Heimnetzwerke - WIFI, LAN, Router und Co 16.516 Themen, 81.098 Beiträge

Verfolgung starten Optionen

Schadsoftware auf dem Weg ins Internet erkennen

username_deleted / 15 Antworten / Baumansicht Nickles

Hi werte Gemeinde,

habe noch eine Frage zu meinem Rechner mit zwei Netzwerkkarten.

Leider konnte mir bei der anderen Frage http://www.nickles.de/forum/netzwerke-lan-wlan/2010/traffic-local-umleiten-538751361.html keiner helfen.

Ich leite durch den Rechner mit den zwei Netzwerkkarten (Netzwerkbrücke) die Anfragen ans Netz von einem beliebigen Rechner.
Diesen schliese ich dafür an den WRT54GL, der an der einen Netzwerkkarte hängt.

Wenn ich nun an dem Rechner mit der Netzwerkbrücke Wireshark anwerfe, dann sehe ich was alles, vom Rechner hinter dem WRT54GL ins I-Net will.
Das ist hervorragend, um eventuelle Schadsoftware aufzuspüren, die sich sehr gut versteckt hat.

Meine Frage:

Kann Schadsoftware auf dem Rechner, der so kontrolliert wird, den überwachenden Rechner bzw. die Netzwerkbrücke manipulieren, so das auch diese Methode nicht sicher ist?

Für mich ist das im Moment eine Analysemethode um auch eventuelle Rootkitaktivitäten zu erkennen.

Nützt mir natürlich wenig, wenn der überwachende Rechner, bzw. die Netzwerkbrücke etwa von einem installierten Rootkit manipuliert werden kann, wie er schon das System manipuliert.

Grüsse
Epi

bei Antwort benachrichtigen
Lemon5 username_deleted „Schadsoftware auf dem Weg ins Internet erkennen“
Optionen
Kann Schadsoftware auf dem Rechner, der so kontrolliert wird, den überwachenden Rechner bzw. die Netzwerkbrücke manipulieren, so das auch diese Methode nicht sicher ist?
eher nein, aber was machst du wenn das Rootkit einen berechtigten Prozeß hijackt und darüber unsinn macht? Willst du 24/7 dein Wiresharklog kontrollieren?

Ich habe mir auch deinen anderen Thread angesehen, bei dir scheint die Paranoia ausgebrochen zu sein, du willst eine Internetanbindung aber Surfen verbieten oder was? Versuch mal eine andere Fragestellung, z.b was du überhaupt erreichen willst.
bei Antwort benachrichtigen
username_deleted Lemon5 „ eher nein, aber was machst du wenn das Rootkit einen berechtigten Prozeß...“
Optionen
Dieser Beitrag ist gelöscht!
Dieser Beitrag wurde gelöscht, weil ein anderer User einen berechtigten Einwand dagegen hatte. Die Begründung befindet sich hier.
username_deleted Lemon5 „ eher nein, aber was machst du wenn das Rootkit einen berechtigten Prozeß...“
Optionen
Dieser Beitrag ist gelöscht!
Dieser Beitrag wurde gelöscht, weil ein anderer User einen berechtigten Einwand dagegen hatte. Die Begründung befindet sich hier.
username_deleted Lemon5 „ eher nein, aber was machst du wenn das Rootkit einen berechtigten Prozeß...“
Optionen

offensichtlich hat sich da ein vip auf mich eingeschossen.

eigenartig dass ein post an zweiter stelle mit solchen
bei dir scheint die Paranoia ausgebrochen zu sein
du willst eine Internetanbindung aber Surfen verbieten oder was
Versuch mal eine andere Fragestellung
Äusserungen stehen bleibt aber meine Richtigstellung der diskreditierenen Äusserungen nicht.

Ich habe jetzt die Löschung der Beiträge von Lemon5 beantragt und an admi(at)nickles.de meine vermutung geschickt, dass da wohl ein etwas einseitiger vip am werkeln ist.

bin mal gespannt wies weiter geht. ich denke nicht dass ich mir in einem öffentlichen forum solche äusserungen
Junge Junge, hast du heute nicht gedurft
bei dir scheint die Paranoia ausgebrochen zu sein
bieten lassen muß.

grüsse
Epi

bei Antwort benachrichtigen
username_deleted Lemon5 „ eher nein, aber was machst du wenn das Rootkit einen berechtigten Prozeß...“
Optionen
Na dann will ich lemon5 nochmal in ganz anständigem ton antworten.



eher nein, aber was machst du wenn das Rootkit einen berechtigten Prozeß hijackt und darüber unsinn macht?

aber hallo da hat mich jemand voll verstanden. ich habe zwar in der frage geschrieben Für mich ist das im Moment eine Analysemethode um auch eventuelle Rootkitaktivitäten zu erkennen.
aber man kann das auch überlesen und denken: lalalalalala ich frage mal lieber nochmal nach.

