MBR Rootkit, voiko toimia ubuntussa?

[Jaune]

http://www.theregister.co.uk/2008/01/09/mbr_rootkit/

Eli, sikäli mikäli ymmärsin oikein, rootkit asentuu mbr:lle ja latautuu ennen kuin käyttöjärjestelmä?

Sen ymmärsin että leviämiseen tämä tarvitsee windowssia, mutta tarvitseeko toimiakseen? Eli jos on dualboot kone ja windows antaa tuon härpäkkeen asentua mbr:lle, tarvitseeko tuo härpäke windowssia toimiakseen, vai osaako se operoida jos bootataan toiseen käyttöjärjestelmään? Tai onko virtuaali OS:llä pääsy MBR:rään?

[Jaune]

http://www2.gmer.net/mbr/

tuossa vähän syvempi kuvaus kuinka pöpö toimii... en vieläkään kyllä oikeen ymmärtänyt mitä se tekee

[Aleksi Hankalahti]

Eli, sikäli mikäli ymmärsin oikein, rootkit asentuu mbr:lle ja latautuu ennen kuin käyttöjärjestelmä?

Näin sen sanotaan tekevän.

Sen ymmärsin että leviämiseen tämä tarvitsee windowssia, mutta tarvitseeko toimiakseen? Eli jos on dualboot kone ja windows antaa tuon härpäkkeen asentua mbr:lle, tarvitseeko tuo härpäke windowssia toimiakseen, vai osaako se operoida jos bootataan toiseen käyttöjärjestelmään?

Linux ei tosiaan voi levittää/asentaa tuota. Periaatteessa tuolla tekniikalla voidaan rakentaa rootkit, joka toimii kummassakin käyttöjärjestelmässä. Tuossa jutussa ei kerrota miten tuo yksilö toimii, tosin Linuxia ei mainitakaan. Veikkauksena voisin heittää, ettei tuo toimi Linuxissa. Kahdessa käyttöjärjestelmässä toimivan rootkitin teko on näet monimutkaisempaa.

Tai onko virtuaali OS:llä pääsy MBR:rään?

Käyttöjärjestelmän virtuaalisesti ajamisen yksi perusidea on, että sen pääsyä näpräämään konetta voidaan rajoittaa. Käytännössä se ei pysty koskemaan MBR:rään.

[Aleksi Hankalahti]

http://www2.gmer.net/mbr/

tuossa vähän syvempi kuvaus kuinka pöpö toimii... en vieläkään kyllä oikeen ymmärtänyt mitä se tekee

Eli tämän mukaan se sorkkii Windowsin ydintä. Se vahvistaisi käsitystä, ettei tuo tee mitään Linuxissa.

Ennen käyttöjärjestelmää käynnistyvällä viruksella on kaikki valta koneeseen, eli se voi tehdä mitä lystää. Siten Linuxin käyttäjät eivät ole tällaisilta turvassa, jos se pääsee asentumaan koneelle ja osaa hyödyntää Linuxia. Toki Linuxissa viruksen saaminen mbr:ään on paljon vaikeampaa.

[MikkoJP]

Ennen käyttöjärjestelmää käynnistyvällä viruksella on kaikki valta koneeseen, eli se voi tehdä mitä lystää. Siten Linuxin käyttäjät eivät ole tällaisilta turvassa, jos se pääsee asentumaan koneelle ja osaa hyödyntää Linuxia. Toki Linuxissa viruksen saaminen mbr:ään on paljon vaikeampaa.

Kunhan käyttäjät tuplanapsauttelevat webistä sieltä täältä löytyviä debejä tarpeeksi kauan ja antavat sudo-salasanan uuden hienon "näytönsäästäjän" asentamiseksi pakettienhallinnan ulkopuolelta, saa viruksen asennettua helposti koneelleen.

Mutta jos ei asenna ohjelmia pakettienhallinnan ulkopuolelta, viruksen saaminen on toki erittäin epätodennäköistä.

[Jaune]

tässä tapauksessa minua oikeastaan kiinnostaa mahtuuko tuo pöpö+grub mbr:lle? ja jos mahtuu osaako pöpö toimia linuxin alla mitenkään? esim osaako pöpö mennä virtuaalisesti ajetun windowssin ydintä käpistelemään?

[Aleksi Hankalahti]

tässä tapauksessa minua oikeastaan kiinnostaa mahtuuko tuo pöpö+grub mbr:lle? ja jos mahtuu osaako pöpö toimia linuxin alla mitenkään? esim osaako pöpö mennä virtuaalisesti ajetun windowssin ydintä käpistelemään?

MBR:n koko on vakio (512t) kaikissa BIOS:sia käyttävissä PC:issä. Grub ei vaikuta siihen mitenkään. Tosin tuo virus ei sitten välttämättä osaa käynnistää Grubia (en ole varma). Joka tapauksessa Linuxin kautta virus tuskin voi tehdä yhtään mitään.

[Jaune]

Eikös grub asennu MBR:lle? Eli siis mietin että mahtuuko tuo pöpö siihen mbr:lle grubin rinnalle, vai särkeekö saastuessaan tuo grubin?

