Malware, Spyware, etc.

Nicoletta
Posts: 5195
Joined: 30.07.2016, 21:20
Location: Oldenburg
Has thanked: 84 times
Been thanked: 10 times

Re: Malware, Spyware, etc.

Post by Nicoletta »

Besonders hart getroffen sind derzeit Gigaset Smartfones. Auf dem chinesischen Updateserver wurde ein Trojaner gesetzt der sich über den Auto-Updater auf alle Gigaset Geräte verteilt. Der Trojaner bewirkt das ständig neue Apps installiert werden, Whatsapp und SMS mit Mailware voll gebombt werden.

Ausschalten wegpacken ist die einzige Möglichkeit derzeit. Ich gehe nicht davon aus das Gigaset das hinbekommt und für den Smartfonemarkt damit erledigt ist, die Geräte nur noch recycelt werden können.
* Die Radikalität der Realität ist so radikal das die Politik in ihrer Nichtradikalität nicht hinterher kommt. *
User avatar
Cybermancer
Posts: 4519
Joined: 04.09.2015, 17:35
Has thanked: 1 time
Been thanked: 28 times

Re: Malware, Spyware, etc.

Post by Cybermancer »

Eisrose wrote: 13.04.2021, 11:13 Ein Artikel, der unkommentiert den Tipp stehen lässt, man solle das Smartphone auf Werkseinstellungen zurücksetzen, nur, weil man auf einen Link geklickt hat, ist mindestens so unseriös, wie der Link selber. Damit will ich die allgemeine Warnung vor dieser Schadsoftware nicht in Frage stellen, aber die ist nun auch kein Grund völligen Blödsinn zu schreiben.
Schon mal vom "Drive-By-Download" gehört?

Mach dich mal mit den einschlägigen Techniken vertraut. -> https://citeseerx.ist.psu.edu/viewdoc/d ... 1&type=pdf
Im Übrigen bin ich der Meinung, dass der russischen Aggression Einhalt geboten werden muss!
User avatar
Eisrose
Posts: 6826
Joined: 10.10.2015, 20:59
Has thanked: 22 times
Been thanked: 49 times

Re: Malware, Spyware, etc.

Post by Eisrose »

Cybermancer wrote: 13.04.2021, 22:31
Eisrose wrote: 13.04.2021, 11:13 Ein Artikel, der unkommentiert den Tipp stehen lässt, man solle das Smartphone auf Werkseinstellungen zurücksetzen, nur, weil man auf einen Link geklickt hat, ist mindestens so unseriös, wie der Link selber. Damit will ich die allgemeine Warnung vor dieser Schadsoftware nicht in Frage stellen, aber die ist nun auch kein Grund völligen Blödsinn zu schreiben.
Schon mal vom "Drive-By-Download" gehört?

Mach dich mal mit den einschlägigen Techniken vertraut. -> https://citeseerx.ist.psu.edu/viewdoc/d ... 1&type=pdf
Mag sein, dass so was kurzzeitig auf nicht aktuell gehaltenen Browsern möglich ist. Bei so was wird aber immer ein Sicherheitsfehler ausgenutzt, der in der Regel schnell behoben ist. Wer seinen Browser automatisch aktualisiert, auch auf seine Plugins achtet, sollte nur eine geringe Wahrscheinlichkeit haben, sich da was einzufangen. Das eine Schadsoftware sich per Drive-by-Download _weit_ verbreitet, ist ein Widerspruch in sich. Vor allem ist ein Download auch noch keine Installation.

Aber so gut gemacht ist die ganze Schadsoftware, um die es hier geht, gar nicht. Denn da läuft nichts automatisch. Wenn du dir mal andere Berichte darüber anguckst, musst du die ganze Schadsoftware manuell runterladen, manuell installieren, dann noch manuell aktivieren und obendrein musst du noch einige Berechtigungen erteilen. Und was in den verschiedenen Installationsanleitungen (manche Leute haben Humor) nicht gesagt wird, ist, dass die Installation überhaupt nur mit aktiviertem Sideloading klappt. Dafür brauchst du dann noch mal eine Anleitung und musst mehrere Sicherheitswarnungen ignorieren.

