Windows Process Hiding

Bachelor-Studiengang IT Security

Sebastian Eresheim, BSc (Jg. 2013/2016)

Betreuer: Dipl.-Ing. Robert Luh, BSc

Ausgangslage

Ein kurzes Flackern am Bildschirm. Ein lauter werdender Lüfter. Kleine Anzeichen, dass der Computer möglicherweise ein unerwünschtes Eigenleben entwickelt hat. Ein kurzer Blick in den Task Manager genügt jedoch meist, um verdächtige Applikationen zu identifizieren. Doch wenn weder die Auslastung noch die Liste der Prozesse auf bösartige Aktivität hindeuten, könnte „Process Hiding“ im Spiel sein.

Das Prinzip der versteckten Prozesse gibt es schon seit geraumer Zeit. Heimlich können so diverse Vorgänge im Hintergrund durchgeführt werden, die nicht nur Endbenutzerinnen und -benutzern schaden könnten. Egal, ob Passwörter ausgespäht werden oder die Maschine als Ausgangsbasis für weitere Angriffe verwendet wird: Herkömmliche AnwenderInnen haben oft keine Chance, zu erkennen, was auf ihrem Rechner wirklich passiert, nachdem Prozesse einmal erfolgreich versteckt wurden.

Im Laufe der Jahre wurden die Techniken des „Process Hiding“ immer ausgefeilter. Genauso wurden immer wieder neue Methoden entwickelt, wie man versteckte Prozesse wieder entdecken kann. Wenige werden jedoch tatsächlich von Endanwenderinnen und -anwendern genutzt, und so ahnen viele nicht, was auf ihren Rechnern im Verborgenen geschieht.

Ziel

Das Ziel dieser Arbeit ist es, die verschiedenen Arten des „Process Hiding“ in Windows aufzuzeigen, sie zu kategorisieren und miteinander zu vergleichen. Gleichzeitig werden auch Gegenmaßnahmen vorgeschlagen, die EndbenutzerInnen anwenden können, um sich vor versteckten Prozessen zu schützen. Darüber hinaus wird getestet, wie anfällig die meist verbreitete Windows-Version (Windows 7) sowie die aktuellste Windows-Version (Windows 10) auf bereits jahrelang bekannte Techniken sind.

Ergebnis

Dank der immer stärkeren Verbreitung von x64-Systemen kommen Sicherheitstechnologien wie Secure Boot, Kernel-Mode Code Signing Policy oder Kernel Patch Protection immer mehr zum Einsatz. Darüber hinaus bieten auch die neuen Universal Windows Plattform-Apps ein neues Maß an Sicherheit, das so von Windows-Anwendungen bisher nicht bekannt war.

Es liegt aber noch ein langer Weg vor der Industrie, bis versteckte Prozesse und fehlende Sicherheitsfunktionen in 32-bit Windows-Umgebungen der Vergangenheit angehören.