Ich habe moderne Malware auf Windows XP installiert, weil ich gerne zusehen möchte, wie die Welt brennt

/de/images/windows-xp-malware-antivirus-feature-image.jpg

Heutzutage ist Windows XP ein gefährliches Betriebssystem. Es wurde schon lange nicht mehr unterstützt, und es weist zahlreiche Sicherheitslücken und Probleme auf, die es im Vergleich zu modernen Pendants wie Windows 11 deutlich leichter angreifbar und angreifbar machen. Es gibt jedoch eine interessante Folge seines Alters, die fast paradoxerweise dazu beiträgt, Angriffe zu verhindern. Da es so alt ist, fehlen ihm viele moderne Windows-Funktionen … und dazu gehören auch Funktionen, die möglicherweise auch Malware auszunutzen versucht. Deshalb habe ich Windows XP installiert und dann versucht, Malware darauf zu installieren.

Erstens empfehle ich nicht, dies selbst zu tun. Ich habe eine isolierte virtuelle Maschine erstellt und eine Firewall verwendet, um zu verhindern, dass sie auf den Rest meines Heimnetzwerks zugreift. Dann habe ich Malware heruntergeladen und ausgeführt, um zu sehen, was passieren würde. Zu meiner Überraschung war es tatsächlich sehr schwierig, moderne Beispiele von Malware überhaupt zum Laufen zu bringen. Sie suchten nach Systemdiensten, die nicht vorhanden waren, oder versuchten, Anweisungen auszuführen, die nicht existierten.

Bedeutet das, dass Windows XP ein „sicheres“ Betriebssystem ist? Ich kann nicht betonen, wie sehr Sie Windows XP nicht verwenden sollten, wenn Sie es vermeiden können. Es gibt Malware, die Ihr Windows XP-Setup stark beeinträchtigen kann. Allerdings werden einige der am weitesten verbreiteten Schadprogramme, die mit modernen Umgehungstechniken geschrieben wurden und auf eine raffiniertere Art und Weise konzipiert sind, wahrscheinlich nicht unter Windows XP ausgeführt. Es ist ziemlich interessant und ich habe einen Debugger und Dependency Walker verwendet, um herauszufinden, was genau schief gelaufen ist.

Manche Malware zielt nur auf 64-Bit-Maschinen ab

Ich hatte nicht erwartet, dass dies ein Problem sein würde

/de/images/windows-xp-64-bit-edition.jpg Bildnachweis: Microsoft

Pikabot ist ein Malware-Downloader und -Loader und nutzt eine Reihe ausgefeilter Techniken, um der Erkennung, Prüfung und Fehlerbehebung zu entgehen. Der Clou: Das von vx-underground geteilte Malware-Beispiel ist eine ausführbare Win64-Datei und läuft daher auf den meisten Windows XP-Installationen nicht. Nur Windows XP Professional x64 Edition würde es ausführen, obwohl ich das hier nicht verwende. Es gibt jedoch auch andere Varianten von Pikabot, die wahrscheinlich auf unserem einfachen 32-Bit-Windows XP-Rechner laufen würden.

Ich bin auf zahlreiche Beispiele gestoßen, bei denen es sich um ausführbare Win64-Dateien handelt, und obwohl ich mir sicher bin, dass die meisten für den seltenen Fall, dass dies erforderlich ist, über 32-Bit-Äquivalente verfügen, wäre ich nicht überrascht, wenn sich einige Angreifer nicht darum kümmern würden. Wenn Ihr Ziel darin besteht, die Anmeldeinformationen einer anderen Person zu stehlen, wie wahrscheinlich ist es dann, dass ein 32-Bit-Computer wertvolle Informationen enthält? Man könnte argumentieren, dass es sich möglicherweise um einen Teil eines Altsystems in einem Unternehmen handelt, aber im Großen und Ganzen würde ich vermuten, dass es die Zeit und Mühe einfach nicht wirklich wert ist.

