Sicherheits-Updates für alle

Paul Cooke von Microsoft beschäftigt sich im Windows Security Blog mit der Frage, ob auch Raubkopierer alle Sicherheits-Updates aus Redmond erhalten:

There seems to be a myth that Microsoft limits security updates to genuine Windows users.

Let me be clear: all security updates go to all users.

Not only do all security updates go to all users‘ systems, but non-genuine Windows systems are able to install service packs, update rollups, and important reliability and application compatibility updates. In addition, the users of non-genuine Windows systems can also upgrade a lot of the other software on their computer. For example Internet Explorer 8 has numerous security- oriented features and improvements, and it is available to all users.

Wäre ja auch doof, wenn Abermillionen zusätzliche Windows-Rechner im Internet auf einem uralten Patch-Level wären. Würmer wie Conficker oder früher der Blaster haben gezeigt, wie schnell sie sich verbreiten können allein mit den Systemen, die nicht aktuell gehalten werden.

Bislang ist mir jedenfalls noch kein Fall bekannt, bei dem Microsoft das Verteilen der Updates dazu benutzt hätte, einen Raubkopierer ausfindig zu machen und zu verfolgen. Dem Konzern ist es allemal lieber, wenn ein Anwender eines seiner Produkte als illegale Kopie nutzt, statt sich mit einem alternativen, vielleicht sogar noch kostenlosen Produkt anzufreunden. In Redmond geht es ja nicht mehr nur um verkaufte Lizenzen, darum natürlich auch, sondern um Marktbeherrschung.

Neue Lücken im Adobe Reader

Im Adobe Reader sind wieder mal zwei schwere Sicherheitslücken entdeckt worden, über die die Ausführung von Schad-Code möglich sein soll. Betroffen sind diesmal die Versionen 8.1.4 und 9.1 — allerdings für Linux. Ob der Windows-Reader die beiden beschriebenen Lücken auch enthält, ist noch nicht bekannt.

Wer das Programm unbedingt weiter nutzen will oder muss, sollte zumindest Javascript über die Optionen abschalten. Außerdem sollte man wirklich nicht mehr jedes PDF-Dokument aus dem Internet unbesehen öffnen. Einen etwas aufwändigen PDF-Check ermöglicht die Online-Variante der CWSandbox.

Als Alternative zum Adobe Reader empfehle ich den PDF Xchange Viewer von Tracker Software, der ebenfalls kostenlos ist, erheblich mehr Funktionen als der Adobe Reader bietet und dabei noch schneller ist. Mit Foxit und Co. konnte ich mich jedenfalls nie anfreunden.

Online-Schädlingsanalyse III: ThreatExpert

Einen ähnlichen Ansatz wie die CWSandbox, bei der ein potenzieller Schädling gestartet und beobachtet wird, verfolgt ThreatExpert. Die Webseite von ThreatExpert bietet jedoch einiges mehr. So gibt es wie bei Virustotal ein Upload-Tool für verdächtige Dateien, verschiedene Tools zur Suche nach Viren im Arbeitsspeicher und auf der Festplatte, ein Blog sowie Grafiken und Auswertungen der gefundenen Bedrohungen.

Ein Upload-Formular für Dateien, die allerdings maximal 5 MByte groß sein dürfen, gibt es natürlich auch. Wie bei der CWSandbox erhält der Uploader nach ein paar Minuten eine E-Mail. In diesem Fall enthält sie sowohl einen Link zur Online-Version der Analyse als auch eine Passwort-geschützte Datei mit dem Report.

Eine ThreatExpert-Analyse des bereits mehrmals verwendeten Wurms Socks findet sich hier.

Während sich die CWSandbox mehr auf das reine Verhalten stützt und keinen Signatur-Vergleich durchführt, prüft ThreatExpert die hochgeladene Datei auch auf bekannte Schädlinge. Ergänzt wird die Analyse durch knappe Informationen über Dateien und Registry-Schlüssel, die der Schädling anlegt und modifiziert. Außerdem versucht das Unternehmen das Ursprungsland der untersuchten Datei zu ermitteln.

Gemessen an den rohen Informationen darüber, was ein Schädling Schritt für Schritt unternimmt, ist die CWSandbox der Analyse durch ThreatExpert überlegen. Einsetzen kann oder sollte man die beiden Dienste aber natürlich beide.

