Nickles › Forum › Internet › Heimnetzwerke - WIFI, LAN, Router und Co

Heimnetzwerke - WIFI, LAN, Router und Co 16.517 Themen, 81.100 Beiträge

Schadsoftware auf dem Weg ins Internet erkennen

username_deleted am 03.12.2010, 18:50 / 15 Antworten / Flachansicht

Hi werte Gemeinde,

habe noch eine Frage zu meinem Rechner mit zwei Netzwerkkarten.

Leider konnte mir bei der anderen Frage http://www.nickles.de/forum/netzwerke-lan-wlan/2010/traffic-local-umleiten-538751361.html keiner helfen.

Ich leite durch den Rechner mit den zwei Netzwerkkarten (Netzwerkbrücke) die Anfragen ans Netz von einem beliebigen Rechner.
Diesen schliese ich dafür an den WRT54GL, der an der einen Netzwerkkarte hängt.

Wenn ich nun an dem Rechner mit der Netzwerkbrücke Wireshark anwerfe, dann sehe ich was alles, vom Rechner hinter dem WRT54GL ins I-Net will.
Das ist hervorragend, um eventuelle Schadsoftware aufzuspüren, die sich sehr gut versteckt hat.

Meine Frage:

Kann Schadsoftware auf dem Rechner, der so kontrolliert wird, den überwachenden Rechner bzw. die Netzwerkbrücke manipulieren, so das auch diese Methode nicht sicher ist?

Für mich ist das im Moment eine Analysemethode um auch eventuelle Rootkitaktivitäten zu erkennen.

Nützt mir natürlich wenig, wenn der überwachende Rechner, bzw. die Netzwerkbrücke etwa von einem installierten Rootkit manipuliert werden kann, wie er schon das System manipuliert.

Grüsse
Epi

      Kann Schadsoftware auf dem Rechner, der so kontrolliert wird, den ... Lemon5 03.12.2010, 22:43
    
      Dieser Beitrag ist gelöscht. username_deleted 03.12.2010, 23:23
    
      Dieser Beitrag ist gelöscht. username_deleted 04.12.2010, 00:06
    
      offensichtlich hat sich da ein vip auf mich eingeschossen. eigenartig dass ... username_deleted 05.12.2010, 15:51
    
      Na dann will ich lemon5 nochmal in ganz anständigem ton antworten. eher ... username_deleted 06.12.2010, 17:18
    
      Dieser Beitrag ist gelöscht. Lemon5 04.12.2010, 01:55
    
      Dieser Beitrag ist gelöscht. username_deleted 04.12.2010, 10:04
    
      Hallo Epigenese, ich kann den Ärger verstehen, wenn man einen Thread ... UselessUser 04.12.2010, 12:03
    
      Hi UselessUser danke dir für deinen Beitrag Was spricht dagegen, nach allem ... username_deleted 04.12.2010, 12:37
    
        UselessUser username_deleted „Hi UselessUser danke dir für deinen Beitrag dagegen spräche, dass das...“
      
        04.12.2010, 17:07 Optionen
      
          Hallo Epigenese!

          Damit wir uns richtig verstehen:

          Ich wüßte keine Möglichkeit für ein Rootkit oder Trojaner, allein anhand des Datenstromes herauszufinden, ob jemand die IP-Pakete mitliest, wenn es sich NICHT selbst auf dem Rechner befindet, wo das Analysetool eingesetzt wird. Die Header der IP-Pakete können nicht beliebig geändert werden, wenn sie ihren Weg über den Gateway ins Internet und zum Rechner des Hackers finden sollen - der in den meisten Fällen natürlich nicht sein eigener Rechner sein wird!

          Ein Beispiel kann man im Link sehen, den ich dir gepostet habe, dort wird durch das Mitloggen der IP-Pakete der FTP-Server des Hackers ausfindig gemacht.

          Befindet sich das Schadprogramm jedoch auf dem Rechner, auf dem du das Analysetool einsetzt, so KÖNNTEN (!) entsprechend programmierte Routinen meiner Meinung nach sehr wohl herausfinden, ob der Netzwerkverkehr über bestimmte Treiber von Softwareprodukten (WinPcap für Wireshark, Proxy-Server einer Desktop-Firewall) läuft. Diese Treiber klinken sich in die Windows-Netzwerkverbindungen ein. Und die Treiber als auch die darauf zugreifende Software läuft in der Windows-Umgebung, welche wiederum in Teilen von einem Trojaner kontrolliert und manipuliert werden kann.

          Ob es so etwas für Wireshark schon gibt, weiß ich nicht, ich bin mir aber sicher, dass diese Methode für das Aushebeln von Desktop-Firewalls gangbar wäre, ebenso wie es möglich ist, Abfragen an das Dateisystem in Windows zu manipulieren, um Dateien von Schadprogrammen zu verstecken (Stichwort: Kernel-Rootkits).

          Eine andere Möglichkeit für die Hacker wäre, die IP-Pakete zu verschlüsseln, du kannst den Inhalt dann nicht mehr auslesen. Diese Methode ist aber recht auffällig, denn dann bekommst du auch als Laie mit einem IP-Logger schnell mit, dass da etwas nicht stimmen kann mit den verschlüsselten Paketen, sofern du nicht noch getunnelte Verbindungen (VPN-Verbindungen) durch deine Netzwerkkarte laufen hast. Die IP-Header können auch nicht einfach verschlüsselt werden, wenn die noch durch die NAT deines Routers/Gateways laufen müssen.

          Anhang:

          "fraglich ist für mich noch, ob sich die ziel ip, welche mir wireshark anzeigt manipulieren läßt."

          Rein theoretisch, wenn der Analyse-Rechner manipuliert wird, dann meine ich: ja!

          Ansonsten meine ich: nein! Allerdings werden sich hinter den Ziel-IPs des Netzwerkverkehrs von Schadprogrammen meist anonyme Proxy-Server, Zombie-Rechner oder andere Tricks verbergen, sodass du dem "Hacker" nicht so einfach auf die Spur kommen kannst.

          MfG, UU
        
         Rückmeldungen über Hilfestellungen sind sehr erwünscht:1. investiere ich Zeit, um dir zu antworten und2. möchte ich auch etwas dazulernen.
      
             bei Antwort benachrichtigen
        
      Hi UU auf jeden fall will ich das oder die analyseprogramme auf einem ... username_deleted 04.12.2010, 20:01
    
      Nur in Kürze, ... Soulmann63 04.12.2010, 10:40
    
      Hallo Soulmann63, danke dir für deinen Hinweis. In dem von dir verlinkten ... username_deleted 04.12.2010, 12:25
    
      Hallo Aristoteles - Prinzipiell ist es mit fast jeder Netzwerkkarte welche ... Soulmann63 04.12.2010, 19:06
    
      Hi Soulmann Prinzipiell ist es mit fast jeder Netzwerkkarte welche eine ... username_deleted 04.12.2010, 20:16