Willst du 24/7 dein Wiresharklog kontrollieren? nö ich muss auch mal schlafen. dabei hänge ich zwar kopfüber am deckenbalken und brauch nur 5 minuten aber in der zeit kann ich den wireshark nicht überwachen aber sonst immer, weil arbeiten gehe ich auch nicht.

Ich habe mir auch deinen anderen Thread angesehen naja nur ansehen hilft nicht, man sollte schon lesen, sofern man kann.


bei dir scheint die Paranoia ausgebrochen zu sein, und das erkennst du woran gleich nochmal dr. mabuse?

du willst eine Internetanbindung aber Surfen verbieten oder was? ich sagte ja schon, nicht nur angucken sondern L E S E N

Versuch mal eine andere Fragestellung, na dann bekomme ich aber eine antwort die ich nicht brauch und muss dann auch drum bitten, dass es der antwortgeber mit einer anderen antwort probiert.

was du überhaupt erreichen willst. ok für dich noch einmal. ausser der lösungsuche für das problem gibt es keinen grund. es liegt in der sache selbst. also für dich ein beispiel: wenn du etwas anschaust weil es dir gefällt, dann schaust du es dir an weil es dir gefällt. da ist nichts anderes.

ich habe zeit und die notwendigen mittel und mache gerade unter anderem das, was in den zwei threads steht.

als kleiner tipp: es hat was mit computer und netzwerk zu tun

epi
bei Antwort benachrichtigen
Lemon5 username_deleted „Schadsoftware auf dem Weg ins Internet erkennen“
Optionen
Dieser Beitrag ist gelöscht!
In den Nickles.de-Foren wird Wert auf einen anständigen Umgangston gelegt. Beiträge die andere beleidigen oder denunzieren werden deshalb entfernt. Wir bitten um Verständnis, dass die Beurteilung von Umgangston in manchen Fällen schwierig ist, da bei Texten Gestik und Mimik fehlen. Es kann daher leicht zu Missverständnissen kommen. Mehr Information warum das Posting gelöscht wurde, gibt es hier.
username_deleted Lemon5 „Dieser Beitrag ist gelöscht.“
Optionen
Dieser Beitrag ist gelöscht!
Dieser Beitrag wurde gelöscht, weil ein anderer User einen berechtigten Einwand dagegen hatte. Die Begründung befindet sich hier.
UselessUser username_deleted „Dieser Beitrag ist gelöscht.“
Optionen

Hallo Epigenese,

ich kann den Ärger verstehen, wenn man einen Thread startet und gleich vom ersten Poster schräg verstanden wird. Aber vielleicht könntet ihr beide wieder ein bisschen herunterdrehen, nachdem ihr euch gesagt habt, was ihr meint und was ihr voneinander haltet.

Bin selbst kein Netzwerk- oder Sicherheitsspezialist, habe mir mein Wissen auch selbst angeeignet und finde solche Versuche mit Wireshark gut. Will ich in nächster Zeit auch selbst einmal machen ;-)

"Kann Schadsoftware auf dem Rechner, der so kontrolliert wird, den überwachenden Rechner bzw. die Netzwerkbrücke manipulieren, so das auch diese Methode nicht sicher ist?"
Gegenfrage: Was spricht dagegen, nach allem was über Stuxnet & Co in letzter Zeit bekannt geworden ist? Wenn sich jemand die Mühe macht und einen Trojaner auf Wireshark ansetzt, kann er bestimmt dieses Programm manipulieren oder täuschen, zumal Wireshark keine expliziten Sicherungsmechanismen verfügt wie z. B. ein Online-Banking-Programm. Meines Wissens setzt Wireshark auf den Netzwerktreiber WinPcap oder so ähnlich auf, auch hier böte sich ein Einfallstor bspw. mit veränderten DLL-Dateien. Natürlich müsste die Schadsoftware so geschickt vorgehen, dass das auf dem gleichen Rechner installierte Antiviren-Programm bei seinen Aktionen keinen Alarm schlägt, viele Sicherheitsprogramme verfügen ja mittlerweile über Heuristik-Funktionen.

