Microsoft gebruikt Rootkit technieken op SBS2008/2011 - Privacy en beveiliging

donderdag 15 maart 2012 13:13

Acties:

Topicstarter

Door het gebeuren op nu.nl en de slechte detectie van het nu.nl hackje. kwam ik uit bij gmer.net
waar een rootkit scanner te vinden is die ook in de MBR kijkt.. (en waarmee je die kan verwijderen)

deze draaide ik voor de grap ook eens op een SBS 2008 server.. en tot mijn verbazing meteen een melding over rootkit aktiviteit..
het blijkt de licensing service van Microsoft te zijn ..
Aangezien me dat een mooie truuk leek om dat te faken, het ook op een SBS 2011 server uitgevoerd met helaas exact hetzelfde resultaat..

Ik vind het triest dat MS rootkit truken zou gebruiken om hun licensing "veilig" te stellen, maar daar lijkt het tot nu toe wel op.

Is er hier iemand wellicht die een SBS server heeft en dit ook wil controleren .. ?

----------------------------------------------------
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-03-15 13:10:59
Windows 6.0.6002 Service Pack 2
Running: gmer.exe

---- Services - GMER 1.0.15 ----

Service C:\Windows\system32\silsvc.exe (*** hidden *** ) [AUTO] silsvc <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\silsvc@ service
Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\silsvc@ service
Reg HKLM\SYSTEM\CurrentControlSet\Services\silsvc@DisplayName @%SystemRoot%\system32\silsvc.exe,-103
Reg HKLM\SYSTEM\CurrentControlSet\Services\silsvc@ErrorControl 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\silsvc@ImagePath %SystemRoot%\system32\silsvc.exe
Reg HKLM\SYSTEM\CurrentControlSet\Services\silsvc@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\silsvc@Type 16
Reg HKLM\SYSTEM\CurrentControlSet\Services\silsvc@Description @%SystemRoot%\system32\silsvc.exe,-102
Reg HKLM\SYSTEM\CurrentControlSet\Services\silsvc@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\silsvc@DelayedAutostart 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\silsvc\Security
Reg HKLM\SYSTEM\CurrentControlSet\Services\silsvc\Security@Security 0x01 0x00 0x14 0x88 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\{D97125D7-F6A7-4FF6-883C-FB3253EB89EF}\Parameters\Tcpip@EnableDHCP 1
Reg HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\silsvc@ service
Reg HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\silsvc@ service
Reg HKLM\SYSTEM\ControlSet003\Services\silsvc@DisplayName @%SystemRoot%\system32\silsvc.exe,-103
Reg HKLM\SYSTEM\ControlSet003\Services\silsvc@ErrorControl 1
Reg HKLM\SYSTEM\ControlSet003\Services\silsvc@ImagePath %SystemRoot%\system32\silsvc.exe
Reg HKLM\SYSTEM\ControlSet003\Services\silsvc@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\silsvc@Type 16
Reg HKLM\SYSTEM\ControlSet003\Services\silsvc@Description @%SystemRoot%\system32\silsvc.exe,-102
Reg HKLM\SYSTEM\ControlSet003\Services\silsvc@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\silsvc@DelayedAutostart 0
Reg HKLM\SYSTEM\ControlSet003\Services\silsvc\Security (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\silsvc\Security@Security 0x01 0x00 0x14 0x88 ...
Reg HKLM\SYSTEM\ControlSet003\Services\{D97125D7-F6A7-4FF6-883C-FB3253EB89EF}\Parameters\Tcpip@EnableDHCP 1

---- EOF - GMER 1.0.15 ----
------------------------------------------------------------------------

donderdag 15 maart 2012 13:33

Acties:

Verwijderd

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-03-15 13:32:17
Windows 6.1.7601 Service Pack 1
Running: gmer.exe

---- Services - GMER 1.0.15 ----

Service C:\Windows\system32\silsvc.exe (*** hidden *** ) [AUTO] silsvc <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\silsvc@ service
Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\silsvc@ service
Reg HKLM\SYSTEM\CurrentControlSet\services\silsvc@DisplayName @%SystemRoot%\system32\silsvc.exe,-103
Reg HKLM\SYSTEM\CurrentControlSet\services\silsvc@ErrorControl 1
Reg HKLM\SYSTEM\CurrentControlSet\services\silsvc@ImagePath %SystemRoot%\system32\silsvc.exe
Reg HKLM\SYSTEM\CurrentControlSet\services\silsvc@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\services\silsvc@Type 16
Reg HKLM\SYSTEM\CurrentControlSet\services\silsvc@Description @%SystemRoot%\system32\silsvc.exe,-102
Reg HKLM\SYSTEM\CurrentControlSet\services\silsvc@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\services\silsvc@DelayedAutostart 0
Reg HKLM\SYSTEM\CurrentControlSet\services\silsvc\Security
Reg HKLM\SYSTEM\CurrentControlSet\services\silsvc\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\silsvc@ service
Reg HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\silsvc@ service
Reg HKLM\SYSTEM\ControlSet002\services\silsvc@DisplayName @%SystemRoot%\system32\silsvc.exe,-103
Reg HKLM\SYSTEM\ControlSet002\services\silsvc@ErrorControl 1
Reg HKLM\SYSTEM\ControlSet002\services\silsvc@ImagePath %SystemRoot%\system32\silsvc.exe
Reg HKLM\SYSTEM\ControlSet002\services\silsvc@Start 2
Reg HKLM\SYSTEM\ControlSet002\services\silsvc@Type 16
Reg HKLM\SYSTEM\ControlSet002\services\silsvc@Description @%SystemRoot%\system32\silsvc.exe,-102
Reg HKLM\SYSTEM\ControlSet002\services\silsvc@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\services\silsvc@DelayedAutostart 0
Reg HKLM\SYSTEM\ControlSet002\services\silsvc\Security (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\silsvc\Security@Security 0x01 0x00 0x14 0x80 ..

