Nicht einfach platt machen...

Translation of the original message:

A cry for help: A journalistic project has caught a rootkit. 😭😭😭
Our developer @quadrifolia has been fighting for two days, but he doesn't find it. It's despairing. Do any of you know your way around and would be willing to help them or at least take a look and maybe give them more tips? That would be great

#CyberSecurity
#InfoSec
#Malware
#OpenThreatExchange
#Rootkit
#ReverseEngineering
#frida
#radare2
#r2frida
#reversing
#idapro
#malwareanalysis

Ggf. das Digital Security Lab von Amnesty anschreiben bzw. Reporter ohne Grenzen? Ggf kann @besendorf hier weiterhelfen.

Wichtig ist, erst Mal klar machen was das Ziel ist: Beweise rechtlich wasserdicht zu sichern oder "Clean" werden? "Entfernen" geht immer mit dem Risiko einher, dass man nicht weiß woher das Zeug kommt, ein wenig Forensik ist also immer angebracht... und dazu braucht man Profis.

1/
zuerst Netzwerk trennen,

von der Platte ein forensisches Binärimage mit DD, ewfacquire o.ä. machen und sicher weglegen.

Für eine Schnellanalyse eine Forensic Collection mit Magnet oder Velociraptor machen und an Forensiker geben.

Dann Nutzdaten runterkopieren,
System komplett plattmachen inkl UEFI Reset+Update, neu sauber installieren.
Dabei Softwareauswahl auf Eignung und Sicherheit prüfen und ggfs austauschen.

1/

Ein System, das kompromittiert ist, kann man per se nicht mehr retten. Niemand kann Dir sicherstellen, dass Du alles gefunden hast.

Was man eventuell retten kann, sind die Daten. System nicht booten, sondern Platte ausbauen und an anderem System (möglichst unterschiedliches OS) read only mounten. Dann Daten auf einen Stick oder USB-Platte kopieren. Dann diese Dateien scannen, bevor man die verwendet. Die alte Platte zur Beweissicherung aufbewahren.

Falls Backups existieren, diese bevorzugt verwenden.

Du kannst ein rootkit nicht beweisbar entfernen.

Platte ausbauen, read only nur Daten sichern, Daten scannen, Platte archivieren als Beweis, Anzeige.

Board und BIOS sind Schrott, nicht verwenden

Vielen Dank Euch allen! 😀
Für die vielen Hinweise und Tipps. Wie Eva schon geschrieben hat, schauen sich zwei von Euch, die sehr viel mehr Ahnung haben als ich, das an und helfen mir weiter!

Der Hoster hat sich bisher natürlich immer noch nicht gemeldet.

Server ist pausiert, sind VMs, komplettes image zur weiteren Analyse ist gezogen.

Alle möglichen Viren- und Rootköit-Scanner sind drüber gelaufen, gefunden wurde nichts.

1/3