Denken Sie darüber nach: Warum sollte sich ein Entwickler überhaupt die Mühe machen, Malware zu entwickeln, die sowohl auf 32-Bit- als auch auf 64-Bit-Installationen von Windows abzielt, und sich darüber hinaus die Mühe machen, Windows XP zu unterstützen? Es ist ein großer Aufwand, der wahrscheinlich kaum einen Gewinn bringt. Es gibt Malware, die für ältere Windows-Plattformen entwickelt wurde, aber neue und ausgefeilte Beispiele können mehr gewinnen, wenn sie auf die erweiterten Funktionen moderner Betriebssysteme abzielen und diese nutzen, anstatt zu versuchen, ihr Verhalten auf älteren Systemen anzupassen.

Eine solche Malware, die genau das zu tun scheint, ist CryptBot. Es generiert zur Laufzeit dynamisch seinen eigenen Code und funktioniert unter Windows XP einfach nicht.

CryptBot

Hochentwickelte Schadsoftware verursacht sofort Probleme

CryptBot ist eine berüchtigte Schadsoftware, die als grundlegender Informationsdiebstahler fungiert. Es macht Screenshots Ihres Desktops, sammelt Anmeldeinformationen, um sie an einen Befehls- und Kontrollserver zu senden, und versucht, alle vertraulichen Informationen abzusaugen, die ihm zugänglich sind. Es handelt sich um eine ziemlich moderne Malware, aber die Ausführung auf meiner virtuellen Windows XP-Maschine funktioniert nicht. Es lädt nichts herunter, versucht nichts zu stehlen, es verschwindet einfach. Warum?

Indem ich einen Debugger einschaltete, konnte ich schnell herausfinden, was die wahrscheinlichste Ursache ist. Als ich es zum ersten Mal ausführte, stoppte mein Debugger, als er eine Zugriffsverletzung erreichte. Beim zweiten Mal kam es zu einem ungültigen Vorgang und der Vorgang konnte nicht fortgesetzt werden. CryptBot verfügt über integrierte Funktionen, um Debugging-Versuchen entgegenzuwirken, aber die nicht deterministische Natur und der Ort, an dem ich im Speicher gelandet bin, ein völlig undefinierter Ort, scheinen auf die dynamische Codegenerierung von CryptBot zurückzuführen zu sein. Diese Malware wird als polymorph bezeichnet, da sie sich zur Laufzeit selbst entschlüsselt und verändert. Wenn sie erwartet, dass bestimmte Windows-Funktionen verfügbar sind, die eigentlich nicht vorhanden sind, kann sie zu unerwarteten Codepfaden führen, die letztendlich zum Absturz der Anwendung führen.

Es besteht immer die Möglichkeit, dass es sich immer noch um einen Anti-Debugging-Mechanismus handelt, aber wir haben bereits festgestellt, dass er auch nicht außerhalb eines Debuggers ausgeführt werden kann. Es ist möglich, dass Anti-Debugging-Mechanismen das Problem verschlimmert haben, aber es ist klar, dass es unter XP einfach nicht läuft. Wie andere Forscher veröffentlicht haben, landet das Programm beim Ausführen in einem Debugger auch nicht in einem zufälligen Speicherbereich, der nicht ausgeführt werden kann, sondern sollte stattdessen das Programm beenden. Hier scheint es, dass es verschlüsselten Code generiert und einfach abstürzt, und es würde erklären, warum das Ergebnis jedes Mal unterschiedlich ist.

Wir haben also PikaBot und CryptBot ausprobiert, aber wir werden noch eines ausprobieren: Quasar RAT.

Bitte infizieren Sie einfach meine Windows XP-VM

Ich dachte, es wäre einfacher

/de/images/windows-xp-quasar-rat-1.png

Quasar ist ein Fernzugriffstool, es gibt jedoch auch mehrere Fernzugriffstrojaner (RATs), die es nutzen. In diesem Fall benötigt Quasar das .NET-Framework von Microsoft, insbesondere mindestens .NET 4.0. Dies ist die letzte Version des .NET-Frameworks, die jemals von Windows XP unterstützt wurde. Das bedeutet jedoch nicht, dass das Programm nicht versucht, Funktionen aufzurufen, die nur in modernen Windows-Versionen zu finden sind. Dies war jedoch wohl der interessanteste Fehler von allen.

