abstracktersystemimperator
Goto Top

Verständnisfrage: Was passiert, wenn eine fake Rechnung.exe, im Anhang, ausgeführt wird?

Guten Nachmittag liebe Forengemeinde,

entschuldigt bitte meine "vermeintliche" Sonntagsfrage.

Mir ist nicht zu 100% klar, was eigentlich im Hintergrund passiert, wenn ich eine Rechnung.exe, die ich als E-Mail erhalten habe, öffne.

Manchmal kommt es vor, dass solche E-Mails an Anwender geschickt werden, die wiederum geblockt werden, was vollkommen richtig ist, ich wiederum von den Benutzern gefragt werde, warum wird diese Mail geblockt bzw. mir die Frage gestellt wird, was passiert, wenn diese geöffnet wird.

Bisher habe ich denen erklärt, dass sobald diese Rechnung.exe ausgeführt wird, gewisse Schädlinge im Hintergrund heruntergeladen werden und das System folglich verschlüsseln. Wobei nicht nur deren Anwenderdaten betroffen sind, sondern auch deren Freigaben. (Falls das so richtig ist).

Um die Materie besser zu verstehen, wollte ich mal fragen, ob es eine Möglichkeit gibt, bewusst eine solche EXE auszuführen ohne dass mein System bzw. mein Netzwerk, davon betroffen ist.

Ich habe hier noch eine alte Windows 10 - Kiste, die ich sowieso neuaufsetzen wollte, mit der ich stupide das durchführen könnte. Da die EXE sicherlich Zugang zum Netz bedarf, will ich die EXE nicht einfach blind ausführen. Nicht das am Ende meine anderen Geräte davon betroffen sind.

Mir wurde gesagt, dass ich die EXE ohne Probleme innerhalb einer VM ausführen kann ohne in Gefahr zu laufen, dass meine Systeme infiziert werden. Ist das soweit korrekt?

Oder anders gefragt, wenn ich mir die EXE auf mein System ziehe ohne sie auszuführen, gibt es doch sicherlich die Möglichkeit an den Quellcode zu kommen oder irre ich mich?

Als würde ich z.B. über den Editor den Code schreiben, die Datei als .Batch speichern und jeder Zeit über den Editor, den Quellcode ansehen zu können.

Gruß.
AS

Content-ID: 609899

Url: https://administrator.de/contentid/609899

Printed on: December 10, 2024 at 00:12 o'clock

maretz
Solution maretz Oct 03, 2020 at 15:50:33 (UTC)
Goto Top
Die kann theoretisch alles ausführen - und testen würde ich sowas NIE eigenen Netz - auch nich als VM, sondern wenn nur in nem abgeschotteten Netz. Ich würde nämlich davon ausgehen das heute das meiste nich mehr stupides runterladen is - das wäre schwach... nen krypto-trojaner kann man auch direkt in die Exe reinpacken und fertig is.. Dann sind die Daten halt verschlüsselt. Solltest du das IN EINEM ABGESCHOTTETEN Netz ausprobieren wollen - viel spass, da passiert natürlich nich viel, kann aber sein das der natürlich nich sofort loslegt sondern erst auf nen Trigger wartet (damit ggf. im lokalen Netz noch mehr das öffnen u.ä.).
Lochkartenstanzer
Solution Lochkartenstanzer Oct 03, 2020, updated at Oct 04, 2020 at 18:48:05 (UTC)
Goto Top
Zitat von @AbstrackterSystemimperator:

Mir wurde gesagt, dass ich die EXE ohne Probleme innerhalb einer VM ausführen kann ohne in Gefahr zu laufen, dass meine Systeme infiziert werden. Ist das soweit korrekt?

Falsch.

Oder anders gefragt, wenn ich mir die EXE auf mein System ziehe ohne sie auszuführen, gibt es doch sicherlich die Möglichkeit an den Quellcode zu kommen oder irre ich mich?

Ja.


Als würde ich z.B. über den Editor den Code schreiben, die Datei als .Batch speichern und jeder Zeit über den Editor, den Quellcode ansehen zu können.

Nein.

irgendwie hast du total falsche Vorstellungen von der Materie.

Was eine eingeschleuste "exe" anstellt, weiß man erst hinterher, wenn überhaupt.

Den "Quellcode" eines solchen Programmes wiederherzustellen ist meist mit großem Aufwand verbunden, insbesondere weil das meist selbstmodifizierender Code ist und ggf. auch Teile aus dem Netzwerk nachlädt.

