Trend: spezialisierte Trojaner - Sicherheitsprodukte versagen auf ganzer Linie.
Juergen P. Meier
spezialisierte Schadprogramme (vulg. "Trojaner") gibt, die nur
begrenzte Benutzergruppen als Ziel haben.
Beispiele der letzten Zeit dafuer sind Account-Schnueffler fuer
Skype-Telefonierer, WoW und Second-Life Spieler etc.
Wo die meisten dieser Schadprogramme anfangs lediglich modifizierte
"Mainstream"-Programme waren, die von den meisten AV-Produkten
zumindest in der Heuristik noch ohne spezifisches PAtternupdate
erkannt werden konnten, habe ich gestern erst ein aktuelles solches auf
eine spezielle Benutzergruppe spezialisierte Trojanisches Pferd
gefunden, dass von keinem AV-Produkt, Trojaner/Rootkit-Finder oder
sonstigem Sicherheitsprodukt als Schadprogramm erkannt wurde.
(Gefunden: ich habe eine verdaechtige Datei (ein WoW-Addon, dass statt
den ueblichen Text/XML-dateien im zipfile eine .exe datei enthielt)
heruntergeladen, und mich packte die Neugierde. Ausserdem hatte ich
am Vortag erst wieder ein Vollbackup des Wintendorechners gemacht,
also hab ich das Teil mal im isolierten Testaufbau genauer analysiert)
Weder der Dropper selbst (das Infektionsprogramm), noch der
Nachlademechanismus (via WUAU, es hat sich einfach per WUAU ueber den
BITS Dienst als regulaeres Update mit zpezifischer URL eingeklinkt,
voellig unsichtbar fuer die Ueblichen "Personal Firewalls" oder
aehnliche Produkte) noch die Integration per DLL-Injection in den
Wireless Zeroconfig Dienst und das Hooking in den Zentralen
Authentifizierungs/Authorisierungskernprozess LSASS.EXE sowie
die Winsock-Netzwerktreiber-API (um Personal Firewalls zu umgehen
vermutlich, wenn es darum geht, die ausspionierten Benutzerdaten an
den Angreifer zu senden).
Auch 24h nach Auftauchen dieses Schadprogramms, dass gezielt an eine
relativ kleine Benutzergruppe im Internet (nur ein bis zwei Mio insg.)
gerichtet ist, ist die Erkennungsrate dieser beiden Schadkomponenten
bei den 20 Marktfuehrerenden AV-Produkten (jotti) genau 0%.
Den Installierten Dropper und das nachinstallierte eigentliche
Schadprogramm wird von den folgenden Produkten mit folgendem Ergebnis
erkannt:
Microsoft Rootkit Revealer: Der WZCSVC-Registrykey wird als
verdaechtig angemerkt. Visuelle Pruefung des Keys ergibt keine
weiteren Verdachtsmomente (Wie auch. Das MS-Tool meckert zwar das
Vorhandensein von Null-Bytes im key-string an, aber es gibt kein
Microsoft-Tool, dass es dem Benutzer erlaubt dies zu verifizieren oder
gar zu beheben. Regedit wird durch die NULL-Bytes getaeuscht.
Es wird nur der Hauptkey HKLM/SYSTEM/CurrentControlSet/Services/WZCSVC
selbst angemeckert, nicht aber der vom Dropper modifizierte Wert
HKLM/SYSTEM/CurrentControlSet/Services/WZCSVC/Parameters/ServiceDll
Witzigerweise ist das Nullbyte am Ende eignetlich Ueberfluessig, da es
nichts verbirgt (die Modifikation zum Orginalregistry ist ein eingefuegter
Buchstabe im DLL-Dateinamen, das Nullbyte ist hingegen im
Hauptkeywert und sieht eher nach einem Programmierfehler des
Schadprogrammschreibers aus als sonst irgendwas). Ich halte das fuer
einen Defekt im Schadprogramm, Ohne das Nullbyte waere es nicht zu erkennen.
¹
Panda Antirootkit: Nichts gefunden.
Helios Lite: Siehe MS Rootkit Revealer
AVG Antirootkit: Siehe MS rootkit revealer
Trend Micro RootkitBuster: Siehe MS Rootkit Revealer
System Virginity Verifyer: Erkennt die Hooks im LSASS.EXE, Einstufung
als "innocent" (Stufe 2 von 6 Stufen)
Die Produkte von Microsoft, Helios, AVG, SVV und TrendMicro "erkennen"
darueberhinaus die Demontools (CD/DVD Emulator) als ebenso verdaechtig
wie den eigentlichen Trojaner.
Keines der Tools ist in der Lage, das Trojanische Pferd zu entfernen.
