Zum Inhalt wechseln

Als Gast hast du nur eingeschränkten Zugriff!


Anmelden 

Benutzerkonto erstellen

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

  • Antworte auf Themen oder erstelle deine eigenen.
  • Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
  • Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
  • Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
 

   

Foto

Trojaner / RAT - macht das Sinn?

- - - - -

  • Bitte melde dich an um zu Antworten
6 Antworten in diesem Thema

#1
Koffee

Koffee

    Noob

  • Banned
  • PIPPIP
  • Likes
    2
  • 8 Beiträge
  • 0 Bedankt

Hallo zusammen,

 

 Ich sehe dass hier einige Leute mit 'RAT's und Trojanern rumspielen - und mich würde brennend interessieren warum eigentlich bzw. warum das anscheinend funktioniert.

Hier geht es ja eher um subtileres Vorgehen: Der Trojaner wird sorgfältig verschlüsselt und in eine andere Datei reingepackt, die dem Opfer dann als Email, Download oder sonstwie zugestellt wird. Wir nehmen jetzt einfach mal an dass das Ding zu 100% unerkannt am Virenscanner vorbeikommt und sich installieren kann. Als nächstes öffnet der Trojaner einen Port und kontaktiert den Ersteller, der dann den PC fernsteuern kann. Und genau hier ist der Knackpunkt: Ist eine Firewall installiert schlägt die Alarm.

Die Empfängerreichweite dürfte dann lediglich Privatleute sein, die - warum auch immer - Systemupdates nicht durchführen, ohne Virenscanner, ohne Firewall. Da ist doch an Daten nix interessantes zu holen, oder?

 

In den mir bekannten Firmennetzwerken sind Firewalls installiert, die auch sehr zeitnah Alarm schlagen wenn ein Rechner versucht irgendwelche Portverbindungen aufzubauen und das erst gar nicht zulassen. Geschweige denn von Serverangriffen die in DMZ (demilitarisierte Zone) stehen und gleich doppelt vor Angriffen von innen und außen geschützt sind.

 

Welchen Sinn hat es also mit RATs rumzumachen? Geht es darum, für Geld diversere Werbe-Programme zu installieren? Geht es um den Aufbau von Netzwerken für DOS-Angriffe oder warum macht man sowas?



#2
hacked

hacked

    Hacker

  • Premium Member
  • Likes
    119
  • 186 Beiträge
  • 222 Bedankt
  • Android [root]
  • Linux

Also Rats sind eher im kleinen Rahmen sinnvoll denke ich. Die meisten RATs laufen über Reverse TCP

Please Login HERE or Register HERE to see this link!

sollte deine Fragen hierzu beantworten.

Für größere Botnetze werden auch HTTP-Bots verwendet, also kommunikation via Webrequests. Diese webrequests werden denke ich mal in den wenigsten fällen von der Firewall blockert. Zumal es ja auch noch https gibt :)

Bei ddos wird meist auf IRC Bots gesetzt, da hier die bots instant kontaktiert werden.



#3
sup3ria

sup3ria

    Hacker

  • Premium Member
  • Likes
    123
  • 177 Beiträge
  • 50 Bedankt

Du überschätzt vermutlich kommerzielle IT-Sicherheitsprodukte - Anfängerfehler, kann passieren.

 

Wie "hacked" schon angedeutet hat wird eine "Reverse Connection" verwendet, was eine Firewall normalerweise nicht stört.

Des Weiteren wird normalerweise auch einfach ein GET/Post Request verwendet zum C&C Server via HTTPs, was es quasi ohne Whitelisting unmöglich macht zu detektieren.

 

Wenn man Zugriff auf einen Client im Netzwerk hat ist es eh vorbei, schließlich ist es kein Problem das Netzwerk-Adminpasswort aus dem RAM auszulesen (mimikatz).

 

Das Lustige ist, an der Arbeitsweise von Malware hat sich seit ca 10 Jahren nichts wirklich viel geändert, trotzdem funktionieren AVs nicht zuverlässig - Tja, man lässt sich halt gerne verarschen.

 

Wie man gerade an "WanaCry" sieht sind auch Firmen scheinbar eher verwundbar, denn die lassen sich nicht von MS zwangsupdaten und vertrauen lieber auf ihr Schlangenöl AV-Programm was nicht funktioniert und den Angriffsvektor vergrößert.

 

 

 

Welchen Sinn hat es also mit RATs rumzumachen? Geht es darum, für Geld diversere Werbe-Programme zu installieren? Geht es um den Aufbau von Netzwerken für DOS-Angriffe oder warum macht man sowas?

 

Wenn man ein RAT wo drauf hat, kann man alles machen was der Nutzer damit macht. Alle Daten vom Nutzer auslesen (CCs,Paypal usw), als Proxy verwenden, Ddos usw..

 

Viele verwenden auch lieber klassiche Webpanel Bots mit Formgrabber für die Daten.



#4
Koffee

Koffee

    Noob

  • Banned
  • PIPPIP
  • Likes
    2
  • 8 Beiträge
  • 0 Bedankt

Vielen Dank für euere zeitnahen Antworten. Dann werde ich also wohl doch nicht drumrum kommen mich mit Web-Programmierung (PHP) auseinanderzusetzen. Ich wünschte einfach mehr Zeit zu haben. Interessant ist die Materie wirklich! Schönen Abend euch noch ;)



#5
rat123

rat123

    Member

  • Premium Member
  • Likes
    97
  • 107 Beiträge
  • 31 Bedankt
  • verifiziert

 

Das Lustige ist, an der Arbeitsweise von Malware hat sich seit ca 10 Jahren nichts wirklich viel geändert, trotzdem funktionieren AVs nicht zuverlässig - Tja, man lässt sich halt gerne verarschen.

 

 

Das stimmt nicht so ganz, ist sogar eher umgekehrt: AV Vendors sind noch bei Signature Scanning hängen geblieben (als Haupterkennungswerkzeug), derselbe Stand wie vor 10 Jahren. War vielleicht damals zu der Zeit effektiv aber heute sind die malware devs eher immer eine Nasenlänge voraus. Mit der Zeit hat sich trotzdem HIPS entwickelt, das darf nicht in Vergessenheit geraten. 

 

Entwickelt sich die Sicherheit, entwickelt sich die Malware-Industrie gleich doppelt so schnell.

 

 

Wie man gerade an "WanaCry" sieht sind auch Firmen scheinbar eher verwundbar, denn die lassen sich nicht von MS zwangsupdaten und vertrauen lieber auf ihr Schlangenöl AV-Programm was nicht funktioniert und den Angriffsvektor vergrößert.

 

 

Die WannaCry Devs haben aber trotzdem versagt. Eine fehlgeschlagene Anti-Analysis Lösung seitens WCry devs hat ein fatales Eigentor hervorgerufen. Momentan liegt die aktive Distribution-Rate bei 0%. 

 

In einigen virtualizierten Umgebungen werden ausgehende Verbindungsanfragen mitgeschnitten und Host-IPs werden falsch zurückgegeben, wenn also WCry versuchen würde in so einer Umgebung sich mit Google in Verbindung zu setzen, würdest du einfach eine IP die zur Sandbox angehört als Host wieder bekommen. Der Nachteil: auch Domains die also gar nicht existieren werden emuliert und mit der Sandbox IP als Response versehen. 

 

So hat WCry versucht eine hardcoded Domain zu kontaktieren um zu schauen ob der Traffic überhaupt intercepted wird und ob die Domain erreichbar ist. Wenn erreichbar, dann wird die Ransom-Routine abgebrochen. Das soll eine Anti-Analysis Methode sein, aber ziemlich mager finde ich.

 

Die hardcoded Domain wurde einfach von Sicherheitsunternehmen registriert und in eine Sinkhole verwandelt. Alle Verbindungen sind momentan sinkholed und die Anti-Analysis abfrage wird andauernd getriggered, ob VM oder nicht, die Domain existiert ja jetzt ;)  


Eingefügtes Bild


#6
Juri

Juri

    Moderator

  • Moderator
  • Likes
    271
  • 341 Beiträge
  • 300 Bedankt
  • verifiziert
  • iPhone
  • Windows, Mac OS

 

Die hardcoded Domain wurde einfach von Sicherheitsunternehmen registriert und in eine Sinkhole verwandelt. Alle Verbindungen sind momentan sinkholed und die Anti-Analysis abfrage wird andauernd getriggered, ob VM oder nicht, die Domain existiert ja jetzt ;)

 

Das witzige ist, dass das aus puren Glück passiert ist.

Der Typ der das gemacht hat wusste nicht ganz genau was da los ist :D


Gruß,
»Jurist

Meine Kontonr:

4-517-879


#7
rat123

rat123

    Member

  • Premium Member
  • Likes
    97
  • 107 Beiträge
  • 31 Bedankt
  • verifiziert

Das witzige ist, dass das aus puren Glück passiert ist.

Der Typ der das gemacht hat wusste nicht ganz genau was da los ist :D

 

Was ich funny fand war das jeder zuerst dachte durch das erreichen der registrierten Sinkhole hätte man die Ransomware encryption routine getriggered 

musste dir mal vorstellen wie der verantwortliche sich zu dem zeitpunkt fühlen würde ;D


Eingefügtes Bild




  Thema Forum Themenstarter Statistik Letzter Beitrag

Besucher die dieses Thema lesen:

Mitglieder: , Gäste: , unsichtbare Mitglieder:


Dieses Thema wurde von 46 Mitglied(ern) gelesen


    _)_, 0x92, 13fuckthepolice12, 1x1, Brokolie, Caruso, Cear, cubik, datr1xa, EShad0w, fl4shx, Framerater, gr33d, H2Olli, hacked, Hansiberg, Jackdaniels, JohnR, juPP, Juri, Koffee, Kraenk, lNobodyl, loginman1, loken, Methyl, n1nja, netSecMushroom, nibble nibble, PadX18, phoenixx592, rat123, Rothschild, Seldos, Silent0wn3r, silvercow79, st0rm, sup3ria, Toskom4n, TuttiFrutti, vitovice, w0tan, worker, Xenos88, xrahitel, xxas
Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.