.Net Sploit - Rootkits ins .Net Framework einschleusen

Hallo,

ich habe heute einen interessanten Link zu einem Whitepaper einer Sicherheitsfirma gefunden wie in VM gestützte Systeme am besten Rootkits eingeschleust werden. In dem konkreten Fall (.Net Sploit) geht der Autor darauf ein wie das im Falle von .Net geschehen könnte.

Großzügig stellt er auch gleich eine Anwendung bereit mit der man die beschriebenen Injections usw. auch ausführen kann.

Wie würdet ihr an die Sache herangehen wenn ihr die einzelnen GAC Assemblies auf eben solche Injections abklopfen wolltet? Gibt es irgendwo eine Liste mit Checksummen oder Hashsummen oder ähnliches? Kann ich mit eigenem (nicht .Net-) Code die Signaturen prüfen? Wenn ja, würde mich interessieren wie.

Was meint ihr überhaupt zu der ganzen Sache. Ich bin eben gerade am überlegen wie ich mir einen solchen Sicherheitscheck selber basteln kann. Würde mich freuen wenn mir in der Richtung weitergeholfen wird. 😁

Ich bin ein Sicherheitstechnischer Noob. Deswegen entschuldigt die eventuell leicht naive Frage. Wenn man erstmal Root Zugriff hat, kann man sich dann nicht eh in alles einklinken was ausgeführt wird, selbst ins Betriebsystem. Wieso wird es als was besonderes dargestellt das man sich ins Net Framework einklinken kann?

Gruß Timo

Du hast schon recht, es ist nichts wirklich besonderes aber dennoch vereinfacht es die Manipulation deutlich, da man anstatt den Kernel einfach nur ein paar .Net-Assemblies manipulieren muss.

Außerdem, so wie ich das Paper gelesen hab, ging es dem Autor nicht zu zeigen wie besonders das ist sondern wie einfach und gleichzeitig gefährlich es ist.

Du kannst es nicht prüfen - da auch Deine Prüfung vom Angreifer hätte modifiziert werden können.

Dazu gab es auch einen Artikel in der dotnetpro 2.2009, dort war auch ein Interview mit besagtem Autor der Sicherheitsfirma (ich denke mal, Du meinst Erez Metula von 2be secure?).

Habe den Artikel gelesen. War aber der Meinung dieser wäre von dir gewesen. Schreibst öffters was für die dotnetpro oder ?

Ja, der war auch von mir 😉

Ich selbst habe mich aber wiederum auf Erez Metula von 2be secure bezogen, einer israelischen Sicherheitsfirma. Erez Metula war der Mitarbeiter von denen, der (meines Wissens) diese Lücke entdeckt hat.

PS: Ja, ich schreibe relativ regelmäßig für die dotnetpro.

Du kannst es nicht prüfen - da auch Deine Prüfung vom Angreifer hätte modifiziert werden können.

Ich könnte das Programm ja auch per Start-CD (z.B. Knoppix) laden und es das System überprüfen lassen. Somit währe nicht das infizierte System, das System über das ich die Prüfung laufen lassen.

Also, weiß jemand ob und wie ich diese Signaturen prüfen kann?

(ich denke mal, Du meinst Erez Metula von 2be secure?)

Der vom der-schlingel gepostete Link zitiert einen >>Metula<<. Nehme an, dass es die gleiche Person ist.

Ich habe den Dotnetpro Artikel gelesen....

ist wirklich interessant und in der Theorie auch sicher mächtig, mir fällt allerdings jetzt kein konkreter Anwendungsfall an wo ich es (habe allerdings auch den Wunsch gehabt ein System zu kompromittieren) als Rootkit verwenden würde...

Hallo zusammen,

ich hoffe nur, dass nicht irgendwelche "Fachliteratur" meint, sie müsse ihre Leser vor dem .NET Framework "warnen", da es "ein hervorragendes Versteck für Schadsoftware ist und es eigentlich sowieso niemand braucht" und gleich eine Schritt für Schritt Deinstallation abdruckt...

Aber sollte die Malware (also sprich eine veränderte DLL) dann nicht auch von signaturbasierten Virenscannern entdeckt werden?

das problem ist vermutlich der native image cache des frameworks. wenn dort und nur dort die veränderte dll vorliegt, dann kommt ein virenscanner dort nicht oder nur sehr schwer ran.

edit: außerdem ist die verwendung wines smtp-clients und das versenden einer mail keine virensignatur.. (müsste man nur in irgendwelchen crypto-methoden verstecken) daher wäre das absolut unerkannt.