Gnahhh. Fnord.
Es ist so anstrengend Halbwissen hinterherzukorrigieren. Ich bitte höflichst um etwas mehr Recherche und Faktenwissen.
Sophie hat geschrieben:
@Dämon, es ist eigendlich egal auch welchen Seiten man unterwegs ist.
Das was Ist-Egal da beschrieben hat funktioniert auf allen Seiten, wo man z.B. Bilder Posten kann.
Klar. Ob eine Webseite Schadcode beinhaltet oder nicht, hängt nicht von ihrem Aussehen oder ihrem "
Millieu" ab. (Höchstens lassen sich Häufigkeitsverteilungen ableiten)
Sondern ganz einfach davon, ob entweder der Betreiber selbst, oder jemand, der eine Sicherheitslücke gefunden hat, dort seinen Schadcode abgelegt hat / verlinkt hat.
Sophie hat geschrieben:
Du hast einen gratis Webspace, auf den lädst du ein Bild und dazu eine .htacces (oder so ähnlich). Mit der machst du eine Umleitung auf ein Java-script (einen Drive-By-Download).
Jetzt Postest du dein Bild z.B. bei Facebook. Jetzt wird jeder, der auf die Seite mit deinem Bild geht im Hintergrund auf den Drive-By-Download umgeleitet.
Drei Sachen.
1. In Facebook lassen sich nur Bilder hochladen, nicht direkt verlinken. Diese Methode ist aber auf eine verlinkte Einbettung auf die Seite angewiesen.
Natürlich könnte man auch eine URL zum Bild posten, aber dann wäre die ganze Prozedur mit dem Rewrite durch .htaccess völlig sinnlos. Dann kann man direkt eine URL zu der Seite mit Schadcode posten.
2.
JavaScript und Java sind zwei fundamental unterschiedliche Dinge und haben nichts miteinander zu tun.
3. Drive-By Downloads in Java sind nur unter bestimmten Umständen ohne Bestätigung durch den Nutzer möglich.
In den letzten paar Monaten hatten zwei Versionen der Java Runtime zwei sehr schwerwiegende Sicherheitslücken, die selbstverständlich auch von vielen ausgenutzt wurden.
Das waren:
(CVE-2012-4681)
(CVE-2013-0422)
Das erlaubte es
ohne Bestätigung durch den User und
ohne Code-Signing-Zertifikat Code mit erhöhten Rechten auszuführen und somit den Rechner zu infizieren.
Normalerweise funktionieren Java-DriveBys aber eben NICHT so einfach. Dazu müssten entweder Zertifikate von großen Firmen gestohlen werden, die nach einiger Zeit revoked werden oder man muss darauf hoffen, dass der Benutzer zur Bestätigung den Knopf drückt.
Da Java in letzter Zeit zwei große Lücken hatte, würde ich dem Oracle Laden auch nicht mehr so wirklich vertrauen... wer weiß, wann die nächste kritische Lücke kommt?
Das Java-Plugin zu deaktivieren halte ich für eine akzeptable Lösung.
Aber Drive-Bys funktionieren nicht "einfach so" von Haus aus. Oracle hat in letzter Zeit viele schwere Fehler gemacht.
Sophie hat geschrieben:
Das ein Download gestartet wird, bekommt der User nicht mit.
Wie gesagt: Nur unter oben genannten Bedingungen. Wenn es zur Zeit keine neue bekannte Sicherheitslücke gibt und du kein teures Code-Signing-Zertigfikat hast, dann kommt eine fette Meldung, die der User erst bestätigen muss. Wer solche Prompts bestätigt, ist lebensmpde.
Sophie hat geschrieben:
Und wenn die Datei, die heruntergeladen wird "FUD" ist, bleibt auch jedes Antivierenprogram still.
Ach, wie ich diese Bezeichnungen wie "FUD" liebe.
Auf welchen Script-Kiddie-Foren bist du unterwegs?
hackforums?
Und dort schwirren ja auch die Bezeichnungen wie "Crypter", "Stub" usw. herum. Jeder kopiert sein Konzept von dem anderen und keiner weiß eigentlich so richtig, was er da macht.
Dabei wäre es so einfach, dass der eigene Trojaner nicht entdeckt wird: Selbst einen schreiben und dabei bekannte Heuristiken umgehen.
Sophie hat geschrieben:
Drive-By Funktioniert übrigens auch mit anderen Sprachen als Java, wie z.B. mit Php.
