35c3 Chaos West

»Einfache Erkennung von fortschrittlichen Rootkits«
2018-12-27, 21:00–21:50, Chaos West Bühne

Ein Rootkit (englisch etwa: „Administratorenbausatz“; root ist bei unixähnlichen Betriebssystemen der Benutzer mit Administratorrechten) ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Softwaresystem auf dem kompromittierten System installiert wird, um zukünftige Anmeldevorgänge (Logins) des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken.

Aufspüren von Schadsoftware durch Analyse des Datenverkehrs

In unserem Talk beschreiben wir eine Methode, besonders gut getarnte (=virtualisierende) Rootkits sowie manipulierte Firmware (UEFI, BIOS, Netzwerkkarten- oder Grafikkarten-Firmware) zuverlässig zu entdecken. Hierzu wird ein Vergleich des erwarteten Datenverkehrs mit dem tatsächlichen Datenverkehr durchgeführt, um die Schadsoftware durch den von ihr initiierten Datenverkehr zu erkennen.

Wir beschreiben, wie der Vergleich durchgeführt wird und wie die Daten erfasst und verglichen werden. Zudem beschreiben wir die Vor- und Nachteile des verwendeten Ansatzes, der im Zuge einer Masterarbeit entwickelt wurde.