CCC knackt Bundestrojaner, Chaos Computer Club analysiert Staatstrojaner Einstellungen

[markusg]

naja, viel was auch auf andere malware zutrifft, einiges wurde durch voyager wiederlegt, mit antiboot zb.
und naja, wenn man physischen zugriff auf den pc hatt ist es ja wohl klar das man machen kann was man will.

[NETacc.]

Quelle: http://www.heise.de/security/meldung/Antiv...er-1359833.html

Vieles davon ist mit Sicherheit nicht neu und lässt sich problemlos auf jegliche neue Malware übertragen. Leider wird in dem Artikel die Verhaltenserkennung eher beschmunzelt, als ernsthaft diskutiert. Ich bin mir sicher, dass Programme wie Mamutu die Installation verhindern können. Vorausgesetzt man bekommt ihn nicht unwissend beim Zoll per Fremdzugriff.

[Voyager]

@NETacc

Das ist unwesentlich ob ein Technologietransfer zwischen dem Sana Programm und Sonar besteht , wesentlich ist nur das Sonar Codeinjection prinzipiell erkennt und den Dropper daraufhin löscht. Du hast den anderen Teil nicht gelesen, ein Test war nicht machbar weil der Autoprotect auch ohne Signaturupdate (frische Installation) das Objekt immer gelöscht hatte (Clouderkennung) und Sonar ist separat nicht nutzbar wenn man den Autoprotect abstellt.

[NETacc.]

@Voyager
Ich habe dich da schon verstanden. Mir war nur nicht klar, warum Sonar zwangsläufig etwas erkennen muss, weil Antibot es tut. Daher meine Frage.

[Voyager]

Erfahrung , ich hab in der VM schon hunderte Sonar Erkennungen positiv getestet. Ich werds aber mal mit einer neuen frischen Installation probieren und dann mit blockiertem Netzwerk den Dropper starten . Der Dropper verwendet "anfänglich" kein Netzwerk um zu funktionieren, Sonar funktioniert dort aber nur eingeschränkt.

[Julian]

Danke für das Sample @ Voyager.

Das Ding ist echt armselig. Die Treiberdatei ist überhaupt nicht versteckt. Man muss sie nur ganz normal mit dem Explorer löschen und nach nem Neustart wars das.
Hallo? Gehts noch? Früher oder später muss doch jeder Idiot merken, wenn das Ding auf seinem System läuft. Was für ne Geldverschwendung...

[markusg]

vllt sollte das bka lieber leute kontaktieren die den tdss gemacht haben und in deren weiter entwicklung investieren

[Julian]

vllt sollte das bka lieber leute kontaktieren die den tdss gemacht haben und in deren weiter entwicklung investieren

In irgendeinem Artikel (Heise?) wurde auch ein AV-Analyst so scherzhaft zitiert.
Das Traurige ist: Da ist wohl was dran.

[M.Richter]

http://www.rokop-security.de/index.php?s=&...st&p=344014

"Dafür sei der Staatstrojaner im Vergleich zu krimineller Spähsoftware zu wenig aktiv und sein Verhaltensmuster eher untypisch. "Es gibt keine richtige Chance, sich gegen einen solchen zielgerichteten Angriff zur Wehr zu setzen", sagte Schmidt

Der Beitrag wurde von M.Richter bearbeitet: 12.10.2011, 19:24

[markusg]

jo @M.Richter
hier gehts ja wie gesagt um signaturen und es wurde kein programm mit vernünftiger verhaltensanalyse getestet.
auch die aufregung das einige hersteller erst n paar tage später nachziehen verstehe ich nicht, sie sollen doch lieber malware einbauen von der die menschen auch wirklich betroffen sind, wird ja wohl kaum passieren das die dropper und bestandteile des trojaners die jetzt so rumm fliegen im netz noch mal verwendet werden.
auch verstehe ich einen großen teil der aufregung sowieso nicht.
es sollte doch jedem klar sein, selbst wenn der deutsche staat nicht mit hört, haben viele andere interesse, deswegen, mail verkehr zb verschlüsseln, mit thunderbird, enicmail, und pgp sehr einfach möglich, wer machts, kaum einer.
außerdem geben wir zb seit jahren den usa zugriff auf finanztransaktionen ins nicht europäische ausland, also von eu in nicht eu staaten, und andere dinge, da krät kein hahn danach, aber einem trojaner der ne handvoll leute betrifft, da gibts dann so viel geschrei.
ich weis natürlich prinzipiell warum, aber ich denke dass es andere "austauschprogramme" gibt, über die man sich mehr sorgen machen könnte da mehr leute betroffen sind.

[Voyager]

Es geht ja auch weniger um diesen Trojaner , es geht hierbei ums Prinzip des offenen Verfassungsbruches des Staates . Sie durften nur bei Terrorverdächtigen "mithören" aber haben bei Wirtschaftskriminalität 60000 Bildschirmfotos gemacht, das sind 2 Verfassungsbrüche. Ganz davon zu schweigen das dieser Millionenaufwand gerichtlich nicht verwertbar war.