*MöööööööööP*, völlig falsch. PHP ist ein Hyptertext
Preprocessor. PHP arbeitet auf dem Server und gibt an den User nur eins zurück: Ganz normales HTML (oder alle möglichen content types, nach selbst festgelegten Regeln) . Es gibt keine aktiven Komponenten, wie etwa bei Java oder Flash. PHP arbeitet nur auf dem Server, nicht auf dem Client.
Sophie hat geschrieben:
Ich habe so eine Umleitung mal benutzt um ein paar Leute auf Bravo.de zu ärgern. Ich habe dort den Leuten vorgeschlagen, Tor zu benutzen, damit ihre IP's sicher bleiben.
Was haben Leute auf Bravo.de denn für ein Interesse ihre IP zu verstecken?
Haben die doch gar nicht nötig? Warum hast du das denen vorgeschlagen?
Sophie hat geschrieben: und die Tor-IP's in meiner Datenbank wurden jetzt immer mehr.
Du meinst die IPs der Clients. Gerade hast du doch gesagt, du hast die IPs von Leuten, die ohne TOR surfen, weil du es ihnen demonstrieren wolltest, wie man an die IP von anderen Leute kommen könnte?!
Bei TOR-Usern hättest du ja tatsächlich nur eine Liste von Exit-Nodes. Hast du deine IP-Liste mal danach geprüft?
Sophie hat geschrieben:
Bei einem Drive-By-Download, muss man sich auch nicht gleich einen Trojaner einfangen. Es kann auch erstmal ein Programm sein, dass eure Antivierensoftware erkennt und sie abschaltet (Process.kill) und hinterher das Virus herunter lädt. Dann mus so ein Virus nichtmal mehr (FUD) sein, weil auf dem Rechner ja nichts mehr läuft, was das erkennt.
Ja, und so eine dämliche Vorgehensweise kann ja nur aus einem Script-Kiddy-Forum kommen.
Kurz überlegen: Damit der
Prozesskiller überhaupt das AV "killen" kann, muss er selbst mindestens "FUD" sein. (rofl).
Aber, wenn der Prozesskiller "FUD" ist, warum macht man dann nicht gleich seinen Trojaner "FUD".
Das hätte den Vorteil, dass der User nichts mitbekommt. Denn es ist schon etwas suspekt, wenn die AV nicht mehr läuft.
(Mal ganz abgesehen davon, dass die meisten AVs Kerneltreiber laden, die das Abschießen der eigenen Prozesse verhindern)
Das ergibt also keinen Sinn, außer man hat keinen Plan, was man da eigentlich tut.
Sophie hat geschrieben:
Wo das nicht so einfach funktionier ist Bitdefender, das Program Startet Dateien und beobachtet was sie machen.
Alle HIPS machen das. Als ob Bitdefender da so einzigartig war. Norton hat ähnliche HIPS-Techniken verwendet, da hast du noch in die Windeln gemacht.
Sophie hat geschrieben:
Bitdefender läst sich aber auch austricksen, wenn das Programm nähmlich einfach die ersten zwei Minuten garnichts macht, dann erkennt auch Bitdefender keine gefahr.
Ja, da säuft nämlich der Emulator irgendwann ab. Die Phase des
Nichtstuns sollte allerdings nicht auf systemeigenen Zeitgebern (wie GetTickCount, QPC) basieren, oder auf Suspensionsroutinen wie Sleep(), WaitForSingleObject() usw.
Denn gute Emulatoren überspringen solche Suspensionen natürlich. Sicher fährt man, wenn der Trojaner anfangs sinnlose Berechnungen durchführt, bevor er die Installationsroutine für Persistenz startet.
Ach ja: Auch lustig, wie aus diesen Script-Kiddy-Foren keiner eine halbwegs sinnvolle Infektionsroutine für andere PEs gebastelt bekommt. Dabei wäre genaz das für Persistenz am effektivsten, anstatt das bloße droppen.
Sophie hat geschrieben:
Ich glaube, wenn man lernt sowas selber zu machen, dann lernt man auch sic vor sowas zu schützen. Aber dann weis man auch schnell, das es eben viel gibt wovor man sich als "normaler" Benutzer nicht schützen kann.
Es kommt schon darauf an, wie und wo man es lernt. Wer etwas über Medizin lernen will, der fängt am besten nicht in einer Praxis für Homöopathie an...
Und, wer ernsthaft etwas Sinnvolles über IT und Sicherheitstechnik lernen möchte, der hält sich fern von solchen Foren.
Wieso wirst du nicht Mitglied beim CCC? Dort gibt es wenigstens Leute, die Ahnung haben.