In diesem Zusammenhang habe ich noch diesen Link hier gefunden:
http://www.youtube.com/watch?v=ItRKJc6Pqt8

Ach ja, den Link von Soulmann63 finde ich übrigens sehr interessant, ist schon Wahnsinn!!!!

MfG, UU

Rückmeldungen über Hilfestellungen sind sehr erwünscht:1. investiere ich Zeit, um dir zu antworten und2. möchte ich auch etwas dazulernen.
bei Antwort benachrichtigen
username_deleted UselessUser „Hallo Epigenese, ich kann den Ärger verstehen, wenn man einen Thread startet...“
Optionen

Hi UselessUser

danke dir für deinen Beitrag

Was spricht dagegen, nach allem was über Stuxnet & Co
dagegen spräche, dass das analysesystem nur den datenstrom liest, ohne dass die daten ausführende (im sinne von systemverändernde wirkung) wirkung haben.

du hast sicher auch schon eine festplatte (z.b. xp mit verdacht auf viren) ausgebaut und an ein linuxsystem zur analyse gehängt bzw. mit bootcds gearbeitet um zu verhindern, dass rootkits ihr funktionen nutzen und sich im system verstecken.
da könnte ich dir z.b. brief und siegel geben, dass zumindest die daten auf der cd nicht verändert zurückgeschrieben werden ;)
manche dinge weis man, bei anderen fragt man mal in die runde

so ist derzeit meine vorgehensweise bezüglich der netzwerkaktivität.

zu stuxnet ist es ähnlich. kaspersky u.a. analysieren den code und das verhalten des virus auch. ich denke dass die eben umgebungen schaffen, die der virus nicht gänzlich kontrollieren kann.

meine thread hier soll eben mein horizont erweiteren. es gibt hier denke ich genug it netzwerkspezialisten, die täglich in firmen mit analyse und ähnlichen problemen konfrontiert sind und deshalb gute hinweise haben.

100% gibt es nicht aber bekannte und hier gepostete fehler kann ich bei der analyse vermeiden.

Grüsse
Epi

bei Antwort benachrichtigen
UselessUser username_deleted „Hi UselessUser danke dir für deinen Beitrag dagegen spräche, dass das...“
Optionen

Hallo Epigenese!

Damit wir uns richtig verstehen:
Ich wüßte keine Möglichkeit für ein Rootkit oder Trojaner, allein anhand des Datenstromes herauszufinden, ob jemand die IP-Pakete mitliest, wenn es sich NICHT selbst auf dem Rechner befindet, wo das Analysetool eingesetzt wird. Die Header der IP-Pakete können nicht beliebig geändert werden, wenn sie ihren Weg über den Gateway ins Internet und zum Rechner des Hackers finden sollen - der in den meisten Fällen natürlich nicht sein eigener Rechner sein wird!
Ein Beispiel kann man im Link sehen, den ich dir gepostet habe, dort wird durch das Mitloggen der IP-Pakete der FTP-Server des Hackers ausfindig gemacht.

Befindet sich das Schadprogramm jedoch auf dem Rechner, auf dem du das Analysetool einsetzt, so KÖNNTEN (!) entsprechend programmierte Routinen meiner Meinung nach sehr wohl herausfinden, ob der Netzwerkverkehr über bestimmte Treiber von Softwareprodukten (WinPcap für Wireshark, Proxy-Server einer Desktop-Firewall) läuft. Diese Treiber klinken sich in die Windows-Netzwerkverbindungen ein. Und die Treiber als auch die darauf zugreifende Software läuft in der Windows-Umgebung, welche wiederum in Teilen von einem Trojaner kontrolliert und manipuliert werden kann.

Ob es so etwas für Wireshark schon gibt, weiß ich nicht, ich bin mir aber sicher, dass diese Methode für das Aushebeln von Desktop-Firewalls gangbar wäre, ebenso wie es möglich ist, Abfragen an das Dateisystem in Windows zu manipulieren, um Dateien von Schadprogrammen zu verstecken (Stichwort: Kernel-Rootkits).

