jpselter
Goto Top

Technischer Hintergrund zum BKA Trojaner?

Hallo zusammen,

mir geht es hier weniger darum, wie man ihn wieder los wird, sondern eher darum, wie man ihn sich erst gar nicht einfängt. Ein Arbeitskollege hatte sich gerade ein solches Ding eingefangen, mit dem Firmenrechner, keine Adminrechte, aktuelles Trendmicro Update. Er hat nach eigenen Aussagen nur Webradio gehört. Es war auch nicht das erste Mal, dass sich ein Arbeitskollege so einen Trojaner einfängt. Wie man ihn wieder los wird, soll hier nicht die Frage sein, denn ich ziehe eh sofort ein Image über den Rechner und viel Zeit kostet das nicht.

Aber wo genau kommen die Dinger her? Ich vermute, dass sie über manipulierte Werbeeinblendungen eingeschleust werden. Aber was kann man da noch machen? Wir haben immer die neusten Virendefinitionen und die User haben keine Adminrechte auf den Rechnern. Trendmicro hat das Ding jedenfalls nicht erkannt. Greift der Trojaner eine Schwachstelle im IE an, oder Java oder Flash?

Danke schonmal für Hintergrundwissen!

Content-ID: 212739

Url: https://administrator.de/forum/technischer-hintergrund-zum-bka-trojaner-212739.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

SlainteMhath
SlainteMhath 29.07.2013 um 11:05:29 Uhr
Goto Top
Moin,

Aber wo genau kommen die Dinger her? Ich vermute, dass sie über manipulierte Werbeeinblendungen eingeschleust werden.
Kann auch eine gehackte Webseite sein, iframe, oder auch eine Phishing Mail etc.

Aber was kann man da noch machen?
z.B. eine Firewall verwenden die bereits an der Netzwerkgrenze Malware identifiziert und abfängt.

Wir haben immer die neusten Virendefinitionen und die User haben keine
Adminrechte auf den Rechnern.
Von XP auf Windows 7/8 umsteigen. Die "Dropper" verweden uU Exploit die zu einer Privilege Escalation führen. Damit ist es egal was für Rechte der angemeldete User hat.

Greift der Trojaner eine Schwachstelle im IE an, oder Java oder Flash?
Ja, ja, und ja face-smile Die Verteilung hat uU nichts mit dem Trojaner zu tun. Das wird mittlerweile über sog. Exploitkits gemacht (bsp: Blackhole) die alle möglichen

lg,
Slainte
colinardo
colinardo 29.07.2013 aktualisiert um 12:42:10 Uhr
Goto Top
Hallo JPSelter,
es sind immer wieder die selben Angriffsvektoren: Der Schädling kommt zu 99% über veraltete Versionen dieser Plugins im Browser auf den Rechner: Flash, Java, Adobe Reader. Da Sicherheitslücken in diesen Plugins sehr schnell von Kriminellen ausgenutzt werden ist es essentiell sie aktuell zu halten, wenn man sie denn nutzt Am besten schützen kann man sich wenn man diese Plugins nur aktiviert wenn man sie denn wirklich benötigt, oder sie ganz abschaltet.
Bei solcher Malware ist bei Virenscannern eine gute Verhaltenserkennung von Nöten, da sich der BKA-Trojaner immer mal wieder verändert, und da kommen die AntiViren-Hersteller einfach nicht schnell genug mit.
Für Browser gibt es Plugins wie z.B. NoScript mit dem der Nutzer selber festlegen kann welche aktiven Inhalte er aktiviert. So werden z.B. bei einer Seite die aktive Inhalte von einer anderen Domain nachlädt standardmäßig deaktiviert. So geht man verseuchter Werbung komfortabel aus dem Weg.

Grüße Uwe
Phalanx82
Phalanx82 29.07.2013 um 11:15:58 Uhr
Goto Top
Zitat von @JPSelter:
Hallo zusammen,

Hallo

Aber wo genau kommen die Dinger her? Ich vermute, dass sie über manipulierte Werbeeinblendungen eingeschleust werden.

