Es hat ein wenig gedauert. Überschattet wurde die doch sonst so einfache VM-Konfiguration durch einen sehr seltsamen Fehler im BIOS der Notebooks, die ich verwenden wollte. Sie booteten keine Datenträger mehr und ließen sich nur selten dazu bewegen das BIOS aufzurufen. Da half auch ein Reset nicht. Eine ungewöhnliche Sache, die ein durch ein wenig händisches Spielen in der Konfiguration ein Ende fand. Ja, BIOS Fehler, aber mein verblüffenster bisher. Ich denke mit der Zeit wird es ein Update geben.
Zurück zum Streichelzoo. In einigen VMs wurde ein XP installiert und entsprechend auf den neusten Stand sprich Patchlevel gebracht. Die Datenausführungsverhinderung an und Wireshark drauf. Nun das Tierchen erzeugen und installieren. Mit DAV startet es nicht und wird aus dem Speicher geworfen. Das war schonmal ein gutes Zeichen. Zumindest zeigte mir das praktisch, dass manche Malware mit eingeschalteter Datenausführungsverhinderung nicht läuft. Ein Grund mehr, es bei Arbeitsmaschinen auch einzuschalten. Nun aus damit, schließlich sollte ja das RAT (Remote Administration Tool) getestet werden. Es lief nun mit administativen Rechten.
Unter einem eingeschränkten Benutzer gab es auch einige Probleme. Auch wieder ein Grund mehr, den Benutzer zu bitten mit eingeschränkten Konten unter Windows zu arbeiten. Das RAT redete mit seinem Herrchen und konnte alle Funktionen erfolgreich ausführen. Unter anderem die Übertragung der Gespräche im Raum durch das angeschlossene Mikro und das Aktivieren der Webcam. Tastatureingaben gehören ja auch zu den Standardaufgaben solcher Programme.
Die Idee das ausführlich zu testen kam aus der Richtung, dass ich vor einer Woche RATs fand, die von keinem AV Programm, auch nicht im geringsten, als verdächtig eingestuft worden sind. Gut, dass wird nicht mehr lange so bleiben. Dennoch können Crypter ausführbare Dateien völlig umstricken und letztendlich wird ein gefundenes RAT wieder unsichtbar. Mit Wireshark schaute ich mir die versendeten Pakete an und fand eine Art Signatur, bei meinem Testobjekt. Damit lassen sich leicht Pakete mit diesem Inhalt und der entsprechende Größe aus dem Datenstrom löschen. Es wird genug andere Malware geben, die sich nicht so leicht in den TCP Paketen auffinden lässt.
Vielleicht macht es Sinn, internes Netzwerk und externes Internet zu trennen. Also keine physikalische Trennung mit unterschiedlicher Hardware, jedoch mit zwei Netzwerkkarten, die sich in zwei verschiedenen Subnetzen befinden. Das eine, um die Computer mit SMB und so weiter zu verbinden. Das Netz hat keinen Zugang zum Internet. Das zweite Subnetz ist logisch an das Internet angeschlossen. Auf diese Weise fällt wohlmöglich das Filtern der Datenpakete etwas leichter? Ich denke, dass werde ich probieren müssen. Vielleicht lassen sich auf diese Weise einige Trojaner so einsperren, dass wenn sie schon unsichtbar aktiv sind, nicht zu ihrem Herrchen telefonieren können?
