• You are currently browsing the Projekt: Neurodump blog archives for .

    • Neues Spielzeug und etwas Kleinkram

    Neues Spielzeug ist heute per Post gekommen. Dazu ein paar Softwarekisten. Jetzt gehts nach und nach an die Konfiguration und an die Detailplanung. Ich bin gespannt. Das WE war anstrengend. Ich hänge etwas in den Seilen. Bald wirds mal etwas ruhiger um mich herum. Zeit einmal, die Kiste hier neu aufzusetzen und dazu mal ein OS Update fahren. Das XP Zeitalter ist langsam vorbei.

    Sonst ist endlich der Speicher gekommen. Wurde auch Zeit. Die Kiste steht still und ich freue mich darauf endlich den Server wieder in Betrieb nehmen zu können. Nur 4 Wochen hat es gedauert. Meine Güte, die Chinesen versenden wesentlich schneller, als ich Leutz in den USA. Ich drücke mir mal die Daumen, das die Fracht nix abbekommen hat.

    Sonst messe ich grad an meinen USVs herum. Ich frage mich nämlich gerade, was mich der Betrieb selbst von den Dingern im Jahr kostet. Und in welchem Verhältnis das steht. Daraus entscheide ich, wie ich die neue Verkabelung lege. Entweder alles zentral über eine USV oder gesplittet über 2. Hat alles vor und Nachteile. Vor allem habe ich nicht soviel Filter für Wechselstrom und auch nur einen wirklich zuverlässigen Überspannungsschutz. Da neuerdings alles ein wenig räumlich getrennt wird, ist das nicht einfach mal so zu legen. Naja, leicht lösbar, ich bin mal gespannt, wieviel Euronen nur für den Grundbetrieb verbrannt werden, also USV, Server, TK-Anlage und AD Konverter und so.

    Written on November 30th, 2009 , Alltag Tags: , , ,
    Hausbesuch, Rechnerzeug und lange Gespräche

    Bestimmt ist dem ein oder anderen Leser aufgefallen, das es in der letzten Zeit wenig gibt. Ich war etwas ausgelastet, dazu kam noch eine erweiterte sportliche Betätigung und einiges andere, was eine sehr hohe Priorität hatte. Der Tag hat nunmal 24 Stunden und ich begann damit, nach 24 Stunden einen Hardcut zu machen. Teils eine ganz gute Vorgehensweise. Je nach dem.

    So, heute war ich viel beschäftigt und kam zu wenig. Aber dafür zu den wichtigsten Dingen. Letzendlich bin ich recht müde, aber intensiv erleuchtet. Somit ist jetzt erstmal Ruhe angesagt.

    Eine Analyse eines System brachte viele neue Dinge hervor, die wollen nach und nach alle bearbeitet werden. Ich bin gespannt. Auf jeden Fall schreit das nach einem Teil Zwei.

    Written on November 25th, 2009 , Alltag Tags:
    Betriebsausflug, leckeres Essen und viel Interessantes

    Begonnen wurde heute ein kleiner Betriebsausflug. Es ging in den Norden in ein schickes schönes Hotel mit wunderbaren Zimmern und einem perfekten Service. Heute kann ich sagen hatte ich nur nicht viel davon, da ich bis in die tiefe Nacht zu tun hatte. Allerdings ließ es sich gut Schlafen und ebenso perfekt frühstücken. Mal schauen, was der nächste Tag bringt. Es gibt noch mehr zu tun und es gibt viel Interessantes, Witziges, Neues und Humorvolles. Ja nach Humor. Ich habe, so kann ich sagen, an vielen Stellen gelacht.

    Sonst gibt es wenig zu berichten. Zuerst einmal.

    Written on November 24th, 2009 , Alltag Tags: ,
    Mehrere Arbeitsweisen bei der Kommandovergabe von Trojanern

    Jeder Bot braucht seine Kommandos, die er von einer Kontrollinstanz bekommt. Es gibt zwei grundsätzliche Designansätze, die verwendet werden können. Einmal kann er Bot warten, bis sein Herr und Meister ihm einen Befehl zukommen lässt, den er dann ausführt. Der Bösewicht sendet seinen Befehl, die Bots tun es – dies wird Push-Prinzip genannt.

    Jeder Arbeitsweise hat seine Vor- und Nachteile. Fragt der Bot selbst bei seinem Herr und Meister nach und bekommt daraufhin seinen Befehl, so wird dieses Pull-Prinzip genannt. Der Vorteil des Push-Prinzips. Das System selbst weiß nicht, wo es sich zu melden hat. Eine Analyse des Trojaners führt nicht zu dem Ursprung des Herr und Meisters. Allerdings ist damit auch nicht so richtig sichergestellt, dass der Meister auch alle seiner Zombiecomputer erreicht, sollte er einen Befehl absetzen.

