• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Technik] Malware-Traffic im DNS-over-HTTPS-Protokoll

hacker-2300772_960_720.jpg

Ein DDoS-Schadcode namens Godlua verbirgt seine Kommunikation mit dem Kommando-Sever durch das neue DNS-over-HTTPS (DoH) Protokoll. DoH ist schwer zu blockieren, da derselbe Port, 443, wie regulärer HTTPS-Traffic verwendet wird. Dadurch wird die Kommunikation von vielen Firewalls nicht entdeckt.

Entdeckt wurde die Backdoor von der chinesischen Sicherheitsfirma Qihoo / 360 Netlab. Laut deren Angaben verwendet die Malware die Remote-Code-Execution-Lücke in Atlassians Confluence (CVE-2019-3396), um den DDoS-Bot zu installieren.

Godlua ist in der Programmiersprache Lua geschrieben, die vor allem bei der Embedded-Entwicklung und als Skriptsprache bei der Entwicklung von Videospielen verwendet wird. Der Code hat zudem eine magische Zahl God.

Godlua verwendent redundante Kommunikationswege, eine Kombination aus festen DNS Namen, Pastebin.com, GitHub.com und DNS TXT. HTTPS wird eingesetzt, um Dateien nachzuladen; über DoH wird der C2 Name geholt, um die Kommunikation zwischen Bot, Webserver und C2 abzusichern.
Der Hardcoded C2 (d.heheda.tk bzw. img0.cloudappconfig.com) ist der Master. Als Backup wird der C2 auf Github (https://api.github.com/repos/helegedada/heihei) verwendet. In der zweiten Version der Backdoor sind die URLs zudem auf Github und Pastebin (https://pastebin.com/raw/vSDzq3Md) gespeichert. Nachdem die URl geholt und entschlüsselt wurde, wird start.png heruntergeladen, was der Lua bytecode ist. Der Bot wird in den Speicher geschrieben und führt die Stage-2 URL aus. Hier gibt es wieder zwei Versionen: Github und DoH. Nachdem die URL entschlüsselt wurde, wird ein run.png herunterladen, was wiederum Lua Bytecode ist. Dieser führt die Stage-3 URL aus, die im Lua Code fest steht (c.heheda.tk bzw. c.cloudappconfig.com).

Bisher gibt es zwei Versionen der Backdoor. Die Version 201811051556 ist auf Linux spezialisiert und wird nicht weiter aktualisiert. 20190415103713 ~ 2019062117473 ist aktiv, wird verbessert und kann neben Linux auch auf Windows laufen.

Weitere Informationen: https://blog.netlab.360.com/an-analysis-of-godlua-backdoor-en/
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
Nun gut die Technik selber ist ja nicht die Zentralisierung.
Je nach Situation finde ich es nicht schlecht wenn die angefragten Domains nicht in jedem Log erscheinen.
Das ganze über Cloudflare zu schicken ist natürlich in der Tat blöd und das Mozilla solche Schweinereien in den Firefox einbaut (und in den letzen 2 Jahren auch anderen so Mist) - ist halt schon eine freche Sache.
 

BurnerR

Bot #0384479

Registriert
20 Juli 2013
Beiträge
5.504
Gibt es irgendwo eine Zusammenfassung @ firefox? Habe es nur am Rande verfolgt, nutze aber schon ewig firefox. Gute Alternativen? Chrome ja afaik nicht, die kooperieren ja jetzt sogar mit Ad-Anbietern oder?
Verschleierung der Domain finde ich aber gut. Habe schon einige male auf einen VPN-Anbieter zurück gegriffen um zeitweilen die angesurften Domains zu verschleiern.

Btw. das Argument der ISPA warum firefox böse ist: Sie verbessern Datenschutz bzw/ Privatssphäre und verhindern damit staatliche Regulierung..
Mozilla – for their proposed approach to introduce DNS-over-HTTPS in such a way as to bypass UK filtering obligations and parental controls, undermining internet safety standards in the UK
In dem Kontext ist das vielmehr als Lob zu sehen.
 
Zuletzt bearbeitet:

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
Das mit den alternativen ist in der Tat wohl so eine Sache... und auch eine Glaubensfrage.
Ich finde den Edge durchaus gut (inzwischen - anfangs war er das durchaus nicht.)
Die Beta für den Edge-Nachfolger auf Chromium-Basis ist ebenfalls schon sehr ausgereift - hier hat man zum teil eine tolle Intagration ins OS (einiges davon kommt aber erst noch - ist halt noch in Entwicklung - wie z.B. der High-Contrast-Mode auf den dann auch der Browser mit reagiert. Für den normalen Verbraucher unnötig aber für mich ein gutes Beispiel.)
Ebenso kommt demnächst eine echt coole Recherge-Funktion bei der man Texte und Bilder in eine Art Sammlungsordner kopiert - dort wird dann nicht nur der Text sondern auch dessen Quelle vermerkt. Die ganze Mappe kann man dann mit anderen Teilen oder selber nutzen.

Eine direkte Sammlung von "neuen Features" von Firefox ist mir leider nicht bekannt.
was ich so im Kopf habe

https://www.heise.de/newsticker/mel...irefox-Mozilla-entschuldigt-sich-3923349.html
https://winfuture.de/news,104425.html
https://www.theverge.com/2018/5/7/17326184/firefox-ads-sponsored-content-pocket-suggestions
https://www.engadget.com/2019/05/03/firefox-extension-add-on-cert
 

one

Querulant

Registriert
21 Juli 2013
Beiträge
5.841
Ort
ja
Bin vor einiger Zeit kpl. auf Opera umgestiegen und vermisse nichts. Gut, fehlende Addons muss/kann man sich aus dem Chrome-Store installieren. Ist auf der einen Seite praktisch, aber kommt halt doch wieder was von Chrome rein. Eingebauter VPN mit unbegrenztem Traffic und solche Dinge sind schon recht angenehm. Der Opera hat sich in letzter Zeit ganz schön gemausert.
 

one

Querulant

Registriert
21 Juli 2013
Beiträge
5.841
Ort
ja
Das musste schon die Entwickler fragen und nicht mich. :D
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
ne das würde ich mich halt fragen - weil verschenken tun die das nicht.... und ob es dann wirklich so ein großes Problem ist seine Daten an Google zu geben wenn man stat dessen sein Surfverhalten der Firma EasyVPN gibt weiß ich nicht so ganz ;)
 

Kenobi van Gin

Brillenschlange

Registriert
14 Juli 2013
Beiträge
3.620
Ort
.\
Wäre halt dann schon ein Stück weit zu schön, um wahr zu sein. Seitdem Opera vor ein paar Jahren von irgendeiner chinesischen Firma übernommen wurde, traue ich dem Browser leider nicht mehr über den Weg. Inzwischen bin ich bei Vivaldi angekommen, nutze aber fast ebenso viel den Firefox. Unter Linux sowieso Firefox. Bin mit beiden zufrieden.
 

one

Querulant

Registriert
21 Juli 2013
Beiträge
5.841
Ort
ja
Nun, irgendwem muss man im Fall der Fälle immer vertrauen. Von daher... Zum einen habe ich noch nichts negatives über den Service hören/lesen können, zum anderen nutze ich den Service nicht für brisante Dinge. Im Grunde schalte ich den nur ein, wenn mir das surfen auf Seiten sonst nicht möglich ist oder erschwert wird. Falls ich mich gänzlich unsichtbar machen wollte, würde ich andere Dinge vorschalten.
 
Oben