1 Aug 2013
Das Phantom des Boot-Sektors.
Dann fängt dich meine Macht
noch stärker ein
(с) Andrew Lloyd Webber – Das Phantom der Oper
Im Kampf zwischen Schadprogrammen und Anti-Malware-Technologien gibt es ein interessantes Spiel, das immer wieder gespielt wird – König der Burg.
Die Regeln sind ganz einfach: Der Gewinner lädt sich als erster selbst in den Computerspeicher, übernimmt die Kontrolle der „Schalthebel“ und schützt sich vor anderen Programmen. Und aus der Schaltzentrale der Burg kann man alles überwachen und die Ordnung im System sichern (oder, wenn man böse ist, das Gegenteil tun: Chaos hervorrufen, das unbemerkt und unbestraft bleibt).
Kurz gesagt, der Gewinner nimmt sich alles – in diesem Fall die Kontrolle über den Computer.
Und die Liste der Programme, die sich direkt beim Einschalten des Computers (dem so genannten „Booten“) starten wollen, beginnt (wie der Name schon sagt) imBoot-Sektor – einem speziellen Bereich der Festplatte, in dem alle Anweisungen dafür gespeichert sind, was wann und wo zu laden ist. Und das Schlimme ist, dass sich auch das Betriebssystem an diese Liste hält! Da wundert es nicht, dass sich Cyberkriminelle leider schon sehr lange für den Boot-Sektor interessieren. Denn durch Missbrauch des Boot-Sektors können sie ihre Machwerke als erstes starten und die Infizierung des Computers verschleiern. Als Hilfsmittel verwenden Cyberkriminelle dafür besondere Schadprogramme: So genannte Bootkits.
Wie Ihr Computer startet
Wenn Sie erfahren möchten, was Bootkits sind und wie Sie sich davor schützen können, lesen Sie einfach weiter…
Bootkits gibt es schon sehr lange.Bereits Mitte der 1980er Jahre gehörten sie zu den beliebtesten Viren. Der allererste DOS-Virus Brain war so ein Bootkit. Doch die Virenjäger lernten recht schnell, wie sie damit umzugehen hatten, also verloren die Virenautoren genau so schnell wieder ihr Interesse an Bootkits und entwickelten (für sie!) effektivere Methoden, etwa Internet-Würmer und Macro-Viren für Micorosoft-Office-Programme.
Ihren zweiten Frühling erlebten Bootkits Ende 2007, als eine neue Version des Spyware-Trojaners Sinowal auftauchte, die Boot-Sektoren infizieren konnte. Das kam für manche Antiviren-Hersteller recht überraschend, denn einige aus unserer Branche hatten Bootkits als Ding der Vergangenheit abgestempelt (seit Ende der 1990er Jahre), so dass manche Produkte den Boot-Sektor absolut nicht schützen konnten.
Obwohl Bootkits bei weitem keine weltweite Epidemie darstellen, zeigen unsere Forschungen dennoch, dass sie im Hintergrund (aber bemerkbar) viel Ärger machen. Und der Computer-Underground kommt laufend mit neuen Tricks…
Doch wenn Bootkits so gerissen und unentdeckbar sind, fragen Sie sich vielleicht, warum sie nicht weiter verbreitet sind. Sind sie wirklich den ganzen Aufwand wert – sprich: Müssen wir dafür überhaupt einen Schutz entwickeln?
Nun, zunächst einmal schätzen wir die Zahl der weltweit mit verschiedenen Bootkits infizierten Computer auf etwa 10 Millionen – keine geringe Anzahl, und kein kleines Problem, für das man keinen Schutz entwickeln müsste.
Zudem wird diese Infizierungsmethode aktiv bei hochentwickelten, staatlich geförderten zielgerichteten Attacken verwendet (zum Beispiel beim berühmt-berüchtigten FinSpy). Sie stimmen mir sicher zu, dass die Aussicht, ein Opfer des Cyberkriegs oder einer Spionage-Operation zu werden, nicht gerade schön ist.
Und drittens benötigt die Entwicklung eines Bootkits tiefgreifendes Wissen der System-Programmierung, das nicht alle Cyber-Bösewichte haben. Bootkits sind wirklich gerissen und unentdeckbar – aber nicht unverwundbar. Doch die Verteidigung gegen Bootkits ist auch nicht gerade leicht. Und trotzdem schaffen wir es – und sogar recht erfolgreich. Ich zeig Ihnen, wie:
Bootkit-Infizierungen im Jahr 2013
(die Daten basieren nur auf den Anwendern von Kaspersky-Produkten)
Zunächst ein paar Worte zum Lebenszyklus eines Bootkits. Normalerweise beginnt eine Bootkit-Attacke mit einer Sicherheitslücke im Betriebssystem oder einem auf dem Computer installierten Programm. Wenn Sie zum Beispiel eine Webseite besuchen, durchsucht diese Ihren Computer, und wenn sie Schwachpunkte findet, greift sie an. Genauer gesagt, wird heimlich eine Datei auf den Computer herunter geladen, die die Infizierung startet.
