bootkits aufspüren

[AngelDelivery]

Hallo Habo, o.g. Bedrohungspotential wächst immer weiter. Niemand kann sich sicher sein infiziert zu sein, wenn er sich auf ein av Produkt verlässt. Ich bin kein Fachmann auf dem Gebiet malware auf Windows Systemen. Ich würde mich freuen, von euch Vorschläge zu hören, wie man sich gegen bootkits sichern kann. Ich würde nach einem Bootkit suchen bzw. Präventionen einrichten indem ich: Meinen MBR sichere, bzw. eine checksum davon erstelle, und Sie bei Bedarf überprüfe ? Mein System per DPI durch ein anderes System überwache, ob es nach Hause sprechen will ? oder vielleicht sogar immer per PXE mit einem Minilinux boote, welches meinen mbr checkt? Was sind die Mittel, um ein Bootkit 100% aufzusprüren ? (bzw. zumindest zu wissen, dass der bootvorgang negativ manipuliert wurde ?)

 

[rat]

Ich kann dir da mein Tutorial empfehlen dieses findet Malware die nach außen Telefoniert.Wen dir das ncoh nicht reicht kann ich dir Kaspersky sehr Empfehlen,ich benutzte ihn selber und habe damit schon erfahrung auf dem gebiet gemacht.Kaspersky findet Sinowal,Rustock,Conficker/Kido,Storm Worm/Zhelatin.Cutwail/Pushdo und kann sie auch zuverlässig entfernen.

Ich habe immer eine Man in the Middle wie in meienm Tut von meinem Linux Notebook aus gemacht mit Ettercap,Wireshark,EtherApe und BotHunter.

Im Win hatte ich Kaspersky und auf dem Linux Bitdefender und Malware entging mir im gesammte Netzwerk damit nicht.

Nebenbei erwähnt habe ich mal mit Kaspersky Internet Securityeine nette entdeckung gemacht.Als die SMB2 lücke von Vista im umlauf war habe ich mal von meinem Linux eine attacke damit auf meine Vista VMware gemacht und Kaspersky ist im RL System Installiert und blockierte den Angrieff auf die VMware.

Weiter kann ich von Avira Free Edition abraten der hat es nciht mal geschaft das hacker Defender Rootkit zu entfernen und Conficker/Kido konnte er auch nicht bei meinen Tests entfernen.


Also mit dem oben genannten biste schon sehr Safe.

 

[Gelöschtes Mitglied 17683]

Naja, komplette Festplattenverschlüsselung in Verbindung mit TPM-Chips sollen ja noch helfen gegen Bootkits... aber wer hat sowas schon?^^

 

[CDW]

Imho ist ein Imageboot des Komplettsystems am sichersten (und wohl am aufwändigsten bei der täglichen Arbeit, da man die Änderungen am System aka Updates nur mit viel Aufwand speichern kann).
Ansonsten würde ich persönlich auf Prävention setzen, da bekannterweise ein infiziertes System die eigene Infektion kaum noch erkennen kann (vor allem weil das Bootkit Low-Level Funktionen hooken kann und bei Leseanfragen die gesicherten Originaldaten zurückliefern)

Irgendwas mit den Stichworten "Anti Bootkit" sollte eigentlich auch ein paar von AVs geben (oder: http://ebfes.wordpress.com/ was auf Anhieb die "Anforderungen" erfüllt). Man kann sich natürlich auch selbst etwas zuerchtbasteln. Ich denke da auch an ein Minilunux mit einigen Bashscripten (sowas wie dd if=/dev/sda of=mbr.bin bs=512 count=1 und sha1sum mbr.bin). Nur dass man in diesem Fall eben eine merkbare Verzögerung beim Booten in Kauf nehmen muss, da auch ein Minikernel einige Zeit zum Laden braucht.

@Dresko: zu den TPMs kann ich nicht viel sagen, aber Komplettverschlüsselung würde nur mit einem externen Bootmedium funktionieren, da der MBR unverschlüsselt bleiben muss . Siehe auch das "berühmte" Beispiel http://www.stoned-vienna.com/ Stoned Bootkit. Überschreibt Truecrypt MBR, macht davon ein Backup und liefert es beim "Check" an die Lesefunktion von TC. Wer aber aufschreit, dass es mit TPM und Bitlocker nicht passiert wäre, liegt nicht ganz richtig - solange Software auf dem Rechner nach dem Start die eigene Integrität prüft ist sie prinzipiell angreifbar.

 

[AngelDelivery]

Hallo, ich danke zunächst allen für die wertvollen Ratschläge. Mir erscheint der miniboot allerdings am Verlässlichsten.

 

[rat]

Wo wir schon mal beim Thema sidn habe ich hier etwas Interessantes was Kaspersky sich hat Patentieren lassen.

http://www.pcwelt.de/start/sicherhe...hardware-antivirus-soll-festplatte-schuetzen/

 

[Gelöschtes Mitglied 17683]

Es gab von Kaspersky auch mal einen Analyse-Bericht zu Bootkits aus dem Jahre 2008:
Bootkits – die Herausforderung des Jahres 2008
Teilweise sind die Methoden bekannt, aber im Großen und Ganzen fand ich es einen interessanten Artikel. Natürlich schreiben sie auch, dass ihre Kaspersky-Produkte gegen diese ganzen Gefahren schützen können, aber das dürfte wohl nur zutreffen, wenn Kaspersky entsprechende Signaturen anbietet und ihr toller proaktive Schutz aktiviert ist.

 

[rat]

Es muss dazu aber etwas ganz wichtiges erwähnt werden.
Es gibt nur Sinowal der als Bootkit Agiert,die anderen widerrum wie Rustock ist ein Rootkit und Pushdo,Mega-D etc haben ein Rootkit integriert.

Alle will ich hier nicht aufzählen nur die wichtigsten,am besten mal hier schauen.

http://www.m86security.com/labs/bot_statistics.asp

http://www.secureworks.com/research/threats/topbotnets/