Angepinnt Sammelthread "IT-News"

Es gibt 1.433 Antworten in diesem Thema. Der letzte Beitrag () ist von Takafusa.

    Apple hat heute Nacht überraschend IOS 9.3.5 released, da es Sicherheitslücken im Kernel gab die von Spyware ausgenutzt wurden, die schon im Internet verfügbar war (25.000$/Client). Die Spyware nutze eine Sicherheitslücke in Webkit aus, danach eine Lücke um die Kernel Base Adress zu bekommen und dann eine Kernel Exploit um root zu erlangen. Sobald sie auf dem System war erkannte sie Jailbreaks und deaktivierte z.b. SSH Zugriff, außerdem wurde die Suche nach Updates deaktiviert. Danach wurden dlls in laufende Prozesse injected, damit man z.b. verschlüsselte Nachrichten, vor dem Verschlüsseln abfangen werden konnte. Pw's wurden gestohlen und an den C&C Server geschickt, sowie Telefon und SMS Protokolle. Die Malware ist jedes Mal mit einem Schlüssel verschlüsselt, um Checksumkontrollen zu umgehen. Außerdem kann sie sich selber zerstören. Also ist die einzige sichere Version IOS 9.3.5. Es gibt Codefragmente die darauf hindeuten das sie schon zu Zeiten von IOS 7 aktive war.

    ------

    Whatsapp teilt ab dem neusten Update Informationen mit Facebook. Diese werden dann von Facebook für Werbezwecke verwendet, höchstens man verhindert das.
    Tut:
    https://twitter.com/SwissHttp/status/769082250696724481

    Lg Mokki
    ​Smartnotr - ein intelligentes Notizprogramm
    zum Thread

    Ging ja schneller als gedacht. Erst war davon die Rede, dass sie die Lücke erst in iOS 10 schließen.

    Und wie soll man das bei WA verhindern? Wird wohl nicht reichen, den Check bei der Option da rauszunehmen, oder?
    Aber "[...] Schutz der Privatsphäre liegt in [ihren] Genen [...]".
    #define for for(int z=0;z<2;++z)for // Have fun!
    Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

    Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:

    Neoner schrieb:

    Level 1 warn Witz, aber Level 2 überfordert mich


    Level1 ist in der Tat wirklich witzig, Level2 ist noch spassig, aber bei Level3 mit der DLL, da steh ich grad auch noch wie der Ochse vorm Berg. Meine Skills langen da scheinbar noch net. Naja, macht ja nix. Noch 'n Jaehrchen oder 2, da werd ich mir dann sicher die Frechheit erlauben duerfen und bei denen anne tuer kloppen.

    Schau dir mal Ida und/oder OllyDebug an, sind tolle Tools die da behilflich sein koennen. Auch mit Cheat-Engine kann man mit leichtigkeit den ASM code in der PE finden(Nenn ich der einfachheit mal "Adresse").

    Ot/Manch einer nimmt Trainer beim gamble'n, aber warum, wenn man die executable direkt manipulieren kann?
    And i think to myself... what a wonderfuL World!

    @Trade ich bitte darum die Beiträge in einen extra Thread auszulagern. Das Ganze ist OT, es wär aber schade es zu löschen.

    Zu dem Thema: ida is halt sau teuer(höchstens man nimmt die Freeversion(is halt sehr alt, glaub 2013 und somit z.b. ohne Pseudocode). Eine günstigere Alternative für den Mac ist Hopper. Bei Ollydbg ist das Problem, dass bei echter Malware diese ausgeführt wird.

    Lg Mokki
    ​Smartnotr - ein intelligentes Notizprogramm
    zum Thread

    nafets schrieb:

    Für sowas gibts doch VMs

    Ja stimmt, die sollte man sowieso immer verwenden... (gab ja mal ne Zeit lang auch exploits für z.b. IDA. In dem Fall den ich kenn nur ein Crash, aber trotzdem sollte man da auch vorsichtig sein.)

    Lg Mokki
    ​Smartnotr - ein intelligentes Notizprogramm
    zum Thread

    nafets schrieb:

    da brauchst dann keine Bedenken zu haben


    Da darf man sich auch nich zu sicher sein, lieber ein alten PC nehmen mit Livesystem.

    en.wikipedia.org/wiki/Virtual_machine_escape

    Noch dazu kann es sein das die Malware sich in der emulierten Umgebung anders verhaelt.
    And i think to myself... what a wonderfuL World!

    Wenn man bei Windows z.b. alle Registry einträge entfernt die auf eine VM hinweisen dann denkt die Maleware es wäre keine.
    Dafür einfach in ein beliebiges Tool schauen was anzeigt auf welche Schlüssel / Dateien die Datei zugreift und abändern.
    Und schon denken die meisten Sachen nicht mehr an eine VM.

    Grüße
    Grüße , xChRoNiKx

    Nützliche Links:
    Visual Studio Empfohlene Einstellungen | Try-Catch heißes Eisen

    Eddy schrieb:

    lieber ein alten PC nehmen mit Livesystem.

