Ebfe’s Anti-B00TKIT Projekt

Moechte euch heute ein (meiner Meinung nach) sehr interessantes Projekt vorstellen, naemlich das “Anti-B00TKIT” Projekt von EBFE. Da ein (inzwischen) sehr bekannter Typ (Peter Kleissner) mit seinem “Stoned Bootkit” bekannt geworden ist und nun die meisten “Ahnungslosen” meinen “verdammt, TrueCrypt ist doch unsicher!! Lasst den mist und steigt auf xyz um!”

                █▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀█
                █  ▄███████▄ ▄████████▄  ▄███████▄  ▄███████▄ █
                █ █▓▓▓▓▓▓▓▒█ █▓▓▓▓▓▓▓▓█ █▓▓▓▓▓▓▓▒█ █▓▓▓▓▓▓▓▒█ █
                █ █▓▓▓▓▓▓▒▒█ █▓▓▓  ▓▓▓█ █▓▓▓▓▓▓▒▒█ █▓▓▓▓▓▓▒▒█ █
                █ █▓▓█▀▀▀▀▀▀ █▓▓▓ ▓ ▓▒█ █▓▓█▀▀▀▀▀▀ █▓▓█▀▀▀▀▀▀ █
                █ █▓▒█ ▓▒░   █▓▒▒   ▒▒█ █▓▒█ ▓▒░   █▓▒█ ▓▒░   █
                █ █▒▒█▄▄▄    █▒▒▒  ▒▒▒█ █▒▒█▄▄▄    █▒▒█▄▄▄    █
                █ █▒▒▒▒▒█    █▒▒▒▒▒▒▒█  █▒▒▒▒▒█    █▒▒▒▒▒█    █
                █ █▒▒█▀▀▀    █▒▒▒  ▒▒▒█ █▒▒█▀▀▀    █▒▒█▀▀▀    █
                █ █▒▒█ ▓▒░   █▒▒▒   ▒▒█ █▒▒█ ▓▓▒ █ █▒▒█ ▓▒░   █
                █ █▒▒█▄▄▄▄▄▄ █▒▒▒ ░ ▒▒█ █▒▒█ ▓▒▒ █ █▒▒█▄▄▄▄▄▄ █
                █ █▒░░░░░░▒█ █▒░░  ▒░░█ █▒░█ ▓▒░ █ █▒░░░░░░▒█ █
                █ █░░░░░░▒▒█ █░░░░░░░░█ █░░█ ▒▒░ █ █░░░░░░▒▒█ █
                █ ▀████████▀ ▀████████▀ ████ ▒░░ █ ▀████████▀ █
                █ ▄▄▄▄▄▄▄▄▄▄█▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄███▄▄▄▄▄▄▄▄▄▄ █
                █ █▓▒░▓▓████▒▓███▓▓▒▒▓▓▒▒▓███▓▓▒▒▒▒░░▒▓██▓▓██ █
                █▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄█
                                                  [email protected]
─   ──  ─── ──────────────────────────────────────────────────────── ───  ──   ─
 
                            .::P:R:E:S:E:N:T:S::.
─   ──  ─── ──────────────────────────────────────────────────────── ───  ──   ─

Was ist Anti B00TKIT?

Ein Bootloader/eine Bootdisk. Damit kann man den Rechner hochfahren, die Master
Boot Record
Einträge der Festplatten auslesen, deren CRC-16 und SHA1 Prüfsummen
anzeigen und von der ausgewählten Festplatte weiterbooten.

Sinn?

Der Master Boot Record enthält üblicherweise die Partitionstabelle und einen
Bootloader (zumindest auf einer der Festplatten), der das eigentliche Betriebs-
system lädt. Siehe dazu den Wikipediaeintrag.

Bootkits überschreiben diese Sequenz mit dem eigenen Code. So kann dieser schon
vor dem Betriebssystem geladen werden und damit jeglichen Schutz ausgebeln. Zu-
sätzlich hooken Bootkits oft die “Lowlevel” Lese/Schreibfunktionen des Systems.
Versucht nun das Betriebssystem oder ein Anti-Virus Programm den MBR auszulesen,
bekommen es nur den hübschen Backup der früheren Daten, nicht jedoch den realen

MBR zu sehen.
Damit können auch jegliche Sicherheitsmechanismen ausgehebelt werden. Ein be-
rühmtes Beispiel wäre: http://www.heise.de/newsticker/meldung/B.859.html

Kurz: durch ein Bootkit infiziertes System kann die eigene Infektion nicht wirk-
lich zuverlässig erkennen.

Man kann allerdings von CD booten, sich die MBRs anschauen sowie die Prüfsummen
vergleichen – mit dem Anti B00TKIT. Da dieser (idealerweise) auf einer CD oder
einem schreibgeschützen Medium liegt und als erstes ausgeführt wird, kann er
auch nicht manipuliert werden oder falsche Daten untergeschoben bekommen.

