Trojanerangriff wirklich nicht bemerkbar?

[methusalem]

hallo,

was ich gern mal wissen würde ist folgendes:

wenn jemand versucht in einen anderen pc kommen und das z.b. über einen trojaner macht, den er per email verschickt, müsste derjenige, der die trojanermail bekommt es doch eigentlich erkennen oder nicht?

ok, selbstgeschriebene neue trojaner, keylogger etc werden die virenprogramme am anfang nicht erkennen können....aber trotzdem muss doch die email mit dem entsprechendem programm ausgeführt werden und das programm doch eigentlich installiert werden oder nicht? wie läuft denn das?


mfg

 

[IsNull]

Leider sind sehr viele PC user sehr dumm, und führen alle Dateianhänge in e-mails aus Desweiteren gibt es auch exploits, die ein ein eingreifen des users nicht benötigen, um schadcode auszuführen. oder, es werden harmlose Dateien so verändert, dass beim verarbeiten von ihnen schadcode ausgeführt werden kann.

Ein sehr einfach verständliches Beispiel ist folgendes:

Der Jpg exploit: Ein präpariertes Bild wird per e-mail verschickt. öffnet man es mit dem winows bildbetrachter, dann gibt es wärend des einlesens des Bildes einen Bufferoverflow (einen Programmabsturz, da ein Buffer überläuft). Dies war natürlich durch den Angreifer geplant. Nun wird dieser Bufferoverflow ausgenützt, um belibigen code auszufüren. (da plötzlich unausführbare Daten im Memory durch den Bufferoverflow in ausführbare Register verschoben werden.)

Was bedeutet dies nun? Wer führt nun schadcode auf dem PC aus? Ja ganau, für das System sieht es so aus, als ob die Windows Bildanzeige dies Aktionen startete. D.h. alle Rechte vom exploiteten Proggi hat der Schadcode per default schon...


Es muss also nicht mal eine exe/bat/com/pif usw. sein, die ausgeführt wird und einen eigenen Process startet. Es können durch exploits auch fremde Programme manipuliert werden. Googeln nach "exploit" sollte mehr Infos liefern.

 

[0mega]

man kann soweit ich weiß auch sicherheitslücken vom browser oder vom email programm nutzen, um das zielsystem mit dem trojaner zu infizieren.. meistens verwendet man dafür spezielle "downloader", die etwas kleiner ausfallen, welche dann den "richtigen" trojaner herunterladen.. und ja, das ganze geht auch, ohne dass jemand etwas davon mitbekommt..

gutes beispiel wäre eine sicherheitslücke im alten internet explorer, welche es erlaubt, dass praktisch jede x-beliebige html-datei schreibzugriff auf deine platte bekommt. die lücke is soweit ich weiß inzwischen behoben (wer noch mit IE5 o.ä. herumgurkt, sollte besser ActiveX deaktivieren).

Irrtümer vorbehalten.

mfg.

[edit]
wollt noch hinzufügen, dass in dem szenario ein komplett ungeschützter pc dargestellt wird ^^
[/edit]

 

[link]

Das erkennt man nicht... da steht bestimmt nicht Trojaner dran.

man kann ihn so programmieren, dass er im hintergrund läuft, und du absolut nix mitbekommst, ausser evtl. einbrüche in Performance der Systemgeschwindigkeit oder bei der Netzwerkgeschwindigkeit, denn das ist ein Indiz dafür.

wenn der Programmierer oberflächlich geärbeitet hat, könnte man einen fremden Prozess erkennen.

Der Programmierer eines Trojaners ist bestimmt bedacht, ihn so klein wie möglich zu halten, das heisst an der Grösse der Datei, könnte man schon was erahnen.

Nach dem Aktivieren der infizierten Datei, wird der Trojaner vermutlich schon einen Port öffnen, also könntest du es an deinen Ports per netstat erkennen... könnte aber auch gewollt Zeitversetzt, oder bei wenig träffic geschehen.

Programme unbekannter oder zweifelhafter Herkunft sollten eh nur mit Vorsicht geöffnet werden.

 

[Elderan]

Hallo,
beliebt ist auch die Social Enginnering Form.

Ich schreib dir ne Email:

Hi [dein echter Name],
na wie wars in Spanien? Hoffentlich hatte ihr besseres Wetter als wir.

Ich hab nen echt lustiges Spiel entdeckt, sollte du mal öffnen.