[Jallu59]

Eikös grub asennu MBR:lle? Eli siis mietin että mahtuuko tuo pöpö siihen mbr:lle grubin rinnalle, vai särkeekö saastuessaan tuo grubin?

512 tavuun ei taida paljon muuta mahtua kuin bootleaderin (esim Grubin) lataaja
Kunhan arvailen.

T:Jallu59

[Zhraelyn]

Säätää niin ettei MBR:ää voi ylikirjoittaa ja ongelma on ratkaistu? Näin ainakin voisi luulla jos alkaa biossin kanssa leikkimään.

[S.E.Krewing]

Kunhan käyttäjät tuplanapsauttelevat webistä sieltä täältä löytyviä debejä tarpeeksi kauan ja antavat sudo-salasanan uuden hienon "näytönsäästäjän" asentamiseksi pakettienhallinnan ulkopuolelta, saa viruksen asennettua helposti koneelleen.

Mutta jos ei asenna ohjelmia pakettienhallinnan ulkopuolelta, viruksen saaminen on toki erittäin epätodennäköistä.

Olen skitso vihulaisten suhteen;

epätodennäköinenkin on täyttä totta niille, joiden koneeseen r00tkit pääsee mellastamaan, eikä sitä aina osaa olla antamatta sudoa 'luotettavalla' sivustolla...
Linuxiin(Ubuntu+MEPIS ainakin) saa turvaksi paketinhallinnan kautta kuitenkin rkhunterin.
Päivittyy terminalissa: rkhunter  --update
Skannaa koneen C-levyn(?) ja näppiksen(?): rkhunter -c -sk
(ubuntun eri versioissa tietty sudolla)
Toistaiseksi ei ole tullut muuta kuin varoituksia, muttei ainuttakaan r00tkit troijalaista.

[salai]

Olen skitso vihulaisten suhteen;

Jep. Linuxin tietoturvan uhkakuvista saa jonkinlaisen käsityksen laittamalla Googleen hakusanaksi "krewing". . . 

[gefa]

Kyllä se Panda Securityn mukaan voi toimia myös Linuxissa.
Lainaus:
”Nämä rootkitit toimivat myös muilla alustoilla, kuten Linuxilla, sillä niiden toiminta on riippumatonta siitä, mikä käyttöjärjestelmä koneelle on asennettuna”, lisää Corrons.

http://www.pandasoftware.fi/ta/2008002.html
http://www.digitoday.fi/tietoturva/2008/01/11/Uusi+n%E4kym%E4t%F6n+uhka+tietokoneita+vastaan/2008955/66?rss=6

Sen verran olen ollut Pandan kanssa tekemisissä töiden puolesta, että en noiden kavereiden kommenteille anna mitään painoarvoa, varsinkin koun koko Panda on surullisen kuuluisa siitä, että seotessaan se sekoittaa pahimmillaan wintoosan  verkkotoiminnot käyttökelvottomiksi, eikä sitä ei tahdo saada silloin suosiolla pois, kun se on seonnut, vaan sen kanssa joutuu tekemään hiki päässä töitä.

"Tämän haittakoodin poistamiseksi käyttäjien tulee käynnistää kone käynnistys cd:n kanssa"-tarkoitetaankohan tuossa Rootkittiä vai itse Pandaa 

Jos se oikein kovasti winkun kanssa epäilyttää, niin aina voi pistää sen ajaen FIXMBR:n tietyin väliajoin, kuin myös asentaa sen Grubin uudelleen, siellä boot sektorissa on niin vähän tilaa, että kaikki muu kirjoittuu pakostakin yli jokatapauksessa, ei sinne enää sen jälkeen jää "bot"sektoria...

[Ux64]

IMHO: MBR rootkitin pitäisi kyllä toimia minkä tahansa käyttiksen kanssa, olettaen että se on tehty oikein. Tietysti paketin koko kasvaa jos sen pitää tukea natiivisti erilaisia rautaratkaisuita.

Käyttöjärjestelmä kun ei ole mikään edellytys sille että koneella voisi tehdä jotain. Koska tuollainen rootkit kaappaa koneen ennen käyttöjärjestelmää, pitäisi kaikki niiden järjestelmien toimia joita voidaan ajaa edistyneimmissä virtuaalikoneissa. Sekä rootkitin paljastamisen pitäisi olla äärimmäisen vaikeaa, koska sillä on mahdollisuus estää kaikki yritykset haivaita rootkit.

Tosin tuo yritysten estäminen johtaa siihen, että todennäköisesti se aiheuttaa muutoksia järjestelmän ajoituksiin. Joten jos samalla raudalla tehdään tietynlaisia operaatioita rootkitillä ja ilman on lopputulos erilainen.

Em. vaatii kyllä aika hienon rootkit, mutta onhan sekin hienoa että rootkit osaa hyödyntää käyttiksen komponentteja eikä sen tarvitse sisältää kaikkea tarpeellista itsessään.

