6 replies to this topic

[Koffee]

Hallo zusammen,

 

 Ich sehe dass hier einige Leute mit 'RAT's und Trojanern rumspielen - und mich würde brennend interessieren warum eigentlich bzw. warum das anscheinend funktioniert.

Hier geht es ja eher um subtileres Vorgehen: Der Trojaner wird sorgfältig verschlüsselt und in eine andere Datei reingepackt, die dem Opfer dann als Email, Download oder sonstwie zugestellt wird. Wir nehmen jetzt einfach mal an dass das Ding zu 100% unerkannt am Virenscanner vorbeikommt und sich installieren kann. Als nächstes öffnet der Trojaner einen Port und kontaktiert den Ersteller, der dann den PC fernsteuern kann. Und genau hier ist der Knackpunkt: Ist eine Firewall installiert schlägt die Alarm.

Die Empfängerreichweite dürfte dann lediglich Privatleute sein, die - warum auch immer - Systemupdates nicht durchführen, ohne Virenscanner, ohne Firewall. Da ist doch an Daten nix interessantes zu holen, oder?

 

In den mir bekannten Firmennetzwerken sind Firewalls installiert, die auch sehr zeitnah Alarm schlagen wenn ein Rechner versucht irgendwelche Portverbindungen aufzubauen und das erst gar nicht zulassen. Geschweige denn von Serverangriffen die in DMZ (demilitarisierte Zone) stehen und gleich doppelt vor Angriffen von innen und außen geschützt sind.

 

Welchen Sinn hat es also mit RATs rumzumachen? Geht es darum, für Geld diversere Werbe-Programme zu installieren? Geht es um den Aufbau von Netzwerken für DOS-Angriffe oder warum macht man sowas?

[hacked]

Also Rats sind eher im kleinen Rahmen sinnvoll denke ich. Die meisten RATs laufen über Reverse TCP

Please Login HERE or Register HERE to see this link!

sollte deine Fragen hierzu beantworten.

Für größere Botnetze werden auch HTTP-Bots verwendet, also kommunikation via Webrequests. Diese webrequests werden denke ich mal in den wenigsten fällen von der Firewall blockert. Zumal es ja auch noch https gibt

Bei ddos wird meist auf IRC Bots gesetzt, da hier die bots instant kontaktiert werden.

[sup3ria]

Du überschätzt vermutlich kommerzielle IT-Sicherheitsprodukte - Anfängerfehler, kann passieren.

 

Wie "hacked" schon angedeutet hat wird eine "Reverse Connection" verwendet, was eine Firewall normalerweise nicht stört.

Des Weiteren wird normalerweise auch einfach ein GET/Post Request verwendet zum C&C Server via HTTPs, was es quasi ohne Whitelisting unmöglich macht zu detektieren.

 

Wenn man Zugriff auf einen Client im Netzwerk hat ist es eh vorbei, schließlich ist es kein Problem das Netzwerk-Adminpasswort aus dem RAM auszulesen (mimikatz).

 

Das Lustige ist, an der Arbeitsweise von Malware hat sich seit ca 10 Jahren nichts wirklich viel geändert, trotzdem funktionieren AVs nicht zuverlässig - Tja, man lässt sich halt gerne verarschen.

 

Wie man gerade an "WanaCry" sieht sind auch Firmen scheinbar eher verwundbar, denn die lassen sich nicht von MS zwangsupdaten und vertrauen lieber auf ihr Schlangenöl AV-Programm was nicht funktioniert und den Angriffsvektor vergrößert.

 

 

 

Welchen Sinn hat es also mit RATs rumzumachen? Geht es darum, für Geld diversere Werbe-Programme zu installieren? Geht es um den Aufbau von Netzwerken für DOS-Angriffe oder warum macht man sowas?

 

Wenn man ein RAT wo drauf hat, kann man alles machen was der Nutzer damit macht. Alle Daten vom Nutzer auslesen (CCs,Paypal usw), als Proxy verwenden, Ddos usw..

 

Viele verwenden auch lieber klassiche Webpanel Bots mit Formgrabber für die Daten.

[Koffee]

Vielen Dank für euere zeitnahen Antworten. Dann werde ich also wohl doch nicht drumrum kommen mich mit Web-Programmierung (PHP) auseinanderzusetzen. Ich wünschte einfach mehr Zeit zu haben. Interessant ist die Materie wirklich! Schönen Abend euch noch

[rat123]

 

Das Lustige ist, an der Arbeitsweise von Malware hat sich seit ca 10 Jahren nichts wirklich viel geändert, trotzdem funktionieren AVs nicht zuverlässig - Tja, man lässt sich halt gerne verarschen.

 

 

Das stimmt nicht so ganz, ist sogar eher umgekehrt: AV Vendors sind noch bei Signature Scanning hängen geblieben (als Haupterkennungswerkzeug), derselbe Stand wie vor 10 Jahren. War vielleicht damals zu der Zeit effektiv aber heute sind die malware devs eher immer eine Nasenlänge voraus. Mit der Zeit hat sich trotzdem HIPS entwickelt, das darf nicht in Vergessenheit geraten. 

 

Entwickelt sich die Sicherheit, entwickelt sich die Malware-Industrie gleich doppelt so schnell.

 

 

Wie man gerade an "WanaCry" sieht sind auch Firmen scheinbar eher verwundbar, denn die lassen sich nicht von MS zwangsupdaten und vertrauen lieber auf ihr Schlangenöl AV-Programm was nicht funktioniert und den Angriffsvektor vergrößert.

 

 

Die WannaCry Devs haben aber trotzdem versagt. Eine fehlgeschlagene Anti-Analysis Lösung seitens WCry devs hat ein fatales Eigentor hervorgerufen. Momentan liegt die aktive Distribution-Rate bei 0%. 

 

In einigen virtualizierten Umgebungen werden ausgehende Verbindungsanfragen mitgeschnitten und Host-IPs werden falsch zurückgegeben, wenn also WCry versuchen würde in so einer Umgebung sich mit Google in Verbindung zu setzen, würdest du einfach eine IP die zur Sandbox angehört als Host wieder bekommen. Der Nachteil: auch Domains die also gar nicht existieren werden emuliert und mit der Sandbox IP als Response versehen. 

 

So hat WCry versucht eine hardcoded Domain zu kontaktieren um zu schauen ob der Traffic überhaupt intercepted wird und ob die Domain erreichbar ist. Wenn erreichbar, dann wird die Ransom-Routine abgebrochen. Das soll eine Anti-Analysis Methode sein, aber ziemlich mager finde ich.

 

Die hardcoded Domain wurde einfach von Sicherheitsunternehmen registriert und in eine Sinkhole verwandelt. Alle Verbindungen sind momentan sinkholed und die Anti-Analysis abfrage wird andauernd getriggered, ob VM oder nicht, die Domain existiert ja jetzt  

[Juri]

 

Die hardcoded Domain wurde einfach von Sicherheitsunternehmen registriert und in eine Sinkhole verwandelt. Alle Verbindungen sind momentan sinkholed und die Anti-Analysis abfrage wird andauernd getriggered, ob VM oder nicht, die Domain existiert ja jetzt

 

Das witzige ist, dass das aus puren Glück passiert ist.

Der Typ der das gemacht hat wusste nicht ganz genau was da los ist

[rat123]

Das witzige ist, dass das aus puren Glück passiert ist.

Der Typ der das gemacht hat wusste nicht ganz genau was da los ist

 

Was ich funny fand war das jeder zuerst dachte durch das erreichen der registrierten Sinkhole hätte man die Ransomware encryption routine getriggered 

musste dir mal vorstellen wie der verantwortliche sich zu dem zeitpunkt fühlen würde ;D