Hallo AHT,
hast Du schon einmal überlegt woher der ganze Murks kommt?
Ich denke da an '$ $' in den Augen.
Da wird schnell etwas hingezimmert, Hauptsache es funktioniert.
Dazu etwas Gutenberg und nach mir die Sindflut.
Tschau
Hallo AHT,
hast Du schon einmal überlegt woher der ganze Murks kommt?
Ich denke da an '$ $' in den Augen.
Da wird schnell etwas hingezimmert, Hauptsache es funktioniert.
Dazu etwas Gutenberg und nach mir die Sindflut.
Tschau
hast Du schon einmal überlegt woher der ganze Murks kommt?
Was meinst du damit?
Was der Artikel beschreibt, beschreibt der recht gut. Man darf das bloß nicht als Grundlage verstehen, um Malware erkennen und entfernen zu können.
Die Grundlagen sind ein Verständnis und Wissen über interne Sachen des Betriebssystems und über die Wirkungs- und Vorgehensweisen der Tools, die man nutzt.
Wenn man diese Grundlagen intus hat, muss man das, was Elise da erklärt, gar nicht lernen. Das kann man dann von selbst. Zuzüglich dazu kann man aber noch wesentlich mehr - man versteht, ohne dass man sich je mit diesen Tools beschäftigt hat, die LOGs der Tools. Hat man das Wissen nicht, versteht man die nicht.
Außerdem sieht man an dem, was das Tool, das man nutzt nicht an Infos liefert, wo man es leicht manipulieren kann. Auch die Malwareschreiber wissen diese Grundlagen. Die sehen also beim Draufsehen auf das Tool bereits, wo man es manipulieren kann - der Quelltext wäre zwar noch besser, für viele Sachen braucht man den aber nicht.
Zuzüglich dazu erhält jemand mit diesem Grundlagenwissen aus den Infos, die das Tool liefern müsste, aber nicht liefert noch mehr Infos über Malwarebefall, als jemand, der alles sieht.
Grundlagenwissen muss dabei ständig erweitert werden - das ist nie abgeschlossen.
Warum Elise das so schreibt willst du wissen???
Ich denke, dass sie das so glaubt. Ich weiß nicht genau, wie viele White Papers Elise bereits in Code umgesetzt hat - und was sie dabei selbst herausgefunden hat. Ich kann nicht sagen, in wie vielen Foren Elise bereits mitgelesen hat, die sich mit dem Schreiben von Malwarebe beschäftigen. Ich weiß nicht, wie viele Codes zur Aufdeckung von Rootkits Elise bereits selbst entwickelt hat und ich kann auch nicht sagen, wie oft Elise bereits Programme geschrieben hat, die Malwaretechniken zum Verstecken verwenden, um diese an Tools auszutesten. Wie viele Sicherheitstools Elise entwickelt hat, weiß ich auch nicht.
Ich denke aber nicht, dass Elise solche Artikel schreiben würde, wenn sie das alles getan hätte. Vielleicht irre ich mich da aber auch...
Hallo AHT,
Was meinst du damit?
Da wird ein Loch gestopft und drei neue Löcher geschaffen.
So geht es schon seit Jahren.
Ich bin gespannt, wann jemand merkt, dass Windows auch Programme anhand des Magic-Byte ausführen kann.
Solche Dateien erkennt auch dein Scanner nicht.
Tschau
Solche Dateien erkennt auch dein Scanner nicht.
Mein Scanner erkennt gar nichts - ich erkenne was. Damit ich was erkenne, hole ich mir Infos mit dem Scanner. Was ich mir hole, bestimme ich.
Dabei bin ich (und ist der Scanner) nicht auf das angewiesen, was er im Programmcode kann. Das ist jederzeit von jedem, der den Scanner nutzt, beliebig durch Scripte erweiterbar (ohne den Programmcode umschreiben zu müssen). Ob ich den Umfang des Scanners erweitere oder nicht, hängt davon ab, ob ich sehe, dass mir was fehlt oder nicht. Ob ich merke, dass mir was fehlt, hängt alleine von meinem Grundlagenwissen ab, was dauernd angepasst werden muss.
Ob ich etwas merke oder nicht, hängt also komplett von mir ab - nicht von meinem Scanner. So sollte das eigentlich auch immer sein.
Im Prinzip kann ich - ohne eine einzige Zeile im Code des Scanner zu ändern - aus dem Scanner ein ganz anderes Programm machen.
Als ich angefangen habe, es möglich zu machen, mit Farbar Powershell Code auszuführen, hatte ich das gleiche auch mit dem Tool von Farbar vor.
Einzige Einschränkung ist, dass das nur im Usermode möglich ist. Für den Kernel kann ich mir aber fast jedes beliebige Programm nachladen und ausführen lassen.
Da wird ein Loch gestopft und drei neue Löcher geschaffen.
Das immer wieder Lücken da sind, liegt daran, dass Programme von Menschen erstellt werden. Bei Menschen ist die Fehlerhaftigkeit als Überlebensstrategie bereits mit eingebaut. Ein wirkliches Programm, was keine Lücken hat, gibt es eigentlich nur in der Theorie. Je mehr Funktionalität, umso mehr Lücken gibt es in der Regel.
Um Lücken zu finden, reicht es sehr oft aus, sich in andere Denkweisen hineinzuversetzen. Der Mensch kann das besonders gut - wichtig ist dabei aber ausreichend Platz im Kopf (und das sollte nicht unbedingt Hohlraum sein).
Schaut man sich das Tool von Farbar (nicht den Quellcode) kann man zum Beispiel sehen, welches Wissen Farbar besitzt und was er definitv nicht weiß oder nicht berücksichtigt. Bei den Tools von Russinovich ist das auch so. Auch bei meinen Tools. Auch beim OS ist das so. Hat man ausreichendes Wissen über interne Funktionsweisen (über die API zum Beispiel), kann man schon sehen oder besser erahnen, wo man da irgendwo einhaken könnte und was die eventuell nicht berücksichtigen, die da den Code erstellen - weil die eben keine Malware schreiben.
Bei dem rot hervorgehobenen sind wir übrigens schon beim Merksatz 2 für die Malwareanalyse und Entfernung. Das sollte man eigentlich immer im Hinterkopf behalten - das gilt natürlich auch für die Analysetools - auch für meine.
Da wird ein Loch gestopft und drei neue Löcher geschaffen.
Wenn eines gestopft wird, gehen drei neue durch die Presse - früher kam da wenig durch - da waren oft die Virenprogger schneller.
Als Beispiel bringe ich da gerne Chris Padget. Padget hatte herausgefunden, dass durch einfaches Senden einer Timernachricht an ein Fenster eines höher privilegierten Prozesses dessen Rechte vom eingeloggten User übernommen werden konnten.
Padget hatte damals Microsoft einen generellen Konstruktionsfehler vorgeworfen. Microsoft hat das unter den Teppich gekehrt.
Was Padget nicht erwähnt oder nicht gesehen hatte: Das ging mit jedem Fenster, nicht nur mit einem Edit!
Anfangs brachte sogar jede Windowsversion solch ein Fenster mit. Im Prinzip wurde die Sache erst mit XP SP2 so gefixt, dass es über diese Nachricht nicht mehr möglich war, das so zu tun.
Wenn man das etwas genauer betrachtet, war also das ganze Sicherheitssystem von Windows, bis XP SP2 herauskam, für den Arsch, weil jeder Gast, der irgendwie die Möglichkeit hatte, ein beliebiges Programm auf einem Firmenrechner auszuführen, sich mehr Rechte verschaffen konnte, als jeder Admin auf dem Gerät.
Padget wurde dann später von Microsoft eingestellt - und aus dem Grund, weil das so möglich war, gibt es seit Vista die UAC.
Früher war es eher so, dass drei neue Sicherheitslücken von Malwareschreibern gefunden wurden, bis eine überhaupt nur halbwegs gefixt war. Die Situation hat sich gewaltig verbessert.
Hallo AHT,
Mein Scanner erkennt gar nichts - ich erkenne was. Damit ich was erkenne, hole ich mir Infos mit dem Scanner. Was ich mir hole, bestimme ich.
Und den verschachtelten Mist erkennst Du sicher nicht. Das sind normale Dateien die die relevanten Infos am Anfang und am Ende haben. Windows schaut z.B. normal auf das Ende einer Zip-Datei. Wenn man davor Malware einfügt merkt es dein Scanner nicht.
Ich will jetzt nicht auf den PPFScanner einprügeln, sondern nur ein Problem ansprechen.
Wenn eines gestopft wird, gehen drei neue durch die Presse - früher kam da wenig durch - da waren oft die Virenprogger schneller.
Die Presse war früher langsamer, dafür aber gründlicher.
Ansonsten haste wohl Recht mit deiner Aussage.
Tschau
Hallo AHT,
was sagst Du zu dieser Datei?
Tschau
Herumliegende Exploittechniken erkennt man bei einer solchen Analysen nicht. ZIP Dateien untersuche ich gar nicht. Darum geht es auch gar nicht.
Ich untersuche ja auch keine Mailanhänge, um da irgendwo Malware zu finden. Noch nicht einmal .DOC Dateien, die irgendwo abgelegt sind, interessieren mich bei einer solchen Analyse. Noch nicht einmal das.
Dateien, die irgendwo auf dem Rechner liegen und nur dann ausgeführt werden, wenn der User sie anklickt, interessieren mich auch in der Regel nicht. Wenn irgendwo was liegt, habe ich keine Chance per Augenmaß großartig festzustellen, dass das so ist (nur mit Virenscanner). Dafür liegt auf einem Rechner zu viel rum.
Darum geht es auch gar nicht.
Was genau tut die Datei - was muss ich tun, damit sie was tut?
Das muss ich erst mal wissen. Ansonsten kann ich dazu gar nicht viel sagen.
Dann kann ich schauen, ob ich da auf irgendeine Art etwas sehen kann und ob ich das überhaupt einbauen muss (oder ob schon was drin ist, im Script, was mich da aufhorchen lässt).
Bei Exploittechniken weiß man immer nicht, ob die auch wirklich immer funktionieren.
Da bei mir der Exploit nicht läuft, machen wir das mal in der Theorie:
Was auf jeden Fall immer fehlerfrei im Autostart funktioniert, sind solche Sachen wie DLL-Hijacking. Gelingt es irgendwo, eine Pfadungenauigkeit auszunutzen, muss ich nur irgendwo an bestimmten Stellen etwas ablegen, damit das auch gestartet wird. Ist es erst mal im Speicher, kann ich Sachen oft so manipulieren, dass der Code dort gar nicht sichtbar ist, der da zusätzlich ausgeführt wird. Aber auch bei der Sache hat man sehr gute Chancen, andere Spuren zu finden, die dann direkt auf Malwarebefall hindeuten.
Solche Techniken, an die du denkst, sind wunderbar dazu geeignet, Rechner zu infiziert - in der Regel kann man das schlecht dazu nutzen, Malware wirklich am Laufen zu halten.
Hallo AHT,
Calc.Zip ist kein Exploit.
Das ist ein Chamäleon.
So ein Quatsch kann jahrelang auf dem PC liegen. Mit der richtigen Anweisung telefoniert er nach Hause und wird zum Spion.
Ich will nur sagen, solche Schläfer findet man nie.
Solche Techniken, an die du denkst, sind wunderbar dazu geeignet, Rechner zu infiziert - in der Regel kann man das schlecht dazu nutzen, Malware wirklich am Laufen zu halten.
Jo, das stimmt.
Aber muss Malware immer laufen?
Tschau
Techniken zum Aufdecken von Chameleons habe ich auch schon geschrieben. Welche Technik verwendet er da?
Was muss ich tun, damit das aktiv wird? Was braucht man, damit die Technik funktioniert?
Ich habe meinen Programmierrechner hier noch nicht wieder in Gang. Da habe ich ein paar Tools drauf.
Wenn du da Beschreibungen hast, würde mich das wirklich sehr interessieren. Ob ich das im Augenblicke sehe, was da passiert, kann ich noch nicht sagen. Das hängt von der Technik ab.
Auch ein Chameleon braucht erst mal irgendetwas, was das Ding erzeugt- das kann in der Regel kein Chameleon sein. Hier wird das die ZIP sein, die ausgeführt werden müsste. Chameleons, die ich kenne, überschreiben Prozesspeicher mit eigenem Code, der dann ausgeführt wird.
Aber muss Malware immer laufen?
Natürlich muss sie das nicht. Ein einmaliges Laufen reicht. Aber analysiert du vor jedem Klick, den du durchführst (und nachher auch) alle Dateien des Rechners? Er könnte ja durch den Aufruf einer Internetseite infiziert sein. Es könnte zum Beispiel durch Malware ein Spectre Exploit ausgeführt worden und dir Passwörter gestohlen worden sein.
Jede unsignierte EXE, die der User auf dem Rechner hat, könnte Malware sein. Untersuchst du von jeder unsignierten EXE den Code? Öffnest du jede DOC und schaust da nach Code, der da drin sein könnte? Jede Batch auch - und jede VBS?
Virenscanner machen so etwas. Liegt irgendwo was unbekanntes rum (das kann auch im Internet sein), hast du definitiv verloren, wenn das ausgeführt wird. Auch mit einem Virenscanner hast du verloren, wenn die Malware das richtig macht.
Malware muss noch nicht einmal lange auf dem Rechner bleiben. Will man den Rechner nicht dauernd unter Kontrolle haben, wäre eigentlich das beste überhaupt, den User einmal sofort etwas ausführen zu lassen (oder selbst zu starten) und dann die EXE sofort wieder zu löschen.
Hallo AHT,
Was muss ich tun, damit das aktiv wird?
Vielleicht den Link im Startmenue anklicken?
Was braucht man, damit die Technik funktioniert?
Nix.
Chameleons, die ich kenne, überschreiben Prozesspeicher mit eigenem Code, der dann ausgeführt wird.
Ich meine Programme, die heute ein Rechner (calc) sind und bei einem anderen Aufruf coole Sachen machen.
Jede unsignierte EXE, die der User auf dem Rechner hat, könnte Malware sein. Untersuchst du von jeder unsignierten EXE den Code? Öffnest du jede DOC und schaust da nach Code, der da drin sein könnte?
Jo, stimmt.
Norton hat den Ansatz ja wohl mal verfolgt.
- Zum Glück hatte ich ein Backup meiner Arbeit.
Will man den Rechner nicht dauernd unter Kontrolle haben, wäre eigentlich das beste überhaupt, den User einmal sofort etwas ausführen zu lassen (oder selbst zu starten) und dann die EXE sofort wieder zu löschen.
Was meinste damit?
Tschau
Mit der richtigen Anweisung telefoniert er nach Hause und wird zum Spion.
Bei welchen Aufruf macht deine ZIP Coole Sachen?
Was meinste damit?
Auftrag erledigen und dann eigene EXE löschen - machte der Installer von Mediyes so.
Vielleicht den Link im Startmenue anklicken?
Welchen Link im Startmenü?
Soll da einer erstellt werden? Du sprichst in Rätseln...
Bei mir passiert absolut nichts. Hab mich schon gewaltig angestrengt und auf was wirklich cooles gehofft.
Mit der richtigen Anweisung telefoniert er nach Hause und wird zum Spion.
Wenn er ohne richtige Anweisung etwas tut, ist das noch weniger zu sehen. Ansonsten fällt das manchmal trotzdem ins Auge. Aber nur irgendwo rumliegen und alle Jubeljahre was tun (und das vielleicht auch noch zufällig), will Malware eigentlich gar nicht. Das ist wie bei der Arbeitsstelle: Schnarcht man den ganzen Tag nur rum, fliegt man irgendwann raus.
Solche Malwareanalysen sollte man nicht als komplette Bereinigung missverstehen. Wenn erst mal was aktiv ist, kann man natürlich sehr viele Sachen finden, die mit dazu gehören und irgendwo schnarchen (auch wenn die sich nicht selbst aktiovieren) - je nach Techniken, die man dafür verwendet und nach den Techniken, die die Malware verwendet, damit sie beim Schnarchen nicht gleich gehört wird.
Viel wichtiger ist es aber zu wissen (und da sehe ich die eigentliche Aufgabe so einer Analyse), wie viel Macht der Andere über den Rechner gewonnen hat und welche Fehler man gemacht hat, um das überhaupt zu ermöglichen.
Kennt man seine Fehler, wiederholt man die eigentlich nicht - es sei denn, man hat komplett den Verstand verloren. Dann interessieren auch diese "Schläfer" etwas weniger, die irgendwo vielleicht noch liegen, aber selbst nichts tun. Denn den Fehler, die selbst zum Leben zu erwecken, macht man dann vielleicht gar nicht mehr.
Das ist eigentlich Kontext jeder Analyse, die ich durchführe - zu schauen, in wie weit Macht über den User gewonnen worden ist und ihm seine Fehler aufzuzeigen, die dazu geführt haben, dass jemand anderes diese Macht bekommen hat.
Hallo AHT,
Bei welchen Aufruf macht deine ZIP Coole Sachen?
Die ZIP macht nix, hier ist ja nicht das Darknetz.
Auftrag erledigen und dann eigene EXE löschen - machte der Installer von Mediyes so.
Kann man machen.
Welchen Link im Startmenü?
Soll da einer erstellt werden? Du sprichst in Rätseln...
Bei mir passiert absolut nichts. Hab mich schon gewaltig angestrengt und auf was wirklich cooles gehofft.
Das war eine Inspiration für die Pöhsen Buben.
Wenn er ohne richtige Anweisung etwas tut, ist das noch weniger zu sehen. Ansonsten fällt das manchmal trotzdem ins Auge. Aber nur irgendwo rumliegen und alle Jubeljahre was tun (und das vielleicht auch noch zufällig), will Malware eigentlich gar nicht. Das ist wie bei der Arbeitsstelle: Schnarcht man den ganzen Tag nur rum, fliegt man irgendwann raus.
Das kommt auf die Qualität der Daten an.
Viel wichtiger ist es aber zu wissen (und da sehe ich die eigentliche Aufgabe so einer Analyse), wie viel Macht der Andere über den Rechner gewonnen hat und welche Fehler man gemacht hat, um das überhaupt zu ermöglichen.
Jo, das stimmt.
Kennt man seine Fehler, wiederholt man die eigentlich nicht - es sei denn, man hat komplett den Verstand verloren.
Nunja, Einstein sieht es anders.
http://falschzitate.blogspot.com/2017/12/die-de…-ist-immer.html
Tschau
Das war eine Inspiration für die Pöhsen Buben.
In meiner Mail gebe ich dir in 6 Punkten Inspirationen, die von bösen Buben kommen. In der Regel geht das in diese Richtung - nicht anders herum.
Die bösen Buben sind leider sehr gut informiert. Als "lieber Kerl" kommst du gar nicht unbedingt an diese Infos ran, weil andere lieben Kerle denken, du wärst ein böser Bube, wenn du nach bestimmten Sachen fragst.
Von den bösen Buben erfährt man immer alles, was man wissen muss.
PS: Ich muss gestehen - was du mir damit zeigen und sagen wolltest, ist mir immer noch ein Rätsel.
Nunja, Einstein sieht es anders.
Der sah das doch genau so. Oder?
Die ZIP macht nix, hier ist ja nicht das Darknetz.
So eine ZIP müsste auch nichts tun, die braucht man gar nicht, denn auf jedem Rechner sind Dateien vorhanden, die etwas cooles tun, wenn man sie passend aufruft:
Problem dabei ist immer: Man muss sie irgendwie passend aufrufen.
Die Frage ist dann auch immer: Kann man nicht sehen, dass man sie passend aufgerufen hat?
Malware will in der Regel ja nicht nur Millisekunden lang irgendetwas tun und dann niemals wieder.
Bitteschön gibt es irgendwo im Netz eine systematische Übersicht, welche Formen von Malware eigentlich existieren? Ich stelle mir so eine Art "Chemische Elemente"-Tafel vor. Bisher keine Zusammenschau gefunden ausser Wiki, aber das erscheint mir eher dürftig.
Weiters würde mich eine Untersuchung darüber interessieren, WER eigentlich so viel Zeit hat, Malware zu schreiben und damit seinen Mitmenschen zu schaden? Welcher Täterkreis/Typus? Jugendliche aus Fadesse? Organisierte Banden? Gibt es Anstifter?
Hallo p.specht,
Bitteschön gibt es irgendwo im Netz eine systematische Übersicht, welche Formen von Malware eigentlich existieren?
Meiner Meinung nach, kann so eine Übersicht nicht existieren.
Früher wollten die Malwareautoren ihre Fähigkeiten beweisen, jetzt geht es nur noch ums Geld.
Weiters würde mich eine Untersuchung darüber interessieren, WER eigentlich so viel Zeit hat, Malware zu schreiben und damit seinen Mitmenschen zu schaden?
Die Daten die von Malware abgegriffen wird, kann man Verkaufen.
Bei 1 Million Datensätzen konnte man schon mal 1,5 Millionen $ erlösen.
Ich habe keine Ahnung von deinem Stundenlohn, aber ich glaube es rechnet sich.
Welcher Täterkreis/Typus? Jugendliche aus Fadesse? Organisierte Banden? Gibt es Anstifter?
Anstifter ist das Geld.
Die Täter können organisierte Banden sein. Auch Staaten mit ihren Geheimdiensten kommen als Malwareautoren in Bertracht.
http://www.spiegel.de/netzwelt/web/p…r-a-790931.html
Die großen Malwareprogramme wie Facebook, Microsoft, Google, ... lasse ich mal außen vor.
Tschau
Danke ... fürs Erste. Bisher scheint es kein Rezept zu geben, bei dem das Übel an der Wurzel gepackt wird. Es sei denn, man glaubt an "Antiviren-Software". Mir will nur nicht in den Schädel, welche Auftraggeber Geld für gestohlene Daten zahlen. Die müsste man mal exemplarisch an den Pranger stellen.
Die weitere Eskalation (Evolution?) dürfte dann nicht nur zu "Gegenviren" und "Impfviren", sondern auch zu "Bakterien" und höheren "Organismen" von Malware und ihrer Bekämpfung führen: Hurra, Krieg schafft Arbeitsplätze?
Bitteschön gibt es irgendwo im Netz eine systematische Übersicht, welche Formen von Malware eigentlich existieren?
So was?
Danke ... fürs Erste. Bisher scheint es kein Rezept zu geben, bei dem das Übel an der Wurzel gepackt wird.
WER eigentlich so viel Zeit hat, Malware zu schreiben und damit seinen Mitmenschen zu schaden?
Leute mit sehr, wirklich oft sehr viel Durchblick - in der Regel aus etwas ärmeren Gegenden dieser Welt, die nicht viel Möglichkeiten bieten, die gleiche Anzahl an Moneten auf reguläre Weise zu verdienen. Der Dirchblick teilt sich da oft auf mehrere Personen Dank Vernetzung auf.
In der Regel sind das Leute, denen sowieso egal ist, wie Knete in die Kasse kommt - Hauptsache sie ist am Ende voll.
Das dir geschadet wird, ist ein Nebeneffekt. Oft versucht man da zu vermeiden, dass du zeitnah selbst auf diesen Nebeneffekt stößt.
Mir will nur nicht in den Schädel, welche Auftraggeber Geld für gestohlene Daten zahlen.
Malware stielt nicht nur Daten, sie führt auch weitere Aktionen aus. In der Regel zahlen solche Leute Geld für Malwareaktionen, die bereits (etwas) Geld haben. Es reicht aber noch nicht aus (? wann tut es das schon ?).
Es sei denn, man glaubt an "Antiviren-Software"
Computer sind extrem dumm. Sie können maximal 1 und 1 zusammenzählen - und bekommen am Ende immer 0 heraus.
Zentrales Ding im Konzept gegen Malware ist immer der Mensch. Wer einer Maschine das Denken überlässt, hat bereits verloren.
Wenn man sich einmal ansieht, wie einfach man bei einer Analyse innerhalb von Sekunden oft auf Malware stößt, die das maschinelle Konzept komplett übersieht, wird das sehr deutlich.
Dazu noch was:
Die Art der Malware lässt sich oft am Namen der Malware erkennen, die ein Virenscanner ihr gibt. Mal ein paar Beispiele:
Bei einem Backdoor, der Passwörter stielt, sind ganz andere Aktionen im Nachhinein nötig, als bei einer Adware, die eventuell nur Bitcoins ausgräbt oder einer Malware, die definitiv ein Keylogger ist.
Es ist da immer angebracht, sich mehrere Meinungen einzuholen, um am Ende einen Überblick zu bekomme, wie sicher so eine Zuordnung wirklich ist. Virustotal ist da ein guter Anlaufpunkt für so etwas. Habe ich Malware identifiziert, schaue ich da zuerst nach der MD5 oder lade die hoch.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!