Warum nicht gleich eine LiveCD mit Linux oder Antivir Software nehmen?

Ganz einfach: 5 Sektoren (2.30KB) großer Loader des Anti B00TKITs ist praktisch
sofort, ohne merkbare Verzögerung, geladen. Wie lange würde eine LiveCD booten?

Das heißt: Bootsequenz im BIOS so einstellen, dass immer von CD mit Anti B00TKIT
hochgefahren wird. Ein kurzer Blick auf die Prüfsummen und “weiterbooten” sollte
auf jedenfall sehr viel flotter gehen als mit einer “schwergewichtigen” LiveCD
und damit für den täglichen Einsatz deutlich geeigneter 😉

————————

Soviel erstmal zum Allgemeinen Teil, seine aktuellste Version ist 0.8.5 mit u.a. diesen features:

release Version 0.85 (27.03.2010)

  • CRC wurde entfernt (macht keinen Sinn neben SHA1)
  • automatische Hashprüfung (auf der CD gespeicherte Hashs werden mit den Ermittelten verglichen). Erfordert eine benutzerangepasste CD.
  • automatisches Hochfahren nach einer festgelegten Zeit von einer vordefinierten Festplatte. Erfordert eine benutzerangepasste CD.
  • Konfigurationstools, um ohne Programmierkenntnisse solche benuterangepasste CDs zu erstellen ;) .

Ein paar Screenshots:

“Default” ISO/Img

Benutzerdefiniert (automatische Prüfung/Boot):

Bootvorgang wird unterbrochen, falls die Hashes nicht stimmen:

gespeicherte Hashes werden mit angezeigt (nicht übereinstimmende in rot):

Dumpansicht ist immer noch möglich 😉

Sehr nett das ganze! Und eine ausgezeichnete Arbeit von EBFE meiner Meinung nach.

Ausfuehrliches “HowTo”: http://ebfe.de.vu/antibootkit/howto
Download: http://ebfe.de.vu/antibootkit/release085.zip
Quellen: http://ebfes.wordpress.com/2010/03/27/anti-bootkit-v-0-8-5/
Infos & mehr zu EBFE’s Projekt: http://ebfe.de.vu/antibootkit

Back!

Die Downtime hat nun laenger gedauert als erwartet, daher verschiebt sich der Zeitplan bissle. :> Morgen kommt aber mal wieder ein 1337 Scene Report. Mein Scene VIP Interview folgt auch noch in der Woche und das XSS Tutorial sowieso :]

Wuensch euch allen nen schoenen Start in die neue Woche!

P.S.: schauts mal bei td0s.org vorbei 😉

Es laeuft fast alles nach Plan…

… aber nur fast. Wollt zwar heute nen Socks5 von st0re.info vorstellen, aber die erhalten demnaechst nen neuen Server, wo weitere / neue Socks gehostet werden. Daher werd ich erst in 1-2 Tagen was dazu bloggen koennen.

Da die Partnerseite die ich vorstellen wollte (zumindest bei mir) Probleme macht, faellt das auch weg.

Bleibt nur noch ein kleiner Punkt.. weiß jemand von euch, wo ich noch MyBB version 1.4.1 herbekomme / Downloaden kann?

Find ehrlich gesagt im Netz fast keinen Link mehr davon. Suche daher MyBB 1.4.1 🙂

Update: hmpf hat sich erledigt – dankeschoen BuntspechT <3

Fast einen Monat inaktiv..

… w00t w00t.

Hab mich in der Zwischenzeit mehr oder weniger “von der Scene erholt” und mich auf andere Dinge konzentriert.

Wie ihr vllt sehen koennt hat sich inzwischen das Template geaendert.. waren doch einige nicht zufrieden mit dem alten Template (btw.  I don’t care :P), aber das macht nüx, hab DvdRom gefragt was fuern Template er mir empfehlen wuerde, da hat er dieses Vorgeschlagen und son kleinen J0hn.X3r Banner gemacht – cute! Dankeschoen 🙂

Jau was gibts noch auf die schnelle zu berichten.. meine ToDo list war eigentlich so lang, hab se inzwischen aber vergessen.

Zu meinem “Star Interview”, ich denk ab naechste Woche Montag wirds dann mit dem ersten Gast losgehen.. wer das sein wird verrate ich noch nicht 😉

Mein XSS Tutorial wird wohl dieses WE gemacht werden, in Video Form und sowohl Online anschaubar, als auch zum DL verfuegbar sein.

Morgen wird dann ein kleiner Bericht uebern Socks5 von st0re.info denk ich kommen und eventuell stell ich noch die ein oder andere neue Partnerseite vor.

Und wegen Lockpicking.. uhm mal schaun :]

Meinen Ausnahmsweise recht kurzen Blogeintrag moechte ich fuer heute mit einem sehr unterhaltsamen Video von hoohead abschließen: