Page 2 of 2

Re: Malware, Spyware, etc.

Posted: 13.04.2021, 11:33
by Nicoletta
Besonders hart getroffen sind derzeit Gigaset Smartfones. Auf dem chinesischen Updateserver wurde ein Trojaner gesetzt der sich über den Auto-Updater auf alle Gigaset Geräte verteilt. Der Trojaner bewirkt das ständig neue Apps installiert werden, Whatsapp und SMS mit Mailware voll gebombt werden.

Ausschalten wegpacken ist die einzige Möglichkeit derzeit. Ich gehe nicht davon aus das Gigaset das hinbekommt und für den Smartfonemarkt damit erledigt ist, die Geräte nur noch recycelt werden können.

Re: Malware, Spyware, etc.

Posted: 13.04.2021, 22:31
by Cybermancer
Eisrose wrote: 13.04.2021, 11:13 Ein Artikel, der unkommentiert den Tipp stehen lässt, man solle das Smartphone auf Werkseinstellungen zurücksetzen, nur, weil man auf einen Link geklickt hat, ist mindestens so unseriös, wie der Link selber. Damit will ich die allgemeine Warnung vor dieser Schadsoftware nicht in Frage stellen, aber die ist nun auch kein Grund völligen Blödsinn zu schreiben.
Schon mal vom "Drive-By-Download" gehört?

Mach dich mal mit den einschlägigen Techniken vertraut. -> https://citeseerx.ist.psu.edu/viewdoc/d ... 1&type=pdf

Re: Malware, Spyware, etc.

Posted: 13.04.2021, 23:14
by Eisrose
Cybermancer wrote: 13.04.2021, 22:31
Eisrose wrote: 13.04.2021, 11:13 Ein Artikel, der unkommentiert den Tipp stehen lässt, man solle das Smartphone auf Werkseinstellungen zurücksetzen, nur, weil man auf einen Link geklickt hat, ist mindestens so unseriös, wie der Link selber. Damit will ich die allgemeine Warnung vor dieser Schadsoftware nicht in Frage stellen, aber die ist nun auch kein Grund völligen Blödsinn zu schreiben.
Schon mal vom "Drive-By-Download" gehört?

Mach dich mal mit den einschlägigen Techniken vertraut. -> https://citeseerx.ist.psu.edu/viewdoc/d ... 1&type=pdf
Mag sein, dass so was kurzzeitig auf nicht aktuell gehaltenen Browsern möglich ist. Bei so was wird aber immer ein Sicherheitsfehler ausgenutzt, der in der Regel schnell behoben ist. Wer seinen Browser automatisch aktualisiert, auch auf seine Plugins achtet, sollte nur eine geringe Wahrscheinlichkeit haben, sich da was einzufangen. Das eine Schadsoftware sich per Drive-by-Download _weit_ verbreitet, ist ein Widerspruch in sich. Vor allem ist ein Download auch noch keine Installation.

Aber so gut gemacht ist die ganze Schadsoftware, um die es hier geht, gar nicht. Denn da läuft nichts automatisch. Wenn du dir mal andere Berichte darüber anguckst, musst du die ganze Schadsoftware manuell runterladen, manuell installieren, dann noch manuell aktivieren und obendrein musst du noch einige Berechtigungen erteilen. Und was in den verschiedenen Installationsanleitungen (manche Leute haben Humor) nicht gesagt wird, ist, dass die Installation überhaupt nur mit aktiviertem Sideloading klappt. Dafür brauchst du dann noch mal eine Anleitung und musst mehrere Sicherheitswarnungen ignorieren.

Für einen unbedarften User ist es jedenfalls gar nicht so einfach, die Malware überhaupt zum Laufen zu kriegen. Die Warnung, wenn man auf den Link geklickt hat, gleich das ganze Smartphone auf Werkseinstellungen zurückzusetzen, ist masslos überzogen. Keine Ahnung warum jemand solche Warnungen ausspricht.

Re: Malware, Spyware, etc.

Posted: 14.04.2021, 04:09
by Cybermancer
Eisrose wrote: 13.04.2021, 23:14 Mag sein, dass so was kurzzeitig auf nicht aktuell gehaltenen Browsern möglich ist. Bei so was wird aber immer ein Sicherheitsfehler ausgenutzt, der in der Regel schnell behoben ist. Wer seinen Browser automatisch aktualisiert, auch auf seine Plugins achtet, sollte nur eine geringe Wahrscheinlichkeit haben, sich da was einzufangen. Das eine Schadsoftware sich per Drive-by-Download _weit_ verbreitet, ist ein Widerspruch in sich. Vor allem ist ein Download auch noch keine Installation.
Ja, sicher, alles klar und Zero-Days sind ein Mythos, wie zum Beispiel diese hier -> https://nakedsecurity.sophos.com/2021/0 ... date-done/

Und letztes Jahr im Juni sah es noch so aus -> https://www.bleepingcomputer.com/news/s ... s-in-2020/

Und was du hier völlig vergisst, ist das der typische Nutzer eben nicht seine Software stets aktuell hält, sonst würden Uralt-Exploits wie CVE-2008-4844 nicht mehr 2019 benutzt werden. Guckst du hier -> https://unit42.paloaltonetworks.com/web ... half-2019/

Zumal es mit dem aktuell halten des OS bei Android besondere Probleme gibt, da der normale User die Patches vom Hersteller eingespielt bekommt und wenn der Hersteller nach 2-3 Jahren die Unterstützung einstellt, dann gibt es auch keine Patches mehr. Cross-compilen sich halt nicht alle ihr Custom-Android, wie das einige wenige tun, zumal es auch Probleme geben kann, die Hardware-Treiber aus den Hersteller-Kernel zu extrahieren.
Was meinst du eigentlich wie viele noch mit Android 7 oder niedriger rumlaufen (21.5% laut dieser Webseite -> https://www.appbrain.com/stats/top-android-sdk-versions).

Und Drive-By Downloads gehören zu den Top Attack Vectors, guckst du hier -> https://www.infosecurity-magazine.com/m ... s-malware/

Zitat:
As far as drive-by downloads are concerned, the overall picture looks just as gloomy. The 2017 Cylance Threat Report concluded that more than half of the attacks during 2017 exploited vulnerabilities that had been known about at least nine months or more prior to the exploit. What’s more, along with ever-present phishing threats, drive-by downloads remained the most common of infection vectors. In 2018, Infosecurity reported how a traffic distribution system called BlackTDS had emerged as an ‘As-a-Service’ drive-by download kit. So, these old threat vectors are not only still around, but appear to be on the rise. Why is that?
Und Drive-By Download wird Synonym mit dem Drive-By Install verwandt, da der Shellcode (Du weißt nicht was das ist? Ups, ich habe deine Begriffsverwirrung zwischen Attack Vector und Payload wohl bemerkt.) oft für das Ausführen des Payloads sorgt.

Aber so gut gemacht ist die ganze Schadsoftware, um die es hier geht, gar nicht. Denn da läuft nichts automatisch. Wenn du dir mal andere Berichte darüber anguckst, musst du die ganze Schadsoftware manuell runterladen, manuell installieren, dann noch manuell aktivieren und obendrein musst du noch einige Berechtigungen erteilen.
Das entspricht nicht meiner Erfahrung, ich habe in einer Virtuellen Maschine auf das Link geklickt und hatte direkt die Aufforderung der falschen FedEx-App ihr die benötigten Berechtigungen zu erteilen auf dem Bildschirm des simulierten Smartphones.

Und was in den verschiedenen Installationsanleitungen (manche Leute haben Humor) nicht gesagt wird, ist, dass die Installation überhaupt nur mit aktiviertem Sideloading klappt. Dafür brauchst du dann noch mal eine Anleitung und musst mehrere Sicherheitswarnungen ignorieren.
Oh und mein simuliertes Smartphone hatte Side-Loading nicht aktiviert.
Für einen unbedarften User ist es jedenfalls gar nicht so einfach, die Malware überhaupt zum Laufen zu kriegen. Die Warnung, wenn man auf den Link geklickt hat, gleich das ganze Smartphone auf Werkseinstellungen zurückzusetzen, ist masslos überzogen. Keine Ahnung warum jemand solche Warnungen ausspricht.
Ersteinmal informiert Heise hier über die Empfehlungen des BSI. Schaust du hier -> https://www.bsi.bund.de/DE/Service-Navi ... 90421.html

Und die Empfehlungen sind auch nicht masslos überzogen. Das Ganze ist ein dynamisches Spielfeld, während du noch deine Warnung zusammen tippst, ändern die Cyberkriminellen das Spiel, indem sich sich ein neues Exploitkit besorgen und die Vulnerabillity des Attack Vectors ändern. Nicht dass das nicht schon vorgekommen ist.
Best Practice in der Cybersecurity ist immer vom Worst Case auszugehen und niemals die Dummheit des Users zu unterschätzen. Von daher geht die Empfehlung einer maximalen Vorgehensweise vollständig in Ordnung.

Du hast mit deinem Beitrag meinungsstark deine Lücken auf dem Gebiet der Cybersicherheit offenbart.

Re: Malware, Spyware, etc.

Posted: 14.04.2021, 12:34
by Eisrose
Cybermancer wrote: 14.04.2021, 04:09 Und was du hier völlig vergisst, ist das der typische Nutzer eben nicht seine Software stets aktuell hält [...]
User, die das nicht machen, haben die Folgen ihres Nicht-Handelns selber zu tragen.
Cybermancer wrote: 14.04.2021, 04:09 Und Drive-By Downloads gehören zu den Top Attack Vectors, guckst du hier -> https://www.infosecurity-magazine.com/m ... s-malware/
Das habe ich nicht bestritten. Ich bestreite, dass sich so was weit verbreitet. So was wird schnell entdeckt und dann sind die Gegenmassnahmen schneller als die weitere Verbreitung.

Wenn das anders wäre, müssten wir das Internet leider schliessen.

Und wenn du genauer liest: als Gegenmassnahme empfiehlt dein Artikel genau das, was ich auch empfohlen habe, nämlich Software auf dem aktuellsten Stand zu halten.
Cybermancer wrote: 14.04.2021, 04:09 [...] da der Shellcode (Du weißt nicht was das ist? [...]
Nur zur Info: ich weiss, was das ist.
Cybermancer wrote: 14.04.2021, 04:09 Das entspricht nicht meiner Erfahrung, ich habe in einer Virtuellen Maschine auf das Link geklickt und hatte direkt die Aufforderung der falschen FedEx-App ihr die benötigten Berechtigungen zu erteilen auf dem Bildschirm des simulierten Smartphones.
Du solltest ein Video darüber machen. Ich habe keinen einzigen Bericht gefunden, der das bestätigt. Ich hielte es auch für nicht wahrscheinlich, dass ein Angriff einen solchen Qualitätssprung hinbekommt.
Cybermancer wrote: 14.04.2021, 04:09 Oh und mein simuliertes Smartphone hatte Side-Loading nicht aktiviert.
Auch das wird nirgends bestätigt.
Eisrose wrote: 13.04.2021, 23:14 Für einen unbedarften User ist es jedenfalls gar nicht so einfach, die Malware überhaupt zum Laufen zu kriegen. Die Warnung, wenn man auf den Link geklickt hat, gleich das ganze Smartphone auf Werkseinstellungen zurückzusetzen, ist masslos überzogen. Keine Ahnung warum jemand solche Warnungen ausspricht.
Dabei bleibe ich.
Cybermancer wrote: 14.04.2021, 04:09 Ersteinmal informiert Heise hier über die Empfehlungen des BSI. Schaust du hier -> https://www.bsi.bund.de/DE/Service-Navi ... 90421.html
Auch das habe ich nicht bestritten. Ich habe kritisiert, dass der Bericht diese Warnung unkommentiert stehengelassen hat.

Übrigens, schau mal genauer hin: auch hier zeigen die Screenshots, dass die Software manuell heruntergeladen und installiert werden muss. Ich gehe mal davon aus, dass sich die Warnung das Smartphone auf Werkseinstellungen zurückzusetzen nur den Fall betrifft, wenn die Software bereits installiert wurde und nicht schon, wenn man nur auf den Link geklickt hat. Das ist halt unklar ausgedrückt.
Cybermancer wrote: 14.04.2021, 04:09 Und die Empfehlungen sind auch nicht masslos überzogen. Das Ganze ist ein dynamisches Spielfeld, während du noch deine Warnung zusammen tippst, ändern die Cyberkriminellen das Spiel, indem sich sich ein neues Exploitkit besorgen und die Vulnerabillity des Attack Vectors ändern. Nicht dass das nicht schon vorgekommen ist.

Best Practice in der Cybersecurity ist immer vom Worst Case auszugehen und niemals die Dummheit des Users zu unterschätzen. Von daher geht die Empfehlung einer maximalen Vorgehensweise vollständig in Ordnung.
Ich sehe das trotzdem komplett anders.

Mag sein, dass die Hackerszene insgesamt professioneller geworden ist, trotzdem erfolgen noch immer über 99 Prozent aller Angriffe bestenfalls semi-professionell. Wenn man bei jedem Angriff vom Worst-Case ausgehen würde, müssten wir zunächst alle Firmennetzwerke schliessen und schnell auch das ganze Internet.

Das heisst nicht, dass es auch gut gemachte Angriffe gibt. Ich würde sogar zustimmen, dass es zwei Arten von Unternehmen gibt: diejenigen, die wissen, dass sie gehackt wurden und diejenigen, die das nicht wissen. Aber deswegen stets eine "maximale Vorgehensweise" zu empfehlen, kann ich nicht teilen.

Die hier behandelte Malware ist in einem Punkt gut gemacht: die User werden hervorragend getäuscht und halten sie für seriös. Die technische Seite bleibt dagegen auf einem viel niedrigerem Level. Die Qualität der konkreten Malware mag sich verbessern können aber Qualitätssprünge sind ziemlich unwahrscheinlich.

Ansonsten: die besten Hacks erfolgen noch immer über Menschen und noch nicht über Technik, auch wenn die Technik aufholt. Aber da sind wir wohl auch anderer Meinung, obwohl gerade der konkrete Fall das eher bestätigt.

Re: Malware, Spyware, etc.

Posted: 14.04.2021, 17:30
by Cybermancer
Eisrose wrote: 14.04.2021, 12:34 User, die das nicht machen, haben die Folgen ihres Nicht-Handelns selber zu tragen.
Nicht nur die, da der Trojaner GSM-USSD-Befehle absetzen kann, deshalb sollte man auch seinen Mobilfunk-Provider benachrichtigen. Steht im ProDaft Malware Analysis Report auf Seite 6, wenn man aufmerksam liest.
Das habe ich nicht bestritten. Ich bestreite, dass sich so was weit verbreitet. So was wird schnell entdeckt und dann sind die Gegenmassnahmen schneller als die weitere Verbreitung.
Träum weiter, deine Vermutung ist durch das tatsächliche Geschehen nicht gedeckt. Wie von mir im vorherigen Posting mittels Quellenangaben dargelegt wurde.
Wenn das anders wäre, müssten wir das Internet leider schliessen.
Anscheinend nicht. Frag mal bei US-Behörden nach, ob die sich schon von dem letzten großen Hack erholt haben -> https://www.sueddeutsche.de/digital/it- ... -1.5201146 :giggle: :giggle:
Und wenn du genauer liest: als Gegenmaßnahme empfiehlt dein Artikel genau das, was ich auch empfohlen habe, nämlich Software auf dem aktuellsten Stand zu halten.
Wenn man genauer liest, dann empfiehlt der Artikel drei Dinge, wenn eine Datei heruntergeladen wird:
1) System aktuell halten
2) ein feinstufiges Managment der Benutzerberechtigungen
3) Behavioral monitoring solutions, wie beispielsweise https://www.trustradius.com/network-behavior-analysis für Netzwerke
Somit empfehlen sie nicht genau das, was du empfohlen hast, sondern, was du empfohlen hast ist eine Teilmenge der Empfehlungen des Artikels. Aber mit dem genau lesen ist das so eine Sache.
Nur zur Info: ich weiss, was das ist.
Glaube ich nicht.
Du solltest ein Video darüber machen. Ich habe keinen einzigen Bericht gefunden, der das bestätigt. Ich hielte es auch für nicht wahrscheinlich, dass ein Angriff einen solchen Qualitätssprung hinbekommt.
https://www.youtube.com/watch?v=lUu_4p5nKiE
Nicht for mir, aber Frida kennst du sicher, da du ja auch sonst real bist.
[...]
Eisrose wrote: 13.04.2021, 23:14 Für einen unbedarften User ist es jedenfalls gar nicht so einfach, die Malware überhaupt zum Laufen zu kriegen. Die Warnung, wenn man auf den Link geklickt hat, gleich das ganze Smartphone auf Werkseinstellungen zurückzusetzen, ist masslos überzogen. Keine Ahnung warum jemand solche Warnungen ausspricht.
Dabei bleibe ich.
Ich bleibe auch bei meiner zuvor geäußerten Meinung.
[...]
Ich sehe das trotzdem komplett anders.

Mag sein, dass die Hackerszene insgesamt professioneller geworden ist, trotzdem erfolgen noch immer über 99 Prozent aller Angriffe bestenfalls semi-professionell. Wenn man bei jedem Angriff vom Worst-Case ausgehen würde, müssten wir zunächst alle Firmennetzwerke schliessen und schnell auch das ganze Internet.

Das heisst nicht, dass es auch gut gemachte Angriffe gibt. Ich würde sogar zustimmen, dass es zwei Arten von Unternehmen gibt: diejenigen, die wissen, dass sie gehackt wurden und diejenigen, die das nicht wissen. Aber deswegen stets eine "maximale Vorgehensweise" zu empfehlen, kann ich nicht teilen.

Die hier behandelte Malware ist in einem Punkt gut gemacht: die User werden hervorragend getäuscht und halten sie für seriös. Die technische Seite bleibt dagegen auf einem viel niedrigerem Level. Die Qualität der konkreten Malware mag sich verbessern können aber Qualitätssprünge sind ziemlich unwahrscheinlich.

Ansonsten: die besten Hacks erfolgen noch immer über Menschen und noch nicht über Technik, auch wenn die Technik aufholt. Aber da sind wir wohl auch anderer Meinung, obwohl gerade der konkrete Fall das eher bestätigt.
Und ich halte deine Meinung aus meiner Praxis-Erfahrung für komplett irrelevant, Case closed.

Re: Malware, Spyware, etc.

Posted: 24.08.2022, 07:54
by Richard
Das ist jetzt nicht wirklich Mal- oder Spyware aber ich wollte wegen einer Meldung nicht schon wieder einen neuen Thread aufmachen.

Der ehemalige Sicherheitschef von Twitter macht einige schwere Vorwürfe gegen Twitter (veraltete Server, angreifbare Betriebssysteme, ...). Twitter dementiert natuergemaess.

Quelle

Re: Malware, Spyware, etc.

Posted: 17.07.2023, 12:40
by giffi marauder
Ich hängs mal hier rein, obwohl es unter "Qualtitäsjournalismus" wahrscheinlich besser aufgehoben wäre:
Datenleck bei kritischer Google-Plattform, die bei Hackern beliebt ist
https://www.derstandard.at/story/300000 ... eliebt-ist
Die Datei ist klein, 313 Kilobyte, sie sollte eigentlich nie öffentlich werden. Aber Ende Juni landet sie im Internet. Es handelt sich um eine Liste mit 5.600 Namen, unter anderem von Mitarbeitern des US-Geheimdienstes NSA und deutscher Geheimdienste. Sie alle haben sich bei der IT-Sicherheitsplattform Virustotal registriert. Die meisten Online-Nutzer verirren sich kaum jemals dorthin, viele werden sie gar nicht kennen. Aber unter Hacking-Experten gilt sie als einer der wichtigsten und wohl auch kritischsten Dienste im Kampf gegen Cyberattacken.
Also ich kenne und nutze VirusTotal schon länger.
Bin ich jetzt ein Hacker oder gar vom Geheimdienst? :gruebel:

Wobei man dazusagen muss, dass man sich da "normalerweise" gar nicht anmelden muss,
also auch in besagter Datei nicht aufscheint.
Erst wenn man zusätzliche Funktionen nutzen will, ist dies erforderlich.

Re: Malware, Spyware, etc.

Posted: 17.07.2023, 16:24
by Richard
Btw, weil ich durch das Post den Thread wieder am Radar habe ...

Ich habe jetzt in letzter Zeit 2 x ein Fake mail von "amazon" bekommen, die mir ein tolles Geschenk versprachen wenn ich innerhalb von 5 Minuten ein paar Fragen beantworte.
Das machte ich mal (soweit waren da noch keine Daten von mir erforderlich).
Dann wollten sie noch Name, Adresse und - haha - Kreditkartendaten damit ich um 1,5 Euro dann ein neues iphone 14 bekomme ;).

Ganz so häufig scheinen diese Mails nicht zu sein sonst hätte man davon vermutlich was gelesen.
Hat hier noch jemand in letzter Zeit so ein aehnliches Fake Mail bekommen?
Das erste davon habe ich an Amazon geschickt (nicht geforwarded, sondern abgespeichert und als Attachment mitgeschickt, damit die ganze HEaderinfo mitgeht).