Ergebnis 1 bis 14 von 14

Thema: Malware-Traffic im DNS-over-HTTPS-Protokoll

  1. #1
    in Schwarz

    Moderator

    Avatar von LadyRavenous
    Registriert seit
    Dec 2016
    Ort
    hello world
    Beiträge
    2.558
    ngb:news Artikel
    79

    Malware-Traffic im DNS-over-HTTPS-Protokoll

    Klicke auf die Grafik für eine größere Ansicht 

Name:	hacker-2300772_960_720.jpg 
Hits:	6 
Größe:	192,7 KB 
ID:	54584

    Ein DDoS-Schadcode namens Godlua verbirgt seine Kommunikation mit dem Kommando-Sever durch das neue DNS-over-HTTPS (DoH) Protokoll. DoH ist schwer zu blockieren, da derselbe Port, 443, wie regulärer HTTPS-Traffic verwendet wird. Dadurch wird die Kommunikation von vielen Firewalls nicht entdeckt.

    Entdeckt wurde die Backdoor von der chinesischen Sicherheitsfirma Qihoo / 360 Netlab. Laut deren Angaben verwendet die Malware die Remote-Code-Execution-Lücke in Atlassians Confluence (CVE-2019-3396), um den DDoS-Bot zu installieren.

    Godlua ist in der Programmiersprache Lua geschrieben, die vor allem bei der Embedded-Entwicklung und als Skriptsprache bei der Entwicklung von Videospielen verwendet wird. Der Code hat zudem eine magische Zahl God.

    Godlua verwendent redundante Kommunikationswege, eine Kombination aus festen DNS Namen, Pastebin.com, GitHub.com und DNS TXT. HTTPS wird eingesetzt, um Dateien nachzuladen; über DoH wird der C2 Name geholt, um die Kommunikation zwischen Bot, Webserver und C2 abzusichern.
    Der Hardcoded C2 (d.heheda.tk bzw. img0.cloudappconfig.com) ist der Master. Als Backup wird der C2 auf Github (https://api.github.com/repos/helegedada/heihei) verwendet. In der zweiten Version der Backdoor sind die URLs zudem auf Github und Pastebin (https://pastebin.com/raw/vSDzq3Md) gespeichert. Nachdem die URl geholt und entschlüsselt wurde, wird start.png heruntergeladen, was der Lua bytecode ist. Der Bot wird in den Speicher geschrieben und führt die Stage-2 URL aus. Hier gibt es wieder zwei Versionen: Github und DoH. Nachdem die URL entschlüsselt wurde, wird ein run.png herunterladen, was wiederum Lua Bytecode ist. Dieser führt die Stage-3 URL aus, die im Lua Code fest steht (c.heheda.tk bzw. c.cloudappconfig.com).

    Bisher gibt es zwei Versionen der Backdoor. Die Version 201811051556 ist auf Linux spezialisiert und wird nicht weiter aktualisiert. 20190415103713 ~ 2019062117473 ist aktiv, wird verbessert und kann neben Linux auch auf Windows laufen.

    Weitere Informationen: https://blog.netlab.360.com/an-analy...a-backdoor-en/
    Für diesen Beitrag bedankt sich MSX
    "Das Internet? Gibts diesen Blödsinn immer noch?"
    Homer Simpson, Sicherheitsinspektor im Kernkraftwerk Springfield

    Hasenbraten-Rezepte

  2. #2
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.912
    ngb:news Artikel
    16

    Re: Malware-Traffic im DNS-over-HTTPS-Protokoll

    Für diesen Beitrag bedankt sich LadyRavenous
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  3. #3
    in Schwarz

    Moderator

    (Threadstarter)

    Avatar von LadyRavenous
    Registriert seit
    Dec 2016
    Ort
    hello world
    Beiträge
    2.558
    ngb:news Artikel
    79

    Re: Malware-Traffic im DNS-over-HTTPS-Protokoll

    Ich musste grad bei fefes Kommentar schmunzeln: https://blog.fefe.de/?ts=a3df4f20

    Ich habe um ehrlich zu sein auch nie groß verstanden, warum man DoH einsetzen will, aber hey...
    Für diesen Beitrag bedankt sich pspzockerscene
    "Das Internet? Gibts diesen Blödsinn immer noch?"
    Homer Simpson, Sicherheitsinspektor im Kernkraftwerk Springfield

    Hasenbraten-Rezepte

  4. #4
    Mitglied Avatar von c1i
    Registriert seit
    Jul 2013
    Ort
    ja
    Beiträge
    386

    Re: Malware-Traffic im DNS-over-HTTPS-Protokoll

    Liegt die ISPA also gar nicht so schlecht mit ihrer Nominierung: https://www.ispa.org.uk/ispa-announc...lain-nominees/

  5. #5
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.912
    ngb:news Artikel
    16

    Re: Malware-Traffic im DNS-over-HTTPS-Protokoll

    Nun gut die Technik selber ist ja nicht die Zentralisierung.
    Je nach Situation finde ich es nicht schlecht wenn die angefragten Domains nicht in jedem Log erscheinen.
    Das ganze über Cloudflare zu schicken ist natürlich in der Tat blöd und das Mozilla solche Schweinereien in den Firefox einbaut (und in den letzen 2 Jahren auch anderen so Mist) - ist halt schon eine freche Sache.
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  6. #6
    Bot #0384479 Avatar von BurnerR
    Registriert seit
    Jul 2013
    Beiträge
    4.011
    ngb:news Artikel
    1

    Re: Malware-Traffic im DNS-over-HTTPS-Protokoll

    Gibt es irgendwo eine Zusammenfassung @ firefox? Habe es nur am Rande verfolgt, nutze aber schon ewig firefox. Gute Alternativen? Chrome ja afaik nicht, die kooperieren ja jetzt sogar mit Ad-Anbietern oder?
    Verschleierung der Domain finde ich aber gut. Habe schon einige male auf einen VPN-Anbieter zurück gegriffen um zeitweilen die angesurften Domains zu verschleiern.