Bisher erschienene Teile der Serie über Dienste zur Online-Schädlingsanalyse:

Online-Schädlingsanalyse I: Virustotal
Online-Schädlingsanalyse II: CWSandbox

Online-Schädlingsanalyse II: CWSandbox

Vor ein paar Tagen habe ich bereits Virustotal vorgestellt. Der Online-Dienst prüft verdächtige Dateien mit derzeit 37 Malware-Scannern. Eine weitergehende Analyse eines Schädlings ermöglicht dagegen die Online-Variante der CWSandbox von Sunbelt Software.

Bei der CWSandbox handelt es sich um eine automatisierte Malware-Analyse, die in einer kontrollierten Umgebung durchgeführt wird. Anders als bei Virustotal wird die Datei nicht mit Signaturen verglichen, sondern gestartet und beobachtet. Die CWSandbox protokolliert dabei jede neu angelegte Datei, jeden neuen Registry-Schlüssel sowie alle Löschvorgänge und Kontaktversuche mit dem Internet.

So zeigt die Analyse des im Virustotal-Beitrag bereits erwähnten Wurms Socks unter anderem, dass sich der Schädling mit dem Befehl

netsh firewall add allowedprogram c:Rechnung________________ ___________________________NRDKJH8833423444229.exe sys enable

selbst in der Windows-Firewall freischaltet. Außerdem lauscht er auf Port 29573 auf Befehle von der (mittlerweile abgeschalteten) Adresse koromanskipart1.ru. Dort hat sich vermutlich der Bot-Master befunden, von dem aus die mit Socks verseuchten PCs gesteuert wurden. Die vollständige Socks-Analyse findet sich hier.

Wer selbst einen Schädling mit der CWSandbox analysieren will, kann dazu dieses Online-Formular verwenden. Anders als bei Virustotal muss man jedoch eine E-Mail-Adresse angeben, an die nach kurzer Zeit ein Link zum Report gemailt wird. Kleiner Tipp: Den eigentlichen Bericht öffnet man mit einem Klick auf die sechsstellige Nummer bei „Analyses of this sample“.

Online-Schädlingsanalyse I: Virustotal

Mittlerweile gibt es eine ganze Reihe von Online-Diensten, mit denen sich eine verdächtige Datei schnell und unkompliziert analysieren lässt. Der bekannteste Vertreter dürfte Virustotal sein.

Die spanische Firma Hispasec Sistemas bietet mit Virustotal bereits seit einigen Jahren eine laufend erweiterte Online-Analyse von Dateien an. Aktuell untersucht das Unternehmen jede hochgeladene Datei mit 37 verschiedenen Malware-Scannern. Dabei handelt es sich um eine statische Analyse. Das heißt, die hochgeladene Datei wird nicht ausgeführt und nur anhand ihrer im Scanner (hoffentlich) vorhandenen Signatur und eventuell einer erfolgreichen heuristischen Analyse erkannt.

Das funktioniert prinzipiell recht gut. In den vergangenen Monaten haben die meisten Antivirus-Anbieter ihre Produkte jedoch um verhaltensbasierte Analysen erweitert. Dabei versuchen sie, einen Schädling anhand typischer Verhaltensmerkmale zu erkennen. Ein Trojaner könnte zum Beispiel eine Datei sein, die sich selbst in den System32-Ordner kopiert, Verbindung mit dem Internet aufnimmt, weitere Dateien herunterlädt und anschließend auf Port XY auf Befehle von außen lauscht.

Nach dem Upload einer Datei prüft Virustotal zuerst anhand eines Hash-Wertes, ob exakt diese Datei bereits früher einmal hochgeladen und untersucht wurde. Man hat dann die Möglichkeit, das alte Ergebnis zu betrachten oder den Scan mit den aktuellen Signaturen noch einmal ausführen zu lassen. Interessant ist beides. Man kann dann nämlich schön vergleichen, welcher Scanner etwas langsamer reagiert hat oder welcher Scanner eine einmal erkannte Datei plötzlich nicht mehr als gefährlich einstuft.

Am 6. Oktober 2008 wurde zum Beispiel der Wurm Socks von CAT-QuickHeal und Prevx1 als zumindest verdächtig eingestuft. Bei einem gestern durchgeführten Upload melden beide Scanner keine Gefahr.