Dabei schreibt sich das Bootkit selbst in den Boot-Sektor und verschiebt den eigentlichen Inhalt des Boot-Sektors in verschlüsselter Form an einen gut verborgenen Platz auf der Festplatte. Ab diesem Zeitpunkt werden bei jedem Einschalten des Computers als erstes die Bootkit-Module in den Speicher geladen, die verschiedene schädliche Komponenten enthalten (zum Beispiel Bank-Trojaner), und natürlich auch die Verschleierungsmethode – ein Rootkit. Das Rootkit wird benötigt, um die Infizierung des Computers zu verbergen. Es erkennt spätere Versuche des Betriebssystems oder anderer Programme (inklusive Antiviren-Programme), den Inhalt des Boot-Sektors zu prüfen und fügt einfach wieder den Originalinhalt des Boot-Sektors aus der vorher versteckten Datei ein! Und siehe da – alles scheint ganz normal zu sein!
Mit so einem Kontrollmonopol über den Computer, kann eine solche Infizierung nur entfernt werden, indem man den Rechner über eine andere Festplatte oder eine CD mit einem sauberen Betriebssystem und einem guten Antiviren-Programm startet.Das ist eine Möglichkeit. Doch wir haben eine spezielle Technologie entwickelt, die dabei hilft, aktive Bootkits (inklusive unbekannter Bootkits) ohne solche chirurgischen Eingriffe zu bekämpfen – und damit den Computer automatisch zu säubern.
Sowohl in unseren Business-Lösungen als auch in unseren Heimanwender-Produkten gibt es den Boot-Emulator. Wie unser Emulator für das Betriebssystem oder den Browser, erzeugt er eine künstliche Umgebung, in der der Computerstart nachgebildet wird. Der Emulator prüft Schritt für Schritt alle abgefangenen Laufwerksfunktionen, sammelt die Adressen der entsprechenden Sektoren, erstellt einen speziellen Boot-Container und startet ihn in dieser Umgebung. Das Bootkit denkt, es ist Zeit, loszulegen und startet seine Standard-Prozedur… und an diesem Punkt stürzen wir uns darauf! Das verdächtige Objekt wird über unseren Cloud-basierten Anti-Malware-Service KSN an unsere Virenanalysten geschickt, die das dafür passende Gegenmittel entwickeln und die Virendatenbanken der Programme aktualisieren. Ab diesem Zeitpunkt müssen die Programme arbeiten: Der Antivirus entschlüsselt den Original-Boot-Sektor, löscht das Bootkit sowie seine Module, und stellt das System wieder her. Wenn Sie nicht so lange warten möchten, können Sie auch versuchen, den Computer selbst mit unserem kostenlosen KVRT-Tool zu heilen.
Wirklich toll an dieser Technologie ist, dass sie auch vor unbekanntenBootkits schützen kann.
Denn wir nutzen eine lokale heuristische Analyse und entdecken damit verdächtige Aktivitäten während der Start-Emulation. Und wir verwenden unsere KSN-Cloud, die statistische Methoden, um Bootkit-Anomalien zu finden.
Wie jeder andere Emulator, ist auch das virtuelle Starten eines Computers sehr ressourcenintensiv. Doch, warum sollten sie laufend eine tiefe Analyse des Boot-Sektors durchführen? Wir bieten deshalb mehrere Möglichkeiten:Die Prüfung des Boot-Sektors kann auf Anforderung, nach einem festgelegten Zeitplan (zum Beispiel Nachts), oder wenn der Computer nichts abarbeitet durchgeführt werden.Damit wird die Arbeit erledigt, aber niemand dadurch gestört – und jeder ist glücklich :).
Und was bringt die Zukunft?
Zweifellos werden sich Bootkits weiter entwickeln und noch fortschrittlicher werden. Ein Beispiel dafür ist das polymorphe Schadprogramm XPAJ, das sogar ganz einfach die kürzlich eingeführte Windows-Abwehrfunktion umgehen kann, um sein Bootkit-Modul zu verbergen. Ebenfalls auf der Agenda stehen so genannte BIOSkits,die sogar noch tiefer ins System eindringen…
Klar ist auch, dass diese Art Schadprogramme die bevorzugte Waffe für einekleineZahl cyberkrimineller Gruppen bleiben werden – die wenig Aufmerksamkeit auf sich lenken, um im Hintergrund bleiben zu können.
Leider helfen ihnen dabei auch einige beliebte Antivirus-Produkte, da sie den Schutz vor Bootkits vergessen. Der aktuelle Vergleichstest unten zeigt die Fähigkeiten verschiedener Schutzprogramme bei aktiven Infektionen mit bekannten Bootkits. Ein düsteres Bild, mit einem Hoffnungsschimmer…
Auf jeden Fall wird es noch interessanter werden. In der Zwischenzeit bleiben wir nicht untätig.Wir denken, arbeiten, entwickeln, führen ein, entdecken, reparieren… und retten die Welt!