Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Closed TopicStart new topic
> G Data 2012 vs. Onlinebanking-Malware, kleiner Test des Browserplugins "Bankguard"
markus17
Beitrag 23.11.2011, 22:31
Beitrag #1



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.051
Mitglied seit: 15.10.2006
Mitglieds-Nr.: 5.448

Betriebssystem:
Win7 Prof. x64
Virenscanner:
GDATA TP 20xx
Firewall:
GDATA TP 20xx



Da sich ja schon ein paar gefragt haben, wie wohl das Bankingplugin von G Data arbeitet, habe ich das heute mal ausprobiert. Testkonfiguration:
- XP SP3 (virtuell)
- IE8 / Firefox (noch V4)
- G Data 2012 mit aktuellstem Softwarestand und Updatestand vom 29.10.2011 (also alt)
- und drei Samples:
Sample 1: zeusv2 - http://www.virustotal.com/file-scan/report...15c6-1322078226 - wurde vom AV per Signatur gelöscht
Sample 2: zeusv1 - http://www.virustotal.com/file-scan/report...e342-1322078233 - wurde vom AV per Verhaltensblocker gelöscht
Sample 3: laut mdl "trojan banker" ... was der auch immer genau macht wink.gif http://www.virustotal.com/file-scan/report...f6ed-1322078240 - wurde vom AV per Signatur gelöscht

Für meinen Test habe ich den Wächter, den Webschutz, den BB und die Firewall deaktiviert. Jedes Sample wurde einzeln in einer frischen VM gestartet mit folgendem Ergebnis...

Sample 1
Die Malware wurde ausgeführt und hatte kurz Zeit sich auszubreiten. Ich habe dann den Firefox gestartet und bin mal auf www.volksbank.at (btw: Bin kein VB-Kunde wink.gif) und dann kam bereits der erste Warnhinweis:
ZITAT
In Ihrem Browser wurde ein unbekannter Schädling
(Fingerprint: [9c17a0bd])
entdeckt.

Die Schadfunktionen wurden deaktiviert.

Trotzdem empfehlen wir Ihnen dringend, bis zur dauerhaften Entfernung des Schädlings keine Passwörter mehr im Browser einzugeben und insbesondere auf empfindliche Vorgänge, wie z.B. Online-Banking, zu verzichten.

Zur vollständigen Behebung des Sicherheits-Problems empfehlen wir, den Schädling mit der "G Data BootCD" zu entfernen. Sollte der Schädling wider Erwarten mit der BootCD nicht entfernt werden können: G Data arbeitet ständig mit Hochdruck an der Erkennung und Entfernung neuester Computer-Schädlinge und wird voraussichtlich innerhalb kürzester Zeit ein entsprechendes Update bereitstellen können.

Für weitere Informationen steht Ihnen der G Data Support zur Verfügung.

Ich hab den Browser dann mal zwischendurch geschlossen und neu geöffnet. Dieses mal kam dann folgende Meldung:
ZITAT
In Ihrem Browser wurde der Schädling
[ZeuS]
(Fingerprint: [9c17a0bd])
entdeckt.

Die Schadfunktionen wurden deaktiviert und der Schädling entfernt.

Um den Entfernungsprozess vollständig abzuschließen, ist ein Neustart des Rechners zwingend erforderlich!

Bitte starten Sie Ihren Rechner jetzt neu!

Ich habe wie aufgefordert die VM neu gestartet und nach kurzer Wartezeit wieder den Browser (IE und FF) geöffnet. Dieses mal kam keine Meldung mehr vom AV. Ob man beim Onlinebanking jetzt sicher ist, kann ich nicht sagen, denn so genau habe ich die VM nicht analysiert.

Sample 2:
Malware wurde ausgeführt -> Nach dem Start von Firefox und der Eingabe von volksbank.at kam wieder wie bei Sample 1 eine Meldung:
http://666kb.com/i/byx8insiun58fnks7.png (diesmal ein Screenshot)
Beim zweiten Start vom Browser kam wiederum wie bei Sample 1 die Meldung mit der Bitte um Neustart (nur ohne [zeus]). Nach einem Neustart war Ruhe und G Data hat nichts mehr gemeldet.

Sample 3
Nach einem Doppelklick auf das Sample wurde als erstes eine enable.exe entpackt... danach passierte nichts, also habe ich die mal ausgeführt. Es tauchten daraufhin eine start und eine wab.exe im Verzeichnis aus. Es wurde wieder still in der VM, also habe ich mal ein paar Bankenseiten im Browser (IE/FF) geöffnet, aber es kam keine Meldung von G Data. Es lief auch laut Windows-Taskmanager kein verdächtiger Prozess im Hintergrund. Daraufhin habe ich die VM neugestartet und einen weiteren Versuch gewagt. Es wurde wieder nichts gemeldet, daher gehe ich davon aus, dass die Malware entweder nicht funktioniert hat oder nicht geblockt wurde. Als dritte Möglichkeit bleibt noch, dass es sich um keinen Onlinebanking-Trojaner handelt. smile.gif

Allgemeine Info:
- Es hat keinen Unterschied gemacht, ob ich nach dem Ausführen der Samples einen Neustart gemacht habe oder nicht.
- Nach der Bitte von G Data um einen Neustart kam weder im IE noch im Firefox eine Meldung, wenn ich diverse Seiten von Banken geöffnet habe.
- Die Funde vom Bankingplugin scheinen nicht im Log von G Data auf. (da könnte man etwas dagegen machen smile.gif)

Der Beitrag wurde von markus17 bearbeitet: 23.11.2011, 22:32
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 24.11.2011, 10:45
Beitrag #2



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.701
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
F-Secure
Firewall:
F-Secure



netter test, danke. wäre interessant gewesen da noch einmal tiefer im system nachzuschauen, was da wirklich abläuft. ich halte von solchen plugins generell nichts, da gibt es viel sicherere und komfortablere lösungen. egal wie gut das teil von gdata auch sein mag oder auch nicht. es suggeriert häufig narrenfreiheit. im prinzip reicht der wächter aber auch aus.
für mich sind das reinste marketing-module. du schreibst ja selbst vom wächter bzw. vb erkannt. was macht da noch den unterschied aus?
Go to the top of the page
 
+Quote Post
scu
Beitrag 24.11.2011, 11:15
Beitrag #3



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.191
Mitglied seit: 07.08.2007
Mitglieds-Nr.: 6.352
Virenscanner:
G DATA



Es ist halt noch ein zusätzlicher Schutz. In der Regel decken neue Module doch immer gewisse Lücken noch besser ab (egal ob Wächter, Mailschutz, Webschutz, Verhaltensüberwachung, etc.). Erst die Kombination gewisser Module bringt den gewünschten Schutz.
Früher hat auch die reine Virensuche mit Signaturen (ohne die oben genannten Module) noch gereicht. Heute ist das leider etwas anders.

Hier etwas Aktuelles zum Thema G Data BankGuard:
http://www.gdata.de/ueber-g-data/pressecen...cht-online.html
Go to the top of the page
 
+Quote Post
SLE
Beitrag 24.11.2011, 11:31
Beitrag #4



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(Schattenfang @ 24.11.2011, 10:44) *
du schreibst ja selbst vom wächter bzw. vb erkannt. was macht da noch den unterschied aus?

... Das Ding soll ja gerade dann helfen wenn der Wächter noch nichts erkennt.
Markus hat ja nur seine Testfiles beschrieben und auch erklärt wie er den Wächter deshalb stummschaltet. Geht i.d.R. nicht anders bei Tests von proaktiven Komponenten die schon per Sig. erkannt werden.

Hier bei HEISE wird das Prinzip (dll caching & Vergleich) kurz erklärt.



--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 24.11.2011, 11:42
Beitrag #5



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.701
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
F-Secure
Firewall:
F-Secure



ZITAT(SLE @ 24.11.2011, 11:30) *
Hier bei HEISE wird das Prinzip (dll caching & Vergleich) kurz erklärt.

meiner meinung nach würde eine vernünftige sandboxtechnologie mehr sinn machen. ob die dll nun auf dem System zunächst unverändert bleibt spielt ja keine rolle, sie muss trotzdem ausgeführt werden. speicherzugriff und so...
Go to the top of the page
 
+Quote Post
markusg
Beitrag 24.11.2011, 15:01
Beitrag #6



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.300
Mitglied seit: 11.02.2009
Mitglieds-Nr.: 7.357



warum nicht mit spyeye getestet?
denke das währe interessant da davon viele betroffen sind
Go to the top of the page
 
+Quote Post
markus17
Beitrag 24.11.2011, 18:21
Beitrag #7


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.051
Mitglied seit: 15.10.2006
Mitglieds-Nr.: 5.448

Betriebssystem:
Win7 Prof. x64
Virenscanner:
GDATA TP 20xx
Firewall:
GDATA TP 20xx



@markusg
Die verwendeten Malware URLs waren tagesaktuell. Leider war kein Spyeye Trojaner dabei und die 2-3 Wochen alten Links, die ich gefunden habe, wollten irgendwie nicht. Ich werde aber noch einmal Ausschau nach einem Sample halten.

Ich war allerdings überrascht, dass zwei von drei per Signatur erkannt wurden, denn G Data wurde ~ 1 Monat lang nicht aktualisiert. Bei den Zeus Trojanern ist aber wie schon in einem anderen Thread erwähnt, der Verhaltensblocker von G Data recht gut. Der löscht sie immer sehr zuverlässig. smile.gif

Go to the top of the page
 
+Quote Post
markus17
Beitrag 24.11.2011, 19:23
Beitrag #8


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.051
Mitglied seit: 15.10.2006
Mitglieds-Nr.: 5.448

Betriebssystem:
Win7 Prof. x64
Virenscanner:
GDATA TP 20xx
Firewall:
GDATA TP 20xx



Sorry für den Doppelpost. Heute hat ein älterer Link von Spyeye funktioniert, wobei das Malwarefile ebenfalls wieder via Signatur erkannt wurde. Ich habe wie oben G Data so gut wie deaktiviert und das Verhalten war identisch zu den Zeus-Samples. Nach dem zweiten Start vom Browser kam eine Meldung, dass die Malware entfernt wurde, nur dass dieses mal [Spyeye] dabei stand.

Mich wundert es aber irgendwie, dass die "Malware entfernt, bitte neustarten"-Meldung immer erst bei einem zweiten Browserstart kommt. confused.gif
Go to the top of the page
 
+Quote Post
Habakuck
Beitrag 24.11.2011, 22:09
Beitrag #9



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.607
Mitglied seit: 17.02.2009
Mitglieds-Nr.: 7.363



ZITAT(Schattenfang @ 24.11.2011, 12:41) *
meiner meinung nach würde eine vernünftige sandboxtechnologie mehr sinn machen.
Sandboxing hilft dir gegen Keylogger erstmal garnicht!
Während der Session kann der logger fleißig alles mitschneiden.
Und beiSandkisten die nicht nach jedem Neustart umgepflügt werden sogar so lange bis die sandkiste mal wieder frisch gemacht wird.


--------------------
"If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 24.11.2011, 22:19
Beitrag #10



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.701
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
F-Secure
Firewall:
F-Secure



ZITAT(Habakuck @ 24.11.2011, 22:08) *
Während der Session kann der logger fleißig alles mitschneiden.

aha, und wie genau soll der prozess in der sandbox starten?
Go to the top of the page
 
+Quote Post
Habakuck
Beitrag 24.11.2011, 22:25
Beitrag #11



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.607
Mitglied seit: 17.02.2009
Mitglieds-Nr.: 7.363



ZITAT(Schattenfang @ 24.11.2011, 23:18) *
aha, und wie genau soll der prozess in der sandbox starten?

Wie jeder andere auch.


--------------------
"If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 24.11.2011, 22:26
Beitrag #12



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.701
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
F-Secure
Firewall:
F-Secure



also bei mir ist definiert, welche prozesse starten dürfen und welche verzeichnisse auf "read only" stehen.
Go to the top of the page
 
+Quote Post
Habakuck
Beitrag 24.11.2011, 22:37
Beitrag #13



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.607
Mitglied seit: 17.02.2009
Mitglieds-Nr.: 7.363



ZITAT(Schattenfang @ 24.11.2011, 23:25) *
also bei mir ist definiert, welche prozesse starten dürfen und welche verzeichnisse auf "read only" stehen.

Gut, dass wird keylogger die du im Brwoser läds blocken, das ist richtig.


--------------------
"If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein
Go to the top of the page
 
+Quote Post
SLE
Beitrag 24.11.2011, 22:53
Beitrag #14



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



Wenn nur der Browser starten darf - sind Keylogger funktionsunfähig. Natürlich nur, wenn nicht schon auf dem System aktiv sind.
Daneben gibt es weitere Rechtebeschränkungen, viel KeyLogger benötigen Treiber, die sie in der Sandbox nicht installieren können etc..

Für Sandboxie hat es Tzuk hier ganz gut erklärt.
Daneben kommt es auch immer darauf an, über welchen Prozess die Daten gesendet werden sollen. Streng genommen hab ihr also beide Unrecht.

Eine gescheite HIPS/BB Lösung sollte aber in der Lage sein das laden manipulierter dlls zu erkennen. Da muss man dann den Leuten nicht noch extra ~20€ aus der Tasche ziehen.

Der Beitrag wurde von SLE bearbeitet: 24.11.2011, 22:54


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 25.11.2011, 10:39
Beitrag #15



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.701
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
F-Secure
Firewall:
F-Secure



ZITAT(SLE @ 24.11.2011, 22:52) *
Daneben kommt es auch immer darauf an, über welchen Prozess die Daten gesendet werden sollen.

in einer entsprechend gut konfigurierten sandbox geht das risiko gegen null, dass ein keylogger alle mechanismen umgehen kann um mitzuschreiben. außer er ist schon vorher auf der platte, aber dann kann auch ein simpler abgleich wie der von gdata wenig anrichten.

die testergebnisse von markus17 generieren nicht gerade vertrauen in diesem sensiblen thema. eine schmalspur-technologie wird da auch kaum weiterhelfen. mit einer vernünftigen sandbox könnte man sich das ganze sparen.

aber gut, das ist hier auch nicht das thema. die meisten hier können differenzieren, aber andere sind solchen tools mehr oder weniger ausgeliefert. fehlendes wissen war schon immer die grundlage für abhängigkeit. schade nur, dass man sowas dann auch ausnutzen muss. aber das machen panda und co nicht anders. eine sandbox und eine virtuelle tastatur wären in meinern augen der bessere weg gewesen, aber das entscheide nicht ich. vielleicht gut so ph34r.gif
Go to the top of the page
 
+Quote Post
markusg
Beitrag 25.11.2011, 13:16
Beitrag #16



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.300
Mitglied seit: 11.02.2009
Mitglieds-Nr.: 7.357



na dann würd ich mir lieber nen cardreader mit tastatur hohlen, ich persönlich halte das für sicherer als virtuelle tastaturen. aber ich glaub das hatten wir an anderer stelle schon mal :-)
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 25.11.2011, 13:34
Beitrag #17



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.701
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
F-Secure
Firewall:
F-Secure



ZITAT(markusg @ 25.11.2011, 13:15) *
na dann würd ich mir lieber nen cardreader mit tastatur hohlen, ich persönlich halte das für sicherer als virtuelle tastaturen.

jo, meinetwegen auch das. oder einfach mal wieder zu fuss zur bank laufen. tut auch gut hab ich mal gehört lmfao.gif
diese blöden zusatzabbuchungen wegen der zuschickung der nicht abgeholten kontoauszüge hasse ich eh wie die pest. als ob ich das nicht auch online sehen würde...
Go to the top of the page
 
+Quote Post
markusg
Beitrag 25.11.2011, 18:57
Beitrag #18



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.300
Mitglied seit: 11.02.2009
Mitglieds-Nr.: 7.357



ja, da hast du recht.
:-) aber da wir grad über technische möglichkeiten reden wollte ich das zur bank gehen einfach mal außer acht lassen :p
Go to the top of the page
 
+Quote Post
markusg
Beitrag 25.11.2011, 18:58
Beitrag #19



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.300
Mitglied seit: 11.02.2009
Mitglieds-Nr.: 7.357



@markus17
wo hast du denn nach spyeye gesucht auf dem spyeye tracker? da gibts eig genug urls
Go to the top of the page
 
+Quote Post
markus17
Beitrag 26.11.2011, 18:27
Beitrag #20


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.051
Mitglied seit: 15.10.2006
Mitglieds-Nr.: 5.448

Betriebssystem:
Win7 Prof. x64
Virenscanner:
GDATA TP 20xx
Firewall:
GDATA TP 20xx



Ich habe nur die URLs der MDL verwendet, da man hier nach einem Malwaretyp suchen kann.
Go to the top of the page
 
+Quote Post

Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 15:54
Impressum