• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Netzwelt] Supertrojaner Project-Sauron entdeckt

Sicherheitsforscher haben einen Schädling entdeckt der sich seit mindestens 5 Jahren unerkannt auf diversen Computersystemen befindet. Darunter befinden sich Systeme von Behörden, Banken, Militärnetwerke und Forschungseinrichtungen in Ländern wie z. B. China, Schweden, Belgien und Russland.

Der Schädling der von Kaspersky den Namen Project-Sauron erhalten hat, verbreitet sich über USB-Sticks und kann hierbei Schutzmechanismen umgehen. Project-Sauron besteht aus 50 Modulen, die je nach Bedarf an das betreffende Ziel angepasst werden können. Zudem erfolgt die Steuerung über immer wieder wechselnde IP-Adressen. Dies hat zur folge, dass der Schädling schwer zu entdecken ist, da kein bestimmtest Muster erkennbar ist.

Kasperksy geht davon aus, dass die Entwicklung von Project-Sauron mehrere Millionen Dollar gekostet haben muss. Es liegt daher nahe, dass z. B. Geheimdienste an der Entwicklung beteiligt waren. Kaspersky hat daher den Schädling als Advanced Persistent Threat eingestuft. Aktuell sind 30 Kompromittierungen bekannt. Es wird aber davon ausgegangen, dass die Dunkelziffer deutlich höher sein wird.

Quelle: wired.de
 

Pleitgengeier

offizielles GEZ-Haustier

Registriert
14 Juli 2013
Beiträge
7.370
Ort
127.0.0.1
Die Liste betroffener Länder lässt - zusätzlich zu den Erfahrungen der Vergangenheit - leicht erraten wer der U(h)rheber ist... :rolleyes:
 

Seedy

A.C.I.D

Registriert
13 Juli 2013
Beiträge
22.571
Lol und unsere bekommen nicht mal nen gescheiten Bundestrojaner auf die Beine :T
 

SirCrocodile

Neu angemeldet

Registriert
20 Apr. 2015
Beiträge
10
Vielleicht steckt aber auch gerade die BRD dahinter. Um den Verdacht von sich zu lenken stellen sie sich nur mit ihren Bundestrojaner-Pannen als inkompetente Tölpel dar.
Die Liste der potentiellen Entwickler ist jedoch lang. Das können fast alle sein: USA, Russland, China, Nordkorea, Frankreich, England, Kanada, Deutschland..
Auch wenn ein paar in den letzten Jahren häufiger in Erscheinung getreten sind, wäre es paradox anzunehmen, dass andere nicht das gleiche Spiel treiben.
 

SirCrocodile

Neu angemeldet

Registriert
20 Apr. 2015
Beiträge
10
Opfer in Russland und im Iran würde wahrscheinlich eher auf eine US Aktion hindeuten. Nichts desto trotz würde ich keine vorschnelle Schlüsse ziehen.
 

Novgorod

ngb-Nutte

Registriert
14 Juli 2013
Beiträge
3.055
eine verbreitung über USB-sticks ist doch eine garantie dafür, entdeckt zu werden (was macht denn bloß die autorun.inf auf dem FAT32-laufwerk?) :confused:.. für ein hacker-kollektiv vom kaliber eines ami-geheimdienstes ist so ein vorgehen mindestens fahrlässig und überhaupt recht dämlich, wo sie doch alle MS-backdoors dieser welt nutzen können :confused:..
 

Trabant

Neu angemeldet

Registriert
12 Sep. 2015
Beiträge
422
Ruanda? Was gibt es da so wichtiges zu erschnüffeln?
 

Rakorium-M

NGBler

Registriert
14 Juli 2013
Beiträge
413
@Novgorod

Der Trojaner nutzt nicht die klassische USB-Verbreitung (die wohl auch zu auffällig wäre), sondern nutzt USB-Sticks, um Daten aus System abzuziehen, die nicht am Internet hängen. Der Original-Report ist da etwas detailreicher:
The ProjectSauron toolkit contains a special module designed to move data from air-gapped networks to Internet-connected systems. To achieve this, removable USB devices are used. Once networked systems are compromised, the attackers wait for a USB drive to be attached to the infected machine.