Für einen unbedarften User ist es jedenfalls gar nicht so einfach, die Malware überhaupt zum Laufen zu kriegen. Die Warnung, wenn man auf den Link geklickt hat, gleich das ganze Smartphone auf Werkseinstellungen zurückzusetzen, ist masslos überzogen. Keine Ahnung warum jemand solche Warnungen ausspricht.
Selig sind, die Frieden stiften.
User avatar
Cybermancer
Posts: 4519
Joined: 04.09.2015, 17:35
Has thanked: 1 time
Been thanked: 28 times

Re: Malware, Spyware, etc.

Post by Cybermancer »

Eisrose wrote: 13.04.2021, 23:14 Mag sein, dass so was kurzzeitig auf nicht aktuell gehaltenen Browsern möglich ist. Bei so was wird aber immer ein Sicherheitsfehler ausgenutzt, der in der Regel schnell behoben ist. Wer seinen Browser automatisch aktualisiert, auch auf seine Plugins achtet, sollte nur eine geringe Wahrscheinlichkeit haben, sich da was einzufangen. Das eine Schadsoftware sich per Drive-by-Download _weit_ verbreitet, ist ein Widerspruch in sich. Vor allem ist ein Download auch noch keine Installation.
Ja, sicher, alles klar und Zero-Days sind ein Mythos, wie zum Beispiel diese hier -> https://nakedsecurity.sophos.com/2021/0 ... date-done/

Und letztes Jahr im Juni sah es noch so aus -> https://www.bleepingcomputer.com/news/s ... s-in-2020/

Und was du hier völlig vergisst, ist das der typische Nutzer eben nicht seine Software stets aktuell hält, sonst würden Uralt-Exploits wie CVE-2008-4844 nicht mehr 2019 benutzt werden. Guckst du hier -> https://unit42.paloaltonetworks.com/web ... half-2019/

Zumal es mit dem aktuell halten des OS bei Android besondere Probleme gibt, da der normale User die Patches vom Hersteller eingespielt bekommt und wenn der Hersteller nach 2-3 Jahren die Unterstützung einstellt, dann gibt es auch keine Patches mehr. Cross-compilen sich halt nicht alle ihr Custom-Android, wie das einige wenige tun, zumal es auch Probleme geben kann, die Hardware-Treiber aus den Hersteller-Kernel zu extrahieren.
Was meinst du eigentlich wie viele noch mit Android 7 oder niedriger rumlaufen (21.5% laut dieser Webseite -> https://www.appbrain.com/stats/top-android-sdk-versions).

Und Drive-By Downloads gehören zu den Top Attack Vectors, guckst du hier -> https://www.infosecurity-magazine.com/m ... s-malware/

Zitat:
As far as drive-by downloads are concerned, the overall picture looks just as gloomy. The 2017 Cylance Threat Report concluded that more than half of the attacks during 2017 exploited vulnerabilities that had been known about at least nine months or more prior to the exploit. What’s more, along with ever-present phishing threats, drive-by downloads remained the most common of infection vectors. In 2018, Infosecurity reported how a traffic distribution system called BlackTDS had emerged as an ‘As-a-Service’ drive-by download kit. So, these old threat vectors are not only still around, but appear to be on the rise. Why is that?
Und Drive-By Download wird Synonym mit dem Drive-By Install verwandt, da der Shellcode (Du weißt nicht was das ist? Ups, ich habe deine Begriffsverwirrung zwischen Attack Vector und Payload wohl bemerkt.) oft für das Ausführen des Payloads sorgt.

Aber so gut gemacht ist die ganze Schadsoftware, um die es hier geht, gar nicht. Denn da läuft nichts automatisch. Wenn du dir mal andere Berichte darüber anguckst, musst du die ganze Schadsoftware manuell runterladen, manuell installieren, dann noch manuell aktivieren und obendrein musst du noch einige Berechtigungen erteilen.
Das entspricht nicht meiner Erfahrung, ich habe in einer Virtuellen Maschine auf das Link geklickt und hatte direkt die Aufforderung der falschen FedEx-App ihr die benötigten Berechtigungen zu erteilen auf dem Bildschirm des simulierten Smartphones.

