Ich frage jetzt mal ganz blöd, wieso wurde noch nicht das Bios vom Mainboard neu installiert oder mal richtig zurückgesetzt?

Tutorial zur Entfernung eines VBR Rootkits
https://www.youtube.com/watch?v=YMjjoPWTaqw

Zitat:

Zitat von deeprybka

So wie Schrauber schon sagt, ist es äußerst unwahrscheinlich mit solcher Malware in Kontakt zu kommen. Und zusätzlich ist sie für Win 8 oder 10 auch nicht konzipiert (Secure Boot).

Wieso, wenn man eine wichtige Position inne hat, ist es durchaus möglich gezielt mit professioneller Schadware angriffen zu werden

Zitat:

Ganz besonders nicht, wenn ihr selbst werbefinanziert seid und ebenfalls automatisiert Werbung verteilt ohne diese vorher auf ihren Inhalt ueberprueft zu haben. Wer im Glashaus sitzt, ... .
Malvertising ist nichts gaenzlich Unbekanntes. Da gab es schon schicke Sachen.

Das wusste ich nicht bis du es geschrieben hast. Welche Firma/Firmen stehen denn hinter der Werbefinanzierung des Trojaner Boards?

Zitat:

Zitat von laxxal

Ich frage jetzt mal ganz blöd, wieso wurde noch nicht das Bios vom Mainboard neu installiert oder mal richtig zurückgesetzt?

Als Grund faellt mir die Groesse des Bios-Chips und der Inhalt ein. Davon abgesehen ist heutzutage das Bios eigentlich nur noch eine Bios-Emulation.

Nichts ist unmoeglich, wenn es maszgeschneidert wird aber dann muessten auch die Tastatur und die Maus ausgetauscht werden, denn die haben teils wesentlich mehr Speicher frei verfuegbar.

Selbstverstaendlich kann man das machen, ganz besonders wenn eine neuere Version verfuegbar ist. Allerdings weiss man nicht, ohne den Schaedling zu kennen, wieviel Erfolg beschieden sein wird. Denn von innerhalb des infizierten Systems wuerde ja moeglicherweise das Bios gleich wieder kompromittiert. Und wie boote ich in einen Zustand vor dem Bios? Ah, ASUS Dual-Bios muesste jeder haben ...

Desweiteren sollte man nicht unbedingt das Bios ohne Not flashen, ohne Dual-Bios kann das auch mal mit einem Neukauf enden. Selbst Hersteller empfehlen oft, das Bios nur zu flashen zur Fehlerbehebung.

Ein EEPROM laesst sich nur im Stueck schreiben. Also muesste der Schaedling das BIOS auslesen, modifizieren und modifiziert inklusive korrekter Checksumme zurueckschreiben.

Ein erfolgreich verbreiteter Schaedling muesste eine moeglichst vollstaendige BIOS-Datenbank mit allen moeglichen Versionen mitfuehren fuer alle moeglichen Mainboards.
Okay, einige Interrupte sind einfacher zu kompromittieren als andere, aber dann muesste der Schaedling immerhin in der Lage sein, erfolgreich kleinere Codestuecke zu analysieren. Und das bei einer absolut minimalen Groesse. Wie wir heute wissen, eine Maus zu infizieren ist erfolgversprechender.

Sollten sich solche Schaedlinge irgendwann doch durchsetzen, dann muessen die BIOS-Programmierer nur den freien Platz im ROM mit Zufallszahlen fuellen und der Schaedling waere ausserstande Platz zu finden. Lohnt sich nicht mehr denn dank UEFI sind zukuenftig neue Strategien gefragt. Zertifikate, Zertifikate, Zertifikatkollisionen.

Zitat:

Zitat von purzelbär

Das wusste ich nicht bis du es geschrieben hast. Welche Firma/Firmen stehen denn hinter der Werbefinanzierung des Trojaner Boards?

Ein kleiner Blick in den HTML-Code zeigt, dass man nicht zimperlich ist und mit Google und Amazon gleich zwei zugegebenermaszen serioese Anbieter benutzt. Allerdings ist Amazon in der Vergangenheit (2014) schon durch fleissiges Verteilen von Malware aufgefallen.
Auch Google-Tochter Youtube hat es schon erwischt. (Ganz zu schweigen von Disaster-doubleclick)
Wenn diese ihre Werbung outsourcen oder anderweitig gehackt werden, dann ist Unfug nicht weit.

Zitat:

Zitat von laxxal

Wieso, wenn man eine wichtige Position inne hat, ist es durchaus möglich gezielt mit professioneller Schadware angriffen zu werden

Naja, in so einer Position hat man regelmaessig eine gut bezahlte IT-Abteilung hinter oder neben sich und wird nicht im TB posten.

Jetzt weiß ich auch warum eine Google Suchmaschinenfunktion in TB integriert ist
Wegen Avira: Avira arbeitet nicht mehr mit Ask zusammen falls man Avira Safe Search installieren würde, steht zwar noch so auf deren Webseite, aber ein Mitarbeiter von Avira hat heute in einem anderen Forum gepostet das Avira nun Yahoo als Partner hat:

Zitat:

In der aktuellen Version von Avira Safe Search wird Yahoo für die Suchergebnisse verwendet In den Datenschutzbestimmungen auf der Avira Website wird noch beides genannt (Ask und Yahoo) weil es noch Anwender mit den vorherigen Produkten gibt.
Die Ask Toolbar wurde aus der Avira Antivirus Pro Software Ende Juni 2014 entfernt und Ende 2015 die Suche auf Yahoo umgestellt.

Um mal noch "kurz" meinen Senf dazuzugeben (Muss ich ja fast irgendwann mal bei einem Thread über Boot- bzw. Rootkits)

- In einem oder mehreren Logs von dennissteins werden "Hooks" im Kernel angezeigt. Die Hooks auf dem 32-Bit Windows 7 sind zum Grossteil von Kaspersky. klif.sys biegt hier einiges auf sich um, damit dein AV informiert wird, wenn seltsames Verhalten im System auftritt (Behavior-based Analysis). Hooking ist hier in Ordnung, weil es für x86 keinen PatchGuard (KPP) gibt. Usermode-Hooking hängt mit Sandboxen (von vorgestern) und/oder mit Kompatibilitäts-Shims zusammen. Das APIset Schema von Windows 7?+ z.B. kann zu Meldungen von IAT- resp. EAT-Hooks in Rootkitscannern führen.
- Hooking seitens Boot-/Rootkits ist absolut veraltet und untauglich.
- Wenn ich ein Rootkit schreiben müsste, das auch nur annähernd so unentdeckbar sein soll, wie du es beschreibst, würde ich es als wiederentladenen Gerätetreiber tarnen, dessen Code per APC zur Laufzeit EINZIG und ALLEIN im Kernelspeicher umherhüpft. Eher NIEMALS würde ich unbekannte Benutzer anlegen, oder gar Systemaufrufe modifizieren.

Abgesehen von der Sinnlosigkeit von Hooking und unbekannten Benutzern hat dein Rootkit sein primäres Ziel ganz deutlich verfehlt. Das primäre Ziel ist es, solange wie möglich ohne Notiz des Opfers die Maschine zu infiltrieren. Du hast das Bootkit aber "entdeckt".
Wenn der Angreifer tatsächlich BIOS und UEFI patchen würde, würde er bestimmt keine Entdeckung wollen.

Fazit, ich gehe kaum bis nicht davon aus, dass da in deinem PC oder Netzwerk irgendetwas 0.08 % Spezielles ist.

@bombinho: Der grösste Sprung bzgl. Kernelveränderung ist für mich Windows 2003/XP zu Vista. Die ganzen Neuerungen wie Protected Media Path, UAC, Session-Isolation und neue Prozesserstellung mittels "NtCreateUserProcess" statt "NtCreateProcess(Ex)" beziehen sich nicht nur auf den Usermodus...
Markant sind auch die Unterschiede von 32- und 64-Bit. PatchGuard, Treiber-Signierungszwang, x64-ABI und Neudesign von strukturierter Fehlerbehandlung (SEH).
Mit Windows 10 wurde ausser DeviceGuard und weiteren HV-basierten Neuerungen nicht viel am Kernel verändert. Die Einführung des Metro-Designs hat ausser AppContainer nicht viel mit dem Kernel zu tun. Was hingegen stark überarbeitet wurde, ist der graphische Teil des Kernels. Neben tiefem (!) "Aufräumen" und "Ausmisten" des Codes gibt's jetzt statt nur einer "win32k.sys" gleich drei davon.

Freundliche und bootkit-freie Grüsse!
Microwave

Zitat:

Welche Firma/Firmen stehen denn hinter der Werbefinanzierung des Trojaner Boards?

oh my fucking god......

Zitat:

Fazit, ich gehe kaum bis nicht davon aus, dass da in deinem PC oder Netzwerk irgendetwas 0.08 % Spezielles ist.

Ich bin gespannt wieviele Meinungen er noch braucht. Aber eins noch:

Zitat:

Das bestätigt auch mein Angebot: niemand der Skeptiker, die als erstes hier rein geschrieen haben "höchstens im Labor" usw. ist bereit sich ersthaft damit auseinanderzusetzen. Wundert mich schon sehr, einerseits existiert die Malware bei uns laut deren Ansicht gar nicht, andererseits wird ein direkter Kontakt, der vieles klären könnte per se vermieden. Passt hinten und vorne nicht.

Und mit dem Argument Zeitverschwendung kann mir auch niemand kommen, die 5-10 Min. Lebenszeit...

Sonst ist aber alles gut? Kein Fieber oder so?
Nochmal:
Es gibt Bootkits, ja
Es gibt Rootktis, ja
Gibt es sowas wie du es beschreibst > vielleicht
Wo > nur im Labor oder bei Personen, die von Interesse sind

Jetzt gehen wir mal davon aus du wärst US Präsident oder Trilliardär, und nicht jedem anderen Menschen, vor allem Malwareschreibern, scheiss egal, und du hättest so eine Malware:

Glückwunsch. Bau das Board und die Platte mit allen Controllern aus, kannste dir einrahmen und hinhängen. Da kann kein Mensch helfen, und erst recht nicht über ein Forum, mit normalen Tools und Logs.

Und weil wir das wissen, brauchen wir auch keine 10 Minuten Lebenszeit zu verschwenden.

Zitat:

Zitat von Microwave

[SNIP]
@bombinho: Der grösste Sprung bzgl. Kernelveränderung ist für mich Windows 2003/XP zu Vista. Die ganzen Neuerungen wie Protected Media Path, UAC, Session-Isolation und neue Prozesserstellung mittels "NtCreateUserProcess" statt "NtCreateProcess(Ex)" beziehen sich nicht nur auf den Usermodus...
[SNIP]
Neben tiefem (!) "Aufräumen" und "Ausmisten" des Codes gibt's jetzt statt nur einer "win32k.sys" gleich drei davon.

Also ich habe den Kernelquelltext nicht gesehen, aber Microsoft hat sich damit gebruestet, dass seit Win7 ein Kernelumbau stattfand, bei dem Hauptaugenmerk ist, Rechte situationsbedingt einzuschraenken. Mit Win 10 war der Umbau als abgeschlossen gemeldet werden.

Ich guck mal ob ich das finde aber im Prinzip ging es darum, dass viele Aufrufe nichts im Kernel verloren haben und eine Ausfuehrung im Usermode voellig ausreichend ist.
Dass der Umbau fuer die Software transparent bleiben sollte ist ziemlich klar aber es wurde Augenmerk darauf gelegt, was ueberhaupt zwingend im Kernelmode laufen muss, alles andere flog raus und darf sich jetzt im Usermode tummeln.

Damit soll im Prinzip die Angriffsflaeche fuer Rechteausweitungen deutlich verschlankt werden bei moeglichst hoher Rueckwaertskompatibilitaet.

Zitat:

Zitat von schrauber

oh my fucking god......



Jetzt gehen wir mal davon aus du wärst US Präsident oder Trilliardär, und nicht jedem anderen Menschen, vor allem Malwareschreibern, scheiss egal, und du hättest so eine Malware:

Mein Gott man muss nicht Superman sein um mit professioneller Malware angegriffen zu werden.
Es reicht aus ein hoher Beamter, ein Ingenieure, ein Techniker bei einem sicherheitsrelevanten Unternehmen zu sein oder man ist ein Dschihadist.

Ein Szenario:
Max Mustermann hat nach der Schule eine Ausbildung bei Rheinmetall gemacht.
Auf einer Messe trifft er die hübsche Asiatin Hanna. Hanna ist traurig, ihr Laptop sei kaputt gegangen und sie müsse wichtige Dokumente nochmal bearbeiten und dann unbedingt drucken. Ganz verzaubert von Hanna steckt Max Mustermann den USB Stick von Hanna in den Firmenlaptop und öffnet die Dokumente.
Drei Knutscher später wählt sich Max Mustermann via VPN ins Interne Firmenetz ein

MaxMustermann hat natürlich auch volle Adminrechte und weil man bei $bigCompany noch nie was von Gruppenrichtlinien und Security gehört hat gibt es auch keine aktiven Software Restriction Policies

Zitat:

Zitat von cosinus

MaxMustermann hat natürlich auch volle Adminrechte und weil man bei $bigCompany noch nie was von Gruppenrichtlinien und Security gehört hat gibt es auch keine aktiven Software Restriction Policies

Mal abgesehen von gesetzlichen Vorschriften und fast immer auch von hoeherer Instanz diktierter Sicherheitsmasznahmen. Wenn ein kleines Unternehmen seine IT mit einem Groesseren verbindet, muss es regelmaessig vorher deren Richtlinien umgesetzt haben, was auch kontrolliert wird.

