorstellen, dass die Malware nicht sofort nach dem "Klick" anfängt sich festzuankern, sondern sich etwas Zeit lässt (duchraus denkbare Verschleierungstaktik - z.B erst wenn der Rechner heruntergefahren wird (Afaik gibts dann einen Termsignal) wird in die Registry hineingeschrieben.

Kenne jetzt IceSword nicht, könnte mir aber vorstellen, dass man es durch Injektion in einen anderen Prozess (mittels DirectAddressCall - also das direkte Anspringen der Kerneladressen von OpenProcess &Co, um z.B Hooks durch solche "Überwacher" auf der Userebene zu umgehen) austriksen kann. Habe ein funktionierendes Beispiel für Explorer/oder anders/ Injektion, was aber nur auf XP beschränkt ist (und davon weiß ich nur, dass es auf jeden Fall auf SP1 läuft ). Mit etwas Recherche könnte man auch direkt die ntdll "anspringen" und das ganze auch für 2000/2003 und XP hinbiegen.

Die Malware könnte auch andere Software nutzen - wie im Beispiel erwähnt zuerst sich in den Explorer injezieren (nicht mit Binaryinfektion verwechesln), dann in der Registry den Lieblingsbrowser/Mailer des User herausfinden und auf dessen Start warten oder auch auf "meistverbreitete" warten. Dann nutzt man diese Software um zu tunneln. D.h zwar etwas mehr Arbeit, aber dann funktioniert es auch bei Usern hinter einem Router oder einer "Super_Hyper_NoTronPFW ". Also initiiert eine Verbindung von dem PC. Wenn man jetzt noch (als Malware) sich die Mühe macht die paar Socketfunktionen zu Hooken (also eigentlich nur send), dann sendet sie auch nur, wenn der User was mit dem Browser macht. Sind die Daten unauffällig genug verpackt, hat man viel Spass mit dem Ethereal


Irgendwie komme ich dadurch zu dem Schluss, dass man sowieso nur von einem anderen System aus sinnvoll was machen kann. Also die besagte VM, wenn sie solche Überwachungsfunktionen bietet. Jetzt aber nicht enttäuscht sein - bessere Malware erkennt es, wenn sie auf einer VM läuft (kann ich leider nicht sagen wie, mir fehlt hier der Ansatz). Da bekommt man also auch keine Ergebnisse.

K.A was die AVhersteller machen, ich würde es auf einem Testrechner mit OllyDbg oder (falls besser - habe nie getestet) IDA versuchen. Damit sollte man die meisten Funktionen rausbekommen können. Auch die von Dir erwähnten Programme sind ok - wenn man im Hinterkopf behält, was sie können und was nicht.

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.