Neste generasjon rotverktøy

[Superslask]

*snip*

Nå sier han "routere med brannmur" ikke "thomson speedtouch med NAT". NAT oversettes ikke til brannmur i min ordbok, nærmeste du kommer er IP-maskering.

 

Edit:

Og dette er vel heller ikke begrenset til visse porter:

Brannmur i router osv. stopper bare visse porter

Endret 18. juli 2006 av Superslask

[G]

Takk Microsoft for at dere laget Alternate Data Streams (sarkasme). Microsoft gjorde vel dette for å være kompatible med blant annet Mac OS filsystemet.

 

Så ADS er en gaffel (norsk oversettelse av engelsk: fork). :!:

 

http://www.diamondcs.com.au/index.php?page...id=ntfs-streams

 

Why does NTFS support streams?

The main (but not only) reason is for Macintosh file support. Files stored on the Macintosh file system consist of two parts (known as forks) - one data fork, and one resource fork. Windows relies on the extension of the file (eg. ".exe") in order to determine which program should be associated with that file. Macintosh files use the resource fork to do this. NT stores Macintosh resource forks in a hidden NTFS stream, with the data fork becoming the main parent file to the stream. ADS has other uses. As just one example, you could store a thumbnail image of a picture in a stream and even an audio track, allowing a single file to have several multimedia components. Some anti-virus programs store checksums in a stream under every file on your disk.

 

Les mer om gaflene her:

http://en.wikipedia.org/wiki/Fork_%28filesystem%29

Endret 18. juli 2006 av G

[G]

Blandinger av språk høres etter min mening like dumt ut som blandingsdialekter.

 

Rotverktøy høres ut som et godt beskrivende og norskklingende ord for engelske rootkit.

Rotverktøy er vel sånn en ligger uti åkeren med for å plukke løvetann med. :!:

[inzyr]

Jeg tror nok ikke folk forstår seg nettopp på hvor mye bedre Rustock.A var laget i forhold til andre rotverktøy. Selv om mange rotverktøy er ganske enkle å fjerne om du har litt kunnskap så er denne mye vanskeligere. Altså det er forsatt mulig ved å starte opp fra et annet rent medium eller ta HDD til en annen maskin, men å gjøre det fra windows er for vanskelig med tilgjengelige verktøy i dag.

 

Rustock.A er en enkel kernel mode driver (jo enklere, desto mindre ledd å angripe den på) som legger seg in i ADS (Alternate Data Streams) på NTFS filsystemet. Den legger seg in i mappen system32 (noe få vet er at mapper også kan inneholde ADS informasjon). Svært få verktøy kan håndtere ADS informasjon idag og derfor er dette veldig effektivt, men i tillegg til dette bruker Rustock.A vanlige rotverktøy metoder for å gjemme seg, noe som gjør det extra vanskelig å finne og å fjerne den. Siden den også kjenner igjen de mest kjente anti-rotverktøyene på markede så kan den tilpasse seg for å unngå å bli funnet (så klart så har noen av anti-rotverktøyene blitt oppdatert slik at de unngås å bli oppdaget av Rustock.A). Som om det ikke er vanskelig nok å slette informasjon fra ADS med verktøy tilgjengelig i dag så er den er aktiv i de fleste windows sesjoner inkludert sikkerhets modus, så man kan ikke fjerne den der heller. Det letteste er nok å å starte opp en windows version fra cd og slette den der med et ADS verktøy eller bruke Windows Recovery Console (starte opp fra windows xp installasjon cden) eller ta HDD til en ren pc og slette ADS informasjonen mens du kjører et rent OS på den andre maskinen.

 

Men til slutt vil jeg legge til dette, det er mulig å fjerne denne rotverktøyen mens den kjører (uten å ty til de overnevnte metodene), men det er ikke tilgjengelig for allmenheten enda. Trolig vil det komme i form av oppdateringer til antiviruser som har egne anti-rotverktøy motorer (slik som F-secure, KAV 6, NOD32, BitDefender, etc...) om det kan stabiliseres nok.

6506554[/snapback]

 

Først sjekk ut http://www.symantec.com/security_response/...5747-99&tabid=2

 

Iht Symantec sin beskrivelse av hvordan verktøyet virker så lager den en service som kjører i tillegg som hooker seg på kernelnivå og filterer ut bl.a ZwEnumerateKey. Dvs hvis du åpner en registry-editor som benytter standard API-calls får du kun fram det kittet vil vise deg.

 

Jeg lurer på hvorfor du mener at dette virus også er aktiv i sikkerhetsmodus? Ingenting indikerer at den skal være det.