    Auch Firewalls machen an dieser Stelle ihm zu schaffen, da meist eingehende Verbindungen blockiert werden. Anders beim Pull-Prinzip. Der Zombiecomputer meldet sich, oft unerkannt durch die Firewall, beim Meister und fragt nach seinen Befehl. Jetzt weiß einmal der Meister, wie viele Zombies er befehligt und das seine Befehle auch ankommen.

    Written on November 4th, 2009 , Technik Tags: , , , ,
    Ein Overlay Network für Bots

    Was ist ein Overlay Network? Unter solch einem Netzwerk versteht man ein weiteres in sich geschlossenes Netzwerk, das über dem Ganzen schwebt. Das Ganze ist in diesem Falle das Internet selbst. Das Overlay Network ist dann im Falle der Trojaner ein Verbund aus Proxys, IRC Servern und http Servern. Diese werde so dicht miteinander verwoben, das wenn einer mal auffällt es keinen großen Abbuch tut. Dazu sind die Trojaner selbst mit einem Fall-Back-Mechanismus bestückt. Geht etwas nicht, probiert er das andere. Und nur dann, wenn der Normalweg nicht funktioniert.

    Solch ein Bot-Overlay Network ist häufig zentralisiert. Das bedeutet, es gibt Dienste, die auf einer Maschine laufen, die an einem bestimmten Punkt der Erde sich befinden. Das heißt auch, fällt dieser Punkt komplett aus, steht alles. Daher ist die Redundanz auch das A und O. Also mehrere Controller, die die Aufgaben des anderen übernehmen können, sollte ein System zufällig aus dem Verbund ausscheiden.

    Allerdings ist dies nicht die einzige Form. Einige dieser Overlay Netze sind selbst organisierend. Das ist so etwas Ähnliches wie Peer-2-Peer. Das Netz organisiert sich selbst. Jeder infizierte Rechner übernimmt eine Teilrolle im Internet. Er kann als Arbeiter (Worker) oder als Proxy (Vermittler) seinen Betrieb aufnehmen. Dieses Betriebsmodus wird er von Zeit zu Zeit ändern. Auf diese Weise lassen sich sogenannte Multi-Level-Architekturen bilden. Die eigentlichen Controller-Server werden nie wirklich in Aktion treten, da sie immer über mehrere Distanzen über die Proxysysteme kommunizieren werden. Auf diese Weise ist solch ein Netz schwer abzuschalten.

    Written on November 4th, 2009 , Technik Tags: , , , , , ,
    Drive-By-Downloads und ihre Tücken

    Das Prinzip besteht darin, dass bei dem Durchlaufen einer Internetseite ein Schadprogramm in das Zielsystem eingeschleust wird. Die Methoden sind unterschiedlich. Der Angreifer verändert oder platziert eine Internetseite, die sich aktiv auf ein Plug-In im Webbrowser richtet. Ebenso kann eine Schwachstelle im Browser selbst ausgenutzt werden, um die Schadsoftware eindringen zu lassen.

    Verwendet werden gerne clientseitige Scripts, wie JavaScript oder VBScript. Das Verhalten dieser ist allerdings unterschiedlich. Eine Möglichkeit ist eine SQL Injektion. Diese wird meist bei einer legitimen Webseite durchgeführt. Auf diese Weise wird das Datenbanksystem dazu gebracht sensible Informationen dem Endbenutzer zurückzugeben. Das können Kennwörter, Login-Daten sein oder vielmehr sogar teils sogar die ganze Datenbank. Doch wie gelangt diese auf das System?

    Die Software verarbeitet beispielsweise an einer Stelle einen String nicht korrekt, der einen SQL Befehl führt. Steuerzeichen werden nicht gefiltert, bzw. Aussortiert, sondern fließen komplett mit in die Verarbeitung mit ein. Was ich damit sagen will ist, dass über ein Parameter ein SQL Befehl entsprechend erweitert werden kann. Mit dem Semikolon kann einfach ein neuer Befehl angefügt werden. Werden diese vom Benutzer übergebenen Parameter nicht überprüft, so kann ein Angreifer direkt einen eigenen Befehl absetzen.

    Weiter ist es möglich eine URL über Spam zu verbreiten. Je mehr, desto besser, ein Benutzer wird schon drauf klicken. Es passiert immer wieder und viele Leute lassen sich durch Fake-Mails hinter das Licht führen. Ebenso ist es möglich diese Exploits in Ad‘s, die ausgeführt werden anzuhängen.

    Jedoch sind Script nicht nur das A und O sich etwas Unangenehmes einzufangen. Auch eine Umleitung in einem iframe kann den Benutzer auf eine Schadseite locken. Diese wird direkt durch die Ursprungsseite geladen. Dieser Vorgang lässt sich nicht so ohne weiteres überblicken. Ebenso kann damit für jeden Browser selbst eine entsprechende Attacke formuliert werden, damit möglichst viele Computer ins Netz gehen.

    Written on November 4th, 2009 , Technik Tags: , , , , , , , ,
    Wie geschieht die Infektion von Systemen mit Trojanern?

    Im Prinzip gibt es unzählige Varianten, die einen Benutzer dazu bewegen eine Datei zu öffnen. Dies ist auch schon der einfachste der Wege. Mail senden, seltsames Attachement und schon machen einige Benutzer aus Neugier diese Datei auf. Es wird etwas belangloses gezeigt und der Trojaner befindet sich im System. Auch gerade, weil viele Benutzer mit direkten Administratorrechten sich im Internet bewegen.

    Ein weiterer Weg ist die Infektion über Würmer. Diese bewegen sich autonom durch das Internet, indem sie das System durch Schwachstellen befallen. Meist wurden diese System nicht ausreichend gepatcht oder haben keine ausreichende Firewall aktiv. Von diesen Computern aus, verbreiten sich diese Programme weiter und arbeiten sonst ebenso auch, wie andere Malware.

    Nächste Möglichkeit ist, dem Benutzer ein Programm anzubieten, welches den Trojaner beinhaltet und ihm etwas Nützliches bringt. Einfache Shareware und Freeware, von seltsamen Quellen kann durchaus einen Trojaner beinhalten. Auch Cracks können damit versehen worden sein. Der Benutzer installiert sozusagen höchst persönlich sein Schadprogramm, ohne es wirklich zu melden.

    Aktuell recht im Trend sind die Drive-By-Downloads. Meist werden Webseiten gehackt und entsprechend mit einem Browser-Exploit versehen. Auf diese Weise wird unsichtbar ein Code im Browser ausgeführt und dieser lädt die Schadsoftware nach. Es gibt unterschiedliche Exploits, viele sind gepatcht, viele auch nicht. Auffallend sind viel PDF Exploits, die aktuell kursieren. Neue Versionen des PDF Betrachtern können Abhilfe schaffen, doch viele Benutzer aktualisieren oft ihre Software nicht.

    Die nächste Version ist die Infektion über eine bereits existierende Sicherheitslücke im System des Opfers. Eine bereits vorliegende Infektion mit einer Schadsoftware führt dazu, das diese Software eine andere in das System lässt. Auf diese Weise kann eine entsprechende Gruppe neue Versionen ihre Schadsoftware weiter verbreiten.

    Written on November 4th, 2009 , Technik Tags: , , , , , ,
    Botnetze – Woher kamen sie, wohin gehen sie?

    In den früheren 90iger Jahren entwickelte sich das IRC rasant und wurde zur größten Community der Welt. Möglicherweise ist dies heute noch so. Tausende von Gruppen tummelten sich in Channels, Hacker und Cracker tauschten Programme aus und verteilten so ihre Daten. Die Zeiten ändern sich. Die ersten IRC Bots wurden in dieser Zeit entwickelt, um automatisiert sich um die Verwaltung von IRC Channeln zu kümmern. Sie waren sozusagen ein Werkzeug der Operator.

    So im Jahre 1999 bis 2000 kam eine neue Generation in diese Welt. Die DDoS Tools. Dies steht für Distributed Denial of Service. Diese Bots waren dazu geschaffen in einer Art digitalen Armee einzelne Systeme oder Netzwerke anzugreifen. Im Prinzip wurde an dieser Stelle der Grundstein des automatisierten Cyberwars gelegt. Schöne Beispiele sind der Trinoo, TFN2k und Stacheldraht.

    Natürlich gab es auch weitere Entwicklungszweige. Die Trojaner wurden größer, besser und vielseitiger, als andere einfache Malware. Im Jahre 1998 bis 2000 wurden weitere Trojanische Pferde entwickelt, die entsprechend die Kontrolle des infizierten Systems übernehmen konnten. Dazu gehören BackOrifice, BackOrifice2k und SubSeven.