These USBs are specially formatted to reduce the size of the partition on the USB disk, reserving an amount of hidden data (several hundred megabytes) at the end of the disk for malicious purposes. This reserved space is used to create a new custom-encrypted partition that won’t be recognized by a common OS, such as Windows. The partition has its own semi-filesystem (or virtual file system, VFS) with two core directories: ‘In’ and ‘Out’.
Wie genau die Infektion abläuft ist nicht klar, da kein entsprechender Code gefunden wurde.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
Viren, Trojaner etc. sind das aktuell kostengünstigste und mit weitem Abstand beste Mittel der Kriegsführung...
Der Urheber kann in keinster Weise nachgewiesen oder belegt werden - die Vermutungen die immer durch die Presse gehen sind genau das ... Vermutungen.
Der "Code" / die "Methoden" sehen denen ähnlich die typischerweise Land x,y,z benutzen. Und wenn man möchte das genau das Land den schwarzen Peter bekommt dann tut man was?

Über div. Relays lässt sich auch die Datenspur ohne Probleme beliebig legen / verwischen.

USB ist in vielen Firmen weit weniger geschützt als div. andere Wege. Auch das Patchen der Systeme Zeitnah geschehen soll hat sich schon recht weit rumgesprochen.
Ein USB-Stick am besten noch mit Firmenlogo der auf dem Parkplatz liegt wird gerne mal in den PC gesteckt. Wenn man dann keine passende Portcontrole hat ist der PC infiziert.
Auch hängen wichtige Systeme nicht zwingend an zugreifbaren Netzen....
 

Novgorod

ngb-Nutte

Registriert
14 Juli 2013
Beiträge
3.055
USB ist in vielen Firmen weit weniger geschützt als div. andere Wege.

wenn du einen post über dir liest, wirst du sehen, dass der trojaner USB nicht zur infektion nutzt (eine autorun.inf wäre zu auffällig, wie schon mehrmals gesagt wurde), sondern ausschließlich zum datentransfer zwischen bereits infizierten rechnern.. wie ein rechner mit airgap ohne autorun.inf (und vermeintlich ohne bösewicht-insider) infiziert werden soll, will aber niemand verraten :)..
 

virtus

Gehasst

Registriert
24 Apr. 2015
Beiträge
1.689
Ort
AUF DEM MOND
USB ist in vielen Firmen weit weniger geschützt als div. andere Wege. Auch das Patchen der Systeme Zeitnah geschehen soll hat sich schon recht weit rumgesprochen.
Ein USB-Stick am besten noch mit Firmenlogo der auf dem Parkplatz liegt wird gerne mal in den PC gesteckt. Wenn man dann keine passende Portcontrole hat ist der PC infiziert.
Auch hängen wichtige Systeme nicht zwingend an zugreifbaren Netzen....

du brauchst doch keine autorun.inf sondern nur eine urlaubsbilder.exe ....

Da der Trojaner schon seit langem aktiv ist, ohne entdeckt worden zu sein, schätze ich, dass die Infektion von Angreifer selbst (Agent) durchgeführt wurde.
USB-Sticks lassen sich durch manipulierte Firmware auch sowohl als Eingabegerät, als auch als Festplatte nutzen. Das angegriffene System erkennt also z.B. eine Tastatur und einen Speicherstick. Der Treiber sorgt anschließend dafür, dass die "Tastatur" die benötigten Eingaben tätigt, um die Malware zu übertragen und ggf. auszuführen.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
jo - ist ganz lustig... habe so dem Vorstand in einer Vorführung Mails aus Outlook abgezogen als er am Klo war ;D (mit ankündigung und erlaubnis natürlich)
 