Mit Sicherheit einer der Wege.

Aber was kann man da noch machen? Wir haben immer die neusten Virendefinitionen und die User haben keine Adminrechte auf den Rechnern.

Guter Ansatz aber Tendmicro? ;) Nicht unbedingt die Beste Wahl eines Virenwächters imho.

Trendmicro hat das Ding jedenfalls nicht erkannt.

Kann Dir per design bei jedem Anti-Viren Programm passieren da ständig neue Iterationen von Viren, Trojanern und Würmer
auftauchen die dann die neusten Signaturen wieder unterwandern. Trotzdem würde ich nicht unbedingt Trendmicro nehmen.

Greift der Trojaner eine Schwachstelle im IE an, oder Java oder Flash?

Mit Sicherheit auch einer der (erfolgreichsten) Möglichkeiten. Gerade was Java und Flash angeht.
Ich mag den ganzen Mist den Adobe und Oracle produziert nicht sonderlich, bei jeder neuen Version
sind 1-2 Wochen später wieder neue Exploit im Umlauf die ganzen Systeme kompromittieren können.

Ich frage mich daher schon seit geraumer Zeit warum überhaupt noch Leute so blöde sind und auf Flash
zurück greifen statt auf HTML5. Flash ist ein totes Pferd. Never ride a dead horse... ;)
Ich hasse Flash langsam wie die Pest, aber man muss es überall installieren und ständig updaten bei den
Kunden, weil sonst viele Webseiten nicht mehr funktionieren und weil ältere Windows Versionen ohnehin
Flash mit an Board haben in natürlich noch viel älteren Versionen, aber das Problem erübrigt sich ja bald
wenn Windows XP verschwindet bei der Masse.

Ich bin kein Programmierer aber wenn ich mir mal vor Augen führe was Flash eigentlich machen soll, nämlich
dämliche Videos oder annimierte Banner etc. wiedergeben. Dann frage ich mich ernsthaft wie Adobe es seit
Jahren schafft das ihre Software so peinlich schlecht ist und immer neue Exploit darin vor kommen.
Ich persönlich hätte die ganzen Programmierer vor die Tür gesetzt, das grenzt meiner Meinung nach schon
fast an Sabotage was Adobe da zusammen coded.

Bei Oracle siehts leider ähnlich düster aus. Von Sicherheitspolitik und schnellen Fixes haben die auch noch nichts
gehört. Naja kein Wunder, Oracle verdient kein Geld mit Java... Auch hier hätte man niemals eine Übernahme von
Sun durch Oracle genehmigen dürfen, meiner Meinung nach. Sun war da weit besser was Sicherheitsupdates angeht.

So, genug OT zum Thema Flash und Java. Eine weitere Möglichkeit sind natürlich versuchte Mails mit HTML Code oder
entsprechend preparierten Anhängen.
Drive-by Downloads auf geknackten Webservern oder eben Ad-Servern sind auch sehr beliebt um Schadcode zu verschleudern.

Die Möglichkeiten sind vielseitig und so können sich auch Leute Malware einfangen die wirklich regulär Surfen und nicht
auf einschlägigen Seiten herum geistern.


Mfg.
111857
111857 29.07.2013 um 11:26:35 Uhr
Goto Top
Servus,

Erst mal zum Windows System, es ist offen wie ein Scheunen Tor, ist ja auch keine große Herausforderung manipulierte Datenpakete einzuschleusen.
Viren, Trojaner und anderes Ungeziefer werden gezielt auf Webservern abgelegt, sobald ein Client die Seite abruft, werden diese mit Cookies oder durch manipulierte Datenpakete mit übertragen. Oder eben wie Du schon erwähnt hast über Werbeanzeigen (Flash, Java). Die neuesten BKA Trojaner sind sehr aggressiv, die kann man teilweise nicht durch einfaches Löschen entfernen.

Ein Antiviren Programm ist nur so gut wie die Datenbank des jeweiligen Herstellers.

Meiner Meinung nach liegt es am fehlendem oder schlecht konfiguriertem Proxy.

