Secure Banking - Online Banking auf der sicheren Seite!

Microwave

Hi SecureBanking,

Interessanter Ansatz, Bankingtrojaner zu entdecken!
Habe mir kurz das Funktionsprinzip deiner Software begutachtet und versucht, typische Situationen nachzustellen:
Dazu ließ ich die 32Bit-Version eines 64Bit-Userland-Rootkits laufen.

Zuerst war da das Installieren und Starten von SecureBanking. Trotz des Ring3-Rootkit-Guards bemängelte die Software in keinster Weise, dass sie gerade schon beim Start vom Rootkit gehookt wurde (die versteckenden Funktionen "ZwEnumerateValueKey", "ZwQueryValueKey", "NtEnumerateKey", "NtQueryDirectoryFile" und "ZwQuerySystemInformation" wurden verändert, DLL-Injektion über AppInit-DLLs).

Danach wurden Firefox21 (ja ich weiß, giga out-of-date) und Chrome32 abwechslungsweise gestartet, und jedes Mal erschien die Meldung, dass der Browser sicher sei.
Die Rootkit-DLL war aber auch in Chrome und Firefox geladen worden (just als sie gestartet wurden) und bog munter die obigen fünf Funktionen auf sich selbst um.

Ich bin dann auf die Idee gekommen, dass du nicht jede Schnittstelle überwachst, sondern nur die, die zum Übermitteln eines Formulars (oder einer Anfrage, etc.) zuständig sind.
Also habe ich diese Funktionen herausgesucht und mittels CheatEngine 6.2 pseudoverändert, nachdem ich sichergestellt hatte, dass die Funktionen auch wirklich aufgerufen wurden.
Das heißt, dass nach der "Code-Injection" im Firefox-Prozess ein Sprung auf testweisen von mir geschriebenen Code (z.B. push eax, add eax 3, pop eax) durchgeführt wurde, und dann erst wieder in die eigentliche Funktion gesprungen wurde (eben so ein Detour-Patch halt).

Obwohl mir das sogenannte Hookshark64 (geht auch für 32bit) anzeigte, dass die Hooks saßen, meldete dein SecureBanking seltsamerweise nach wie vor, dass der Browser sicher sei.
Jedoch hätte das Codeschnipsel in Klammern auch etwas "Sinnvolles" tun können, wie z.B. eben Daten verändern oder abgreifen, wo du ja drauf abzielst.

Als ich das selbe Spiel (manuelles Einfügen von Detour-Patches via CheatEngine6.2) mit Chrome durchführte, meldete sich der SecureBanking-Prozess wie erwartet zu Wort, dass eine (unbekannte) Malware gefunden wurde und der Browser gesichert werden konnte.


Fazit: 1.) Ist es geplant, dass dein Anti-Rootkit-Schutz nicht auf die fünf Nt- und Zw-Funktionen reagiert?

2.) Weshalb werden offensichtliche Schnittstellen-Hooks (send, WSASend usw.) nicht erkannt, wenn ich sie im Firefox anbringe, im Chrome allerdings schon?
Liegt das am veralteten Firefox?

3.) Ich habe auch versucht, unsinnigen Code direkt in die Watchdog-Funktion der in die sbservice.exe geladenen SecureBanking.dll zu schreiben. Teilweise passierte nichts, andere Male stürzte der Prozess ab. Was jetzt hier "unsinnig" war, hätte auch gezielt schlimme Dinge anstellen können. Weshalb hat SecureBanking diese offensichtlichen Veränderungen der wichtigen Watchdog-Funktion nicht bemängelt/verhindert?

4.) Über ZwQuerySystemInformation-Hooks in sbservice.exe könnte ich ja theoretisch den Prozess "chrome.exe" verstecken, der SecureBanking wüsste dann nicht mehr, dass dieser Browser läuft?


Trotzdem sehr vielversprechend das Ganze, freue mich schon auf Version 2.0!
Das Prinzip, alle wichtigen Schnittstellen im Browser zu überwachen, könnte man auch auf die gesamte Win32- /NTAPI anwenden (CreateFile, NtQueryDirectoryInformation, ..., NtLoadDriver).
Wäre das denn schwierig zum Bauen/erweitern?


Grüße - Microwave