Wenn bei einem Scan nur wenige Ergebnisse erzielt werden, handelt es sich eventuell um einen Fehlalarm. Interessant ist in diesem Fall immer, mit welchem Namen die Scanner die Datei erkannt haben wollen. Oft handelt es sich nur um eine Vermutung des Scanners, weil er bestimmte Merkmale der Datei als verdächtig einstuft (etwa die Verwendung bestimmter Packer wie UPX) oder weil er zum Zeitpunkt der Analyse eine fehlerhafte Signatur hat. Erst vor wenigen Tagen wurde etwa die Truecrypt-Exe von Avast vorübergehend als Trojaner eingestuft.

Früher hatte Virustotal noch die bei Virenautoren beliebte Option angeboten, eine von nur einigen Scannern erkannte Datei vertraulich zu behandeln. Heute senden die Spanier jede teilweise erkannte Datei an die Anbieter der anderen Scanner, damit diese ihre Signatur-Datenbanken erweitern können. Die Bekanntgabe dieser Änderung Anfang dieses Jahres löste im Virustotal-Blog einiges an Zeter und Mordio aus.

Ergebnis ist, dass es jetzt einige Web-Seiten gibt, die gegen eine Gebühr einen zu Virustotal prinzipiell vergleichbaren Dienst anbieten, bei dem eventuelle Treffer garantiert nicht weitergeleitet werden.

Wie eingangs erwähnt, stößt Virustotal mit seinen statischen Analysen technisch bedingt an Grenzen. Die Spanier können zwar immer mehr Scanner integrieren und die Erkennung dadurch weiter verbessern, aber es ist zum Beispiel ein großer Unterschied, ob man „nur“ die noch nicht ausgeführte EXE eines Rootkits erkennt oder ein im System bereits verankertes Rootkit.

In den kommenden Tagen möchte ich deswegen weitere Online-Dienste vorstellen, mit denen sich tiefergehende Analysen verdächtiger Dateien durchführen lassen.

Ergänzung: Erwähnt werden soll hier auch noch der Malware-Scan von Jotti, den es auch schon einige Jahre gibt. Jotti lässt im Vergleich zu Virustotal allerdings einiges zu wünschen übrig. Der Online-Dienst verwendet erheblich weniger Scanner und zeigt keine Zusatzinfos wie Hash-Werte der untersuchten Dateien an. Außerdem lassen sich die Ergebnisse nicht verlinken und im Dunkeln bleibt, von wann die verwendeten Signaturen sind.

Den weiter oben bereits erwähnten Wurm Socks habe ich gestern auch bei Jotti hochgeladen. Weder Gdata noch Panda sollen den nicht mehr gerade neuen Schädling erkannt haben.

Ich mag das nicht wirklich glauben (siehe dazu auch noch einmal den gestrigen Scan bei Virustotal mit aktuellen Signaturen). Entweder stimmt etwas beim Scan nicht oder die eingesetzten Signaturen sind schon älter. Bei einem Test heute morgen hat plötzlich sogar auch noch Norman den Wurm nicht mehr erkannt.

Sehr eigenartig.

Personal Software Inspector 1.0.0.1

Secunia hat heute die erste 1.x-Version des Personal Software Inspector (PSI) veröffentlicht, mit dem sich veraltete und unsichere Software auf dem lokalen System identifizieren lässt. Das Freeware-Tool läuft unter Windows 2000/XP/Vista (32 und 64 Bit) und ist wirklich praktisch.

PSI scannt die Festplatte und sammelt Informationen über vorhandene Programme anhand ihrer EXE-, OCX- und DLL-Dateien. Anschließend vergleicht das Tool die gefundenen Daten mit der Online-Datenbank von Secunia und meldet unsichere und veraltete Versionen.

Per Klick auf die Reiter „Unsicher“, „Veraltet“ oder „Aktualisiert“ lassen sich Informationen über die gefundenen Programme und die damit verbundenen Probleme sowie Links zu den passenden Updates anzeigen.

Vorsicht: Nach der Installation trägt sich PSI automatisch in den Windows-Autostart ein. Wer das nicht will, schaltet die Funktion unter „Einstellungen“ ab (erreichbar über „ERWEITERT“).

Truecrypt 6.1

Die Truecrypt-Entwickler sind immer noch fleissig dabei, neue Versionen zu veröffentlichen. Die wichtigste neue Funktion in Truecrypt 6.1 ermöglicht jetzt, eine Nicht-System-Partition zu verschlüsseln, ohne dass die darauf gespeicherten Daten verloren gehen.