(Der Versuch, die Registry zu "reparieren" aendert nichts an der
eigentlichen Manipulation. Auch die Hooks im LSASS.EXE lassen sich
nicht entfernen, ohne dass LSASS diese Manipulation bemerkt, sich
beendet und das system nach 60 Sekunden rebootet (mit erneut
aktiviertem Trojaner inkl. Hooks natuerlich).
Der Versuch, die Datei (die kein AV-Produkt als verdaechtig
anmeckert, obwohl sie a) im System32-Verzeichnis nichts zu suchen
haben (keine passende .INF/.MSI Datei, keine REgistrierung in der
registry), b) angeblich von Microsoft stammend kein gueltiges
Zertifikat haben (nicht signiert sind) und c) ganz offensichtlich
"verdaechtige" Funktion beinhalten (Eine DLL im PM-EXE Format, Referenzen
zu Hooking-FUnktionen, Winsock und Datei-IO. Noch verdaechtiger gehts
garnicht - aber keine der tollen AV-Heuristiken findet das auch nur
im Ansatz merkwuerdig...) manuell zu loeschen (im Laufenden System) wird
von Microsofts Systemdateischutzmechanismus erfolgreich verhindert.
Einen Restore-Point zurueckspulen hilt auch nichts, da diese ebenfalls
infiziert worden sind. Und den svchost.exe -netsvc PRozess zu toeten,
toetet auch jede Menge anderer Dienste die im gleichen Prozess laufen,
und hilft auch nichts, da die Hooks im LSASS.exe dafuer sorgen, dass
er sofort restartet wird (wenn der services.exe-Restart Mechanismus
nicht schneller war mit restarten). Windows ist doch Toll, oder?
Es bettet sich also sowohl in der System File Protection als auch im
System Restore ein, so dass keines der Hausmittel verwendet werden
kann, es wieder loszuwerden. Sollte der vom Dropper nachgeladene
Schadcode zur Ausfuehrung kommen, ist eine Saeuberung des Systems
nicht mehr wirklich praktikabel. Der Dropper alleine ist von einer
Rescue-CD aus gebootet immerhin noch entfernbar, sofern man
Schreibrechte auf NTFS Dateisysteme hat und die Registry-Hivedateien
modifizieren kann (nur die Datei loeschen crasht das OS beim boot ;)
Nur ein Vollbackup ermoeglicht es dem "normalen" Anwender, dieses
Schadprogramm wieder los zu werden. Einzig ein Windows-Experte, der
genau weis, wie eine saubere Registry auszusehen hat, die
Services-Hierarchy auswendig neu herunterschreiben kann, die MD5
Checksumme aller Systemkomponenten kennt, und binaere Modifikationen
rueckgaengig machen kann, der kann auch ohne Restore-from-Backup das
System saeubern. Dauert nur deutlich laenger.
Ohne grundlegendes Fachwissen ist ein Anwender auch mit der
Information, die diese Tools liefern, nicht einmal Ansatzweise in der
Lage, die Infektion ueberhaupt festzustellen. Von Gegenmassnahmen ganz zu
schweigen.
Ich poste diesen Artikel in der Hoffnung, einigen Lesern dieser Gruppe
damit ein wenig die Augen oeffnen zu koennen, wenn es um das Blinde
Vertrauen in Sicherheitsprodukte geht, dass von vielen Laien mangels
Aufklaerung natuerlich an den Tag gelegt wird. (und um darauf verweisen
zu koennen ;)
Fussnoten:
¹ Ich habe mir die Hive-Datei im Hexdump von der Forensik-CD gebootet
genau angeschaut: Das angemeckerte Nullbyte ist am Ende des
Values des Hauptkeys. Es wird hier garnichts verborgen. Das Value des
Hauptkeys wird zudem nicht von keiner Systemkomponente benutzt.
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
Juergen P. Meier
den Angreifer zu senden) wurden auch nur von einem der bekannten
Sicherheitsprodukte entdeckt.
Auch 24h nach Auftauchen dieses Schadprogramms, dass gezielt an eine
relativ kleine Benutzergruppe im Internet (nur ein bis zwei Mio insg.)
gerichtet ist, ist die Erkennungsrate dieser beiden Schadkomponenten
bei den 20 Marktfuehrerenden AV-Produkten (jotti) ernuechternde 0%.
Ralf Borgmann
> gerichtet ist, ist die Erkennungsrate dieser beiden Schadkomponenten
> bei den 20 Marktfuehrerenden AV-Produkten (jotti) ernuechternde 0%.
Hast du faellig die MD5 der Datei? Jotti sollte eine erstellen, bzw
Virustotal macht es zumindest.
MfG Ralf