Det er kun en service som er oppstarten for kittet. Derfor er hovedmålet å fjerne servicen. At dette kittet benytter ADS er jo bare en alternative måte å gjemme filer. (Det er jo ikke rocket-science det her http://support.microsoft.com/kb/105763/) Siden kittet ikke hooker seg på filsystemet så kan man jo bare benytte LADS (http://www.heysoft.de/Frames/f_sw_la_en.htm). Da får du en fin liste over alle filer som måtte være der. Alternativ kan du sjekke denne http://www.codeproject.com/csharp/CsADSDetectorArticle.asp

 

Hvis dette kittet skulle vært det ultimate må den:

1. Være på drivernivå, dvs erstatte kbdclass.sys f.eks

2. Ha en service som kbdclass.sys sørget for alltid kjørte (uansett sikkerhetsmodus eller ei)

3. Servicen skal sette en hook på det meste av enum funksjoner for å skjule at den er der

4. Gjøre noe så genialt som Rustock.B å forandre tcpip.sys, wanarp.sys og ndis.sys slik at windows firewall (og andre) kan gå å legge seg

5. Når dette er på plass kan man sette inn de funksjonene man ønsker, ftp, smtp, disable virusprogram osv...

5. Her er noen som alle kits burde gjøre. Overvåke prosessor/minne-bruk slik at brukeren ikke mistenker at det er noe på maskinen. På den måten vil infeksjonen vare lenger.

 

I fremtiden tror jeg vi kommer til å se enda mer utspekulerte varianter.

6510913[/snapback]

 

Vel det virker som om vi snakker om den samme tingen her. Både når det gjelder kernel mode driveren og rotverktøy metodene for å gjemme seg. Når det gjelder ADS så er det nok med verktøy som takler dette, men det er forsatt veldig få i det store bildet og de er ikke kjente blant allmenn folk. Du må forstå at jeg tenker på et virus som bruker denne teknikken med e.g. et sikkerthetshull i windows til å ta over pcer i verden og bruke dem til å spamme. Det hjelper lite om du og jeg fjerner viruset fra ADS eller om det er 1000 forskjellig verktøy som kan fjerne informasjon fra ADS, men mindre et verktøy ikke blir kjent gjennom media, eller gjennom antivirus firmaene, eller at selve antivirus programmene kan både lese og skrive til ADS (ikke alle kan dette per dags dato), så vil du og jeg forsatt oppleve mye spamming fra alle som ikke vet at de har virus (pga. rotverktøy metodene for å gjemme seg) eller hvordan fjerne viruset fra ADS om de finner det. Den beste løsningen er å ha et verktøy some er tilgjengelig på de fleste pcer, noe alle har hørt om er antivirus, og derfor om antivirus kunne håndtere ADS på en god måte så ville jeg ikke kalt problemet med viruser i ADS et problem. Og jeg er enig, det er ikke noe som indikerer at Rustock.A er aktiv i sikkerhetsmodus, men slik jeg har forstått det så er den det. Videre har jeg forstått det slik at akkurat nå er det umulig å skrive over ADS eller slette den mens Rustock.A kjører, da den faktisk beskytter seg selv mot det. Jeg er også enig i at Rustock.B er mye bedre fra en virus skrivers perspektiv da den også forandrer tcpip.sys, wanarp.sys og ndis.sys slikt at brannmurer får problemer, men det finnes måter for brannmuerer til å beskytte seg mot det der også, det er andre teknikker som er bedre om du vil lure en brannmur.

[inzyr]

*snip*

Nå sier han "routere med brannmur" ikke "thomson speedtouch med NAT". NAT oversettes ikke til brannmur i min ordbok, nærmeste du kommer er IP-maskering.

 

Edit:

Og dette er vel heller ikke begrenset til visse porter:

Brannmur i router osv. stopper bare visse porter

6512142[/snapback]

 

Må si at det kan hende det var jeg som missforstod, når vedkommende sa "Brannmur i router osv. stopper bare visse porter, og er veldig enkel å komme forbi for de som ønsker det" så tenkte jeg på vanlige routere. Dette er fordi måten utsagnet var formulert på så virket det slik som om det var dette vedkommende siktet til. For det første så passer ikke utsagnet til hardware brannmurer da de fleste er bedre enn vanlige software brannmurer (selv om dette kan debatteres), for det andre så sa han at de bare beskytter visse porter, noe som ikke stemmer med hardware brannmurer (ingen ville kjøpe en hardware brannmur som bare beskytter deg på visse porter når du kan få en som beskytter deg på alle porter), men det stemmer med visse routere som har filtrering på portene 1-1024, og det er disse jeg tenkte vedkommende siktet til. Derfor tenkte jeg mer på at det var routere med NAT og SPI vedkommende snakket om. Videre så er jeg enig at en router med NAT ikke er en brannmur, men en vanlig router med IP-maskering (forutom SPI som så klart er brannmur funksjonalitet, men bare en liten del av det), desverre så er det mange som kaller det for brannmur.

[bjokys]

Nå sitter vel utviklerene i Sony og sikler på den nye rotverktøyteknologien.

6506844[/snapback]

Nei, det tror jeg ikke.