Allerdings funktioniert dies nur unter Vista und Windows Server 2008. Bei der Verschlüsselung muss Truecrypt die Partition etwas verkleinern, dies ist nach Angaben der Entwickler bei XP und Windows 2000/2003 mit den mitgelieferten Bordmitteln nicht möglich.

Interessant finde ich auch, dass man den Truecrypt-Bootloader nun verstecken oder an die eigenen Vorstellungen anpassen kann. Das klingt vernünftig, da die Existenz des Bootloaders auf ein verborgenes Betriebssystem hinweisen kann. Außerdem unterstützt Truecrypt 6.1 jetzt Security-Token und Smartcards.

Link zu den vollständigen Release Notes.

Dem File Slack auf der Spur

Mit dem File Slack habe ich mich bereits vor ein paar Tagen beschäftigt. Dabei handelt es sich um Daten, die unsichtbar auf der Festplatte schlummern und die möglicherweise ohne Wissen des Benutzers sensible Informationen enthalten.

Kurz noch einmal der Hintergrund: Festplatten sind in Sektoren und Cluster aufgeteilt. Cluster sind dabei die kleinste Einheit, die Windows adressieren kann. Eine typische Cluster-Größe ist 4096 Byte. Eine Datei belegt immer mindestens einen Cluster, auch wenn sie beispielsweise nur 10 Byte groß ist. Größere Dateien belegen mehrere Cluster.

Der restliche Platz des letzten Clusters, den eine Datei belegt, wird File Slack genannt. Zum Auffüllen des File Slacks verwendet Windows zufällige Daten, die entweder aus dem RAM oder von der Festplatte stammen. Dabei kann es sich um nutzlosen Datenmüll handeln oder um sensible Informationen wie besuchte Webseiten oder gar Passwörter.

Mit professionellen Programmen wie beispielsweise Encase lässt sich der File Slack bequem untersuchen.

Es gibt aber auch kostenlose Möglichkeiten, den File Slack auf der eigenen Festplatte unter die Lupe zu nehmen. Der Disk Investigator 1.4 von Kevin Solway ist Freeware und läuft direkt unter Windows.

Mit dem Disk Investigator kann man seine Festplatte Byte für Byte, Sektor für Sektor oder Cluster für Cluster betrachten. Ähnlich wie Encase färbt das Tool den File Slack dabei sogar rot ein.

File Slack untersuchen

Zuerst muss man den Disk Investigator herunterladen und installieren. Anschließend starten und oben links auf „Directories“ klicken.

Nun schauen wir uns zuerst mal die Größe des File Slacks einer beliebigen Datei an. Dazu klicken wir im Disk Investigator mit der rechten Maustaste auf die Datei und wählen „Properties“ aus.

Hinter „Größe“ und „Größe auf Datenträger“ sieht man zwei Werte in Klammern. Der erste ist die tatsächliche Größe der Datei, der zweite ist der belegte Platz auf der Festplatte. Die Differenz ist der File Slack. Im Beispiel ist der File Slack also 2888 Byte groß (2.727.936 – 2.725.048 = 2888).

Aber wie schaut der Inhalt des File Slack nun aus? Dazu klickt man wieder mit der rechten Maustaste auf die Datei und wählt diesmal „View raw file contents“ aus.

Hier haben wir den Anfang der Datei, den der Disk Investigator im Text-Modus darstellt. Der File Slack befindet sich jedoch am Ende der Datei. Zuerst wählen wir oben links „Hex“ aus, da das Tool den File Slack nur bei diesem Format auch wirklich rot färbt (und auch das nicht immer zuverlässig). Anschließend ziehen wir den Regler unten von „Start of file“ zu „End of file“ und scrollen dann im Hauptfenster etwas nach unten bis in den roten File-Slack-Bereich.

Wie man sieht, stehen rechts lesbare Inhalte, die nichts mit der Originaldatei zu tun haben. Meist findet man aber nur Müll oder gelegentlich auch nur Nullen.

Mit einem kostenlosen Tool wie dem Disk Investigator ist es ein reines Glücksspiel eine Datei samt einem File Slack zu finden, der etwas Verwertbares enthält. Außerdem braucht man viel Geduld, da das Tool etwas verbugt zu sein scheint. So bleibt der Regler mal dauerhaft rechts, wenn man mehrere Dateien hintereinander betrachtet, mal springt er jedes Mal sofort wieder zum Anfang der Datei.