    Sowas halte ich für deutlich riskanter, als die Malware in einer VM walten zu lassen. Ich persönlich würde entweder auf eine VM vertrauen, oder gleich die Variante mit einem separaten PC ohne Netzwerkverbindung bzw. in einem von anderen Geräten getrennten Netzwerk machen - einfach nur einen alten PC zu verwenden, welcher aber sonst normal am Netzwerk hängt, halte ich für unsinnig.

    xChRoNiKx schrieb:

    Wenn man bei Windows z.b. alle Registry einträge entfernt die auf eine VM hinweisen dann denkt die Maleware es wäre keine.

    Erstens denke ich, dass die meiste Malware, die wir in die Hand kriegen, gar nicht auf VMs testet; zweitens wage ich zu behaupten, dass es auch andere Wege gibt, eine VM ausfindig zu machen - wenn eine Malware also auf VMs prüfen wollte, kann sie dies auch ohne die Registry machen.

    @nafets

    Sicher wird es auch anders möglich sein. Allerdings wie gesagt hab vieles schon getestet und auseinander genommen,
    meistens sieht man halt das die besagten Programme dann auf bestimmte Registry Schlüssel zugreifen und nicht laufen.
    Sobald man diese aber dann ändert laufen diese wieder.
    Anderes da habe ich auch nur halbwissen ob da noch was anderes geprüft werden kann und rausfindet das man in einer VM ist.

    Grüße
    Grüße , xChRoNiKx

    Nützliche Links:
    Visual Studio Empfohlene Einstellungen | Try-Catch heißes Eisen

    Kurze Recherchen (5 Minuten) zeigten, dass man, zumindest früher, durch das erzwingen gewisser CPU-Instruktionen VMs von Hardware unterscheiden konnte. Oder das Prüfen wie verschiedene Register belegt werden usw. usw. Ist halt meistens Low-Level-Stuff. Letztendlich gehts darum zu wissen, wie sich eine VM anders verhält als eine echte CPU bzw. rest der Hardware.

    Das gesamte weltweite Geschäft, das über Malware/Spam gemacht wird, ist viele -zigmilliarden Euro schwer, also äusserst lukrativ. Daher sind sicher einige der besten Programmierer der Welt mit der Entwicklung befasst. Ohne irgendwem zu nahe treten zu wollen, ich glaube NIEMAND in diesem Forum ist in der Lage, da mitzuhalten. Das ist ganz einfach eine andere Klasse von Code- und Systemkennern, die sich damit befassen. Und solche Kleinigkeiten, wie das Erkennen von VM's oder anderer Sandboxes, und deren Überwindung, ist vielleicht nur eine Handübung.
    Wenn ich von Wettbewerben über selbstheilende Software lese (in z.B. c't 17/2016), erscheinen Diskussionen über abändern von Registry-Einträgen irgendwie ... verfehlt.

    us4711 schrieb:

    Ohne irgendwem zu nahe treten zu wollen, ich glaube NIEMAND in diesem Forum ist in der Lage, da mitzuhalten.


    das sehe ich aehnlich wie du, aber hier gibt es User(net viele), denen ich das in den naechsten Jahren zutrauen wuerde. Der "Malware-markt" kann lukrativ sein, wenn man den dunklen Weg waehlt dann kann man mit einem Projekt fuers Leben ausgesorgt haben. Aber ich bin ein moralischer Mensch, habe schon immer knifflige Puzzles geliebt, daher analysiere ich wie ich es schaffe(bzw. kann(hier ist nicht die Zeit gemeint)) solches Zeug. Der Weg ist das Ziel, ob man diesen meistern kann ist m.M.n. eine Lebenseinstellung.

    Who give's up, has lost!


    Man, muss ich noch ma editieren. @nafets , das der Rechner dann irgendwie mit meinem "HeimNetzwerk" verbunden ist, habe ich nie gesagt. Aber um trotzdem eine Verbindung zum Internet zu haben, da zwingen sich mir hier SurfSticks auf :) .
    And i think to myself... what a wonderfuL World!

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von „Eddy“ ()

    us4711 schrieb:

    Und solche Kleinigkeiten, wie das Erkennen von VM's oder anderer Sandboxes, und deren Überwindung, ist vielleicht nur eine Handübung.

    Also ich kann dir natürlich nicht wiedersprechen, aber meiner Einschätzung nach ist das schon ein Projekt, was sehr aufwendig ist. Erstmal braucht man ein fast vollständiges Verständnis des Betriebssystems, das in der VM läuft, danach muss man darin eine Möglichkeit finden Code mit Kernel Rechten auszuführen (zumindest geh ich davon aus, das diese gebraucht werden um aus einer VM auszubrechen) (bis dahin gibt es noch genug Leute die das drauf haben). Jetzt braucht man aber in der VM mindestens zwei Lücken. Eine mit der man Code ausführen kann und eine mit der man genug Informarion des Hostsystem leaken kann (z.b. ob es sich um Windows handelt etc)... und das muss auf allen System funktionieren die in ner VM laufen können (bzw. auf die man es abgesehen hat) . Es ist möglich das ist klar, aber es ist nur schwer möglich und dann frag ich mich eben wo das Anwendungsgebiet liegt, weil das Erkennen einer VM kann man damit erklären, dass der Besitzer die Malware vor Analyse schützen will, aber ein Escape, welchen Vorteil hätte es für den Entwickler es gibt meistens besser Möglichkeiten den Host zu infizieren...

    Lg Mokki
    ​Smartnotr - ein intelligentes Notizprogramm
    zum Thread

Facebook
Telefonspende