 

Jeg er temmelig sikker på at Sony har patentert denne teknologien allerede, og bare klør seg i hodene etter ideear om hvordan få det ut til alle de slemme piratene, selv om det er kundene det går ut over.

[G]

En får passe seg for å slette checksum'mene som enkelte antivirusprogram legger som en ADS-"gaffel". For da hyler kanskje antivirusprogrammet om at du har sabotasje gående på systemet ditt. :!:

[Simen1]

Blandinger av språk høres etter min mening like dumt ut som blandingsdialekter.

 

Rotverktøy høres ut som et godt beskrivende og norskklingende ord for engelske rootkit.

Rotverktøy er vel sånn en ligger uti åkeren med for å plukke løvetann med. :!:

6512256[/snapback]

.. på samme måte som amerikanske/engelske bønder/gartnere river opp løvetann med sine rootkit

[kennethx]

En brannmur redder deg fra denne typen angrep dersom den stopper den aktuelle porten, så jeg håper du kjører brannmuren for litt mer en morro skyld

6506442[/snapback]

NAT stopper vel litt av kvart. Det er ikkje mykje brannmuren min stopper (bortsett frå utgåande trafikk som eg uansett tillater)

6506511[/snapback]

 

NAT stopper ingenting, NAT står for Network Address Translation, og er en måte å forwarde en port gjennom en brannmur til en ressurs på innsiden. NAT ødelegger internet, men det er en helt annen diskusjon. Hadde det ikke vært for NAT hadde vi hatt IPv6 for lenge siden. Du kan lese litt f.eks her: http://www.fourmilab.ch/speakfree/eol/

 

Men når du sier at du bruker NAT, så vil det jo si at du kjører med en brannmur! Jeg tipper du kanskje har en bredbåndsrouter med innebygget firewall. Da er det på en måte feil det du sier at du kjører uten brannmur, eneste du kjører mot uten brannmur er det lokale nettverket ditt, og infeksjonsfaren derfra er jo trolig svært liten Dersom du var på en dialup, eller en PPPOE forbindelse som gav PC'en din en ekte internet IP addresse, så burde du så absolutt kjøre med en brannmur.

 

Det du sier er ikke sant. De største virus spredningene av worms, mener den ble kalt blaster, spredde seg ved å gå direkte på en port og utnytte ett sikkerhetshull i windows.

Men Microsoft hadde vel lagt ut en fiks til sikkerhetshullet på Windowsupdate mange uker før ormen hadde spredd seg noe særlig, så dersom du hadde sunn fornuft på den tiden holdt du deg ren med mindre du var en av de aller første som ble angrepet.

6507001[/snapback]

Nja, i dette tilfellet hadde vel microsoft blitt informert om dette alvorlige sikkerhetshullet, men det tok over en måned før de kom på banen med en patch, og i mellomtiden hadde noen laget en blaster orm, som faktisk spredde seg til flere millioner PC'er på verdensbasis(patch og virus kom noe lunde samtidig slik jeg husker det).

Det er jo stadig snakk om disse 0-day virusene, virus som kommer samme dagen som ett sikkerhetshull blir funnet/publisert. Dette er jo microsofts store skrekk, men en skikkelig brannmur kan jo redde deg unna slikt .

Personlig hadde jeg ingen problemer med Blaster og dens inntog, da jeg kjører med en linux brannmur så windows PC'ene er skjermet for den store stygge ulven internet og koser seg i fred og fordragelighet på sitt lille LAN

 

Og, ja, såklart er det viktig å holde seg oppdatert på Windows patcher, men noen ganger er det ikke nok, å det er litt naivt å stole på ms til å holde innholdet på PC'en din trygt

[ATWindsor]

Blaster-patchen kom ca en måned før blaster, jeg husker blaster-saken meget godt, mye tull med det

 

AtW

[kennethx]

Brannmur i router osv. stopper bare visse porter, og er veldig enkel å komme forbi for de som ønsker det.

6507074[/snapback]

 

Hmm, kan du forklare dette nærmere?

 

La oss si at en bruker har en speedtouch bredbåndsrouter.

 

Vi lar ruteren få en ekte Internet IP addresse på 80.202.123.* (putt inn hva du vil for stjernen 1-254)

 

Brukeren har en PC på innsiden som får addressen 10.0.0.2 via DHCP fra ruteren.

 

Nå, på hvilken måte har du tenkt å nå PC'en med ip 10.0.0.2? Og hvilke porter er det mulig på?

 

Brukeren har ikke modifisert NAT tabellen i routeren med å legge inn port forwarding.

[kennethx]

Blaster-patchen kom ca en måned før blaster, jeg husker blaster-saken meget godt, mye tull med det

 

AtW

6526706[/snapback]

 

Det var jo flere runder med blaster, mye styr var det ja. Litt spent på den dagen det kommer 0-day virus jeg For kommer, kommer det nok til å gjøre...