Ebfe’s Anti-B00TKIT Projekt

J0hn.X3r / / Allgemein

Moechte euch heute ein (meiner Meinung nach) sehr interessantes Projekt vorstellen, naemlich das “Anti-B00TKIT” Projekt von EBFE. Da ein (inzwischen) sehr bekannter Typ (Peter Kleissner) mit seinem “Stoned Bootkit” bekannt geworden ist und nun die meisten “Ahnungslosen” meinen “verdammt, TrueCrypt ist doch unsicher!! Lasst den mist und steigt auf xyz um!”

                █▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀█
                █  ▄███████▄ ▄████████▄  ▄███████▄  ▄███████▄ █
                █ █▓▓▓▓▓▓▓▒█ █▓▓▓▓▓▓▓▓█ █▓▓▓▓▓▓▓▒█ █▓▓▓▓▓▓▓▒█ █
                █ █▓▓▓▓▓▓▒▒█ █▓▓▓  ▓▓▓█ █▓▓▓▓▓▓▒▒█ █▓▓▓▓▓▓▒▒█ █
                █ █▓▓█▀▀▀▀▀▀ █▓▓▓ ▓ ▓▒█ █▓▓█▀▀▀▀▀▀ █▓▓█▀▀▀▀▀▀ █
                █ █▓▒█ ▓▒░   █▓▒▒   ▒▒█ █▓▒█ ▓▒░   █▓▒█ ▓▒░   █
                █ █▒▒█▄▄▄    █▒▒▒  ▒▒▒█ █▒▒█▄▄▄    █▒▒█▄▄▄    █
                █ █▒▒▒▒▒█    █▒▒▒▒▒▒▒█  █▒▒▒▒▒█    █▒▒▒▒▒█    █
                █ █▒▒█▀▀▀    █▒▒▒  ▒▒▒█ █▒▒█▀▀▀    █▒▒█▀▀▀    █
                █ █▒▒█ ▓▒░   █▒▒▒   ▒▒█ █▒▒█ ▓▓▒ █ █▒▒█ ▓▒░   █
                █ █▒▒█▄▄▄▄▄▄ █▒▒▒ ░ ▒▒█ █▒▒█ ▓▒▒ █ █▒▒█▄▄▄▄▄▄ █
                █ █▒░░░░░░▒█ █▒░░  ▒░░█ █▒░█ ▓▒░ █ █▒░░░░░░▒█ █
                █ █░░░░░░▒▒█ █░░░░░░░░█ █░░█ ▒▒░ █ █░░░░░░▒▒█ █
                █ ▀████████▀ ▀████████▀ ████ ▒░░ █ ▀████████▀ █
                █ ▄▄▄▄▄▄▄▄▄▄█▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄███▄▄▄▄▄▄▄▄▄▄ █
                █ █▓▒░▓▓████▒▓███▓▓▒▒▓▓▒▒▓███▓▓▒▒▒▒░░▒▓██▓▓██ █
                █▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄█
                                                  [email protected]
─   ──  ─── ──────────────────────────────────────────────────────── ───  ──   ─

                            .::P:R:E:S:E:N:T:S::.
─   ──  ─── ──────────────────────────────────────────────────────── ───  ──   ─

Was ist Anti B00TKIT?

Ein Bootloader/eine Bootdisk. Damit kann man den Rechner hochfahren, die Master
Boot Record Einträge der Festplatten auslesen, deren CRC-16 und SHA1 Prüfsummen
anzeigen und von der ausgewählten Festplatte weiterbooten.

Sinn?

Der Master Boot Record enthält üblicherweise die Partitionstabelle und einen
Bootloader (zumindest auf einer der Festplatten), der das eigentliche Betriebs-
system lädt. Siehe dazu den Wikipediaeintrag.

Bootkits überschreiben diese Sequenz mit dem eigenen Code. So kann dieser schon
vor dem Betriebssystem geladen werden und damit jeglichen Schutz ausgebeln. Zu-
sätzlich hooken Bootkits oft die “Lowlevel” Lese/Schreibfunktionen des Systems.
Versucht nun das Betriebssystem oder ein Anti-Virus Programm den MBR auszulesen,
bekommen es nur den hübschen Backup der früheren Daten, nicht jedoch den realen

MBR zu sehen.
Damit können auch jegliche Sicherheitsmechanismen ausgehebelt werden. Ein be-
rühmtes Beispiel wäre: http://www.heise.de/newsticker/meldung/B.859.html

Kurz: durch ein Bootkit infiziertes System kann die eigene Infektion nicht wirk-
lich zuverlässig erkennen.

Man kann allerdings von CD booten, sich die MBRs anschauen sowie die Prüfsummen
vergleichen – mit dem Anti B00TKIT. Da dieser (idealerweise) auf einer CD oder
einem schreibgeschützen Medium liegt und als erstes ausgeführt wird, kann er
auch nicht manipuliert werden oder falsche Daten untergeschoben bekommen.

Warum nicht gleich eine LiveCD mit Linux oder Antivir Software nehmen?

Ganz einfach: 5 Sektoren (2.30KB) großer Loader des Anti B00TKITs ist praktisch
sofort, ohne merkbare Verzögerung, geladen. Wie lange würde eine LiveCD booten?

Das heißt: Bootsequenz im BIOS so einstellen, dass immer von CD mit Anti B00TKIT
hochgefahren wird. Ein kurzer Blick auf die Prüfsummen und “weiterbooten” sollte
auf jedenfall sehr viel flotter gehen als mit einer “schwergewichtigen” LiveCD
und damit für den täglichen Einsatz deutlich geeigneter 😉

————————

Soviel erstmal zum Allgemeinen Teil, seine aktuellste Version ist 0.8.5 mit u.a. diesen features:

release Version 0.85 (27.03.2010)

  • CRC wurde entfernt (macht keinen Sinn neben SHA1)
  • automatische Hashprüfung (auf der CD gespeicherte Hashs werden mit den Ermittelten verglichen). Erfordert eine benutzerangepasste CD.
  • automatisches Hochfahren nach einer festgelegten Zeit von einer vordefinierten Festplatte. Erfordert eine benutzerangepasste CD.
  • Konfigurationstools, um ohne Programmierkenntnisse solche benuterangepasste CDs zu erstellen ;) .

Ein paar Screenshots:

“Default” ISO/Img

Benutzerdefiniert (automatische Prüfung/Boot):

Bootvorgang wird unterbrochen, falls die Hashes nicht stimmen:

gespeicherte Hashes werden mit angezeigt (nicht übereinstimmende in rot):

Dumpansicht ist immer noch möglich 😉

Sehr nett das ganze! Und eine ausgezeichnete Arbeit von EBFE meiner Meinung nach.

Ausfuehrliches “HowTo”: http://ebfe.de.vu/antibootkit/howto
Download: http://ebfe.de.vu/antibootkit/release085.zip
Quellen: http://ebfes.wordpress.com/2010/03/27/anti-bootkit-v-0-8-5/
Infos & mehr zu EBFE’s Projekt: http://ebfe.de.vu/antibootkit

Leave a Reply

Your email address will not be published. Required fields are marked *