Antischadsoftware-Frühstart

Plattformen

Clients – Windows 8
Server – Windows Server 2012

BESCHREIBUNG

Da Antischadsoftware (AM) immer besser bei der Erkennung von Laufzeit-Schadsoftware ist, werden Angreifer auch immer besser bei der Erstellung von Rootkits, die sich vor der Erkennung verstecken können. Die Erkennung von Schadsoftware, die zu einem frühen Zeitpunkt im Startzyklus beginnt, ist eine Herausforderung, die die meisten AM-Anbieter sorgfältig angehen. In der Regel erzeugen sie Systemhacks, die vom Hostbetriebssystem nicht unterstützt werden und tatsächlich dazu führen können, dass der Computer in einen instabilen Zustand versetzt wird. Bis zu diesem Punkt bietet Windows keine gute Möglichkeit für AM, diese Bedrohungen für den frühen Start zu erkennen und zu beheben.

Windows 8 führt ein neues Feature namens Sicherer Start ein, das die Windows-Startkonfiguration und -komponenten schützt und einen ELAM-Treiber (Early Launch Anti-Malware) lädt. Dieser Treiber startet vor anderen Starttreibern und ermöglicht die Auswertung dieser Treiber und hilft dem Windows-Kernel bei der Entscheidung, ob sie initialisiert werden sollen.

Manifestation

Durch den ersten Start durch den Kernel wird sichergestellt, dass ELAM vor jeder Software von Drittanbietern gestartet wird, und ist daher in der Lage, Schadsoftware im Startprozess zu erkennen und zu verhindern, dass sie initialisiert wird.

Minderung

Starttreiber werden basierend auf der Klassifizierung initialisiert, die vom ELAM-Treiber gemäß einer Initialisierungsrichtlinie zurückgegeben wird. Standardmäßig initialisiert die Richtlinie bekannte gute und unbekannte Treiber, initialisiert jedoch keine bekannten fehlerhaften Treiber. Ein Systemadministrator kann eine benutzerdefinierte Richtlinie über Gruppenrichtlinie angeben, die verhindern kann, dass unbekannte Treiber initialisiert werden, oder treiber, die für den Startvorgang wichtig sind, aber manipuliert wurden, um den Start zu initialisieren.

Lösung

Ein ELAM-Treiber muss sich für Kernelrückrufe registrieren, um Während der Initialisierung Informationen zu den einzelnen Starttreibern zu erhalten. Der ELAM-Treiber kann dann eine Klassifizierung für jeden Treiber zurückgeben. Diese Funktionen sind erforderlich:

• IoRegisterBootDriverCallback
• IoUnRegisterBootDriverCallback

Ein ELAM-Treiber kann sich auch für Registrierungsrückrufe registrieren. Auf diese Weise kann der ELAM-Treiber die Konfigurationsdaten überprüfen, die von jedem Starttreiber verwendet werden. Der ELAM-Treiber kann die Daten dann blockieren oder ändern, bevor sie von den Starttreibern verwendet werden, falls erforderlich. Diese Funktionen sind erforderlich:

• CmRegisterCallbackEx
• CmUnRegisterCallback

Weitere Informationen zu den ELAM-Treiberanforderungen und zur API-Verwendung finden Sie unter Early Launch Antimalware.

Tests

ELAM-Treiber müssen speziell von Microsoft signiert werden, um sicherzustellen, dass sie zu einem frühen Zeitpunkt des Startvorgangs vom Windows-Kernel gestartet werden. Um die Signatur zu erhalten, müssen ELAM-Treiber eine Reihe von Zertifizierungstests bestehen, um die Leistung und anderes Verhalten zu überprüfen. Diese Tests sind im Zertifizierungskit für Windows-Hardware enthalten.

Ressourcen

• Frühzeitiges Starten von Antischadsoftware
• CmRegisterCallbackEx
• CmUnRegisterCallback
• IoRegisterBootDriverCallback
• IoUnRegisterBootDriverCallback
• Zertifizieren von Hardware mit der Präsentation der Windows Hardware Certification Kit Build Conference
• Herunterladen von Kits und Tools