Und was in den verschiedenen Installationsanleitungen (manche Leute haben Humor) nicht gesagt wird, ist, dass die Installation überhaupt nur mit aktiviertem Sideloading klappt. Dafür brauchst du dann noch mal eine Anleitung und musst mehrere Sicherheitswarnungen ignorieren.
Oh und mein simuliertes Smartphone hatte Side-Loading nicht aktiviert.
Für einen unbedarften User ist es jedenfalls gar nicht so einfach, die Malware überhaupt zum Laufen zu kriegen. Die Warnung, wenn man auf den Link geklickt hat, gleich das ganze Smartphone auf Werkseinstellungen zurückzusetzen, ist masslos überzogen. Keine Ahnung warum jemand solche Warnungen ausspricht.
Ersteinmal informiert Heise hier über die Empfehlungen des BSI. Schaust du hier -> https://www.bsi.bund.de/DE/Service-Navi ... 90421.html

Und die Empfehlungen sind auch nicht masslos überzogen. Das Ganze ist ein dynamisches Spielfeld, während du noch deine Warnung zusammen tippst, ändern die Cyberkriminellen das Spiel, indem sich sich ein neues Exploitkit besorgen und die Vulnerabillity des Attack Vectors ändern. Nicht dass das nicht schon vorgekommen ist.
Best Practice in der Cybersecurity ist immer vom Worst Case auszugehen und niemals die Dummheit des Users zu unterschätzen. Von daher geht die Empfehlung einer maximalen Vorgehensweise vollständig in Ordnung.

Du hast mit deinem Beitrag meinungsstark deine Lücken auf dem Gebiet der Cybersicherheit offenbart.
Im Übrigen bin ich der Meinung, dass der russischen Aggression Einhalt geboten werden muss!
User avatar
Eisrose
Posts: 6826
Joined: 10.10.2015, 20:59
Has thanked: 22 times
Been thanked: 49 times

Re: Malware, Spyware, etc.

Post by Eisrose »

Cybermancer wrote: 14.04.2021, 04:09 Und was du hier völlig vergisst, ist das der typische Nutzer eben nicht seine Software stets aktuell hält [...]
User, die das nicht machen, haben die Folgen ihres Nicht-Handelns selber zu tragen.
Cybermancer wrote: 14.04.2021, 04:09 Und Drive-By Downloads gehören zu den Top Attack Vectors, guckst du hier -> https://www.infosecurity-magazine.com/m ... s-malware/
Das habe ich nicht bestritten. Ich bestreite, dass sich so was weit verbreitet. So was wird schnell entdeckt und dann sind die Gegenmassnahmen schneller als die weitere Verbreitung.

Wenn das anders wäre, müssten wir das Internet leider schliessen.

Und wenn du genauer liest: als Gegenmassnahme empfiehlt dein Artikel genau das, was ich auch empfohlen habe, nämlich Software auf dem aktuellsten Stand zu halten.
Cybermancer wrote: 14.04.2021, 04:09 [...] da der Shellcode (Du weißt nicht was das ist? [...]
Nur zur Info: ich weiss, was das ist.
Cybermancer wrote: 14.04.2021, 04:09 Das entspricht nicht meiner Erfahrung, ich habe in einer Virtuellen Maschine auf das Link geklickt und hatte direkt die Aufforderung der falschen FedEx-App ihr die benötigten Berechtigungen zu erteilen auf dem Bildschirm des simulierten Smartphones.
Du solltest ein Video darüber machen. Ich habe keinen einzigen Bericht gefunden, der das bestätigt. Ich hielte es auch für nicht wahrscheinlich, dass ein Angriff einen solchen Qualitätssprung hinbekommt.
Cybermancer wrote: 14.04.2021, 04:09 Oh und mein simuliertes Smartphone hatte Side-Loading nicht aktiviert.
Auch das wird nirgends bestätigt.
Eisrose wrote: 13.04.2021, 23:14 Für einen unbedarften User ist es jedenfalls gar nicht so einfach, die Malware überhaupt zum Laufen zu kriegen. Die Warnung, wenn man auf den Link geklickt hat, gleich das ganze Smartphone auf Werkseinstellungen zurückzusetzen, ist masslos überzogen. Keine Ahnung warum jemand solche Warnungen ausspricht.
Dabei bleibe ich.
Cybermancer wrote: 14.04.2021, 04:09 Ersteinmal informiert Heise hier über die Empfehlungen des BSI. Schaust du hier -> https://www.bsi.bund.de/DE/Service-Navi ... 90421.html
Auch das habe ich nicht bestritten. Ich habe kritisiert, dass der Bericht diese Warnung unkommentiert stehengelassen hat.