Auch in einer VM bist Du nicht sicher. Zum einen, weil es Schadcode gibt, die aus einer VM ausbrechen kann, zum Anderen, weil die Schadsoftware sich auch übers Netzwerk auf andere Systeme verbreiten kann oder einfach Netzwerkgeräte angreift und übernimmt. Netzwerkdrucker oder oder andere IoT-Geräte sind da sehr beliebt.

Solche Programme auszuführen ist nur in einer isolierten(!) Umgebung einigermaßen sicher und selbst dann muß man anschließend alles dekontaminieren.

Also: Laß die Finger davon. Dein Arbeitgeber wird es Dir danken.

lks

Edit: Typos korrigiert.
Vision2015
Solution Vision2015 Oct 04, 2020 at 06:23:01 (UTC)
Goto Top
moin...
Zitat von @AbstrackterSystemimperator:

Guten Nachmittag liebe Forengemeinde,

entschuldigt bitte meine "vermeintliche" Sonntagsfrage.

Mir ist nicht zu 100% klar, was eigentlich im Hintergrund passiert, wenn ich eine Rechnung.exe, die ich als E-Mail erhalten habe, öffne.
warum machst du auch sowas....
in der regel wird schädliche Software installiert... was soll auch passieren... hier und da nen verschlüsselungstrojaner, mehr aber auch nicht!

Manchmal kommt es vor, dass solche E-Mails an Anwender geschickt werden, die wiederum geblockt werden, was vollkommen richtig ist, ich wiederum von den Benutzern gefragt werde, warum wird diese Mail geblockt bzw. mir die Frage gestellt wird, was passiert, wenn diese geöffnet wird.
wisi wirst du gefragt, bist du der Admin?

Bisher habe ich denen erklärt, dass sobald diese Rechnung.exe ausgeführt wird, gewisse Schädlinge im Hintergrund heruntergeladen werden und das System folglich verschlüsseln. Wobei nicht nur deren Anwenderdaten betroffen sind, sondern auch deren Freigaben. (Falls das so richtig ist).
genau...

Um die Materie besser zu verstehen, wollte ich mal fragen, ob es eine Möglichkeit gibt, bewusst eine solche EXE auszuführen ohne dass mein System bzw. mein Netzwerk, davon betroffen ist.
klar... stöpsel das netzwerk ab, und los... aber danach machst du bitte eine neues Setup.

Ich habe hier noch eine alte Windows 10 - Kiste, die ich sowieso neuaufsetzen wollte, mit der ich stupide das durchführen könnte. Da die EXE sicherlich Zugang zum Netz bedarf, will ich die EXE nicht einfach blind ausführen. Nicht das am Ende meine anderen Geräte davon betroffen sind.
wird aber so sein...

Mir wurde gesagt, dass ich die EXE ohne Probleme innerhalb einer VM ausführen kann ohne in Gefahr zu laufen, dass meine Systeme infiziert werden. Ist das soweit korrekt?
nein.... mach du das besser nicht!

Oder anders gefragt, wenn ich mir die EXE auf mein System ziehe ohne sie auszuführen, gibt es doch sicherlich die Möglichkeit an den Quellcode zu kommen oder irre ich mich?
Klar.... und du kannst den auch Lesen und Verstehen?

Als würde ich z.B. über den Editor den Code schreiben, die Datei als .Batch speichern und jeder Zeit über den Editor, den Quellcode ansehen zu können.
aha.... bist du sicher?

Gruß.
AS
Frank
Stefan41
Stefan41 Oct 04, 2020 at 17:21:28 (UTC)
Goto Top
Ich habe das in Vergangenheit so gehandhabt, dass ich mir die vermeintlich infizierte Mail an eine externe Gmail Adresse weitergeleitet habe und diese dann auf einem Rechner, der direkt an einem Router im Internet hing, isoliert vom Firmen Netzwerk (!), geöffnet oder gescannt habe.

Oder wenn es um diese klassische Bewerbung & Lebenslauf im DOC Format Geschichte ging, diese gerne auch mal direkt im Gmail Account mit Google Docs habe öffnen und direkt in PDF konvertieren lassen, und zurück gesendet, ohne dass jemals ein MS Word die DOC Datei gesehen hat.

Oder alternativ mal unter Linux und Libre Office in die DOC oder XLS Datei reingucken, da kann man recht sicher sein, dass die Dateien einem nix machen. Hilft einem bei einer EXE Datei natürlich nicht, aber viele Mail Gateways filtern EXE Dateien ins E-Mails ja sowieso schon raus.
maretz
maretz Oct 04, 2020 at 17:32:54 (UTC)
Goto Top
Naja - ne Bewerbung an nen Google-Account schicken (ggf. sogar noch den privaten) könnte dich in grössere Probleme als nen Virus bringen - das nur mal am Rande...

