Verteidigung gegen RAT / Trojaner / Rootkits

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von Inquisito, 2. Dezember 2009 .

Schlagworte:
  1. 2. Dezember 2009
    Zuletzt von einem Moderator bearbeitet: 16. April 2017
    Hallo , gemeinde. Ich möchte hier ein zusammenfassendes Tutorial zu Selbstverteidigung gegen Trojaner/Rootkits und Viren schreiben.

    description.jpg
    {img-src: //img51.imageshack.us/img51/8218/description.jpg}

    Ich beschreibe hier die möglichkeiten mit einfachen tools : Trojaner , Viren und ggf Rootkits zu entfernen.
    Damit ihr euch nicht in diesem Tutorial verfranzt will ich vorne weg klarstellen was , was ein ....
    ...Virus ist:
    Spoiler
    Ein "Virus" oder "Computervirus" ist ein Programm was primär dazu dienen soll , schaden anzurichten. In vielen fällen reproduziert sich das "Virus" (daher der name).
    Ein virus wird nur noch selten verwendet, weil man durch die zerstörung des victims kein nutzen ziehen kann.

    ...Trojaner ist:
    Spoiler
    Der Name Trojaner (oder Trojanisches Pferd) ist in der regel ein im Hintergrund ausgeführtes Programm. Welches dem infizierenden erlaubt einige "Backdoos" zu öffnen. (um z.b. die Festplatte zu durchsuchen, den Browser zu überwachen oder vieles mehr.

    Was könnte "er" machen:
    - alle eingaben der Tastatur mit-loggen.
    - Die kommunikation zwischen eurem Rechner und einer Webseite überwachen.
    - Dateien übertragen (egal ob auf oder von euren rechner).
    - Euren Rechner als Proxy missbrauchen (z.b. um streams (egal welcher art) über euren Rechner (IP) zu leiten.)
    - etc... hier sind keine grenzen.


    Man kann "Trojaner" in zwei primäre untergruppen teilen , jedoch ist eine direkte infektion die am wahrscheinlichste:
    1. Dropper
      • Ein Dropper ist in der regel ein individuell angepasstes programm, was eine Hintertür öffnet um den richtigen Trojaner nachzuladen. Dies wird auch als "Light-Server" bezeichnet.

        Der "Dropper" ist durch das schnelle wachsen von Social Networks wieder in mode gekommen.
    2. Server
      • Der Trojaner der sich bei einem "Victim" befindet, nennt sich Server. Es werden sehr oft verschiedene Startup Methoden für diese Server verwendet, ich werde später alle die ich kenne auflisten.

    ...Rootkit ist:
    Spoiler
    Ein Rootkit (der name rührt von Linux system her, dort ist der administrator "ROOT") ist unter Windows Systemen ein Treiber der sich in den Ring0 einklingt.

    Kompliziert :
    Ein Rootkit versucht/schafft das System direkt zu verändern.
    Es gibt verschiedene Methoden einen prozess wie "xxxxx.exe" mit eigenn code infiziert. (auf einem Windows-System).

    Ziel eines Rootkits ist : genau diese veränderung zu verbergen.

    Einfach : Ein Rootkit dient wie ein treiber. (Natürlich macht es nichts nützliches)

    Komplizierter

    toolsb.jpg
    {img-src: //img40.imageshack.us/img40/3157/toolsb.jpg}
    Hier gebe ich links zu Tools die zur selbstdiagnose helfen. (Ich linke nur auf Original-seiten!, sollte eine Down sein bitte anschreiben ich sorge für nachschub )

    Spoiler
    TCPView
    Spoiler
    TCPView ermöglicht es jede ausgehende und eingehende verbindung TCP/UDP , eures rechnes anzuzeigen und zu beenden.
    [URLosoft.com/de-de/sysinternals/bb897437.aspx]TCPView[/URL]

    ProcessExplorer
    Spoiler
    ProcessExplorer dient nicht nur als alternativer TaskManager sondern kann euch auch informationen über einen Trojaner liefern.
    [URLosoft.com/de-de/sysinternals/bb896653.aspx]ProcessExplorer[/URL]

    autoruns
    Spoiler
    Eines der wichtigsten Tools in eurer Sammlung. autoruns erfasst wohl jede art
    von startenden programmen. Leider war ich nicht in der Lage Null-terminate-Strings zu testen.