Übrigens, schau mal genauer hin: auch hier zeigen die Screenshots, dass die Software manuell heruntergeladen und installiert werden muss. Ich gehe mal davon aus, dass sich die Warnung das Smartphone auf Werkseinstellungen zurückzusetzen nur den Fall betrifft, wenn die Software bereits installiert wurde und nicht schon, wenn man nur auf den Link geklickt hat. Das ist halt unklar ausgedrückt.
Cybermancer wrote: 14.04.2021, 04:09 Und die Empfehlungen sind auch nicht masslos überzogen. Das Ganze ist ein dynamisches Spielfeld, während du noch deine Warnung zusammen tippst, ändern die Cyberkriminellen das Spiel, indem sich sich ein neues Exploitkit besorgen und die Vulnerabillity des Attack Vectors ändern. Nicht dass das nicht schon vorgekommen ist.

Best Practice in der Cybersecurity ist immer vom Worst Case auszugehen und niemals die Dummheit des Users zu unterschätzen. Von daher geht die Empfehlung einer maximalen Vorgehensweise vollständig in Ordnung.
Ich sehe das trotzdem komplett anders.

Mag sein, dass die Hackerszene insgesamt professioneller geworden ist, trotzdem erfolgen noch immer über 99 Prozent aller Angriffe bestenfalls semi-professionell. Wenn man bei jedem Angriff vom Worst-Case ausgehen würde, müssten wir zunächst alle Firmennetzwerke schliessen und schnell auch das ganze Internet.

Das heisst nicht, dass es auch gut gemachte Angriffe gibt. Ich würde sogar zustimmen, dass es zwei Arten von Unternehmen gibt: diejenigen, die wissen, dass sie gehackt wurden und diejenigen, die das nicht wissen. Aber deswegen stets eine "maximale Vorgehensweise" zu empfehlen, kann ich nicht teilen.

Die hier behandelte Malware ist in einem Punkt gut gemacht: die User werden hervorragend getäuscht und halten sie für seriös. Die technische Seite bleibt dagegen auf einem viel niedrigerem Level. Die Qualität der konkreten Malware mag sich verbessern können aber Qualitätssprünge sind ziemlich unwahrscheinlich.

Ansonsten: die besten Hacks erfolgen noch immer über Menschen und noch nicht über Technik, auch wenn die Technik aufholt. Aber da sind wir wohl auch anderer Meinung, obwohl gerade der konkrete Fall das eher bestätigt.
Selig sind, die Frieden stiften.
User avatar
Cybermancer
Posts: 4519
Joined: 04.09.2015, 17:35
Has thanked: 1 time
Been thanked: 28 times

Re: Malware, Spyware, etc.

Post by Cybermancer »

Eisrose wrote: 14.04.2021, 12:34 User, die das nicht machen, haben die Folgen ihres Nicht-Handelns selber zu tragen.
Nicht nur die, da der Trojaner GSM-USSD-Befehle absetzen kann, deshalb sollte man auch seinen Mobilfunk-Provider benachrichtigen. Steht im ProDaft Malware Analysis Report auf Seite 6, wenn man aufmerksam liest.
Das habe ich nicht bestritten. Ich bestreite, dass sich so was weit verbreitet. So was wird schnell entdeckt und dann sind die Gegenmassnahmen schneller als die weitere Verbreitung.
Träum weiter, deine Vermutung ist durch das tatsächliche Geschehen nicht gedeckt. Wie von mir im vorherigen Posting mittels Quellenangaben dargelegt wurde.
Wenn das anders wäre, müssten wir das Internet leider schliessen.
Anscheinend nicht. Frag mal bei US-Behörden nach, ob die sich schon von dem letzten großen Hack erholt haben -> https://www.sueddeutsche.de/digital/it- ... -1.5201146 :giggle: :giggle:
Und wenn du genauer liest: als Gegenmaßnahme empfiehlt dein Artikel genau das, was ich auch empfohlen habe, nämlich Software auf dem aktuellsten Stand zu halten.
Wenn man genauer liest, dann empfiehlt der Artikel drei Dinge, wenn eine Datei heruntergeladen wird:
1) System aktuell halten
2) ein feinstufiges Managment der Benutzerberechtigungen
3) Behavioral monitoring solutions, wie beispielsweise https://www.trustradius.com/network-behavior-analysis für Netzwerke
Somit empfehlen sie nicht genau das, was du empfohlen hast, sondern, was du empfohlen hast ist eine Teilmenge der Empfehlungen des Artikels. Aber mit dem genau lesen ist das so eine Sache.
Nur zur Info: ich weiss, was das ist.
Glaube ich nicht.
Du solltest ein Video darüber machen. Ich habe keinen einzigen Bericht gefunden, der das bestätigt. Ich hielte es auch für nicht wahrscheinlich, dass ein Angriff einen solchen Qualitätssprung hinbekommt.
https://www.youtube.com/watch?v=lUu_4p5nKiE
Nicht for mir, aber Frida kennst du sicher, da du ja auch sonst real bist.
[...]
Eisrose wrote: 13.04.2021, 23:14 Für einen unbedarften User ist es jedenfalls gar nicht so einfach, die Malware überhaupt zum Laufen zu kriegen. Die Warnung, wenn man auf den Link geklickt hat, gleich das ganze Smartphone auf Werkseinstellungen zurückzusetzen, ist masslos überzogen. Keine Ahnung warum jemand solche Warnungen ausspricht.
Dabei bleibe ich.
Ich bleibe auch bei meiner zuvor geäußerten Meinung.
[...]
Ich sehe das trotzdem komplett anders.

Mag sein, dass die Hackerszene insgesamt professioneller geworden ist, trotzdem erfolgen noch immer über 99 Prozent aller Angriffe bestenfalls semi-professionell. Wenn man bei jedem Angriff vom Worst-Case ausgehen würde, müssten wir zunächst alle Firmennetzwerke schliessen und schnell auch das ganze Internet.

Das heisst nicht, dass es auch gut gemachte Angriffe gibt. Ich würde sogar zustimmen, dass es zwei Arten von Unternehmen gibt: diejenigen, die wissen, dass sie gehackt wurden und diejenigen, die das nicht wissen. Aber deswegen stets eine "maximale Vorgehensweise" zu empfehlen, kann ich nicht teilen.

Die hier behandelte Malware ist in einem Punkt gut gemacht: die User werden hervorragend getäuscht und halten sie für seriös. Die technische Seite bleibt dagegen auf einem viel niedrigerem Level. Die Qualität der konkreten Malware mag sich verbessern können aber Qualitätssprünge sind ziemlich unwahrscheinlich.

Ansonsten: die besten Hacks erfolgen noch immer über Menschen und noch nicht über Technik, auch wenn die Technik aufholt. Aber da sind wir wohl auch anderer Meinung, obwohl gerade der konkrete Fall das eher bestätigt.
Und ich halte deine Meinung aus meiner Praxis-Erfahrung für komplett irrelevant, Case closed.
Im Übrigen bin ich der Meinung, dass der russischen Aggression Einhalt geboten werden muss!
User avatar
Richard
Posts: 3938
Joined: 02.01.2016, 18:06
Location: *.at
Has thanked: 2 times
Been thanked: 48 times

Re: Malware, Spyware, etc.

Post by Richard »

Das ist jetzt nicht wirklich Mal- oder Spyware aber ich wollte wegen einer Meldung nicht schon wieder einen neuen Thread aufmachen.

Der ehemalige Sicherheitschef von Twitter macht einige schwere Vorwürfe gegen Twitter (veraltete Server, angreifbare Betriebssysteme, ...). Twitter dementiert natuergemaess.

Quelle
Post Reply