Is aber ganz einfach:Zum testen nen isolierten rechner nehmen und gut ist... wobei ich mich immer frage was ich falsch mache - ich habe gar nich die Zeit dafür das nur aus Neugier zu testen... Meist hab ich andere Dinge zu tun (zumindest die, die mich mehr interessieren würden als irgentwelche 08/15 kiddy-viren, weil das is es ja meistens... wirklich gute und gezielte Angriffe hab ich lange nich gesehen)
Lochkartenstanzer
Lochkartenstanzer Oct 04, 2020 at 17:53:08 (UTC)
Goto Top
Zitat von @Stefan41:

Oder alternativ mal unter Linux und Libre Office in die DOC oder XLS Datei reingucken, da kann man recht sicher sein, dass die Dateien einem nix machen.

Aufpassen. Auch da gibt es inzwischen "Dokumente", die drauf lauern und Open- oder Libreoffice auf Linux ausgeführt zu werden!

Man sollte nicht zu leichtfertig solche Aussagen treffen.

lks
Stefan41
Stefan41 Oct 04, 2020 at 18:42:48 (UTC)
Goto Top
Danke für eure Aufklärung.
Lochkartenstanzer
Lochkartenstanzer Oct 04, 2020 at 19:00:39 (UTC)
Goto Top
Zitat von @maretz:

weil das is es ja meistens... wirklich gute und gezielte Angriffe hab ich lange nich gesehen)

Dann bist Du nicht wichtig genug. face-smile

Was man als Otto-Normaladmin mitbekommt ist nur das Grundrauschen das durch die "Schrotschuß-Technik" bei einem ankommt. Für gewinnbringendere Ziele werden die Angriffe speziell angepaßt, so daß diese nur vereinzelte Admins betreffen, wenn sie das überhaupt rechtzeitig mitbekommen.

lks
maretz
maretz Oct 04, 2020 at 20:25:58 (UTC)
Goto Top
Nun - das mag sein das ich ncih "wichtig" genug bin - habs auch nich nötig... Wobei ich auch kein "admin" bin, das würde eban auch nur nen kleinen Teil meines Jobs beschreiben...
AbstrackterSystemimperator
AbstrackterSystemimperator Oct 06, 2020 at 17:22:37 (UTC)
Goto Top
Zitat von @Vision2015:
warum machst du auch sowas....
in der regel wird schädliche Software installiert... was soll auch passieren... hier und da nen verschlüsselungstrojaner, mehr aber auch nicht!
Guten Abend,
also in die Richtung habe ich schon gedacht.

wisi wirst du gefragt, bist du der Admin?
Ja, ich bin der Admin. Weshalb ich danach Frage, liegt daran, dass ich die Thematik auf der einen Seite selber besser verstehen möchte, ebenso auf der anderen Seite, dem Anwender es näher bringen möchte, was im Falle eines Falles, passieren kann. Nicht einfach stumpf mitteilen, dass z.B. E-Mail XY nicht zugestellt werden kann, sondern erläutern möchte, warum. Zielführend das der Anwender versteht, warum bekomme ich diese Mail nicht oder warum kann ich XY nicht.

klar... stöpsel das netzwerk ab, und los... aber danach machst du bitte eine neues Setup.
Nein, das werde ich sicherlich nicht durchführen.

Ich habe hier noch eine alte Windows 10 - Kiste, die ich sowieso neuaufsetzen wollte, mit der ich stupide das durchführen könnte. Da die EXE sicherlich Zugang zum Netz bedarf, will ich die EXE nicht einfach blind ausführen. Nicht das am Ende meine anderen Geräte davon betroffen sind.
wird aber so sein...
Der Groschen ist gefallen. Ohne ein isoliertes Netzwerk, lasse ich die Finger davon. Selbst bei einer möglichen Sandbox, werde ich die das nicht durchführen. Da fehlt mir das know-how.

Mir wurde gesagt, dass ich die EXE ohne Probleme innerhalb einer VM ausführen kann ohne in Gefahr zu laufen, dass meine Systeme infiziert werden. Ist das soweit korrekt?
nein.... mach du das besser nicht!

Mal gut, dass ich davon die Finger lasse. Jetzt wird mir deutlich klar, was mir für Blödsinn vermittelt wurde.

In diesem Sinne. Wenn die Option besteht, es mir in einer sicheren Umgebung zu demonstrieren, lasse ich mir die Chance nicht entgehen. Da steckt soviel dahinter.