Rootkit in memory dump zoeken
12-09-2011,23:43 door
Heise heeft vandaag een leuk artikel gepubliceerd over het zoeken van rootkitsporen in memory dumps. Auteur Frank Boldewin laat nog eens zien hoe eenvoudig het voor een rootkit is om een virusscanner en personal firewall te bypassen - zodra de rootkit geïnstalleerd is.
Engelstalige versie: http://www.h-online.com/security/features/CSI-Internet-A-trip-into-RAM-1339479.html.
Originele Duitstalige versie: http://www.heise.de/security/artikel/Tatort-Internet-Eine-Reise-ins-RAM-1337160.html.
Stukje uit de Engelstalige versie:
Er wordt o.a. gebruik gemaakt van van de WinDD utilities geschreven door Matthieu Suiche (zie http://www.msuiche.net/about/). Matthieu heeft o.a. voor ons NFI gewerkt en legt z'n tool uit in slides gepresenteerd op de Shakacon 2009, waarvan je een verwijzing hier kunt vinden: http://www.msuiche.net/2009/06/12/challenge-of-windows-physical-memory-acquisition-and-exploitation/.
De laatste versie van Matthieu's "MoonSols Windows Memory Toolkit" vind je hier: http://www.moonsols.com/windows-memory-toolkit/. De 32bit community edition is gratis (de 64bit versie niet).
Papers van Frank Boldewin vind je hier: http://www.reconstructer.org/papers.html.
Engelstalige versie: http://www.h-online.com/security/features/CSI-Internet-A-trip-into-RAM-1339479.html.
Originele Duitstalige versie: http://www.heise.de/security/artikel/Tatort-Internet-Eine-Reise-ins-RAM-1337160.html.
Stukje uit de Engelstalige versie:
Door Frank Boldewin: The malicious program first used such functions as VirtualAllocEx() to reserve memory in the context of the Explorer process and then used WriteProcessMemory to write its own code in. Since the Phrack article entitled NTIllusion:A portable Win32 userland rootkit (http://www.phrack.org/issues.html?issue=62&id=12), this has been a standard way of hijacking other processes to use them for your own purposes – such as calling home without the firewall knowing.
Er wordt o.a. gebruik gemaakt van van de WinDD utilities geschreven door Matthieu Suiche (zie http://www.msuiche.net/about/). Matthieu heeft o.a. voor ons NFI gewerkt en legt z'n tool uit in slides gepresenteerd op de Shakacon 2009, waarvan je een verwijzing hier kunt vinden: http://www.msuiche.net/2009/06/12/challenge-of-windows-physical-memory-acquisition-and-exploitation/.
De laatste versie van Matthieu's "MoonSols Windows Memory Toolkit" vind je hier: http://www.moonsols.com/windows-memory-toolkit/. De 32bit community edition is gratis (de 64bit versie niet).
Papers van Frank Boldewin vind je hier: http://www.reconstructer.org/papers.html.