Der Disk Investigator eignet sich, um verborgene Daten im File Slack aufzuspüren. Eine Überprüfung von mehreren Tausend Dateien ist damit jedoch nicht sinnvoll möglich.

Weiterer Beitrag zum Thema:
Der große Unbekannte: Der File Slack

Zeitstempel unter Windows

Windows speichert für jede Datei prinzipiell drei verschiedene Zugriffszeiten:

  • Die Modification Time, die besagt, wann eine Datei das letzte Mal geändert und abgespeichert wurde.
  • Die (Last) Access Time, die besagt, wann eine Datei das letzte Mal geöffnet und betrachtet wurde.
  • Die Creation Time, die besagt, wann eine Datei erstellt wurde.

Alles zusammen ist ein dreifacher Zeitstempel für jede Datei, den man auch MAC-Time (Modification, Access, Creation) nennt.

Jemand, der einen PC oder einen Server professionell unter die Lupe nimmt, interessiert sich besonders für die Last Access Time, da man damit beispielsweise belegen kann, dass eine einmal heruntergeladene Datei zu einem späteren Zeitpunkt noch einmal geöffnet wurde oder eben nicht.

Ob ein Windows-Rechner den Last-Access-Time-Stempel jedoch überhaupt aktualisiert, hängt vom Registry-Schlüssel NtfsDisableLastAccessUpdate ab, der sich unter HKLMSYSTEMCurrentControlSetControlFileSystem findet. Steht der Wert auf 0 oder ist der Schlüssel nicht vorhanden, aktualisiert Windows den Zeitstempel automatisch. Steht er dagegen auf 1, vermerkt Windows keine weiteren Zugriffszeiten bei denen keine Schreibzugriffe erfolgen.

Unter Vista hat Microsoft den Wert von NtfsDisableLastAccessUpdate selbst auf 1 gesetzt, wahrscheinlich, um das nicht gerade als Turbo bekannte System durch die zusätzlichen Schreibzugriffe nicht noch weiter zu belasten. Unter XP (und eventuell Windows 2000) ist der Registry-Schlüssel normalerweise nicht vorhanden, lässt sich aber nachträglich leicht an der richtigen Stelle im Registry-Editor per Rechtsklick und Auswahl von „Neu, DWORD-Wert“ erstellen und per Doppelklick auf 1 setzen. Anschließend den PC neustarten, um die Änderung zu aktivieren.

Dadurch blockiert man einerseits zusätzliche Datenspuren und beschleunigt gleichzeitig noch das eigene System.

Der große Unbekannte: Der File Slack

Quizfrage: Was bitte ist der File Slack? Ich hab’s bislang nicht gewusst. Um zu verstehen, was der File Slack ist, muss man sich zuerst mit Festplatten und mit Windows beschäftigen. Festplatten werden in Sektoren aufgeteilt, mehrere Sektoren sind dann wiederum ein Cluster. Je nach Dateisystem sind die Cluster größer oder kleiner. FAT kann mit nicht so vielen Clustern umgehen, NTFS dagegen mit mehr. Soweit so gut, das dürfte weitgehend bekannt sein.

Ein Cluster ist die kleinste Größe, die Windows adressieren kann. Bei einer Cluster-Größe von beispielsweise 4096 Byte belegt also auch eine nur wenige Byte große Datei einen kompletten Cluster. So sieht das zum Beispiel aus:

Jetzt kommen wir zum File Slack. Was macht Windows eigentlich mit dem restlichen Platz in einem Cluster? Es belegt ihn einfach mit zufälligen Datenfragmenten. Aber wo stammen die her? Jetzt kommt der Hammer: Die Daten, mit denen Windows den restlichen Platz in einem Cluster füllt, kommen entweder direkt aus dem RAM oder von der Festplatte. Man nennt dies den RAM Slack beziehungsweise den Drive Slack. Beide zusammen sind der File Slack.

Der RAM Slack füllt den letzten benötigten Sektor auf, während der Drive Slack den Rest des Clusters auffüllt. Mit geeigneten Tools lassen sich diese bruchstückhaften Inhalte zusammenfassen und auswerten. Es ist dabei durchaus möglich, dass im File Slack — ohne Wissen des Benutzers — Teile von E-Mails, besuchten Webseiten oder auch komplette Passwörter enthalten sind. Das ist also der File Slack.

Quelle: Computer-Forensik von Alexander Geschonneck, Dpunkt-Verlag