[HaBo]

xrayn · 26.10.10, 19:36

Nach dem ich in dem Thread malware gelöscht. wieder sicher? CDWs Post (speziell die "Werbung") gelesen hatte, habe ich nun eine Frage zu den FUD Techniken. Da ich mich nun seit ca 1,5 Jahren nicht mehr aktiv mit Malware beschäftigt habe, hinke ich quasi etwas hinter der Entwicklung hinter her.

Vorab, mir geht es um die Umsetzung unter Windows Vista/7. Unter XP bekomme ich die Features auch noch programmiert

Zitat:

+Bypass Kaspersky Internet Security 2010 Included (Proactive Defense)
+Bypass OutPost Firewall
+Bypass Zemana Keylogger (HIPS)
+Bypass Comodo Internet Security (HIPS)
+Bypass AntiHook (HIPS)
+Bypass SpyShelter (HIPS)
+Bypass Avast Antivirus (Proactive)
+Bypass Norton Internet Security (Proactive)
+Bypass GData Internet Security
+Bypass TrustPort Antivirus
+Bypass Panda Internet Security

Am Beispiel von KIS: Sollten die ihre Technik nicht komplett umgestellt haben, benutzen die immer noch SSDT-Hooks um ihre Regeln durchzusetzen. Um diese Hooks zu umgehen müsste man entweder die SSDT wiederherstellen, nur die original Funktionen aufrufen oder Funktionen eine Abstraktionsebene tiefer aufrufen. Für alle drei Wege benötigt man Code im Kernelmode. Um dort reinzukommen hat man zwei Möglichkeiten:

Treiber laden: Halte ich für schwierig, erstens akzeptiert W7 nur signierte Treiber, zweitens hat KIS alles gehookt was Treiber lädt.

Treiber exploiten: Also ein Exploit zu schreiben, dass vom Kernel aus einen Treiber lädt ist schon schwierig. Dieses Exploit so zu schreiben, dass auf es einer Plattform mit DEP und ASLR läuft halte ich für fast unmöglich, außerdem umgeht man so nicht das Treibersignaturproblem. Gut man könnte ein Exploit schreiben, welches per ROP die SSDT wiederherstellt, aber dann wäre man darauf angewiesen ein Kernelmodul zu finden, welches kein ASLR verwendet. Weiter bräuchte man einen Treiber, der auf fast jedem Rechner vorhanden ist (Grafiktreiber o.ä.) und so Buggy ist, dass man ihn exploiten kann.

Bei dem Rest kann ich mir denken, wie sie das anstellen wollen, aber das AV lahm zu legen wäre der erste Schritt den ich nicht nachvollziehen kann. Vielleicht kann der Thread ja auch genutzt werden um die anderen Techniken zu besprechen, wenn jemand sie nicht versteht.

Postet bitte keinen Sourcecode oder Links zu Sourcecode, wir wollen ja nicht gegen die Regeln verstoßen. Ich denke die bloße Theorie wird niemanden umbringen

ReDoX · 06.11.10, 21:03

Ich stimme Dir voll zu, ab Vista wird das Ganze nicht mehr funktionieren. Auch unter XP werden von einem HIPS alle relevanten Funktionen gehookt. Selbst der "Hack" mit dem es möglich ist Kernel-Speicher in den Usermode zu mappen und somit auch zu beschreiben sollte von allen HIPS erkannt werden.

Anzeige

- Anzeige -

rat · 30.11.10, 07:44

Posten darf ich ja nichts.

@Fuck Browser Also ich habe da neulich von dem Gozi Bot gelesen der eine einzigartige technik verwendet um im WIn7 Aktiv zu werden.

http://blogs.ethz.ch/scarybits/2010/06/09/gozi/

Zitat:

Gozi kann verschieden Versionen von Windows befallen. Unter XP betrieben unter Admin-Rechten installiert er sich auf Ebene des Systems. Unter Windows7 wo der User out of the Box mit Standarduserrechten arbeitet, im Userkontext respektive Userprofil, ohne dass der Kern des Systems kompromittiert wird. Diese und weitere Infos sind rein indikativ, solange keine konsistente technische Analyse der Malware inklusive Versionshistory greifbar ist!

Ich habe irgentwo noch Detaliertere Analysen dazu,muss ich nur mal suchen.

//edit die erste
http://www.trustdefender.com/trustde...ng-itself.html

xrayn · 30.11.10, 08:21

Kannst es ja versuchen etwas zu posten und abwarten war passiert. Es ging mir nicht um Malware, welche auch unter W7 läuft, sondern um Malware, die unter W7 HIPS umgeht.

rat · 30.11.10, 11:43

Da habe ich auch etwas,warte mal ein wenig ich habe so irre viele PDFs und Links und Source-Codes und weiß der Teufel was nicht alles.