Wer verwendet heute noch IE? Java und Flash, waren immer schon eine Sicherheitslücke, trotz den Updates von Java 7, wurden neue Sicherheitslücken entdeckt!

Gruß
Lynix
SlainteMhath
SlainteMhath 29.07.2013 um 11:38:03 Uhr
Goto Top
*hust*

Zitat von @111857:
Servus,

Erst mal zum Windows System, es ist offen wie ein Scheunen Tor, ist ja auch keine große Herausforderung manipulierte Datenpakete einzuschleusen.
Was haben manipulierte Datenpakete damit zu tun?! Und nur zur Info: Linux / OSX haben ebenfalls teils gravierende Sicherheitslücken.

Viren, Trojaner und anderes Ungeziefer werden [...] mit Cookies oder durch manipulierte Datenpakete mit übertragen. [...]
Und jetzt auch noch Cookies? Also ich hab bisher noch keinen Virus/Trojaner gesehen der "mit Cookies" übertragen wird.

Hört sich alles nach Computer-Bild Halbwissen an face-smile
111857
111857 29.07.2013 um 12:39:48 Uhr
Goto Top
Und nur zur Info: Linux / OSX haben ebenfalls teils gravierende
Sicherheitslücken.

ach und deshalb wird Linux als Firewall eingesetzt? Zur deiner Info, die Firewall ist nur so gut wie die Software dahinter.

> Viren, Trojaner und anderes Ungeziefer werden [...] mit Cookies oder durch manipulierte Datenpakete mit übertragen.


Und jetzt auch noch Cookies? Also ich hab bisher noch keinen Virus/Trojaner gesehen der "mit Cookies" übertragen
wird.
OK! Das mit die Cookies gebe ich zu, war etwas übereinfrig!

Hört sich alles nach Computer-Bild Halbwissen an face-smile

Vielleicht bin ich nur Halbwissend, dennoch habe ich soviel Respekt und Anstand, andere auf seine Fehler freunglich hinzu zuweisen!

Und wer gibt Dir überhaupt das Recht andere zu Beurteilen?! Selbst die falsche WIKI Seite heruntergeladen oder wie? (Ausnahme)
kontext
kontext 29.07.2013 um 13:07:09 Uhr
Goto Top
Zitat von @SlainteMhath:
Hört sich alles nach Computer-Bild Halbwissen an face-smile

Slainte, musste das sein?
Jetzt hat sich der User abgemeldet ...
... du böser böser böser :D

Gruß
@kontext
SlainteMhath
SlainteMhath 29.07.2013 um 13:14:05 Uhr
Goto Top
Zitat von @kontext:
Slainte, musste das sein?
Jetzt hat sich der User abgemeldet ...
... du böser böser böser :D
Ja, Kritikfähigkeit ist was feines face-smile
JPSelter
JPSelter 29.07.2013 um 13:48:30 Uhr
Goto Top
Danke für die Antworten soweit!

Trendmicro wird mir leider von der Muttergesellschaft vorgegeben. Habe auch schon gelesen, dass Trend eher schlecht abschneidet. Die vorgegangene Firma hatte auch Trend, hatte es daher irgendwie immer für Firmenstandard gehalten. Was ist denn im Unternehmensumfeld besser? Wenn ich mal in einer anderen Firma komme und dort auch wieder Trend vorfinde, wechsle ich das sofort mal aus face-smile

So bin ich leider nur auf die Einstellungen aus London angewiesen... bei denen stößt man leider immer auf taube Ohren, was so etwas angeht. Man ist da recht gelassen. Anekdote am Rande: dort hat man fast alles ausgelagert... letzte Woche wollte ich 2 Firewall-Regeln gesetzt haben. Da ich keinen Zugriff habe und die Jungs da oben so etwas nicht selbst machen können und es nach extern geben, warte ich seit Tagen auf eine Umsetzung, für die ich selbst 2 Minuten gebraucht hätte... es ist ein Kreuz...

Privat setze ich selbst Firefox+NoScript ein, aber erklärt die Funktionsweise mal einem DAU hier in der Firma face-smile

Grüße, JPSelter