[M.Richter]

jo @M.Richter
hier gehts ja wie gesagt um signaturen und es wurde kein programm mit vernünftiger verhaltensanalyse getestet.
auch die aufregung das einige hersteller erst n paar tage später nachziehen verstehe ich nicht, sie sollen doch lieber malware einbauen von der die menschen auch wirklich betroffen sind, wird ja wohl kaum passieren das die dropper und bestandteile des trojaners die jetzt so rumm fliegen im netz noch mal verwendet werden.
auch verstehe ich einen großen teil der aufregung sowieso nicht.
es sollte doch jedem klar sein, selbst wenn der deutsche staat nicht mit hört, haben viele andere interesse, deswegen, mail verkehr zb verschlüsseln, mit thunderbird, enicmail, und pgp sehr einfach möglich, wer machts, kaum einer.
außerdem geben wir zb seit jahren den usa zugriff auf finanztransaktionen ins nicht europäische ausland, also von eu in nicht eu staaten, und andere dinge, da krät kein hahn danach, aber einem trojaner der ne handvoll leute betrifft, da gibts dann so viel geschrei.
ich weis natürlich prinzipiell warum, aber ich denke dass es andere "austauschprogramme" gibt, über die man sich mehr sorgen machen könnte da mehr leute betroffen sind.

ja, ich weiß markusg ich wollte das nur posten, weil der "Herr Schmidt" sagte Verhaltensanalyse würde nicht greifen, aber ich hier schon ein paar Beiträge zuvor gelesen und gesehen habe wie die Mamutu Software greift.

Ich mach mich auch nicht weiter verrückt ... bin aber gespannt was man die nächsten Tage noch so erfährt und veröffentlicht wird ist doch interessant

[markusg]

ich hätte vllt n absatz rein machen sollen, hatte mich nur gewundert warum das nochmal zitiert wurde.
@voyager mir ist klar worum es im prinzip geht, ich wollte nur aufzeigen das es sicher heut zu tage probleme gibt, die wesendlich mehr menschen betreffen, sei es abgleich von flug oder finanzdaten usw. darüber regt sich schon lange keine breite öffendlichkeit mehr auf, bzw interessiert es die meisten nicht, wie man im falle der verschlüsselten mail komunikation sieht, die jeder mit 1 2 handgriffen leicht bewerkstelligen könnte wenn er denn nur wollte.

[SLE]

Noch am Samstagvormittag erkannte kein einziges AV-Programm die Dateien als Gefahr.

Wenn eine Sache noch nicht bei den Herstellern ist zur Analyse - wo soll denn da die Signaturerkennung herkommen? Auch die Sache mit ihrer geringfügigen Änderung DOS - DoS ist viel zu undifferenziert geschrieben. Herumreiten auf der Panik von Heise.

Der Beitrag wurde von SLE bearbeitet: 12.10.2011, 20:03

[Voyager]

Erstaunlich ist aber doch eines, die Ermittler oder Programmierer des Bundestrojaner hatten ihre "Samples" schon seit 2009 bei Virustotal gegengetestet , diese Samples landeten kurze Zeit später auf den Tischen der AV Firmen . Diese hätten da schon die Möglichkeit einer Analyse gehabt, die Möglichkeit einer Signaturerstellung gehabt und die Möglichkeit der öffentlichen Information gehabt.

Aber nichts ist passiert ! bis letzte Woche waren die Samples des CCC völlig signaturlos.

Kommt das keinem spanisch vor ? Man sollte doch mal Emsi oder Fsecure daraufhin ansprechen die so große Töne gespuckt haben mit den Samples in den Händen .

Der Beitrag wurde von Voyager bearbeitet: 12.10.2011, 20:09

[markusg]

nein, nicht unbedingt.
ich habe zb manchmal samples aus 2010 oder 2009 gefunden die bei vt hochgeladen wurden, die hatten auch 2 jahre später nur unwesendlich mehr erkennungen.
du weist doch selbst was statistiken aussagen, 50000-70000 samples pro tag, davon wird natürlich nur nen bruchteil eingebaut.

[M.Richter]

Erstaunlich ist aber doch eines, die Ermittler oder Programmierer des Bundestrojaner hatten ihre "Samples" schon seit 2009 bei Virustotal gegengetestet , diese Samples landeten kurze Zeit später auf den Tischen der AV Firmen . Diese hätten da schon die Möglichkeit einer Analyse gehabt, die Möglichkeit einer Signaturerstellung gehabt und die Möglichkeit der öffentlichen Information gehabt.

Aber nichts ist passiert ! bis letzte Woche waren die Samples des CCC völlig signaturlos.

Kommt das keinem spanisch vor ? Man sollte doch mal Emsi oder Fsecure daraufhin ansprechen die so große Töne gespuckt haben mit den Samples in den Händen .

Verschwörung Verschwörung ... mich würde es aber echt mal interessieren!!! (Vorausgesetzt Emsi und Co hatten die Samples wirklich auch analysiert damals)

Der Beitrag wurde von M.Richter bearbeitet: 12.10.2011, 20:21

[Voyager]

@markusg

Da muss man eben systematisch vorgehen , nach einer Signaturerstellung den vorhandenen "Bestand" einmal durchscannen und was dann noch überbleibt weiterbearbeiten. Ausserdem gibt es auch automatisierte Systeme die das Sample auf Schadhaftigkeit hin untersuchen zb. camas.comodo.com oder Threatexpert, jeder große Laden wird da sicher sein eigenes System haben wo man die Dinger zu hundert pro Stunde maschinell prüfen kann .

[markusg]

aber warum sollte ich ein sample aus 2009 zb noch mal 2010 prüfen und einbauen das ist blödsinn.
jedes jahr steigen die zahlen der neu erstellten samples, da haben die bestimmt besseres zu tun als noch irgendwas aus 2009 einzubauen.
außerdem weis ich nicht ob alle hersteller wirklich so genaue analysen der samples vor nehmen wie man sie zb bei joebox etc sehen kann

[Voyager]

Das aber aber bringt uns nicht weiter, frag doch einfach mal deine Connections diese Frage