    Die Entwickler schlafen nicht und weitere Generationen wurden entwickelt. Würmer wurden geboren, im Prinzip ebenfalls Trojaner. Sie breiteten sich über Sicherheitslücken in Betriebssystemen aus, erkannten Firewallkonfigurationsfehler und verteilten sich damit sehr rasch quer durch das Internet. Einige Beispiele an dieser Stelle sind Code Red, Blaster und Sasser.

    Die heutigen Trojaner stehlen Zugangsdaten, Passwörter mit hingebungsvollen Tricks aus dem System des infizierten, leiten Webseiten um, verstecken sich von aktuellen Anti-Virus Programmen, patchen Teile des Betriebssystems im Speicher beim Bootup. Sie schreiben sich auf schlecht erreichbare Teile der Festplatte und arbeiten völlig unsichtbar im Hintergrund. Daten werden per Mail oder IRC versendet, vielleicht auch in Datenbanken abgelegt. Kommandos werden empfangen und machen damit das System zu einem Zombierechner. Eine Armee von Seelenlosen, für Cyberwar, Phishing und allerlei, was letztendlich Geld einbringt.

    Doch wer steuert diese Zombies? Als Hexenmeister kann leicht der Begriff Bot Master oder Bot Herder genannt werden. Diese Hauptadministratoren geben die eigentlichen Kommandos und steuern die gesamte Maschenerie. Diese legen ihre Befehle auf einen gut geschützten Command and Control Server. Dieser kommuniziert natürlich niemals direkt mit den aktiven Trojanern. Geschicktes Versteckspiel von Proxynetzen verhindern ein direktes Auftreten und Verschleiern somit teils sogar die Existenz der Hauptserver.

    Written on November 4th, 2009 , Technik Tags: , , , , , , , , ,
    IRC Bots – Wächter, Diener und Krieger

    Dann gibt es noch die “Benign bots”. Diese finden sich öfters im IRC. Die reagieren auf bestimmte Events im Channel. Sie stellen einige Dienste zur Verfügung. Zum Beispiel posten sie alle 2 Minuten einen Trigger in den Channel. Sei der Tricker “show your files”. Spricht man diese virtuelle Person in diesem Channel mit diesem Wortlaut an, so sendet der Bot einem eine TXT Datei, die entsprechend weitere Kommandos beinhaltet. Jedes dieser Kommandos fordert entsprechend eine Datei an. Ein schönes weiteres Beispiel ist der NickServ.

    Es gibt im IRC auch einen weiteren Bot. Der Eggdrop Bot. Dieser wird immer noch auf eggheads.org gepflegt. Dieser Bot verwaltet einen Channel, wenn der Operator, also sowas wie der Besitzer oder Administrator nicht anwesend ist. Natürlich lassen sich diese Bots auch für negative Sachen verwenden. Flooding ist nur ein Begriff. Bots wurden entsprechend entwickelt, um Netsplits zu verursachen. Es wurden ebenso auch IRC Proxies entwickelt, die dazu verwendet werden, den Ursprung eines IRC Benutzers zu verschleiern.

    Written on November 4th, 2009 , Technik Tags: , , , , , , , , , , , ,
    Bots, digitale Kleinstroboter

    Tjo, was ist eigentlich ein Bot? Unter einem Bot versteht der ITler ein Programm, das autonom Aufgaben auf einem System verrichtet. Ein schönes Beispiel ist die Rückantwort auf eine Mail, “ich bin im Urlaub”, sobald jemand sich in seinem Unternehmen entsprechend abmeldet. An dieser Stelle ist eine Art Bot aktiv, er sieht eine eingehende Mail und macht etwas mit ihr. Vielleicht weiterleiten, wenn es sich um eine externe Mailaddy handelt. Vielleicht auch Rückantwort zusenden und Mail abspeichern. Der Bot betrachtet eine Eingabe, in diesem Fall eine Mail, schaut woher sie kam und sendet entsprechend dorthin eine neue E-Mail. Das geht auch im IRC und ICQ Netz. Es gibt einige Bots für ICQ, die einen beschäftigen sollen. Sie verwickeln den anderen Benutzer in oft seltsame Dialoge. Manche dieser Bot sind recht weit entwickelt, diese Dialoge sind dann zumindest noch mit etwas Sinn belegt.

    Written on November 4th, 2009 , Technik Tags: , , , , , , ,
    << Older Entries

    Projekt: Neurodump is proudly powered by WordPress and the Theme Adventure by Eric Schwarz
    Entries (RSS) and Comments (RSS).

    Projekt: Neurodump

    Gedankenauszüge eines Datenreisenden