Schadsoftware auf dem Weg ins Internet erkennen

Heimnetzwerke - WIFI, LAN, Router und Co 16.516 Themen, 81.098 Beiträge

Schadsoftware auf dem Weg ins Internet erkennen

username_deleted am 03.12.2010, 18:50 / 15 Antworten / Flachansicht

Hi werte Gemeinde,

habe noch eine Frage zu meinem Rechner mit zwei Netzwerkkarten.

Leider konnte mir bei der anderen Frage http://www.nickles.de/forum/netzwerke-lan-wlan/2010/traffic-local-umleiten-538751361.html keiner helfen.

Ich leite durch den Rechner mit den zwei Netzwerkkarten (Netzwerkbrücke) die Anfragen ans Netz von einem beliebigen Rechner.
Diesen schliese ich dafür an den WRT54GL, der an der einen Netzwerkkarte hängt.

Wenn ich nun an dem Rechner mit der Netzwerkbrücke Wireshark anwerfe, dann sehe ich was alles, vom Rechner hinter dem WRT54GL ins I-Net will.
Das ist hervorragend, um eventuelle Schadsoftware aufzuspüren, die sich sehr gut versteckt hat.

Meine Frage:

Kann Schadsoftware auf dem Rechner, der so kontrolliert wird, den überwachenden Rechner bzw. die Netzwerkbrücke manipulieren, so das auch diese Methode nicht sicher ist?

Für mich ist das im Moment eine Analysemethode um auch eventuelle Rootkitaktivitäten zu erkennen.

Nützt mir natürlich wenig, wenn der überwachende Rechner, bzw. die Netzwerkbrücke etwa von einem installierten Rootkit manipuliert werden kann, wie er schon das System manipuliert.

Grüsse
Epi

Kann Schadsoftware auf dem Rechner, der so kontrolliert wird, den ... Lemon5 03.12.2010, 22:43

Dieser Beitrag ist gelöscht. username_deleted 03.12.2010, 23:23

Dieser Beitrag ist gelöscht. username_deleted 04.12.2010, 00:06

offensichtlich hat sich da ein vip auf mich eingeschossen. eigenartig dass ... username_deleted 05.12.2010, 15:51

Na dann will ich lemon5 nochmal in ganz anständigem ton antworten. eher ... username_deleted 06.12.2010, 17:18

Dieser Beitrag ist gelöscht. Lemon5 04.12.2010, 01:55

Dieser Beitrag ist gelöscht. username_deleted 04.12.2010, 10:04

Hallo Epigenese, ich kann den Ärger verstehen, wenn man einen Thread ... UselessUser 04.12.2010, 12:03

Hi UselessUser danke dir für deinen Beitrag Was spricht dagegen, nach allem ... username_deleted 04.12.2010, 12:37

Hallo Epigenese! Damit wir uns richtig verstehen: Ich wüßte keine ... UselessUser 04.12.2010, 17:07

Hi UU auf jeden fall will ich das oder die analyseprogramme auf einem ... username_deleted 04.12.2010, 20:01

Nur in Kürze, ... Soulmann63 04.12.2010, 10:40

username_deleted

Soulmann63 „Nur in Kürze,...“

04.12.2010, 12:25 Optionen

Hallo Soulmann63,

danke dir für deinen Hinweis.

In dem von dir verlinkten Artikel geht es um Netzwerkkarten, die selbst auch programmierbar sind.

Wenn ich es richtig sehe, dürften meine eher billigen Netzwerkkarten von diesem Problem nicht betrofen sein.

Aber genau in diese Richtung gehen meine Fragen.

Hier etwas detailierter auf Heise
http://www.heise.de/security/meldung/Der-Feind-in-der-Netzwerkkarte-1141366.html

Dabei geht es mir speziell darum, ob ein eventuell schon infizierter Rechner den PC mit der Netzwerkbrücke manipulieren kann.

Im Moment läuft auf dem Analyserechner XP Prof. aber ich könnte dort auch Debian oder Ubuntu einsetzen, wenn hier XP zu unsicher ist.

mir ist klar, wenn ich einen rechner analysiere, lasse ich ihn dafür auch ins internet. damit ist mir auch klar, dass er unter umständen über ein trojaner eine fernadministration für den infizierten rechner schaltet.

der eindringling, welcher nun den rechner manipulieren kann, kann auch arp, ping und weitere abfragen starten, um die netzwerkumgebung zu erkunden.
auch auf der suche nach anderen rechnern, die er ebenfalls übernehmen möchte.

wenn ich nun auf dem analyserechner ein gut abgesichertes xp oder linux am laufen habe, frage ich jedoch, ob alleine mit maipulation des datenstromes, so gut verschleiert werden kann, dass z.b. ziel ips nicht oder gefälscht erscheinen.

mir ist auch klar, dass wenn auf einem ms server in china ein trojaner sitzt und der rechner von mir dorthin daten schickt, sie trotzdem von den "bösen" angefordert wurden. d.h. erst schaue ich nach der zielip, dann versuche ich zu ergründen, welche daten geschickt werden, bzw. schaue ich auf dem rechner, welche prozesse die daten versenden.

ich starte z.b. einen rechner zur analyse und sehe derzeit ips von kaspersky oder ms kurz nach dem start. whois und ähnliche dienste geben da klar auskunft.
auch eine chinesische ip war letztendlich von microsoft.
fraglich ist für mich noch, ob sich die ziel ip, welche mir wireshark anzeigt manipulieren läßt.

ich probiere da ein wenig rum und dadurch entstehen die fragen.
im weiteren würde ich gerne wie im anderen thread beschrieben, einen dns server installieren und selbst den datenverkehr lenken.

ähnlich wie ein honeypot für einen rechner eine netzwerkinfrastruktur schaffen, in welcher er seine ziel adressen und prozesse offenbart.

soulmann danke dir nochmals für deinen beitrag.

Grüsse
Epi

Hallo Aristoteles - Prinzipiell ist es mit fast jeder Netzwerkkarte welche ... Soulmann63 04.12.2010, 19:06

Hi Soulmann Prinzipiell ist es mit fast jeder Netzwerkkarte welche eine ... username_deleted 04.12.2010, 20:16