Zitat:

Zitat von laxxal

Mein Gott man muss nicht Superman sein um mit professioneller Malware angegriffen zu werden.

Hat Max Mustermann sich dann via VPN eingewaehlt, wird sein Account verhaltensauffaellig und daraufhin gesperrt. Max Mustermann wird befoerdert (moeglicherweise zur Tuer hinaus).

So ganz nebenbei ist das hier aber ein vermutetes Bootkit, was erstmal nur auf Max Mustermanns Rechner haust, der MBR vom AD-Server ist in weiter Ferne. Moeglicherweise ist ueber das VPN aber gar nur ein Webinterface erreichbar.

Also muss das Boot/Rootkit furchtbar leise sein, denn es weiss nicht, welche (Netzwerk)aktivitaeten ueberwacht werden. Es sollte sich am besten nur auf den lokalen Rechner beschraenken. Aber dann wird es mit dem Verbreiten bloed.

Oder wir kommen wieder auf die maszgeschneiderte Loesung zurueck, aber da schliesst sich der Kreis wieder (Aufwand/Nutzen). Lohnt es sich, hunderte oder gar tausende von Mannstunden fuer ein paar Euro vom Paypalkonto und ein paar Dokumente eines Mitarbeiters, der keine streng ueberwachten Informationen bearbeitet, aufzuwenden?

Wenn das so ist, dann tausche ich freiwillig meine Tabelle mit den Heizkosten gegen ein Exemplar solch ausgefeilter Malware. Schon aus Neugier. Ich lege auch noch freiwillig ein paar Screenshots drauf.

Malware zu schreiben ist einfach, erfolgreiche Malware zu schreiben ist schon schwieriger, aber langfristig verbreitete Malware zu schreiben ist ein Vollzeit-Job.

Denn es ist ziemlich ungewoehnlich, dass sich ein Impressum in der Malware befindet, wo dann auch Supportadressen zu finden sind, falls die Malware mal nicht wie erwartet funktioniert.

Ob man Dschihadisten mit Cyberwaffen ausstatten sollte, bleibt fraglich.

Joar, das kommt noch hinzu. Selbst wenn Max über VPN drin ist ist die Frage was die malware denn nun da machen soll ohne aufzufallen.

Mal abgesehen davon, dass die liebe Hanna ja nur "normale" malware auf das Notebook gebracht hat und keine magic malware wie DennisSteins die sich einbildet hier schildert . Dazu müsste Hanna ja nicht nur das OS von Opfer Max, sondern auch noch die ROMs, UEFI oder so in seinem Notebook kompromittieren.

Zitat:

Es reicht aus ein hoher Beamter, ein Ingenieure, ein Techniker bei einem sicherheitsrelevanten Unternehmen zu sein oder man ist ein Dschihadist.

sorry, aber du redest von normaler Malware, und nicht von so einem Ding wie hier beschrieben, welches noch NIEMAND live in action gesehen hat, in der Praxis.

@dennissteins

Ich habe nochmal deine Posts angeschaut, mein dringlichster Rat ist, nicht mehr als Administrator zu arbeiten ausser es ist notwendig, wenn Du Adminrechte brauchst, dann nutze einfach "Ausfuehren als". Manchmal ist der Umweg ueber einen Rechtsklick auf das Symbol in der Taskleiste notwendig aber es ist fast alles machbar.

Zum anderen wuerde ich mal Sysinternals ProcessExplorer benutzen. Mark Russinovich hat eine tolle Anleitung (auf Englisch) in https://www.youtube.com/watch?v=Wuy_Pm3KaV8&ebc .
Genial ist die Moeglichkeit, die Signaturen ueberpruefen zu lassen und in der Uebersicht anzeigen zu lassen. Ebenfalls genial finde ich die Farbcodes.

Process Hacker >> Process Explorer (imho)

Grüsse - Microwave

@Microwave, Cool, habe ich schon seit Jahren nicht mehr angeschaut, hat sich zu einem netten Spielzeug entwickelt.