In meinem Debugger sehen Sie am unteren Bildschirmrand den Fehlercode 80131506. Dies ist ein.NET ExecutionEngineException-Fehlercode, für den es mehrere mögliche Ursachen gibt. Direkt davor löst mein Debugger eine Ausnahme mit dem Fehlercode E0434352 aus, bei der es sich lediglich um einen generischen Ausnahmefehler handelt, der uns nicht viel sagt.

/de/images/windows-xp-quasar-rat-2.png

Letztendlich gelang es mir, einen tatsächlichen Fehler mit weiteren Informationen auszulösen. Der oben gezeigte Fehler clr20r3 sagt sowohl viel als auch absolut nichts aus. Dies bedeutet im Wesentlichen, dass es eine Ausnahme gab, die nicht behandelt wurde. Dies kann bedeuten, dass unerwartete Daten vorliegen oder dass ein unerwartetes Ereignis aufgetreten ist, für dessen Verarbeitung die Software nicht programmiert war. In jedem Fall liefert es hier einen weiteren Beweis dafür, dass hier eine grundlegende Inkompatibilität mit Windows XP vorliegt.

Beispielsweise kann es auf modernen Windows-Rechnern vorkommen, dass diese Ausnahme vom System behandelt wird oder dass sich die Umgebung wie erwartet verhält. Währenddessen passiert auf unserem einfachen Windows XP-Rechner etwas Unerwartetes, die.NET-Laufzeit weiß nicht, wie sie damit umgehen soll, und der Prozess wird abgebrochen. Hier gibt es nichts, was auf eine Debug-Erkennung oder Sandbox-Umgehung schließen lässt; Es sieht aus wie ein einfacher alter Inkompatibilitätsabsturz. Mit anderen Worten: Die Malware basiert auf einer Laufzeitumgebung, die keine XP-Kompatibilität mehr gewährleistet, und niemand hat sich darum gekümmert, einen Fallback hinzuzufügen.

Verwenden Sie nicht Windows XP

Es mag verlockend erscheinen, aber tun Sie es nicht

/de/images/windows-xp-conficker-antivirus-warning.png

Ich weiß, dass Windows XP hier als eine Bastion der Sicherheit wirkt, wenn man bedenkt, dass drei separate Malware-Beispiele darauf nicht laufen würden. Es gibt jedoch unzählige Malware-Beispiele, die darauf ausgeführt werden können, insbesondere solche aus dieser Zeit. Aufgrund der mangelnden Softwarekompatibilität ist es außerdem wahrscheinlicher, dass Sie auf Malware stoßen, die unter Windows XP ausgeführt wird, während Sie zunächst nach Software suchen, die darauf ausgeführt werden kann. Ihre raubkopierte Software für Windows 11 enthält möglicherweise keine Malware, die unter XP läuft, aber Sie werden überhaupt keine Software raubkopieren, die für Windows 11 unter Windows XP erstellt wurde.

Dennoch ist es eine interessante Möglichkeit zu zeigen, wie kaputt Software, die für neuere Windows-Versionen erstellt wurde, auf älteren Versionen sein kann. Es wird viel Arbeit in die Aufrechterhaltung der Kompatibilität von Software gesteckt, und wenn diese Arbeit nicht erledigt wird … nun, das ist das Ergebnis. Die Software läuft zwar technisch gesehen, es gibt jedoch keine Garantie dafür, dass sie funktioniert. Bitte verwenden Sie jedoch nicht Windows XP. vielleicht stattdessen auf Linux umsteigen oder so.

*️⃣ Quelllink:

Windows XP , Windows 11 , vielleicht auf Linux umsteigen,