    EDIT: Ich konnte einen nullterminierten string nicht finden. (Generelles Windoof problem)
    [URLosoft.com/de-de/sysinternals/bb963902.aspx]autoruns[/URL]

    ProcessMonitor
    Spoiler
    Der Process Monitor ersetzt einige alte programme wie den "FileMon" und den "RegMon" unnd vereint diese.
    Mit ihm ist es euch möglich zu erkennen , wann wo und wo eine anwendung auf der Festplatte welche datei liest (oder wo in der Regystrie rumgefuscht wird).
    Dies alles geschient in echtzeit. Und wird dokumentiert.

    workshop.jpg
    {img-src: //imageshack.us/a/img40/1825/workshop.jpg}
    [/CENTER]


    RaT / Trojaner -analyse :
    Spoiler
    Es ist wichtig zu verstehen wie ein RaT/Trojaner funktioniert um ihn effektiv zu bekämpfen.
    Der wohl einfachste weg wäre sich ihn selbst zu besorgen (die Client anwendung) und in einer
    VM ausgiebig zu testen.
    allerdings steht uns oft diese möglichkeit nicht zur verfügung, da wir nicht wissen welcher es ist
    oder wir haben zufällig keine VM installiert.
    also ist der nächst logische schritt zu gucken WO/WaNN/WIE er sich startet.

    autostart erkennen und beenden
    Spoiler
    Um eine RaT (Remote administration Tool) abzuwehren gibt es eigentlich nichts besseres als die verbindung zum I-NET zu killen. Dies nimmt dem hacker sämtlichte möglichkeiten (wie z.b. rechner freezen oder neustarten...)

    Wenn ihr rechner Offline ist (am besten die Physische verbindung trennen) kann die analyse beginnen.
    Sie sollten im Tab "LOGON" beginnen.

    Siehe:
    screenshot0512200901320.jpg
    {img-src: //img38.imageshack.us/img38/8734/screenshot0512200901320.jpg}


    (Ich habe mit absicht nichts geschwärzt.) Sie sollten in diesem fenster nach seltsamen namen suchen wie z.b. "nv1739ap4.exe" oder ähnlich seltsamen namen fanden.

    Ich rate ihnen hier im Board nachzufragen ob dieser prozess nicht wichtig sein könnte.
    Leider ist eine genaue diagnose auf diesem weg nicht möglich.

    Benutzen sie ProcessExplorer
    um herauszufinden welche anwendung , welche gestartet hat.
    alternative Startarten
    Spoiler
    active Setup
    Spoiler
    Eine der zahlreichen beliebten 'Startup' Methoden ist die des 'active Setup`s'.

    Diese beruht nicht auf einer Sicherheitslücke oder gar einem Programmfehler, nein es ist eine implementierte Funktion des Windows "Explorer"´s.

    Die auswirkungen eines Trojanes mit active Setup äussern sich in der Regel mit einem sich neu startendem Prozess obwohl dieser nicht offen sein sollte. (Insbesondere wenn es der Standard-Browser eures Systems ist).

    Trojaner die active Setup verwenden sind zwar leicht zu erkennen (TCP-View , oder IVT) aber lassen sich nur schwer ausschalten.

    als Workaround gilt es folgendes zu unternehmen, schreibt euch das vorher auf solltet ihr verdacht haben infiziert zu sein :

    1.) STRG+aLT+ENTF
    2.) den Prozess 'Explorer' suchen und schließen (jegliche warnungen ignorieren, insofern sie nicht dokumente betrefen die ihr bearbeitet)
    3.) Den Explorer solange geschlossen lassen bis ihr eine "anomalie" findet.
    4.) Diese anomalie killen, am besten gleich löschen und den PC neustarten. Sollte sie dennoch bestehen (also die datei wieder da sein) gerne bei mir nachfragen ^^ (oder bei eurer IT abteilung)

    ______________

    Spätestems wenn ihr merkt das sich ein Prozess immer wieder neustartet obwohl ich sicher seid das er nicht läuft solltet ihr unter folgendem RegKey nachschauen und gucken was sich starten sollte:

    Regsitry Key : HKLM\Software\Microsoft\active Setup\Installed Components\

    Verbindungscheck
    Spoiler
    Um sicherzugehen das es keine ungewünschten verbindungen zwischen ihnen und einem anderem Computer gibt, hab ich TCPView (siehe TOOLS) vorgeschlagen.

    Wenn sie das programm starten könnte eine admin abfrage erfolgen (Vista/7). Sie sollten diese mit ja beantworten, sollten sie XP benutzen dürften keine weiteren fragen auftreten.