Hau rein, bis dann.
[Name von gutem Freund/Kollege]

Im Anhang ist auch ein witziges Spiel, aber dieses Spiel ist mit einem Trojaner (man betrachte Definition von Trojaner) versehen, welches sich auf dem System einnisten.

Und wenn man sein Programm speziell abstimmt, wirds i.d.R. auch nicht von Virenscanner endeckt.

Also, immer aufpassen welche Infos man so Preis gibt und auch keinen Anhängen vertrauen die angeblich von Freunden oder Kollegen kommen.

PS: Was für ein Betriebssystem ist eigentlich 'Mircosoft'???

 

[methusalem]

also nehmen wir mal an , einer sendet wie du sagst ein jpg per mail
das muss er ja nicht per anhang machen, sondern schickt es so, dass es gleich in der mail sichtbar wird.......aber wie schafft man es denn in ein bild, soetwas wie ein trojaner etc einzusetzen? hat denn ein jpg sowas wie ein quellcode worin man was umschreiben kann etc?
.....also meine damit, wie kann man ein bild einfach präparieren? dann dürfte man ja echt absolut gar keine mail mehr öffnen, die man nicht kennt, also nichtmal werbemails etc die ja gefaked sein könnten

 

[Elderan]

Hallo,
das Problem liegt nicht beim Bild, sondern beim Bildbetrachtungsprogramm.
Wie bereits erwähnt, bestimmte Zeilen/Anweisungen führen dazu, dass das Bildbetrachtungsprogramm ungewollterweise beliebigen Code ausführt, z.B. Code der eine Backdoor öffnet.

Deswegen sollte man seine Software immer auf dem neusten Stand haben.
Und wenn ein Bild eingebettet ist, wird dies i.d.R. von Mail Client interpretiert (oder vom Browser bei Webmailern).
Deswegen gilt, insbesondere Browser, Mail-Client und Betriebssystem regelmäßig mit Updates zu versorgen.

Außerdem kann man bei den meisten Mail-Clients, HTML Emails und das automatische Anzeigen von Bildern deaktivieren.
Wobei, bei Thunderbird oder bei Firefox muss man nicht vor jedem Bild Angst haben, wenn die Anwendungen auf dem neusten Stand gehalten werden, werden solche Lücke fast sofort behoben, sofern sie bekannt werden.

 

[methusalem]

ok soweit ists jetzt klar

wobei, man müsste doch eigentlich merken, sofern man gerade am pc sitzt, dass er von jemandem übernommen wird, weil er ja dann ich sage mal anders läuft etc
ich meine damit, wenn er dann meinen rechner steuern könnte, hat er doch meinen desktop direkt bei sich vor augen, oder sieht er das in einer anderen form?
wenn er dann z.b. daten öffnen kopieren würde etc, sieht man doch den transfer eigentlich.....ausser die person wäre so schlau abzuwarten, bis keiner am pc arbeitet und er dann aktiv wird für diese kurze zeit

stimmt das soweit?

nehmen wir mal an, person a schafft es in den rechner von person b zu kommen, aber egal was ist, wenn person b seinen rechner ausschaltet, bricht die verbindung sofort ab und person a hat keine möglichkeit von sich aus den rechner von person b zu starten oder

 

[Elderan]

Hallo,
hehe echt unterhaltsam dieser Thread ^^

Du benutzt doch bestimmt irgendein Filesharing-Programm, sei es Emule, Azureus oder was auch immer.
Wenn du dieses Programm minimierst (so dass es neben die Uhr verschwindet), werden weiterhin Daten hochgeladen/runtergeladen, ohne dass du dies offensichtlich siehst.
Stell dir vor, selbst das Icon neben der Systemuhr wäre verschwunden und der Upload-Ordner wäre deine gesamte Festplatte, dann hast du in etwa einen Trojaner.

Wenn du infiziert bist, dann übernimmt dein Herr nicht die Maus, klickt auf den Explorer und kopiert er Dateien.
Dies passiert alles im Hintergrund, der Trojaner liefert ihm die Struktur deiner Daten, die er beliebig durchforsten kann und auch hochladen kann.
Dies geschieht alles ohne das du was merkst.
Die Filesharingprogramme öffnen ja auch nicht den Explorer und kopieren dann mittels rechter Maustaste Dateien wenn diese hochgeladen werden.


Wenn der Trojaner gut geschrieben ist, ist die Bemerkung des Trojaners fast unmöglich.
Evt. fällt es an etwas erhöhtem Netzwerktraffic auf, aber wer kontrolliert diesen schon?

 

[CDW]

http://www.heise.de/newsticker/meldung/91542
ich hoffe, das ist halbwegs verständlich geschrieben
Es geht um die "moderne" Form der Trojaner:
Infektion ist dabei voll automatisiert: beim Besuch einer (harmlosen) Seite wird der Browser/Plugins ermittelt, automatisch nach Lücken gescannt und der Rechner mit passendem Exploit "hochgenommen" (diese werden i.R für einiges an Geld gehandelt, besonders teuer, wenn das entsprechende Programm sehr verbreitet ist und die Hersteller noch nichts von diesem Fehler wissen).

Dabei ist es (rein theoretisch) egal, ob man mit Windows oder Linux unterwegs ist - solange man fehleranfällige Software verwendet. Dabei wird erstmal ein kleines Progrämmchen eingeschleust, welches den passenden "Trojaner" nachlädt.
Diese Trojaner sind mehr oder weniger "professionell" gemacht z.T mit einer "Undetectable" Garantie (also unentdeckbar für XYZ- Antivirprogramme bzw. Personal Firewall).Software, die für ein paar 1000 Euro gehandelt wird. Da kann man erstmal davon ausgehen, dass diese nicht von Antivir-Programmen oder Personal Firewalls gestopt werden kann.
Dabei wird auch niemand persönlich sich dem Rechner widmen - dieser ist nur einer von vielen 10000 "Sklaven"/"Drohnen" und wird z.B für Spam-Versand missbraucht, Phishinmails/Webseiten oder auch für http://de.wikipedia.org/wiki/Ddos Attacken auf "Konkurez"/Firmenwebseiten. (die Masche ist schon alt:
http://www.heise.de/ct/04/14/048/default.shtml)

 

[Thalon]

@methusalem
Kurz umrissen wie man mittels eines Bildes Code ausführen kann:
Sagen wir das Bild hat eine Größe von -54689751627 x 7561273324 Pixel und das Programm rechnet nur mit positiven Größen bzw nur bis 65k Pixel und fängt fehlerhafte Größen nicht ab. Jetzt wird die Größe in einen Puffer geschrieben der zu klein ist, dabei werden dann im Speicher Teile des ausführbaren Programmes überschrieben (mit der überschüssigen Größe). Da sowohl Daten als auch Code binär sind kann das ausgeführte Programm den Unterschied nicht erkennen und führt jetzt statt den normalen Instruktionen das aus was drüber geschrieben wurde.
Schon wurde Schadcode ausgeführt... (die Erklärung mag nicht ganz korrekt sein, aber ich hab mich damit nicht näher beschäftigt).

Evt. fällt es an etwas erhöhtem Netzwerktraffic auf, aber wer kontrolliert diesen schon?

Bei mir läuft rechts unten immer NetMeter alwaysontop, verblassend wenn ich mit der Maus drauf fahre und mit ClickThrough-Effekt. Damit habe ich meine Netzwerklast immer gut im Auge. Hilft natürlich nicht bei sehr kleinen Datenmengen, da die einfach zwischen IMs o.ä. untergehen, ich habe aber schon die Leitung gekappt bei ungewöhnlichen Up- oder Downloadmengen (wenn ich z.b. nichts spezielles im Netz mache und plötzlich lädt der ein paar Sekunden mit 30kB/sec und mehr). Dies kam zum Glück erst einmal vor und war ein Fehlalarm *gg* (jaja, man kann auch überparanoid werden).

Thalon

 

[0mega]

das mit dem bild is wohl schon richtig beschrieben.. ich kenn mich damit auch nich so wirklich aus, aber soweit ich weiß kann man das z.B. auch auf IMs anwenden (icq, etc.) - hab mal bei packetstormsecurity was nettes zu dem thema gefunden

das mittem netmeter is ne gute idee, ich hab halt den hub aufm schreibtisch stehn.. der blinkt dann fröhlich vor sich hin ^^

mfg.

 

[methusalem]

ich frag mich halt immer wie sicher es ist(notwendig überhaupt) seinen rechner "ziemlich" sicher zu machen

als großes unternehmen wäre es da sicher ratsam, aber als privat person so wie unser eins......naja....die leute die sowas wirklich drauf haben und überall reinkommen, nehmen sich doch bestimmt eh nur große firmen vor(meine damit freaks, die selbst ins pentagon etc kommen, was ja bestimmt nur vielleicht ne hand voll menschen schaffen wird?!), doch selbst bei denen frage ich mich, ob die wirklich jeden kleinsten befehl kennen und nen trojaner oder ähnliches einfach mal so schnell programmieren oder ob das auch bei denen dauert? und ob solche leute meist überwiegend mit selbstgeschriebenen trojanern, sniffern, keyloggern etc arbeiten

das was ja leider scheisse ist, dass wenn man seinen rechner verhältnismäßig sicher macht, er dann auch enorm langsam wird......und es ist nervig
hab das früher mal spaßeshalber ausprobiert.........

 

[Elderan]

Hallo,
wenn man etwas programmieren kann, ist eine backdoor sehr schnell geschrieben. Über die Backdoor kann man dann beliebigen Code nachladen.
Sprich, wenn man nach 1 Monate feststellt, dass man noch ein Passwortsniffer braucht, schreibt man diesen schnell und lädt den über die Backdoor nach.

Aber wie gesagt, die grundlegenden Sachen sind sehr schnell geschrieben, wie z.B. ein Keylogger (wenige hundert Zeilen code).

Und ja, auch für eine privat Person ist Sicherheit wichtig.
Ein hohe Gefahr geht von Wrümern u.a. aus. Das sind kleine Programme, die alle IP Adressen durchscannen und versuchen sich auf dem System einzunisten.
Die machen i.d.R. keinen Unterschied zwischen Unternehmen und Privatperson.

Dein Rechner (bzw. dein IP) wird täglich dutzende Male gescannt, d.h. auf Lücken überprüft, und wenn die gewünschte dabei ist, wird dein Rechner infiziert.
Ist das System für eine populäre Lücke anfällig, wie es z.B. bei Windows Nachrichtendienst war, dann dauert es keine halbe Stunde (oft auch viel schneller) bis das System infiziert war.

Mehr dazu hier: Know Your Enemy

Und Sicherheit hat wenig mit weniger Performance zu tun.
Für den privat Anwender reicht es i.d.R. aus, eine Hardware-Firewall (z.B. NAT-Router) zu besitzen, Windows, Browser und Mail Client auf dem neusten Stand haben und evt. noch ein Virenprogramm.
Das allerwichtigste ist aber Brain 2.0, als nächstes mal nicht die p0rn.exe aus einer Email öffnen.

 

[IsNull]

Du installierst Antiviren Software ja auch nicht, um dich gegen einen geplanten, durchdachten Angriff von einem schlauen Hacker zu schützen. Da bringt Antiviren Software nix.
Aber es gibt gerade im Netz diverse Sites, die einem billige Skriptkiddy Viren unterjubeln wollen, gegen diese ist ein Antivirus zu gebrauchen. Grundsätzlich ist ein AV einfach dazuda, vor bekannten Massenviren zu schützen.

Edit:
zu langsam...schon das 3mal die Woche. Werde langsam alt

 

[methusalem]

was kann eigentlich alles gemacht werden, wenn "nur" der internet-account geknackt wird.....also das die person die zugangsdaten vom internetanschluss rausbekommt......

einfachstes beispiel: benutzer a hat z.b. wlan, ist aber so blöd es nicht zu verschlüsseln oder es ist verschlüsselt und benutzer b knackt es , benutzer b aus der umgebung, stellt ne verbindung über benutzer a seinen account her..... was könnte der benutzer b dann alles machen

dann hat benutzer b ja noch keinen trojaner keylogger etc. oder irgendetwas in der hand sage ich mal, um auch die allgemeinen daten von benutzer a rauszubekommen? oder wie wäre das

 

[HKA]

Er könnte immerhin eine MITM Angriff starten.
http://de.wikipedia.org/wiki/Man-In-The-Middle-Angriff

Dadurch würde er erstmal alle unverschlüsselten Verbindungen ins Internet mitbekommen und könnte sie auch manipulieren um Etwas bei dir einzuschleusen.

Er könnte bei schlechter Windows konfiguration einen NetBios Angriff versuchen.
Er könnte sich weiter in dein System vorarbeiten, indem er dich Scannt und vll Firewall etc. Lücken ausnutzt.

MFG -=HKA=-

 

[IsNull]

Sehr oft sieht das Sicherheits Konzept (auch wenn dies so speziall nicht geplant wird) folgendermassen aus:


Internet ----> [Nat Router/Firewall] ----> eigenes Intranet.


Wenn sich nun einer auf deinen Router verbinden kann, ist er meist schon in deinem Intranet, da der Router als Switch dient und normalerweise keine NAT Prot Sperren od. ähnliches hat. Einfach gesagt bedeutet dies, er ist in deinem Netz.

Nun gibt es gerade bei den Windows Betriebsystemen einige schnitzer, wie die C$ Freigabe. U. u. reicht es dann schon, wenn er sich normal zu //[IP-des-Ziels]/C$ verbindet.

Und damit hat er schon Zugriff auf deine System Partition...

 

[rece]

das Problem liegt nicht beim Bild, sondern beim Bildbetrachtungsprogramm.
Wie bereits erwähnt, bestimmte Zeilen/Anweisungen führen dazu, dass das Bildbetrachtungsprogramm ungewollterweise beliebigen Code ausführt, z.B. Code der eine Backdoor öffnet.

das liegt an den anwendungen die die fehlerhafte komponente
nutzen ( ein fehler in der parsing-komponente gdiplus.dll - (MS04-028) ).

ich frag mich halt immer wie sicher es ist(notwendig überhaupt) seinen rechner "ziemlich" sicher zu machen

als großes unternehmen wäre es da sicher ratsam, aber als privat person so wie unser eins......naja....die leute die sowas wirklich drauf haben und überall reinkommen, nehmen sich doch bestimmt eh nur große firmen vor(meine damit freaks, die selbst ins pentagon etc kommen, was ja bestimmt nur vielleicht ne hand voll menschen schaffen wird?!), doch selbst bei denen frage ich mich, ob die wirklich jeden kleinsten befehl kennen und nen trojaner oder ähnliches einfach mal so schnell programmieren oder ob das auch bei denen dauert? und ob solche leute meist überwiegend mit selbstgeschriebenen trojanern, sniffern, keyloggern etc arbeiten

das was ja leider scheisse ist, dass wenn man seinen rechner verhältnismäßig sicher macht, er dann auch enorm langsam wird......und es ist nervig
hab das früher mal spaßeshalber ausprobiert.........

wurdest du denn schonmal von einem hacker überwältigt? wohl nicht
ich würde auch so wie du sagen, das kein reiz dahinter steckt,
privatanwender anzugreifen ( ich gehe gerade nur vom hacken aus,
nicht vom abstürzen & infizieren mit würmern etc. ).

und elderan`s ratschlag mit der hardware-firewall & der aktualisierung
kann ich ebenfalls nur bekräftigen, vielleicht solltest du auch
noch darauf acht geben keine unnötigen dienste am laufen zu haben,
sprich "es sollte wirklich nur das laufen worüber du bescheid weißt und
was du wirklich nötig hast".


und nun zum thema antivirensoftware, wäre doch nützlich eine zu besitzen, die
auch "auffällige prozesse" abfangen kann, die eine anwendung von sich
aus erzeugt, es gibt zig varianten von infektionen, das ist sicher, alle wird die
heuristik wohl nicht aufdecken können, aber zumindest die, mit den allgemeinen
infektions-merkmalen. was wohl die sicherheit eher erhöht wäre die kombi
mit heuristik & sandboxing.

bloss beherrschen das auch die kostenfreien antiviren-programme ?
antivir hat z.b. soweit ich weiß keine sandboxing-funktion, arbeitet
nur mit einer echtzeit-überwachung, hat seine signaturen & die heuristik-
funktion.

für anwender die nach sicherheit verlangen aber nicht das nötige technische
knowhow dafür haben, können ja mit dem begriff sandbox schon nichts anfangen
bzw. kennen es nicht mal
& somit auch nicht auf die idee kommen sich vll noch die kostenlose sandboxie
zusätzlich zur antiviren-anwendung zu installieren.

grüße, rece

 

[methusalem]

was haltet ihr eigentlich vom portscan? meint ihr dort werden wirklich alle offenen ports angezeigt oder nur ungefähr? je nachdem was der scanner für ports insgesamt kennt?

was würdet ihr zudem sagen: linux systeme gegen microsoft systeme
wieviel prozent, wenn ihr schätzen müsstet, bieten linux systeme mehr sicherheit gegenüber welchen von microsoft?