Eine andere Möglichkeit für die Hacker wäre, die IP-Pakete zu verschlüsseln, du kannst den Inhalt dann nicht mehr auslesen. Diese Methode ist aber recht auffällig, denn dann bekommst du auch als Laie mit einem IP-Logger schnell mit, dass da etwas nicht stimmen kann mit den verschlüsselten Paketen, sofern du nicht noch getunnelte Verbindungen (VPN-Verbindungen) durch deine Netzwerkkarte laufen hast. Die IP-Header können auch nicht einfach verschlüsselt werden, wenn die noch durch die NAT deines Routers/Gateways laufen müssen.

Anhang:
"fraglich ist für mich noch, ob sich die ziel ip, welche mir wireshark anzeigt manipulieren läßt."
Rein theoretisch, wenn der Analyse-Rechner manipuliert wird, dann meine ich: ja!
Ansonsten meine ich: nein! Allerdings werden sich hinter den Ziel-IPs des Netzwerkverkehrs von Schadprogrammen meist anonyme Proxy-Server, Zombie-Rechner oder andere Tricks verbergen, sodass du dem "Hacker" nicht so einfach auf die Spur kommen kannst.

MfG, UU

Rückmeldungen über Hilfestellungen sind sehr erwünscht:1. investiere ich Zeit, um dir zu antworten und2. möchte ich auch etwas dazulernen.
bei Antwort benachrichtigen
username_deleted UselessUser „Hallo Epigenese! Damit wir uns richtig verstehen: Ich wüßte keine Möglichkeit...“
Optionen

Hi UU

auf jeden fall will ich das oder die analyseprogramme auf einem getrennten system bzw rechner oder router lassen.

zumal es rechner zur analyse gibt, wo nichts verändert werden sollte.

in wie weit per abfragen im netz erkannt werden kann was an soft- oder hardware läuft wäre interessant zu erfahren, bzw. ob wireshark anhand eines ports erkannt werden kann, so wie telnet oder ftp.

je aufwändiger die netzwerkschnittstelle eines trojaners programmiert ist, umso mehr kann er eben an informationen holen.

das schöne ist, dass wenn ich von euch tipps bekomme wie ich die analysekiste dicht bekomme, ich es direkt umsetzen kann.

ich habe den router WRT54GL hinter dem analyserechner und erst dort wir ein PC oder laptop zur untersuchung angeschlossen. der WRT54GL vergibt ip adressen per dhcp die sich von denen im restlichen netz unterscheiden.

wenn ich auf einem rechner im normalen netzt arp -a eingebe, habe ich meinen router und wenn ich auf einem rechner hinter dem WRT54GL arp -a eingebe, habe ich den WRT54GL als angebliches gateway.

Genau so will ich es habe, dass der zu analysierende rechner möglichst wenig über die infrastruktur erfahren kann, in der er sich befindet.
In dem angesprochenen beispiel geht das mit arp -a aber mit tracert www.nickles.de, "sieht" der analyserechner eben doch die verschachtelung :(

und die virenautoren schlafen ja auch nicht
neulich kam die meldung, dass ein trojaner langsame rechner verschmäht
http://www.heise.de/newsticker/meldung/Trojaner-verschmaeht-lahme-Rechner-Update-1142162.html

also für weitere tipps und hinweise auch wenn es hinweise gibt, dass die analysemethode nicht gut ist, bin ich dankbar.

grüsse
Epi

bei Antwort benachrichtigen
Soulmann63 username_deleted „Schadsoftware auf dem Weg ins Internet erkennen“
Optionen

Nur in Kürze,

http://www.chip.de/news/Virenscanner-machtlos-Rootkit-in-der-Netzwerkkarte_45909668.html

Später mehr.

*_Ihr seit nicht Vergessen G P - Knoeppken _*
bei Antwort benachrichtigen
username_deleted Soulmann63 „Nur in Kürze,...“
Optionen

Hallo Soulmann63,

danke dir für deinen Hinweis.

In dem von dir verlinkten Artikel geht es um Netzwerkkarten, die selbst auch programmierbar sind.

Wenn ich es richtig sehe, dürften meine eher billigen Netzwerkkarten von diesem Problem nicht betrofen sein.

Aber genau in diese Richtung gehen meine Fragen.

Hier etwas detailierter auf Heise
http://www.heise.de/security/meldung/Der-Feind-in-der-Netzwerkkarte-1141366.html

Dabei geht es mir speziell darum, ob ein eventuell schon infizierter Rechner den PC mit der Netzwerkbrücke manipulieren kann.