    Es wird sich ein fenster öffnen like this :
    {bild-down: http://imageshack.us/a/img17/9219/tcpview.jpg}

    In dem sie jede anwendung sehen könne die eine TCP oder UDP verbindung zu XYZ herstellt.
    Natürlich sind verbindung von Firefox (oder ka welchen Browser ihr benutzt) normal.

    IVT (Inquisito Virus Tools)
    Spoiler
    ivtsplasha.png
    {img-src: //img713.imageshack.us/img713/236/ivtsplasha.png}
    Sämtliche oben erwähnten tools und viele weitere habe ich in einer anwendung zusammengefasst. Dies war ehemals ein persönliches projekt, aber da es meienn freundeskreis erfreute machte ich es doch publik

    1.3 version:
    Spoiler
    Download: Link
    MD5 : 891a61499074965ff7be35a2dc64fb86
    VIRUS-Total : Scan-Bericht
    Passwort : inq4rr
    Fussnote : Suspicious.Insight wie es im Scan-Bericht vorkommt, siehe bitte folgenden Link...Wtf ist Suschipischus was Inqui uns andrehen will cO!... antwort darauf steht im link , aber zusammengefasst war mein fehler folgender : ich habe keinen virus/trojaner oder sonstwas eingebaut...
    Screenshots



    1.2 version:
    Spoiler
    Download: Link
    MD5 : d84bd23325fcf857a04e72a45d40274c
    VIRUS-Total : Scan-Bericht
    Passwort : inq4rr
    Fussnote : Suspicious.Insight wie es im Scan-Bericht vorkommt, siehe bitte folgenden Link...Wtf ist Suschipischus was Inqui uns andrehen will cO!... antwort darauf steht im link , aber zusammengefasst war mein fehler folgender : ich habe keinen virus/trojaner oder sonstwas eingebaut...
    Spoiler
    Screenshots
    {bild-down: http://imageshack.us/a/img696/6374/ivt1.png}

    Bild
    Bild
    Bekannte Probleme
    Spoiler
    1.) Viele Programme von Sysinternals funktionieren nicht mehr unter Vista/7 (Z.b. "FileMon","RegMon",...) und weisen jedes für sich selbstständig darauf hin.
    Diese wurden in einem Programm mit dem namen "Process Monitor" zusammengefasst was ebenfalls enthalten ist (dafür aber unter XP nicht funktioniert).

    2.) Unter Vista/7 muss das Programm mit administrationsrechten ausgeführt werden. Was allerdings auch für jeden einzigen Bestandteil von IVT der Fall wäre ^^

    3.) Das System-Tray Icon hat eine blöde bezeichnung und startet unter Vista manchmal doppelt ^^ nix schlimmes aber sieht doof aus.
    IMS (Inquisito Mini Script)
    Spoiler
    Naja, es ist rudimentär.. darum ja auch "Mini Script" ^^
    Befehlsliste (Version 1.3):
    Spoiler
    trace [Nachricht beliebig]
    Erzeugt einen Output in der Konsole.

    killpid [ProcessID]
    Schliesst den Process mit der [ProcessID]. Die [ProcessID] kann mittels :
    - WIN+R -> cmd -> enter -> tasklist
    herausgefunden werden.


    deletefile [Pfadangabe]
    Löscht die Datei.

    openfile [Pfadangabe]
    Erstellt/Öffnet die Datei und lässt diese offen um Zugriff durch andere Programme zu verhindern.
    Dies hält bis IMS geschlossen wird oder die Datei durch closefilewieder freigegeben wird..
    VORSICHT : Wenn der befehl mehrmals hintereinander verwendet wird lässt sich mit closefile nur die letzte geöffnete datei wieder schliessen. alle andere werden erst geschlossen wenn IMS komplett geschlossen wurde!

    closefile
    Schliesst die geöffnete datei damit andere Programme wieder darauf zugreifen können.

    wait [Nachricht beliebig]
    Der Script bleibt solange an der stelle von wait bis der Dialog der eingeblendet wird geschlossen wurde.

    end
    Beendet den Script sofort.

    Beispiel Codes
    Spoiler


    Fragen die IVT betreffen, können gerne per PM an mich gehen. Ich versuche alles zu beantworten und ggf bestehende probleme zu beheben.

    Da ich ja doch ein bissl herzblut reingesteckt habe, wäre ein BW fair, sollte es für euch von nutzen sein.


    Ähnliche Beiträge mit exzellentem Inhalt
    Spoiler


    Fragen , anregungen oder konstruktive Kritik gerne an mich als PN
    -------------Wird langsam erweitert------------------
    Ich versuche alle fragen zu beantworten. Sollte IVT Down gehen bitte ich um information darüber.
     
  2. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.