Luonnollisesti helpoin tapa tuollaisen rootkitin spottaamiseen on käynnistää järjestelmä puhtaalta medialta ja tarkistaa levyt. Näinhän on virusten tapauksessa toimittu jo ennen muinoin. Saastuneella järjestelmällä ei voi koskaan tarkistaa onko järjestelmä saastunut. Lisäksi saastunut järjestelmä tai hakkeroitu järjestelmä tulisi aina asentaa täysin alusta uudelleen tai riittävän vanhoista backupeista ja laittaa reijät tukkoon. Näistä em. toimenpiteistä kyllä aina välillä kuulemma luistetaan. Joka ei luonnollisesti tee hyvää tietoturvalle.

Kommentteja, näkemyksiä?

Ai niin, tämähän oli suoraan Matrixista.

[jori52]

Eiköhän ne rootkitit tule ubuntuunkin kun järjestelmä yleistyy tarpeeksi.

Terveisin jori52

[gefa]

Esimerkikisi  f-perkule,scannaa winkupuolella koneen kyllä tunnettujen rootkittienkin varalta samoin kin suojaavat niiltä, sillä ei se rootkittikään sinne tyhjästä tule, tosin se uusi ja tunnistamaton haittaohjelmahan se vaarallisin aina on.

Se tulee menemään siihen, että mbr osa levystä tulee olemaan kirjoitussuojattu muutoin kuin os:n asennuksen ajan joko salasanalla tai mekaanisesti vielä ajan myötä, jos rootkitit alkavat yleistyä riesaksi asti.

[Ux64]

Se tulee menemään siihen, että mbr osa levystä tulee olemaan kirjoitussuojattu muutoin kuin os:n asennuksen ajan joko salasanalla tai mekaanisesti vielä ajan myötä, jos rootkitit alkavat yleistyä riesaksi asti.

Miten niin tulee? Sehän on ihan vanha juttu että MBR on kirjoitussuojattu. Silloin kun MBR virukset olivat yleisiä, monissa bioisseissa oli optio "MBR write protect" Yes/No... Tuo sitten tökki kivasti jos oli Yes tilassa ja koitit pistää systeemiä kasaan. Toinen hyvä tapa oli sallia bootti vain kiintolevyltä, niin virukset eivät tartu USB tikuilta, CD:ltä tai esim asemaan unohtuneelta korpulta.

Lähinnä mielenkiintoinen kysymys oli se, että miksei MBR ole kirjoitussuojattu jo käyttiksen käytönaikana. Kun ei muutenkaan sallita suora levy I/O:ta niin miksi MBR:n pitäisi sitten päästä käsiksi?

Mutta kerran kun tuollaisen kunnon rootkitin saa ujutettua järjestelmään, se voi kyllä piileskellä siellä todella pahanpäiväisesti. Ilman että sitä pystyisi mitenkään kovin helposti spottaamaan. Kuten aikaisemmin perustelin.

Hienostitehdyltä kohdennetulta hyökkäykseltä on kyllä vaikea suojautua. Mutta ehkä siihenkin ratkaisut keksitään. Eli virustorjunnan pitää oikeastaan sandboxata kaikki ja ihmetellä mitä menee ulos sandboxista ja sitten luoda tarpeen mukaan hälyytyksiä.

Kun nyt ollaan tietoturva-aiheessa, nää kaikki voi kuunnella ihan iltojensa iloksi.
http://www.grc.com/securitynow.htm

mm. rootkitit on ollut monta kertaa esillä. Vuonna 2005 niitä käsiteltiin jo ahkerasti.
http://media.grc.com/sn/SN-009.mp3

Sekä Blue Pill rootkit tekniikkaa, joka toimii käyttiksestä riippumatta.
http://media.grc.com/sn/SN-054.mp3

[gefa]

En tarkoita bioseja, vaan itse kiintolevy, joille epäinen vielä jonkimoisen suojauksen tulevan jos rootkitit yleistyvät.

[Ux64]

En tarkoita bioseja, vaan itse kiintolevy, joille epäinen vielä jonkimoisen suojauksen tulevan jos rootkitit yleistyvät.

Nopeasti ajatellen nykyaikana rautatason suojaus kuulostaa aika rankalta. Olishan se hieno jos levyssä olisi jumpperi joka pitää siirtää että saa kirjoittaa MBR:n.

Toisaalta juuri tuossa toisessa threadissaa viilasin pilkkua oikein huolella. Joten täytyy myöntää että softatason suojaukset ovat köh, melkein aina kierrettävissä tavalla tai toisella. BIOSissa oli omat hyvät puolensa. Esim. suojaus oli riittävän aikaisin aktiivinen, estääksen myös vaihtoehtoisilta käynnistysmedioilta tulevan uhkan. Tosin jos biossia ei ole suojattu asianmukaisesti voisi oikein tehty sovellus sorkkia tuota asetusta. Hyvin vaikeita asioita sanoa että se on varmaa. Ja sittenkin voi löytyä poikkeuksia.

[Jaer]

Uusimmat uutiset RootKiteistä


http://www.linuxjournal.com/content/linux-even-rootkits-are-open-source


http://www.linuxtoday.com/security/2008091001935OSSW