Im Moment läuft auf dem Analyserechner XP Prof. aber ich könnte dort auch Debian oder Ubuntu einsetzen, wenn hier XP zu unsicher ist.

mir ist klar, wenn ich einen rechner analysiere, lasse ich ihn dafür auch ins internet. damit ist mir auch klar, dass er unter umständen über ein trojaner eine fernadministration für den infizierten rechner schaltet.

der eindringling, welcher nun den rechner manipulieren kann, kann auch arp, ping und weitere abfragen starten, um die netzwerkumgebung zu erkunden.
auch auf der suche nach anderen rechnern, die er ebenfalls übernehmen möchte.

wenn ich nun auf dem analyserechner ein gut abgesichertes xp oder linux am laufen habe, frage ich jedoch, ob alleine mit maipulation des datenstromes, so gut verschleiert werden kann, dass z.b. ziel ips nicht oder gefälscht erscheinen.

mir ist auch klar, dass wenn auf einem ms server in china ein trojaner sitzt und der rechner von mir dorthin daten schickt, sie trotzdem von den "bösen" angefordert wurden. d.h. erst schaue ich nach der zielip, dann versuche ich zu ergründen, welche daten geschickt werden, bzw. schaue ich auf dem rechner, welche prozesse die daten versenden.

ich starte z.b. einen rechner zur analyse und sehe derzeit ips von kaspersky oder ms kurz nach dem start. whois und ähnliche dienste geben da klar auskunft.
auch eine chinesische ip war letztendlich von microsoft.
fraglich ist für mich noch, ob sich die ziel ip, welche mir wireshark anzeigt manipulieren läßt.

ich probiere da ein wenig rum und dadurch entstehen die fragen.
im weiteren würde ich gerne wie im anderen thread beschrieben, einen dns server installieren und selbst den datenverkehr lenken.

ähnlich wie ein honeypot für einen rechner eine netzwerkinfrastruktur schaffen, in welcher er seine ziel adressen und prozesse offenbart.

soulmann danke dir nochmals für deinen beitrag.

Grüsse
Epi

bei Antwort benachrichtigen
Soulmann63 username_deleted „Hallo Soulmann63, danke dir für deinen Hinweis. In dem von dir verlinkten...“
Optionen

Hallo Aristoteles ;-)

Prinzipiell ist es mit fast jeder Netzwerkkarte – welche eine Updatefunktion hat – möglich ein Programm zu Installieren. Natürlich klappt dies ohne Eigenes Zutun nicht.
Ein nicht bedachtes FW Update der NW-Karte wirkt da Wunder. Wo sich der Rechner im Netzwerk befindet ist dann schon wieder egal. Du verstehst ?
Ein weiterer Kandidat ist die Grafikkarte. Auch im Bios läßt sich Prinzipiell ein sauber programmiertes Update verstecken. Aber der Platz ist das eigentliche Problem der Programmierer. Mir ist im übrigen kein Bios Virus bekannt.
Für wen sich ein solch riesiger Aufwand lohnt, muß jeder für sich entscheiden. Es bleibt wahrscheinlich die Frage: Ist es möglich und - kann ich dies überhaupt?

Gruß Soulmann


*_Ihr seit nicht Vergessen G P - Knoeppken _*
bei Antwort benachrichtigen
username_deleted Soulmann63 „Hallo Aristoteles - Prinzipiell ist es mit fast jeder Netzwerkkarte welche eine...“
Optionen

Hi Soulmann

Prinzipiell ist es mit fast jeder Netzwerkkarte – welche eine Updatefunktion hat – möglich ein Programm zu Installieren.
da hast du recht, das ist nicht zu unterschätzen, wenn ich an die router denke. zumal ich mit infizierten rechner hinter den routern arbeiten will, bzw. die aktivitäten sehen möchte.
d.h. auch, der schädling hat heimnetzwerkstatus.

und die kisten, ob fritzbox oder WRT54GL haben definitiv genug kapazität, um mit einer modifizierten firmeware ein trojaner mit zu beheimaten.

http://www.heise.de/security/meldung/Luecke-in-CiscoWorks-ermoeglicht-Einbruch-in-Server-1126856.html

ich denke auch, dass sich die typischen netzwerkkarten in heimrechner, nicht für angriffe eignen aber die router sehr wohl.

auf dem WRT54GL läuft DD-WRT in einer stable version und auf der fritzbox die neuste firmeware.

na dann spiel ich mal ein bischen weiter mit den kisten, dafür sind ja die langen winternächte da.............

Grüsse
Epi

bei Antwort benachrichtigen