Seite 4: Boot-Tricks

Inhaltsverzeichnis

Routinemäßig überprüfe ich noch, ob sich die Usermode-Komponente ebenfalls ins Windows-API einklinkt. Das Kommando !chkimg gleicht die aktuellen Bibliotheksfunktionen mit dem Microsoft Symbol Server ab und entdeckt solche Hooks dabei sehr zuverlässig. Beim Check der System-Bibliotheken ntdll.dll und mswsock.dll meldet es Fehler, die ziemlich sicher auf Hooks zurückzuführen sind. Ich gehe ihnen allerdings jetzt nicht mehr weiter nach.

Die zusammengetragenen Fakten reichen mir, um mit den Dateinamen und markanten Windbg-Ausgaben via Google zu bestätigen, dass es sich hier tatsächlich um den neuesten Abkömmling der TDL-Rootkit-Familie handelt. Das TDL4-Rootkit ist derzeit das einzige Schadprogramm, das sich auch auf einem Windows 7 64 Bit im Kernel einnisten kann.

Boot-Spielchen

Eigentlich soll bei einem 64-Bit-Windows der Patchguard verhindern, dass Treiber in den Kernel geladen werden, die keine gültige Signatur tragen. Deshalb knipst TDL4 diese Schutzfunktion aus, indem es in einer sehr frühen Boot-Phase dem System vorgaukelt, im Systemrestore-Modus „WinPE“ zu booten. Denn der aktiviert Patchguard nicht.

Nachdem das System dann festgestellt hat, dass es ohne Patchguard booten soll, schaltet das Rootkit den WinPE-Modus wieder ab und das System bootet ein normales Windows – nur eben ohne Patchguard. Wegen dieser Tricksereien wird TDL häufig auch als Bootkit bezeichnet. Das Ganze passiert unsichtbar im Hintergrund; der Anwender hat keine Chance, es zu bemerken. Im April sah sich Microsoft genötigt, im Rahmen des Patchdays den Bootloader für das 64-Bit-Windows nachzubessern.

Bei meiner Recherche stoße ich auch auf ein nützliches Tool, um die einzelnen Rootkit-Dateien aus dem TDL4-Filesystem zu dumpen. Das kleine Programm namens icatcher.exe erwartet lediglich den Pfad zum TDL4-Filesystem, den ich der aktiven cmd.dll ja bereits entlockt habe. Das Tool speichert mir 10 Dateien, deren Namen ich bereits kannte, im Ordner c:\TDL_Files. Ich kopiere sie mir auf einen USB-Stick, um sie bei nächster Gelegenheit genauer zu untersuchen. Ich bin mir sicher, dass sie noch das ein oder andere interessante Detail bereithalten.

Nun bleibt mir eigentlich nur noch, das System wieder vom Schadcode zu befreien. Dazu habe ich von Avast im Web ein kleines Tool namens //public.avast.com/~gmerek/aswMBR.htm:aswMBR.exe entdeckt. Der angebotene „Scan“ meldet tatsächlich eine Infektion mit TDL4 und „Fix“ behauptet auch, diese zu entfernen. Als ich danach das System neu starte, finde ich auch keines der vorher entdeckten Infektionssymptome mehr. Das System scheint tatsächlich sauber zu sein.

Als ich mich umdrehe, um Hans noch eine Standpauke über die Gefahren illegaler Cracks zu halten, steht der mit einem Sortiment voller Grill-Leckereien vor mir und strahlt mich an. Ich war offenbar so in die Analyse versunken, dass ich nicht mal mitbekommen habe, dass er zwischenzeitlich beim Metzger war. Nach dieser Operation schmeckt’s nun bestimmt doppelt so gut. 

Diskutieren Sie mit im Forum zu Tatort Internet  oder werden Sie Fan von Tatort Internet auf Facebook

Über Tatort Internet

In dieser Serie untersuchen Experten Angriffe im Internet nach allen Regeln der Kunst und Sie können ihnen dabei über die Schulter schauen. Die geschilderten Vorfälle beruhen auf Angriffen, die tatsächlich stattgefunden haben und mit den beschriebenen Methoden analysiert wurden. Die Rahmenhandlung wurde immerhin von realen Begebenheiten inspiriert, nur die Namen der Beteiligten sind frei erfunden.

Der Experte dieser Episode, Frank Boldewin, arbeitet als IT-Security-Architekt bei der GAD eG in Münster. In seiner spärlichen Freizeit beschäftigt er sich mit Analysen neuer Rootkit- und Trojaner-Techniken und veröffentlicht Tools und Whitepapers zu diesen Themen auf seiner Seite reconstructer.org.

(ju)