zelfde issue hier.....

donderdag 15 maart 2012 13:36

Acties:

CyBeR

💩

Euh. Het is Microsoft's OS. Per definitie kunnen zij er truuken in uithalen die op rootkits lijken, omdat zij de hele shit bij elkaar gecode hebben. Het is wmb ook hun goed recht om dat te doen.

Als je dat niet wilt moet je geen commercieel closed-source OS draaien.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 15 maart 2012 14:02

Acties:

Djaro

Topicstarter

@tibor bedankt voor de bevesting, beetje triest dat Microsoft met een kanon op een mug schiet als je het mij vraagt.. waarom moet dat met rootkit truken.

@cyber , zinloos antwoord, en totaal niet ontopic.. ga lekker met je unix spelen en reageer dan niet.

donderdag 15 maart 2012 14:25

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
Djaro: doe eens even wat minder agressief

(En haal Unix en opensource OS niet door elkaar, ik heb in ieder geval de code van bijv AIX niet thuis liggen...).

CyBeR heeft wel degelijk een punt: natuurlijk vertoont het OS zelf rootkit-achtig gedrag. Het definieert de (Windows-variant van de) root. De vraag is dan eerder of het terecht is dat GMER het herkent. Het laat de vele andere services die hetzelfde doen niet zien. Denk aan de service om -jawel- services te laden en bewaken. Of de functionaliteit om NTFS junction points af te handelen die je ook als een verborgen bestand zou kunnen zien. Etc etc etc.

Maar je eigenlijke vraag is dus neem ik aan of het nu zo nodig is dat er een License Service bestaat die zichzelf in de lucht wil houden. Sja. Kijk dan ook eens naar UEFI, secure boot, ...

Ik neem aan dat je dit topic alleen wilde gebruiken voor bevestiging dat het echt MS is, die lijk je te heben. Open voor een evt. discussie over dit soort zaken ajb een discussietopic dat daar over gaat.
Dit topic gaat -met dit begin- geen inhoudelijk discussietopic meer worden.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 15 maart 2012 14:51

Acties:

Djaro

Topicstarter

F_J_K , het punt waar het mij om gaat is dat deze service alleen HIDDEN is bij SBS servers, niet bij Win7/windows2008(r2) etc. , waarom dan alleen in Windows SBS ?

ik snap gewoonweg niet dat MS rootkit truken gebruikt om deze service aan te roepen, precies zoals jij en cyber zeggen , maakt MS het OS , is de rootkit truuk dan daadwerkelijk nodig , i,.e. kan dat niet anders ?
vindt het namelijk op het grijze vlak komen, plus dat er potentieel misbruik van gemaakt kan worden als deze hidden service executable aangepast wordt door malware misschien ?

ik zie niet in wat er agrressief aan is, dan kan je de reaktie van Cyber ook zo classificeren namelijk, "als je dat niet wilt moet je geen commercieel OS draaien" voegt niets toe , en antwoord niet op de daadwerkelijke vraag.. waarom wel in SBS en niet in andere OS'en.
ook het feit dat er alleen blijkbaar mensen met "open source" reageren geeft geen antwoorden

donderdag 15 maart 2012 14:55

Acties:

CyBeR

💩

Je lijkt een probleem te hebben met dat Microsoft in hun OS gekozen heeft om bepaalde zaken niet standaard zichtbaar te maken. Dat doen ze met heel veel dingen, en een ervan is erop gericht te zorgen dat zij wel netjes hun geld binnenkrijgen voor hun producten.

Als jij niet wilt dat er zaken onzichtbaar zijn om te zorgen dat je betaalt voor je OS, moet je geen OS draaien wat a) betaald is (commercieel) en b) gesloten (closed source). Zoals ik dus net ook al zei.

Je probleem is, zoals ik 't uit je topic begrijp, namelijk principieel en niet technisch van aard.

Overigens, waarom ze 't alleen bij SBS doen lijkt me, gezien de aard van het product, simpel te verklaren.

[ Voor 8% gewijzigd door CyBeR op 15-03-2012 14:56 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 16 maart 2012 10:39

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Djaro schreef op donderdag 15 maart 2012 @ 13:13:
Ik vind het triest dat MS rootkit truken zou gebruiken om hun licensing "veilig" te stellen, maar daar lijkt het tot nu toe wel op.

Wellicht dat je ook even aan kunt geven waarom je het dan triest vind.

Ik weet uit het verleden (toen de sbs license-server nog zichtbaar was), dat SBS stopte met functioneren als een beheerder de license-service stopte (en ja, om performance redenen werd dit nog wel eens geprobeerd door beheerders). Wellicht dat MS deze issue probeert te voorkomen door de licensing nu onzichtbaar op de achtergrond te laten draaien.

SBS is immers gemaakt voor wat kleinere omgevingen waar wat minder beheerskennis zit. Prima initiaftief toch dat MS probeert om "the loaded gun" bij eindgebruikers of beheerders weg te halen?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B