Novgorod

ngb-Nutte

Registriert
14 Juli 2013
Beiträge
3.055
@drfuture: eine exe-datei mit "unverfänglichem" namen sollte selbst bei DAUs mittlerweile die alarmglocken läuten lassen, das sollte nach 25 jahren nun auch bei denen angekommen sein ;).. zudem wäre es noch auffälliger und bedarf eines aktiven user-eingriffs, während die autorun.inf zumindest mit standardeinstellungen und ohne virenscanner automatisch startet.. wobei letzteres auch immer unwahrscheinlicher wird: ich nutze seit vielen jahren eine USB-platte mit truecrypt-container und autorun.inf, die auf eine mount.bat zeigt (damit die passwort-aufforderung "automatisch" kommt) - diese festplatte hatte ich schon an sehr vielen rechnern dran und kein einziger hat bisher die autorun.inf ausgeführt und in vielen fällen kam noch UAC dazwischen ;) - also autorun-USB-sticks halte ich mittlerweile für einen mythos aus vor-XP-zeiten...

das mit dem tastaturtreiber muss ein sehr gezielter angriff sein (kenntnis über das OS und die momentane konfiguration) und natürlich muss dafür der präparierte stick eingeschleust werden.. insbesondere kann sich der virus nicht auf diese weise "verbreiten", weil eben nur jener eine stick dieses "easteregg" hat..
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
Du musst nur wissen ob Windows oder Linux, der Rest geht über allgemein gültige Tasten Kürzel....

Und Nein, auch nach 25 Jahren funktioniert das ohne Probleme...
 

Pleitgengeier

offizielles GEZ-Haustier

Registriert
14 Juli 2013
Beiträge
7.370
Ort
127.0.0.1
also autorun-USB-sticks halte ich mittlerweile für einen mythos aus vor-XP-zeiten...
In meiner Schule hat sich damals so einer heftig ausgebreitet - aber nur bei Windows-usern.
Das war 2008, als gerade die meisten von XP auf 7 wechselten, ein paar Wochen später begann dann das gratis Antivir, den Autostart zu blockieren und die Dateien zu scannen.
 

Dieter85

Neu angemeldet

Registriert
14 Juli 2013
Beiträge
2.353
Ein Code sie zu knechten, sie alle zu finden, ins Dunkel...
Ich wette die Hacker nutzt die Hälfte ihrer Zeit, um sich bedrohlich Namen auszudenken.

So wie ich das verstanden habe installiert ein infizierter Rechner auf einem USB-Stick geheime, verschlüsselte Malware. Steckt man den USB-Stick in einen anderen Rechner, der nicht am Netz hängt, wird auch dieser infiziert. Um ihn dann (möglicherweise per Zero-Day-Lücke) zu kontrollieren. Und dann konnten sie Daten von dem Computer per USB-Stick entwenden?

Finde nur ich das als Laie sehr clever oder ist das schon länger Standard in der Branche?
 

Novgorod

ngb-Nutte

Registriert
14 Juli 2013
Beiträge
3.055
nein, die zeiten des USB-stick-reinstecken sind schon lange vorbei, da sind die standardeinstellungen von win7+ zu restriktiv und die chance erwischt zu werden zu hoch.. eine tatsächlich gut versteckte infektion über ein air-gap geht entweder über einen insider oder auf gut glück mit präparierten dateien, die drittsoftware exploiten sollen (z.b. exploits in word/excel/powerpoint-dateien etc.).. aber auch das macht nur sinn für gezielte angriffe auf bestimmte rechner, weil man wissen oder ahnen muss, welche art von dateien überhaupt auf einen air-gap rechner per stick gelangen (stuxnet lässt güßen) und es müssen exploits in genau der software gefunden werden, die zudem noch admin/systemrechte am UAC vorbei bekommen können (bei air-gap rechnern kann man ja davon ausgehen, dass sie restriktiver eingestellt sind als normale büro-rechner, sonst wären sie ja nicht vom netz getrennt)..
 
Oben