Über Teamspeak gehackt worden?

[cruster2020]

Hallo liebes Habo team,
nach euren letzten, sehr hilfreichen Antworten, wollte
ich erneut euren Rat einholen! Ich bin in letzter Zeit öfters bei einem
Kollegen im Clan Ts, einer der member erzählte meinem Kollegen
das der Admin (hat die IP) ihn "gehackt" hätte, und auf seinem Rechner war (Seiten zugemacht etc) er könnte auch alles andere machen!

So meine Fragen:
Ist das realistisch? (denke schon)
Wenn ja wie genau? also jetzt nich von A-Z. sondern nur:
macht er das mit einem Exploit?
existiert ein solcher? (is das sowas wie meterpreter)?
Oder funktioniert sowas mit einem Tool? Vulnerability scanner oder sowas? Wie kann ich mich effektiv schützen?
Welche Ports müssen aufjedenfall zusein?
Wie kann ich mir das anzeigen lassen(wenn jemand versucht zuzugreifen) und "Live" verhindern?
Wäre echt nett/hilfreich/?Überlebenswichtig?^^zu wissen!
naja freue mich über Antworten und hoffe es sind nicht soviele Fehler drinne!
Mfg

 

[Chakky]

Hallo liebes Habo team,
nach euren letzten, sehr hilfreichen Antworten, wollte
ich erneut euren Rat einholen! Ich bin in letzter Zeit öfters bei einem
Kollegen im Clan Ts, einer der member erzählte meinem Kollegen
das der Admin (hat die IP) ihn "gehackt" hätte, und auf seinem Rechner war (Seiten zugemacht etc) er könnte auch alles andere machen!

So meine Fragen:
Ist das realistisch? (denke schon)

Alleine über Teamspeak nur wenn entsprechend Schwachstellen bekannt sind. Es kann aber nur als Einfallstor benutzt werden um andere Software nachzuladen. Teamspeak bietet von sich aus keine Remotecontrolle wie VNC o.ä

Wenn ja wie genau? also jetzt nich von A-Z. sondern nur:
macht er das mit einem Exploit?

Wenn er eins hat bestimmt...

existiert ein solcher? (is das sowas wie meterpreter)?

Mal diverse Seiten abgrasen die Schwachstellen listen zum Beispiel.

Oder funktioniert sowas mit einem Tool?

Selbst die CMD kann man schon als Tool bezeichnen.

Vulnerability scanner oder sowas?

Ein Scanner löst keine Attacken aus

Wie kann ich mich effektiv schützen?

Den Service patchen oder nicht mehr nutzen (Stichwort: Steckerziehen)

Welche Ports müssen aufjedenfall zusein?

Alle die die nicht gebraucht werden bzw es sollte kein Service dahinterlaufen der Anfällig ist. Wenn TS als einfallstor vermutet wird müsstest du den Service halt abschalten (siehe vorrige Frage)

Wie kann ich mir das anzeigen lassen(wenn jemand versucht zuzugreifen)
und "Live" verhindern?

Packetsniffer + schnelle Augen, alternativ ein IDS welches die Attacke erkennt.

Wäre echt nett/hilfreich/?Überlebenswichtig?^^zu wissen!

Überlebenswichtig das ein TS läuft? Davon wird meiner einer nicht Satt....

naja freue mich über Antworten und hoffe es sind nicht soviele Fehler drinne!
Mfg

In unseren Antworten können auch Fehlerenthalten da man ja nicht allwissend ist.

 

[cruster2020]

Hey Chakky,
danke für deine Antwort!
das mit dem Teamspeak habe ich nur erwähnt, weil ich es dort gehört habe
und weil dann die Frage geklärt ist, wo er die Ip her hat!
Habe jetzt auch nich Teamspeak als "Trojaner" im Verdacht!^^
Überlebenswichtig: nicht wegen Ts sondern: wenn mich jeder hacken kann der meine IP hat, komm ich mir verarscht vor. Klar einen Weg gibts immer!

Vllt. hat hier jemand noch ein paar Tips für mich!
z.B. was muss ich bei Wireshark einstellen (Filter usw).
So danke soweit freue mich über weitere Antworten mfg

 

[Chakky]

Ein paar Tips meinerseits um sich zu schützen.

-System immer Up2Date (auch Anwendungen die man nicht häufig benutzt) ist schon ein riesiger Sicherheitsgewinn
-ein Router mit einer NAT ist schon ein guter anfang, wenn er dann nicht jede Anfrage einfach an den Rechner weiter gibt ist es noch besser
-Brain.exe
-ein Antivirenprogramm ist gut zur Beruhigung

Wenn du einen Einfall per Wireshark bemerkst hsat du nur wenige Augenblicke um gegenzusteuern, die beste ist Stecker raussziehen.

Heut zu Tage, dank dynamische IP vergabe ist es schwer geworden gezielt leute zu Attackieren die nicht ständig ihre IP rausposaunen per Messenger, P2P o.ä.

Meist sind es automatisierte Attacken durch Würmer, Bots und anderen Dinge, die einfach einen IP Bereich abgrasen und hoffen was zu finden (Grundrauschen des Internets).

 

[-=Draven=-]

Ein richtig eingestellten Router sollte man als Grundlage nehmen, das heißt nicht das er so
eingestellt ist das einfach alles aus dem Internet auf seinen eigenen Rechner weiterleitet
nur damit jedes Spiel auch direkt funktioniert.

Windows sollte man aktuell halten genauso wie auch jedes andere Betriebssystem (Linux,
Mac etc.) vor allem sollte man ein Original Windows besitzen und keine Version die man wer
weiß wo heruntergeladen hat, weil man da genauso wenig weiß was überhaupt drin ist.
Auch sollte man bei Programmen/Spielen den Original Versionen den Vorzug geben den
gerade die ganzen Cracks, Keygens etc. sind häufig mit anderen Dingen geschmückt. Nicht
jedes Programm wird benötigt man sollte nicht einfach alles installieren. Beim Nötigen
bleiben und das aktuell halten!

Und immer schön Brain.exe (Brain.exe - Die Rundumlsung fr viele Probleme) einsetzen dann sollte man relativ gut fahren.

 

[cruster2020]

Hallo und guten Tag,
danke schonmal für die Antworten!
Mein Windows (7) ist Original und vor wenigen Tagen neu aufgesetzt!
Habe jetzt noch meinen Access point dazwichen gehangen, weil der ne Firewall drine hat, dort kann ich aber nur Ports sperren lassen! Welche sind die wichtigsten?
Brain.exe ist auch schon recht lange vorhanden und im Einsatz!^^
mfg

 

[Chakky]

gemäß den Motto: "Alles Sperren was ich nicht brauche" und expliziet alles freischalten.

 

[chr0n0s]

Mein Windows (7) ist Original und vor wenigen Tagen neu aufgesetzt!

Das heißt noch lange nicht, dass das System Up-to-Date ist. Also lieber noch einmal das Windows Update laufen lassen und ggf. auch die optionalen Updates mit einbeziehen.

Edit: Mit Secunia PSI z. Bsp. kann man auch gut überprüfen ob die Programme - welche im Einsatz sind - Up-to-Date sind.

 

[cruster2020]

Ok das verstehe ich!
Ich werde mich mal schlau machen welche Ports ich genau brauche!

Stimmt, das Windows ist noch fleißig am Update ziehen!

Danke für die Hilfe!

mfg

 

[rat]

Ich vermute mal ganz stark es war kein Exploit Angrieff sondern eher wen er Seiten geschlossen hat ein RAT was er heimlich ins System des Opfers einschleuste.

Solche Rats sind z.b Turkojan,Bifrost,Poison-Ivy oder ProRat.

Rat steht für Remote Administration Tool.

Hier hast du ein Video von Bifrost wie es Funktioniert.



Um die Datei jemanden ins System zu bringen kann man dieses auf verschiedenen Wege machen,erst einmal im Rohzustand wird Bifi und alle anderen von jedem Av erkannt,also muss man mit einen Crypter ran da das verschieben des Entry Points schon lange nicht mehr Funktioniert.

Tested with:
Poison Ivy
Bifrost: 98% FuD (Rebuild Pe Header -> 100% FuD) (Crypten bei der Build Abfrage)
Satellite4600
Illusion Bot

Anfrage: 711-826

Crypted Pi Server:
File Info

Report generated: 20.8.2008 at 20.45.17 (GMT 1)
Filename: udxONNN.exe
File size: 377 KB
MD5 Hash: 011CC4164D94F9CEB193EB5D0F3209EF
SHA1 Hash: D44ACA9194ABE445C2A952329854448D04434D8C
Binder Detector: Nothing found

Detections

A-Squared - Nothing found!
Antivir - Nothing found!
Avast - Nothing found!
AVG - Nothing found!
BitDefender - Nothing found!
ClamWin - Nothing found!
Comodo - Nothing found!
Dr.Web - Nothing found!
Ewido - Nothing found!
F-PROT 6 - Nothing found!
G DATA - Nothing found!
IkarusT3 - Nothing found!
McAfee - Nothing found!
NOD32 - Nothing found!
Norman - Nothing found!
Panda - Nothing found!
TrendMicro - Nothing found!
VBA32 - Nothing found!
Virus Buster - Nothing found!

Scan report generated by
NoVirusThanks.org

Dann kann man die Datei jemanden getarnt als Crack zu senden oder mit einem Exploit Kit unterschieben wie mPack oder Phoenix Exploit Kit. Schau mal hier http://www.symantec.com/connect/blogs/mpack-packed-full-badness und http://www.m86security.com/labs/traceitem.asp?article=1427

Es gibt noch viele andere Wege aber das sind so die Gebräuchlichsten.

//edit vergessen bei dem Angriff über das Exploit Kit kannst du dich schützen in dem dein System Up2Date ist und das heist Windows so wie Java ist Wichtig und Adobe Reader,Flash und auch der Browser so wie QuickTime.

Welche Lücken die Kits ausnutzen findest du hier in meiner Tabelle http://exploitkit.ex.ohost.de/CVE Exploit Kit List.htm (Achtung das sind aber längst nicht alle,es gibt noch VIP Stuff und die die niemals veröffentlicht wurden).

Bei dem Angriff wen die Server.exe als Crack getarnt wurde und jemanden über ICQ oder sonst wie zugesendet wurde ist es eigenes Verschulden und du kannst rein gar nichts machen wen der Crypter ein Ergebnis wie das oben stehenden ausgibt.

 

[cruster2020]

Hey rat,
sorry das ich so spät antworte!
Danke für deinen Beitrag! (ich liebe "Fachchinesisch")
Klar habe ich die Person gefragt ob er von dem Angreifer was geschickt bekommen hat, ist ja eigentlich das einfachste! Hatte die Person aber verneint von daher habe ich hier nachgefragt! Ja von den Sploitpacks habe ich schon was gehört, habe mich aber noch nicht mit befasst! (warum auch!^^)
update: nachdem ich den Link von Symantec durchgelesen habe, weiss ich was diese Sploitpacks sind!

VIP stuff: Jah die altbekannten 0-days

mfg