    Btw. das Argument der ISPA warum firefox böse ist: Sie verbessern Datenschutz bzw/ Privatssphäre und verhindern damit staatliche Regulierung..
    Mozilla – for their proposed approach to introduce DNS-over-HTTPS in such a way as to bypass UK filtering obligations and parental controls, undermining internet safety standards in the UK
    In dem Kontext ist das vielmehr als Lob zu sehen.
    Geändert von BurnerR (09.07.19 um 11:20 Uhr)

  7. #7
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.912
    ngb:news Artikel
    16

    Re: Malware-Traffic im DNS-over-HTTPS-Protokoll

    Das mit den alternativen ist in der Tat wohl so eine Sache... und auch eine Glaubensfrage.
    Ich finde den Edge durchaus gut (inzwischen - anfangs war er das durchaus nicht.)
    Die Beta für den Edge-Nachfolger auf Chromium-Basis ist ebenfalls schon sehr ausgereift - hier hat man zum teil eine tolle Intagration ins OS (einiges davon kommt aber erst noch - ist halt noch in Entwicklung - wie z.B. der High-Contrast-Mode auf den dann auch der Browser mit reagiert. Für den normalen Verbraucher unnötig aber für mich ein gutes Beispiel.)
    Ebenso kommt demnächst eine echt coole Recherge-Funktion bei der man Texte und Bilder in eine Art Sammlungsordner kopiert - dort wird dann nicht nur der Text sondern auch dessen Quelle vermerkt. Die ganze Mappe kann man dann mit anderen Teilen oder selber nutzen.

    Eine direkte Sammlung von "neuen Features" von Firefox ist mir leider nicht bekannt.
    was ich so im Kopf habe

    https://www.heise.de/newsticker/meld...h-3923349.html
    https://winfuture.de/news,104425.html
    https://www.theverge.com/2018/5/7/17...et-suggestions
    https://www.engadget.com/2019/05/03/...on-add-on-cert
    Für diesen Beitrag bedankt sich BurnerR
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  8. #8
    Mitglied Avatar von c1i
    Registriert seit
    Jul 2013
    Ort
    ja
    Beiträge
    386

    Re: Malware-Traffic im DNS-over-HTTPS-Protokoll

    Bin vor einiger Zeit kpl. auf Opera umgestiegen und vermisse nichts. Gut, fehlende Addons muss/kann man sich aus dem Chrome-Store installieren. Ist auf der einen Seite praktisch, aber kommt halt doch wieder was von Chrome rein. Eingebauter VPN mit unbegrenztem Traffic und solche Dinge sind schon recht angenehm. Der Opera hat sich in letzter Zeit ganz schön gemausert.

  9. #9
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.912
    ngb:news Artikel
    16

    Re: Malware-Traffic im DNS-over-HTTPS-Protokoll

    Und wie finanziert sich das vpn?
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  10. #10
    Mitglied Avatar von c1i
    Registriert seit
    Jul 2013
    Ort
    ja
    Beiträge
    386

    Re: Malware-Traffic im DNS-over-HTTPS-Protokoll

    Das musste schon die Entwickler fragen und nicht mich.

  11. #11
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.912
    ngb:news Artikel
    16

    Re: Malware-Traffic im DNS-over-HTTPS-Protokoll

    ne das würde ich mich halt fragen - weil verschenken tun die das nicht.... und ob es dann wirklich so ein großes Problem ist seine Daten an Google zu geben wenn man stat dessen sein Surfverhalten der Firma EasyVPN gibt weiß ich nicht so ganz
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  12. #12
    Mitglied Avatar von c1i
    Registriert seit
    Jul 2013
    Ort
    ja
    Beiträge
    386

    Re: Malware-Traffic im DNS-over-HTTPS-Protokoll

    Opera selbst schreibt dazu es sei ein No-Log-Service.

    Browser VPN. When you use our built-in VPN service, we do not log any information related to your browsing activity and originating network address.
    https://www.opera.com/de/privacy

  13. #13
    Brillenschlange Avatar von Kenobi van Gin
    Registriert seit
    Jul 2013
    Ort
    .\
    Beiträge
    2.630
    ngb:news Artikel
    1

    Re: Malware-Traffic im DNS-over-HTTPS-Protokoll

    Wäre halt dann schon ein Stück weit zu schön, um wahr zu sein. Seitdem Opera vor ein paar Jahren von irgendeiner chinesischen Firma übernommen wurde, traue ich dem Browser leider nicht mehr über den Weg. Inzwischen bin ich bei Vivaldi angekommen, nutze aber fast ebenso viel den Firefox. Unter Linux sowieso Firefox. Bin mit beiden zufrieden.

  14. #14
    Mitglied Avatar von c1i
    Registriert seit
    Jul 2013
    Ort
    ja
    Beiträge
    386

    Re: Malware-Traffic im DNS-over-HTTPS-Protokoll

    Nun, irgendwem muss man im Fall der Fälle immer vertrauen. Von daher... Zum einen habe ich noch nichts negatives über den Service hören/lesen können, zum anderen nutze ich den Service nicht für brisante Dinge. Im Grunde schalte ich den nur ein, wenn mir das surfen auf Seiten sonst nicht möglich ist oder erschwert wird. Falls ich mich gänzlich unsichtbar machen wollte, würde ich andere Dinge vorschalten.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •