9 Antworten in diesem Thema

[Take1T]

Hey,

da ich heute für BetaBot eine DNS-Liste erstellt habe, um die Antivirenhersteller zu blockieren und um zukünftige Downloads oder Updates zu umgehen, veröffentliche ich nun meine Liste. Wie gesagt, die Liste ist für BetaBot und muss evtl. ein bisschen verändert werden, damit sie auch für andere Botnetze oder RATs funktioniert (ist nicht schwer mit Notepad++). Wenn jemand noch weitere Antivirenhersteller kennt oder noch weitere Domains kennt (z.B. von Avira, AVG...), bitte ergänzen. Die Liste enthält derzeit alle Antivirenprogramme, die auf Virustotal zur Verfügung stehen. Naja, nun zur Liste.

 

Pastebin:

Please Login HERE or Register HERE to see this link!

Liste:

*virustotal.* google.com
*malwr.* google.com
*metascan-online.* google.com
*lavasoft.* google.com
*aegislab.* google.com
*agnitum.* google.com
*ahnlab.* google.com
*alibaba.* google.com
*alyac.* google.com
*antiy.* google.com
*arcabit.* google.com
*avg.* google.com
*avira.* google.com
*AVware.* google.com
*baidu.* google.com
*BitDefender.* google.com
*bkav.* google.com
*ByteHero.* google.com
*quickheal.* google.com
*clamav.* google.com
*CMC.* google.com
*Comodo.* google.com
*it-business.* google.com
*cyren.* google.com
*freedrweb.* google.com
*drweb.* google.com
*eset.* google.com
*emsisoft.* google.com
*F-Prot.* google.com
*F-Secure.* google.com
*fortinet.* google.com
*gdatasoftware.* google.com
*ikarussecurity.* google.com
*jiangmin.* google.com
*ccm.* google.com
*k7computing.* google.com
*findmysoft.* google.com
*informer.* google.com
*hamqth.* google.com
*hamcall.* google.com
*fcc.gov.* google.com
*nprotect.* google.com
*nos.nprotect.* google.com
*zoner.* google.com
*zonerantivirus.* google.com
*zillya.* google.com
*hauri.* google.com
*globalhauri.* google.com
*virobot.* google.com
*vipreantivirus.* google.com
*anti-virus.* google.com
*antivirus.* google.com
*trendmicro.* google.com
*trendmicro-downloads.* google.com
*av-test.* google.com
*hacksoft.* google.com
*av-test.* google.com
*tencent.* google.com
*norton.* google.com
*symantec.* google.com
*symanteccloud.* google.com
*sophos.* google.com
*superantispyware.* google.com
*majorgeeks.* google.com
*rising-global.* google.com
*rising-antivirus.* google.com
*360safe.* google.com
*360totalsecurity.* google.com
*pandasecurity.* google.com
*nanoav.* google.com
*microsoft-security-essentials-xp.* google.com
*escanav.* google.com
*microworld.* google.com
*microworlds.* google.com
*micro-world.* google.com
*microworldgames.* google.com
*mcafee.* google.com
*shopmcafee.* google.com
*mcafeesecure.* google.com
*kc.mcafee.* google.com
*support.mcafeesaas.* google.com
*malwarebytes.* google.com
*kingsoftstore.* google.com
*kingsoft.* google.com
*kaspersky.* google.com
*geo.kaspersky.* google.com
*microsoftinternetsafety.* google.com
*channelvalue.* google.com
*kasperskypartner.* google.com

*iobit.* google.com

*webroot.* google.com

*brightcloud.* google.com

 

Updates der Liste:

18.08.15 - Iobit (*iobit.* google.com)

19.09.15 - Webroot, Brightcloud (*webroot.* google.com,
*brightcloud.* google.com)

[Bananajoe]

Sehr cool. War bis jetzt immer zu faul um soetwas anzulegen, sollte man aufjedenfall seinen Vics unterjubeln.

[Take1T]

Sehr cool. War bis jetzt immer zu faul um soetwas anzulegen, sollte man aufjedenfall seinen Vics unterjubeln.

Ja, das Problem ist nur, dass eine DNS-Modification wohl Adminrechte benötigt.

[Emalik Xantier]

wuerde auch eher auf localhost zeigen lassen als auf google

[Take1T]

wuerde auch eher auf localhost zeigen lassen als auf google

Hat das einen speziellen Grund? Auf Google weiterzuleiten sollte ja nicht allzu schlimm sein.

[Emalik Xantier]

Doch, denn wenn wer mal im Browser auf die Seite/n navigieren moechte, wird er schnell erkennen dass da was nicht stimmen kann.

Localhost ist jedoch nur erreichbar wenn auch ein lokaler Webserver am laufen ist, da denkt man eher mal die Seite ist einfach momentan nicht erreichbar.

[Take1T]

Doch, denn wenn wer mal im Browser auf die Seite/n navigieren moechte, wird er schnell erkennen dass da was nicht stimmen kann.

Localhost ist jedoch nur erreichbar wenn auch ein lokaler Webserver am laufen ist, da denkt man eher mal die Seite ist einfach momentan nicht erreichbar.

Stimmt auch wieder, ich aktualisiere das mal in meinem Botnet. Hier lasse ich sie so stehen, ist ja leicht zu verändern mit Notepad++.

[Bananajoe]

Ja, das Problem ist nur, dass eine DNS-Modification wohl Adminrechte benötigt. 

 

 

jo klar. aber als ob ein User nicht einfach auf "ja" bei ner UAC Meldung klicken würde. Die meisten klicken doch sowieso alles an  

 

was auch gehen würde, wäre im lan adapter einfach ein anderer DNS-Server einzutragen den man selbst verwaltet und von dort dann alles weiter erledigt. Den DNS kann man ja über ne Remote Shell abändern.

 

Glaube Ich setze sowas mal auf  ... vll. eine neue marktlücke  

[cosmic]

Naya gibt einige Bots mit DNS Proxy, zeroaccess z.B.

 

Interessant wäre zu wissen, was das AV sagt wenn es den Update Server nicht erreichen kann?

Ist das nicht auffällig wenn da einfach kommt " Verbindung zum Update Server konnte nicht hergestellt werden " 

 

Eventuell sollten wir einen DNS Proxy mit FakeUpdates realisieren.

 

Und wenn man eh schon einen UAC Trick, PLE-Exploit, oder was auch immer zum eskalieren hat,

könnte man auch dadrüber nachdenken die AV's direkt zu patchen, sprich die Update Funktion 

zu manipulieren so das sie keine Updates mehr saugt, aber trotzdem sagt "Update erfolgreich".

Und nur noch als Fallback den DNS Proxy. 

Bearbeitet von cosmic, 19 August 2015 - 20:07 Uhr.

[Take1T]

Naya gibt einige Bots mit DNS Proxy, zeroaccess z.B.

 

Interessant wäre zu wissen, was das AV sagt wenn es den Update Server nicht erreichen kann?

Ist das nicht auffällig wenn da einfach kommt " Verbindung zum Update Server konnte nicht hergestellt werden " 

 

Eventuell sollten wir einen DNS Proxy mit FakeUpdates realisieren.

 

Und wenn man eh schon einen UAC Trick, PLE-Exploit, oder was auch immer zum eskalieren hat,

könnte man auch dadrüber nachdenken die AV's direkt zu patchen, sprich die Update Funktion 

zu manipulieren so das sie keine Updates mehr saugt, aber trotzdem sagt "Update erfolgreich".

Und nur noch als Fallback den DNS Proxy. 

Personen, die infiziert sind, interessiert es meistens eh nicht, was sie herunterladen, ausführen oder welche Fehlermeldungen auftauchen. Eventuell ist es ein bisschen auffällig, wenn die Fehlermeldung kommt, aber ich bezweifle stark, dass jemand diese Fehlermeldung googlet. Und möglicherweise sind auch nicht alle Domains blockiert, in der Liste sind vor allem öffentliche Domains und Domains, die wir durch Zufall gefunden haben, bzw. als wir über die AVS "recherchiert" haben. Wenn man die Update-Server blockieren möchte, muss man wohl ein Update ziehen und schauen, wohin die Verbindungen gehen. Bei Avira, zum Beispiel, gab es mal einen externen Updater (). Jedoch haben so gut wie allen anderen AVS (wenn nicht auch Avira mittlerweile) einen "integrierten" Updater. Habe jetzt keine großen Codingskills oder ähnliches, aber ich denke mal, dass dies zu modifizieren schwer wird. Und was genau ist PLE?