Gevaarlijke Windows-rootkit verstopt zich dieper op schijf
Er is een nieuwe versie van de gevaarlijke TDL4 Windows-rootkit ontdekt, die zich nog dieper op de harde schijf verstopt. Vorige versies overschreven de MBR (Master Boot Record) en aan het einde van de harde schijf werd ruimte overgelaten om kwaadaardige onderdelen op te slaan. De nieuwste versie van TDL4 hanteert een geheel andere aanpak. Eerst maakt het een partitie aan op het einde van de harde schijf waarvan wordt opgestart. Bij Vista en nieuwere Windows-versies is er soms aan het einde van de harde schijf wat niet gepartitioneerde of ongealloceerde ruimte.
Meestal is deze ruimte voldoende voor de opslag van de rootkit-onderdelen. Soms is er zelfs voldoende ruimte beschikbaar voor een eigen "rootkit partitie", zo ontdekte anti-virusbedrijf ESET. De malware maakt in dit geval een verborgen partitie aan door de vrije partitie-tabel te wijzigen. De partitie wordt vervolgens als actief aangemerkt en de VBR (Volume Boot Record) van de nieuw aangemaakte partitie geïnitialiseerd.
Als er geen vrije ruimte in de partitie-tabel is, dan meldt de malware dit aan de Command & Control-server en stopt de installatie. Ook fouten worden aan de malware-maker doorgestuurd, wat volgens de virusbestrijder teken is dat de bot nog in ontwikkeling is.
Controle
Door deze aanpassingen wordt de MBR zelf niet aangepast. Het enige dat TDL4 wijzigt is de partitie-tabel. De volgende keer dat de computer wordt gestart, wordt na de MBR de VBR van de rootkit geladen, en daarna pas het Windows besturingssysteem. Ook controleert de malware of het niet in een virtual machine wordt geladen. Dit is standaard bij veel malware, maar nieuw voor de TDL4-rootkit, die als één van de meest geavanceerde rootkits te boek staat.
Volgens ESET wijzen de veranderingen erop dat het team dat de malware ontwikkelde is veranderd, of dat de ontwikkelaars zijn begonnen met de verkoop van een bootkit-builder aan andere cybercriminelen.
Unified Extensible Firmware Interface (UEFI), we gaan er allemaal aan.
[evenietsanders]Tweede artikel dat ik zie met een dubbel plaatje! Lijkt wel of security.nl gehakt of geviraald is! Komt in ieder geval niet door de gebruikers, die mogen geen plaatjes plaatsen! ;-)[/evenietsanders]
Dat kan worden voorkomen door de HD met fabriekssoftware te wissen, partitioneren & formatteren, bv. MaxBlast van Seagate, in feite Acronis, WD biedt er ook een versie van aan.
Vanaf daar kan je dan wel met het standaard Windows format de hele schijf wissen/laag-formatteren.
De niet gepartitioneerde of ongealloceerde ruimte aan het einde van de harde schijf word zover ik weet alleen veroorzaakt door te partitioneren met fdisk of diskpart, dus ook in pre-Vista.
Wat natuurlijk niet kan garanderen dat dit soort virea gebruik maakt van PartitionMagic-achtige functionaliteit.
Unified Extensible Firmware Interface (UEFI), we gaan er allemaal aan.
en het begin van de totale mallware controlle, want ook EFI wordt geknakt.
Unified Extensible Firmware Interface (UEFI), we gaan er allemaal aan.
Ik weet in ieder geval zeker dat Mingos er alles aan zal doen om GNU/Linux vriendelijke machines aan te bieden. Maak me daar eerlijk gezegd niet zo veel zorgen over.
Unified Extensible Firmware Interface (UEFI), we gaan er allemaal aan.
en het begin van de totale mallware controlle, want ook EFI wordt geknakt.
Als je niet weet wat je schrijft kun je maar beter niets schrijven: onder Linux zou UEFI direct als nieuw device herkenbaar zijn. Malle waar !
Zoja, ik ben benieuwt wat van bestandssysteem gebruikt is.
Zoja, ik ben benieuwt wat van bestandssysteem gebruikt is.
Is geen filesystem, er kan een wilekeurige reeks sectoren worden beschreven en geladen die buiten de gepartitioneerde delen van de schijf vallen.
Zoja, ik ben benieuwt wat van bestandssysteem gebruikt is.
Is geen filesystem, er kan een wilekeurige reeks sectoren worden beschreven en geladen die buiten de gepartitioneerde delen van de schijf vallen.
Dat hoeft niet een per-se bekend bestandssysteem te zijn!
CDFS, NTFS, HPFS, HQX, whatever...
FAT, FAT32,.. Ja?.. Nou &?..Atari???... ;-)
LL&P
Zoja, ik ben benieuwt wat van bestandssysteem gebruikt is.
Is geen filesystem, er kan een wilekeurige reeks sectoren worden beschreven en geladen die buiten de gepartitioneerde delen van de schijf vallen.
Dus er moet bootcode op staan. Nu staat het bootrecord van een (primaire) partitie buiten het filesysteem.
Maar de bootsector is maar 512 Bytes, dus daar kun je niet heel erg veel in kwijt.
Er hoeft geen compleet filesysteem op te staan, maar als ze zelf iets gemaakt hebben, moet je dus ook zelf een nieuwe bootrecord schrijven.
Ik vermoed dat er dus wel iets op staat wat heel erg veel lijkt op een bestaand filesysteem.
In het ergste geval kan het virus een hypervisor starten, zodat je eigen OS feitenlijk binnen een gevirtualiseerde omgeving draait.
Dit kun je vanuit je Windows (of Linux) niet zien en je kunt die extra partitie dan niet eens zien of benaderen.
- TDSSKiller van Kaspersky: http://support.kaspersky.com/faq/?qid=208283363
- FCleaner: https://www.ing.nl/particulier/internetbankieren/veilig-internetbankieren/cleaner/index.aspx
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.