//edit Ich bin jetzt mal meine Sammlung ein wenig durch gegangen und muss sagen ich habe nichts genaues gefunden wie eine Malware diesen Schutz umgeht,meist geht es dabei nur um die einzigartigen Techniken die diese Malware mit sich bringt,wie Domain-Flux oder ein bestimmtest Rootkit,aber ich habe etwas anderes Interessantes gefunden was dir sicherlich weiter helfen könnte.

Antiviren-Technologien im Überblick (Hier wird Detaliert auf die von dir genannten Technicken eingegangen.)
http://www.viruslist.com/de/analysis?pubid=200883578

Windows 7 vulnerable to 8 out of 10 viruses (Hier geht es mehr um die UAC von Windows 7)
http://nakedsecurity.sophos.com/2009...-8-10-viruses/

Entwicklung der Selbstschutz-Technologien von Schadprogrammen (Nicht so der bringer)
http://www.viruslist.com/de/analysis?pubid=200883542

Rustock – Ein Malware-Mythos? (Ich weiß nicht so recht,ob es dir weiter helfen wird)
http://www.viruslist.com/de/analysis?pubid=200883617

Kaspersky Lab veröffentlicht Analyse „Bootkits – die Herausforderung des Jahres 2008“ (Naja wie gesagt es wird immer nur auf bestimmte Fähigkeiten eingegangen)
http://www.viruslist.com/de/analysis?pubid=200883634

Es ist verwunderlich das so wenig auf diese Faktoren eingegangen wird die du hier ansprichst.

Anzeige

- Anzeige -

30.11.10, 11:43	#5 (permalink)
rat Registriert seit: 22.01.10 Likes: 20	Da habe ich auch etwas,warte mal ein wenig ich habe so irre viele PDFs und Links und Source-Codes und weiß der Teufel was nicht alles. //edit Ich bin jetzt mal meine Sammlung ein wenig durch gegangen und muss sagen ich habe nichts genaues gefunden wie eine Malware diesen Schutz umgeht,meist geht es dabei nur um die einzigartigen Techniken die diese Malware mit sich bringt,wie Domain-Flux oder ein bestimmtest Rootkit,aber ich habe etwas anderes Interessantes gefunden was dir sicherlich weiter helfen könnte. Antiviren-Technologien im Überblick (Hier wird Detaliert auf die von dir genannten Technicken eingegangen.) http://www.viruslist.com/de/analysis?pubid=200883578 Windows 7 vulnerable to 8 out of 10 viruses (Hier geht es mehr um die UAC von Windows 7) http://nakedsecurity.sophos.com/2009...-8-10-viruses/ Entwicklung der Selbstschutz-Technologien von Schadprogrammen (Nicht so der bringer) http://www.viruslist.com/de/analysis?pubid=200883542 Rustock – Ein Malware-Mythos? (Ich weiß nicht so recht,ob es dir weiter helfen wird) http://www.viruslist.com/de/analysis?pubid=200883617 Kaspersky Lab veröffentlicht Analyse „Bootkits – die Herausforderung des Jahres 2008“ (Naja wie gesagt es wird immer nur auf bestimmte Fähigkeiten eingegangen) http://www.viruslist.com/de/analysis?pubid=200883634 Es ist verwunderlich das so wenig auf diese Faktoren eingegangen wird die du hier ansprichst. __________________ evil loves to party http://ratnetw0rk.blogspot.com Geändert von rat (30.11.10 um 12:36 Uhr)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

06.11.10, 21:03	#2 (permalink)
ReDoX Registriert seit: 27.09.05 Likes: 4	Ich stimme Dir voll zu, ab Vista wird das Ganze nicht mehr funktionieren. Auch unter XP werden von einem HIPS alle relevanten Funktionen gehookt. Selbst der "Hack" mit dem es möglich ist Kernel-Speicher in den Usermode zu mappen und somit auch zu beschreiben sollte von allen HIPS erkannt werden.

30.11.10, 08:21	#4 (permalink)
xrayn Member of Honour Themenstarter Registriert seit: 05.03.08 Likes: 246	Kannst es ja versuchen etwas zu posten und abwarten war passiert. Es ging mir nicht um Malware, welche auch unter W7 läuft, sondern um Malware, die unter W7 HIPS umgeht.

[HaBo]

Fragen zu FUDtechniken