Auffällige Prozesse im Process Explorer könnten bald Geschichte sein...
Wer gleich komplett auf englisch lesen möchte sollte am Ende des Artikels gehen ;-)
Hauptbestandteil von TDL4 ist der Kernel-mode Treiber welcher installiert wird. Dieser läuft auf Ring-0 und erlaubt allerhand durch API-Hooking, Subclassing. Desweiteren wird ein Bootkit eingesetzt um sich selbst zu laden. Dieses Rootkit benutzt einen Trick in macht eine Injection mit der cmd.dll oder unter 64 Bit Systemen mit cmd64.dll theoretisch auf jeden Prozess, allerdings liegt eine Liste bei welche Prozesse abgeläuscht werden sollen z.B. Firefox. Um dort z.B. eine HTML-Injection vorzunehmen um z.B. Webseiten umzuleiten also beispielsweise im <form action="------" verändern, oder gar gleich ein komplettes <iframe> einzufügen, um das Dokument an einen anderen Server zu schicken, welcher dann wieder zurückleitet, bei einer beliebigen Login Seite, oder sogar bei Geldtransaktionen.
Das Rootkit kann aus der Ferne C&C - Server gesteuert werden
Die Kommunikation läuft über HTTP/HTTPS ab. Wobei die Domain vom Steuerserver mit RC4 cipher verschlüsselt wird. Im Part 2 vom Artikel werden die einzelnen Steuerkommandos erklärt z.B. Download und Execute oder auch DownloadCrypted... die Verwendung sollte klar sein, weitere Malware herrunterladen, oder halt eigene Updates von sich selbst. Verschlüsselt bewirkt das Antiviren Programme damit schneller ein Problem haben.
Hooking mswsock - Umleiten von Datenverkehr
Das Rootkit hängt sich in der mswsock.dll an
- WSPSend;
- WSPRecv;
- WSPCloseSocket.
Das Hidden-FS - komplett verstecktes Dateisystem in Disk-Partition
In dem Dateisystem liegen die kompletten Komponenten des Rootkits liegen verborgen. Es wird einfach Speicherplatz beansprucht am Ende der Systempartition. Es erzeugt im Betriebssystem einen eigenen physikalischen Treiber um auf die Max. 8MB zugreifen zu können. Es überschreibt genauer gesagt den miniport Gerätetreiber für die Festplatte. Der Treiber überwacht den Bootsektor und das versteckte Dateisystem vor eingriffen.
Bootkit - Wie das Monster sich lädt und in den Speicher lädt.
Es wird der Master Boot Record (MBR) überschrieben. Dieser wird im Verlaufe des Bootvorgangs wiederherstellt aus dem versteckten Dateisystem. Der Trick hierbei das Bootkit bleibt im Arbeitsspeicher erhalten und kontrolliert ab sofort alle Festplattenzugriffe. Wer genauer wissen möchte Wie sich das Bootkit startet sollte den englischen Beitrag lesen dieser enthält einige Veranschaulichungen und beschreibt im Detail wie es zu zum Beispiel an der Treiber Signaturprüfung für einen Kernel-Treiber vorbeikommt, wieso das Bootkit selbst den MBR beschützt!
Alle Teiler der Kolumne zum Nachlesen
- TDSS part 1: The x64 Dollar Question
- TDSS part 2: Ifs and Bots
- TDSS part 3: Bootkit on the Other Foot
Keine Kommentare:
Kommentar veröffentlichen