• You are currently browsing the Projekt: Neurodump blog archives for .

    • Google, Eis, Holzfeuer und etwas Rauch

    Google ist dein Freund. Naja, diese Aussage sollte jeder Nutzer doch mal überdenken. Aber: Gute Suchmaschine. Obwohl: Bing ist auch sehr gut. Wiedermal kann man sich es aussuchen. Nunja. Ich habe heute Google bemüht und habe die Taktik “Hölzchen und Stöckchen ergeben ein Feuer” probiert. Wie? Sammeln, Lesen und Freuen. Jawohl. Mein Morgen begann so mäßig, das ich bevor ich in das Büro kam einen echten Hals hatte und am liebsten gleich wieder heim gegangen wäre. Durch meine längere Anfahrt ein völlig utopisches Unterfangen. Exakt. Die Bahn kam zu spät. Nur: Diesmal konnte sie dafür nichts. Personenbeschädigung, nicht Personenschaden, da die Person noch lebt. Wunderbar. Dennoch ging mir die Hetze aufs Schwein. Da hilft weder die Schweinegrippe, noch ein Ringelschwänzchen aus Haribo-Gummibärchen. Grmpf.

    Aber der Tag erhellt sich. Der ausgefallene Vodafone UMTS Mast fing wieder an zu funken und ich kam aus der GPRS Hölle heraus. Leider funkte der nicht durchgehend, aber weitestgehend. Leider ist die Empfangsqualität auch echt mies. Die war mal besser. Ob jemand den Mast geklaut hat? Ich hab schon meinen Adlerblick ausgepackt und geguckt, ob oben etwas fehlt. Sieht nicht so aus. Störungen? Hab leider kein Funkscanner mit einem Frequenzspektrogramm. Sowas wäre mal was für Weihnachten! Vorher steht das 19 Zoll ATX Gehäuse auf dem Zettel fürs Christkindlein. Der Weihnachtsmann bringt meine Geschenke auch meist mit der Ares Rakete anstatt mithilfe des Schlittens. Obwohl, sone rote Fahne an die Kufe gebunden, man will ja kein Ticket bekommen, wegen Überbeladung, herausragende Gehäuse und los… 10 Renntiere auf 100km ist doch ein guter Verbrauch? Ob dann hier im ICE von Lamm auf Rehntier umgestellt wird? Man erinnere sich an den hohen Verbrauch von Schafen. 100 Schafe pro 10 Meter. Der ICE Train ist aber auch schwerer, gutgut. Rehntiere haben einen besseren Brennwert (kcal).

    Nachdem mein Augenmerk auf einen tollen Artikel gefallen ist, war das Mittagessen und diese Lektüre ein kleines Highlight. Das kann ich ja meinen Lesern nicht vorenthalten. Es geht um die Zukunft, soviel kann ich verraten. Der Link:Search for Effect of Influence from Future in Large Hadron Collider by Holger B. Nielsen and Masao Ninomiya

    Nunja, die heutige Basisliteratur ein kleines PDF Feuerwerk, mit ein wenig gerollten PPT dazu, ergab nach und nach ein kleines Feuerchen und mir ist in einiger Hinsicht ein Lichtlein aufgegangen. Gut, es kann auch ein herannahender Zug sein, ich drifte wieder zu den Schafen…. Schnell wieder weg, bevor noch der Boardcomputer abstürzt. Ich graste also oberflächlich durch die Sachen und zog mir erstmal die essenziellen Dinge heraus. Jetzt nur noch etwas Luft hinein, aufschlagen, Eischnee dazu und etwas weißes Pulver… fertig ist ein kleiner Kuchen…Y.E.S. Yes, Encrypted Spam. Törtchen für das digitale Örtchen.

    Nachdem jetzt wirklich jeder aufgehört hat zu lesen – im Prinzip versuche ich die tiefere Stukturen zu verstehen, einmal woher kommen die Kommandos und vor allem nach welchen Schema sichern sich diese Systeme ab, falls doch mal ein CC Server filitiert wird. Ich habe noch nicht sonderlich große Details herausbekommen, habe entschieden, das ein Praxisexperiment dafür hinhalten kann. Wenn es schon keine Doku gibt, hilft der DASM und ein Rechner, der den Trojaner fahren darf. Wireshark und TCPdump helfen hoffentlich einige brauchbare Ergebnisse zu liefern. Naja. Das Mebroot Netz kann eh alles nachladen….. hach woher komme ich bloß an die Binaries? Zwei Varianten: Entweder ich surfe mal ne Weile auf dubiosen Seiten und fange mir was ein… oder ich bitte den Clan der Hexenmeister in ihren Kessel zu greifen. Dafür habe ich schon fleißig Kräuter gesammelt und vorgekocht. Das Rezept läßt sich universell einsetzen. Nachdem ich den Zaubertrank zusammengemixt habe und rote, grüne, lila und gelbe Wolken produziere, muss man nur mit dem Holzlöffel an den Kessel hauen, damit die Luft aufsteigt und schon codiert man mit seiner Jacke oder einer Decke entsprechende Morsezeichen über dem Kessel. Und immer in einer Richtung rühren, sonst fliegt es einem um die Ohren.

    So, erklärt mich ruhig für verrückt. Ich genieße es grade so einen Scheiß zu schreiben. :-) Ahhhh, das tat gut.

    Weiter im Thema. Hier ein sehr lesenswertes Werk von Microsoft. Es handelt sich um den Bericht “Microsoft-Analyse zur IT-Sicherheit – Ausgabe 7 (Januar bis Juni 2009)”. Der entsprechend Link zur Seite ist unterhalb abgebildet. Ich habe die beiden Dateien, das PDF und das XPS File entsprechend als Backups hier ebenfalls als Link abrufbar gemacht.

    Microsoft: “Die 7. Ausgabe der Microsoft®-Analyse zur IT-Sicherheit bietet umfassende Einblicke in die Verbreitung von schädlicher und potenziell unerwünschter Software, Software-Exploits, Sicherheitsverletzungen und Software-Sicherheitsschwachstellen (sowohl bei Microsoft-Software als auch bei Software von Drittanbietern). Microsoft hat diese Einblicke auf der Basis ausführlicher Analysen in den letzten Jahren entwickelt, wobei der Schwerpunkt auf dem ersten Halbjahr 2009.”
    Die 7. Ausgabe der Microsoft®-Analyse zur IT-Sicherheit
    Die Dateien lassen sich hier auch als Backup herunterladen:
    Microsoft Security Intelligence Report – Volume 7 Jan-Jun 2009 (PDF)
    Microsoft Security Intelligence Report – Volume 7 Jan-Jun 2009 (XPS)

    Written on November 2nd, 2009 , Alltag, Technik Tags: , , , ,
    Dropper, Trojaner – Streichelzoo.

    Interessant. Ich habe damit begonnen mich ein wenig der Funktionalität von Malware zu widmen. Im Prinzip besteht dieser Streichelzoo aus einer gewissen Menge an Baukastenprodukten, die später andere Module aus dem Internet nachladen. Na klar, das ist alles nichts Neues. Neu finde ich die aktuelle Entwicklung, dass die Tierchen sich auch auf dem MBR einnisten und hinten herum einige windows-interne Komponenten im Speicher patchen. Natürlich ist dagegen das Betriebssystem recht machtlos. Bevor ich es vergesse, so muss an dieser Stelle gesagt werden, dass ich mich selbst vorerst einmal mit der Windows-Malware auseinandersetze. Natürlich sind die anderen Betriebssysteme in gleicher Weise anfällig. Es gibt hier und da kleine Unterschiede, aber ein Patch ist ein Patch.

    Nunja, der Infektionsweg ist aktuell auch meist der gleiche. Der Benutzer denkt meist tatsächlich noch als Mails. Aber im Ernst: Wer wurde wirklich mal per Mail infiziert? Bisher passierte mir das nicht. Anderen auch nicht. Vielleicht lag es auch an der Arbeitsweise meines Anti-Virus Programms zusammen mit meinem Mailclient. Vielleicht ist untertrieben, das war der Hauptgrund. Dazu kam einfach die Tatsache, das ich Zeug, was ich nicht kenne, nicht anklicke. Also, liebe Benutzer. Auch wenn einem die tollsten Sexbilder versprochen werden, Attachment löschen. Und schon sind so ziemlich alle Mailwürmer gebannt. Alle? Nein, nicht alle. Nur noch die HTML Interpretation deaktivieren, so dass sich nichts über die Webseiteninterpretation einnistet und keinerlei anderes Zeug, wie ActiveX und Javascript in Mails ausführen lassen. Das reicht. Schlussendlich haben auch die Provider mit ihren Mailscans viele einfach ausgerottet. Dazu kommt, das Virenspam auch einfach teurer ist, als die Installation eines Drive-By-Downloads.

    Aktuell ist das Wort Drive-By-Download ja mehr oder weniger in aller Munde und eigentlich sollte sich jeder Benutzer darüber im Klaren sein, das er sich jederzeit so etwas einfangen kann. Das nicht nur auf Erotikseiten oder Seite mit einem fragwürdigen Inhalt. Auch völlig normale Seiten können geknackt und infiziert worden sind. Doch was tun? Wie geht sowas eigentlich?

    Das ganze Hexenwerk eines Driveby basiert immer auf den Schwächen des Nutzercomputers gepaart mit einem Exploit. Der Exploit ist eigentlich so das A und O. Schließlich muss das Programm ja erstmal geladen werden. Meist handelt es sich um einen PDF Exploit. Über Fehler in der PDF Betrachtung wird ein Programmcode auf dem System ausgeführt. Dabei handelt es sich öfters um einen Dropper. Etwas zur Erklärung. Der PDF Betrachter ist ein Teilstück, welches im Browser läuft. Schließlich möchte der Benutzer schnell und einfach ein PDF Dokument öffnen und das gleich im Browser lesen. An dieser Stelle setzen einige der Angriffe an. Dem Programm wird ein Dokuemnt untergeschoben, also es wird geöffnet, das entsprechend dieses Teilstück angreift. Das geschieht durch einen Fehler im Betrachter selbst, der sich am Dokument verschluckt und plötzlich Teile davon als Programmcode ausführt. Viel kann dort nicht übertragen werden, aber es reicht, um einen Dropper zu übermitteln. Schon läuft etwas im Speicher des Browsers, das dort eigentlich nichts verloren hat. Doch was tut dieser Dropper? Er lädt andere Teile, oft die eigentliche Malware nach und schreibt sie in das Betriebssystem und führt sie natürlich auch aus. Poff. Der Trojaner wird nachgeladen und installiert sich in das System. Ich gebe zu, die Erklärung ist sehr dünn und sehr grob. Aber so ungefähr läuft das.

    Was kann man machen? Zuerst reicht es oft, dem Browser das PDF-sichten abzugewöhnen. Es sollte statt dessen ein downloade-mich-mal Knopf erscheinen. Dazu deinstalliert man einfach das handelsübliche PDF Programm und installiert etwas einfaches, welches Browser nicht unterstützt. Unbequem, oder? Der andere Weg ist, entsprechend das Browserplugin zu löschen. Händisch. Das erfordert etwas mehr Geschick. Schon sind PDF basierende Drive-by-downloads gebannt. Es geht ein Fensterchen auf, das man doch eine PDF Datei öffnen oder herunterladen soll. An dieser Stelle dann entsprechend Abbrechen. Natürlich wird dies nicht für alles reichen. Es gibt noch unzählige andere Exploits. Allerdings generell hilft diese Vorgehensweise ganz gut weiter.

    Written on November 2nd, 2009 , Alltag, Technik Tags: , , , , , , , , , ,
    Newer Entries >>

    Projekt: Neurodump is proudly powered by WordPress and the Theme Adventure by Eric Schwarz
    Entries (RSS) and Comments (RSS).

    Projekt: Neurodump

    Gedankenauszüge eines Datenreisenden

    Switch to our mobile site