Angriffe auf Antiviren Programme?

M

masterplc

0
Hallo,
ich habe gerade etwas über betabot gelesen.Das ist scheinbar eine sehr ausgefeilte Malware (Formgrabber,x64 und x86 Rootkit,SE Techniken um den Nutzer dazu zu verleiten betabot Administrator Rechte zu geben,ein starker botkiller...).

Aber ein Punkt in der Funktionsliste hat mich neugierig gemacht.Und zwar der av Killer,der angeblich 37 verschiedene anti Viren Programme fertigmachen kann. Meine Frage ist folgende:Wie schafft es ein Programm mit administrativen Rechten ein Programm mit viel mehr Rechten zu erledigen,das auch noch das erlangen von weiteren Rechten verhindert ?(Mein liebes Hypochonder AV blockt sogar psexec)Das ist mir ein wahres Rätsel...


Das einzige was mir eingefallen ist,ist das “unhooken“ des avs was aber schon in einer frühphase abgeschmettert wird.

Ich bin also ziemlich ratlos. Könntet ihr meinem phantasielosen Geist mit einem kleinem Denkanstoss auf die Sprünge helfen?

Es muss keine vollständige Lösung sein. Ich will einfach nur einen kleinen Denkanstoss.

Danke schon mal im voraus :)

@xrayn:Kling erschreckend einfach...
Ich hätte erwartet das sich das av mit rootkit ähnlichen Techniken versteckt oder irgend etwas anderes.

Das verstärkt meinen Eindruck von avs...
 
Zuletzt bearbeitet:
@masterplc

Du must die Sache anderst sehen. Wenn der Virus sich root Rechte verschafft hat, dann sollte alles möglich sein.

Es gibt ein Unterschied, ob man mit IE oder mit Firefox surft. Es Virus hat sogar den Regenschirm als Dummysymbol dargestellt. Der Virenscanner war garnicht mehr installiert :)
 
Das kommt auf das AV an. Anderes AV, andere Methoden. Manchmal gibt es auch Methoden, für die mehrere AVs anfällig sind.
Es ähnelt oft einem Katz und Maus-Spiel. Jemand findet ein Exploit, es wird gefixed, dann kommt ein neues, es wird gefixed aber dafür wird wieder ein neuer bug eingebaut, den man dann in der neueren Version wieder ausnutzen kann... so geht das dann immer weiter.
Und es ist auch nicht unbedingt immer sehr einfach, manche Methoden sind da schon sehr ausgeklügelt.

Hier ein paar Beispiele:

Kaspersky
http://www.kernelmode.info/forum/viewtopic.php?f=15&t=1485&start=20#p13915
http://www.kernelmode.info/forum/viewtopic.php?f=15&t=1485&start=100#p17571

Avast/Avira
http://www.kernelmode.info/forum/viewtopic.php?f=15&t=1485&start=100#p17571

Hier schonmal eine ganze Liste (darunter Avira, Outpost, Zonealarm...):
http://www.kernelmode.info/forum/viewtopic.php?f=11&t=1878

Aber eigentlich ist das alles verschwendete Liebesmüh. Erstens ist so etwas invasiv und es fällt dem User auf, wenn da unten rechts kein beruhigendes Symbol mehr liegt oder nicht mehr anklickbar ist oder keine Updates mehr macht.
Zweitens: Was das AV nicht kennt, kann es nicht beseitigen. Wozu das AV dann killen, wenn es einem sowieso nichts tut? Dann lässt man es halt nebenher laufen und dem User gibt es zusätzlich noch ein sicheres Gefühl, dass alles in Ordnung ist.
Also wozu mit Kanonen auf Spatzen schießen? :wink:
 
Bevor ich es wieder vergesse (und weil xrayn trotz mehrfacher Ermahnung nix 'zu geschrieben hat :evil: ):
der aktuelle "breaking av" Vortrag http://www.joxeankoret.com/download/breaking_av_software-pdf.tar.gz
(um es kurz zu fassen:
ASLR, DEP und irgendwelches Rechtezeuchs ist was für Weicheier - zumindest werden viele moderne OS-Schutzmechanismen ganz erfolgreich von AVs selbst ausgehebelt (z.B: Injection der eigenen Non-ASLR-DLLs in jeden Prozess, Datei-Operationen (Scannen/Heuristik) mit root-Rechten mittels Scan-engines, die haufenweise Lücken aufweisen, uvm).
 
karanka hat gesagt.:
Was soll das einfach gesagt bedeuten? :D
Zum Vergrößern anklicken....
Naja, das Antivirenprogramm kann ja vom User irgendwie deaktiviert werden. Und mit entsprechenden Tricks kannst du diese Features auch missbrauchen um das Programm abzuschalten.
Wenn du es schaffst im Kontext des Antivirenprogramm-Prozesses Code auszuführen, kann der Treiber nicht erkennen, ob die Befehle die er bekommt jetzt Originalcode oder etwas Ungewolltes sind. Und wenn der Treiber erstmal raus ist, ist der Kernelschutz weg, und du kannst den Prozess einfach beenden.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben