BKA-Trojaner über kinox.to - wie schützen - sandbox?

[CiTay]

Ganz ehrlich, das war die gerechte Strafe sich den BKA Trojaner bei einer nicht legalen Seite einzufangen.

Wer sich auf einer nicht legalen Seite herumtreibt, muss halt damit rechnen sich was einzufangen, genau wie z.B. ein Dieb damit rechnen muss geschnappt zu werden.

Diese moralische Keule kann man heut zu Tage nicht mehr schwingen. Ich zitiere mal aus der Warnung des BSI:

Die Java-Sicherheitslücke wird in mehreren europäischen Ländern, darunter auch in Deutschland, mithilfe von kompromittierten Werbebannern, die auch auf seriösen Webseiten geschaltet sein können, aktiv zur Infektion von Rechnern ausgenutzt.

 

[Daaron]

@Kraligor
Genau meine Rede: Man kann KEINER Seite vertrauen. Der Anschiss lauert überall. Wetter.com wurde bereits als Virenschleuder verwendet. Sämtliche Seiten von Computec Media (also z.B. die PC Games) sind eher knapp an einer Virenepidemie vorbei geschrammt, als die Server gehackt wurden. Viele andere seriöse Seiten wurden bereits infiziert.
Wenn CB irgendwann gehackt werden haste hier das ganze Forum voll mit heulenden Massen, die sich auf ihr NoScript verlassen haben, aber CB auf die Whitelist gepackt haben um vernünftig zitieren können etc. Dabei wird ja immer gern argumentiert, dass NoScript ja auch vor XSS schützt... möglich. Nur würde ich, wenn ich schon Serverzugriff habe, gleich anders herangehen. Es gibt genug Wege, JavaScript von externen Quellen aufzurufen, ohne das es als XSS zählt.

 

[MountWalker]

... In meinem Fall vermute ich, wie gesagt, einen Driveby-Download von einer gehijackten seriösen Seite.

Ein Driveby-Download reicht dem Trojaner aber noch nicht, um dein System zu zerschießen, er braucht dafür zwangsläufig noch zusätzlich eine Möglichkeit sich Admin-Rechte zu verschaffen und das ist nicht so einfach, es braucht dafür noch eine Lücke in entweder der Konfiguration oder einer Lücke in der Benutzerkontenverwaltung. Ich mein, ich schau auch regelmäßig auf "dubiosen" Seiten vorbei, bin aber immernoch nicht infiziert worden - ich starte einen Desktop aber auch nur mit einem Standardbenutzer (kein Admin).

 

[Picardt]

Ich zitiere mich mal selbst:

Es ist ein Irrglaube, dass ein aktualisierter Virenscanner mit jeder Art von Malware umgehen könne. Seitdem ich mir, trotz gekauftem, hochwertigem Scanner, auf einer harmlosen Website den BKA-Trojaner via drive-by-Download einfing, habe ich komplett auf Linux gewechselt.

Wart mal ab wie verseucht die Linuxe bald sein werden. Es ist ein Irrglauben zu denken Linux sei sicher, das System bietet derart viele Angriffsmöglichkeiten. Das einzig positive ist das diese weitaus seltener ausgenutzt werden weil bisher die Verbreitung von Linux nicht so hoch ist.

Und umso mehr Anwendungen auf Linux installiert sind umso anfälliger wird es, super das so viel Ubuntu benutzen. Das wird in nächster Zeit sicher häufig exploited

 

[Picardt]

Bezüglich Schutzmaßnahmen, schau mal hier http://www.virenschutz-test.de/virenschutz/zusatz-schutz/ nach, da gibt es einiges. Sandboxie ist übrigends auch nicht sicher, schon gar nicht auf 64 Bit Rechnern bzw. Betriebssystemen. Das einzige was wirklich hilft ist eine auf einer Whitelist basierende Schutzumgebung, zugelassen wird nur was gutartig ist. Alles andere geblockt. Leider gibt es da meines Wissens nach keine gescheite Software, weil 99,5% der Anwender zu blöd/faul/lernresistent sind um diese zu konfigurieren.

 

[Kraligor]

Ein Driveby-Download reicht dem Trojaner aber noch nicht, um dein System zu zerschießen, er braucht dafür zwangsläufig noch zusätzlich eine Möglichkeit sich Admin-Rechte zu verschaffen und das ist nicht so einfach, es braucht dafür noch eine Lücke in entweder der Konfiguration oder einer Lücke in der Benutzerkontenverwaltung. Ich mein, ich schau auch regelmäßig auf "dubiosen" Seiten vorbei, bin aber immernoch nicht infiziert worden - ich starte einen Desktop aber auch nur mit einem Standardbenutzer (kein Admin).

Ich bin auch jahrelang nicht infiziert worden, man kann sich aber einfach nicht zu 100 % absichern. Klar braucht der Trojaner Adminrechte, aber die kann er auch durch irgendwelche Lücken im Betriebssystem erlangen, und gerade bei solchen Zero-Day-Exploits ist eben auch der Virenscanner oftmals machtlos.

Picardt:
Man prophezeit seit Jahren einen riesigen Schwall an Linux-Malware, und bis heute gibt es so gut wie keine. Das Problem für Malware-Programmierer ist ja nicht nur, dass fast niemand Linux nutzt, sondern dass es eben kein Linux gibt, sondern hunderte verschiedene Distributionen, die zum Teil völlig unterschiedlich aufgebaut sind.
Außerdem: Linux nutzen vor allem erfahrene User, bei denen naturgemäß weniger zu holen ist, als bei naiven Internet-Einsteigern oder Casual Usern.
Ubuntu ist in der Tat die wohl gefährdetste Distri (auch wenn ich das nicht "super" finde ) - aber das muss man auch nicht zwangsläufig nutzen, nech?

 

[Daaron]

Wart mal ab wie verseucht die Linuxe bald sein werden. Es ist ein Irrglauben zu denken Linux sei sicher, das System bietet derart viele Angriffsmöglichkeiten. Das einzig positive ist das diese weitaus seltener ausgenutzt werden weil bisher die Verbreitung von Linux nicht so hoch ist.

Das setzt voraus, dass im großen Stil Sicherheitslücken in Programmen existieren und diese Programme auch noch entsprechende Rechte haben. Unter Windows laufen viel mehr Dienste mit Administrator-Privilegien. Greif doch mal ein System über Apache an, kannst ja mal sehen wie viele Rechte "www-data" hat... Anwendungssoftware läuft eh im Userspace, damit kannst du dir höchstens den Account zerballern, niemals das System.

Und umso mehr Anwendungen auf Linux installiert sind umso anfälliger wird es, super das so viel Ubuntu benutzen. Das wird in nächster Zeit sicher häufig exploited

Mit 1000 installierten Anwendungen ist ein Linux immer noch sicherer als ein frisches, nacktes Windows.... und selbiges Windows wird auch nicht sicherer, indem du mehr Software installierst. Zumal die meiste Software ist DIESELBE, die man dann auch unter Windows nutzt.
Thunderbird, Open/LibreOffice, Firefox, Chrome/Chromium, Gimp, Inkscape, VLC, FFMPEG-Bibliotheken, JPEG-Bibliotheken, LAME-Encoder,...

Das einzige was wirklich hilft ist eine auf einer Whitelist basierende Schutzumgebung, zugelassen wird nur was gutartig ist.

Eine Whitelist ist unmöglich und AUSSERDEM auch nicht sicher. Wer verwaltet die Whitelist? Wer stellt sicher, dass kein Server auf der Whitelist kompromittiert ist?
NoScript ist so ein Whitelist-Verfahren, aber selbst ein mittelmäßiger Programmierer kann diese Whitelist aushebeln. Pack die Domain *.computerbase.de auf die Whitelist, um hier Scripte nutzen zu können und ein Angreifer auf CB schießt dich durch deine tolle Whitelist mit einem Fingerschnipsen ab.

Ubuntu ist in der Tat die wohl gefährdetste Distri (auch wenn ich das nicht "super" finde ) - aber das muss man auch nicht zwangsläufig nutzen, nech?

Ubuntu ist nicht stärker gefährdet als alle anderen Distris. Ubuntu ist auch nur ein Debian, der einzige Unterschied ist: Es verwendet Pakete aus weiter fortgeschrittenen Debian Testing - Zweigen, anstatt auf Debian Stable zu verharren.
Wenn also Debian eine schwere Lücke hätte, dann hätten viele Tausend SERVER!!! weltweit eben schwere Lücken und spätestens hier würde es auffallen. Warum einen luschigen Heim-PC angreifen, wenn man über dieselbe Lücke auch einen Server mit ner GBit-Leitung, n paar TB Festplatte und 32GB RAM angreifen kann?

Das größte Risiko stellen PPA-Repositories dar.

 

[Kraligor]

Ubuntu ist nicht stärker gefährdet als alle anderen Distris.

Falsch verstanden: Es ist deshalb mehr gefährdet, weil es vermutlich die meisten Einsteiger nutzen und somit das lukrativste Ziel unter allen Distris bietet. Wobei man von "lukrativ" eh nicht sprechen kann, was Linux und Malware angeht..

 

[Daaron]

Du kannst aber nicht so gravierende Einsteiger-Fehler machen wie unter Windows. Unter Windows musst du manuell ein eingeschränktes Konto anlegen, nachdem du das System installiert (oder vorinstalliert gekauft) hast. Machst du das nicht, schützt dich nur die "jaja, *wegklick*" - UAC. Zwar ist der erste User in einem Ubuntu (oder einer sonstigen Distri) ebenfalls Systemverwalter, aber es besteht ein riesiger Unterschied zwischen "UAC wegklicken" und "Passwort eingeben". Bei einem Passwort wird selbst Lieschen Müller langsam hellhörig.

Und WENN Debian-Abkömmlinge lukrative Ziele wären, dann würden Angreifer direkt auf Debian Server gehen, nicht auf Heim-PCs mit einem Debian-Derivat wie Ubuntu oder Mint. Es ist ja in der Linux-Welt nicht wie bei Mac, wo erst durch massive Verbreitung überhaupt mal Ziele auftauchen. Es gibt keine Mac-Server, dafür dürften Linux-Distributionen sicherlich mal eben locker 60-70% aller Web- oder Mailserver stellen.

 

[MountWalker]

... Klar braucht der Trojaner Adminrechte, aber die kann er auch durch irgendwelche Lücken im Betriebssystem erlangen, ...

Und deshalb ist eine Umgebung, in der ein Virus zwei schwerwiegende Lücken gleichzeitig braucht, genauso unsicher, wie eine, in der ein Virus nur eine schwerwiegende Lücke zu Zeitpunkt X braucht? zumal "Lücken" in der Benutzerverwaltung wesentlich seltener sind als Lücken in JS, Flash uä.

P.S.
Linux-Server werden öfter mal geknackt, allerdings geschieht das meist über das Knacken der Passwörter, wenn bspw. die Serversoftware (Apache oa.) kein Time-Out nach x-maliger Falscheingabe des Passworts gesetzt hat und/oder das Passwort nur ein in 13375933|< umgewandeltes Wort ist (auch für sowas gibts Wörterbücher).
Why passwords have never been weaker—and crackers have never been stronger

 

[nobody01]

Ich hab jetzt ein Systemabbild gemacht, Sandboxie installiert, ein nicht-Admin-Konto angelegt, meinem Admin-Konto ein Kennwort verpasst und UAC von Standard auf Maximum gestellt. Ich hoffe das mir das alles nicht bald auf die nerven geht. Firefox funktioniert nach der Neuinstallation auch wieder einwandfrei. Ein update für die Brain.exe für mein Surf-Verhalten hab ich nicht "gefunden". Ich bin der Meinung ich hab bisher nirgendwo hingeklickt wo ich nicht hätte hinklicken sollen.
Damit sollte ich ein klein wenig sicherer Unterwegs sein.

 

[green-e]

Sandboxie sollte noch entsprechend konfiguriert werden um es sicherer zu machen. Man sollte z.B. nur der firefox.exe und der plugin-container.exe den Zugriff auf das Netz gewähren. Die Updates vom Firefox kann man auch manuell machen, kurz außerhalb der Sandbox. Ist zwar nicht ganz so komfortabel aber bietet mehr Sicherheit.

 

[Phantom2k]

Trojaner die passwörter ausspähen usw schaffen das auch problemlos mit eingeschränkten rechten, admin rechte sind dafür garnicht nötig. Und sandboxie bringt bei solchen trojanern sowieso nix... Bleibt also nur das antivierenprogramm, das aber zu 99% versagt bei unbekannten/neuen trojanern ^^

 

[green-e]

Und sandboxie bringt bei solchen trojanern sowieso nix...

Wie kommst du darauf, wenn ich fragen darf?

 

[nobody01]

Wie gesagt gibt es nichts 100%iges, da muß man einfach einen pragmatischen Weg wählen.

 

[purzelbär]

Ich bin der Meinung ich hab bisher nirgendwo hingeklickt wo ich nicht hätte hinklicken sollen.

Doch: kinox.to, sorry aber es bekannt das diese Seite zumindest zu den dubiosen/grauen gehört und wenn man da hingeht um Filme dort anzuschauen oder runterzuladen, braucht man sich nicht wundern wenn sich im Hintergrund ein Trojaner aktiviert und aufs System kommt.

 

[nobody01]

Stimmt, da hab ich dazu gelernt. Unter anderem habe ich deshalb diesen Thread gestartet.

 

[MountWalker]

Trojaner die passwörter ausspähen usw schaffen das auch problemlos mit eingeschränkten rechten ...

Das ist Quatsch. Damit ein Keylogger deine Tastatureingabe überwachen kann, braucht er Adminrechte. Wofür man keine Adminrechte braucht, ist das ausspähen von User-Dateien, in denen Passwörter gelistet sind, aber sowas muss man ja nicht anlegen.

P.S.
Und Trojaner, die nie Adminrechte hatten, wird man mit einem Klick im Virenprogramm wieder los, sobald die Virendatenbank der AV-Software dahingehend aktualisiert wurde. AV-Software macht eigentlich nur wirklich Sinn, wenn Viren ohne Adminrechte laufen - haben sie Adminechte, lassen sich auch Virendefinitionsdateien so manipulieren, dass das AV-Programm blind wird.

 

[Daaron]

zumal "Lücken" in der Benutzerverwaltung wesentlich seltener sind als Lücken in JS, Flash uä.

Du wirfst schon wieder JavaScript und Java durcheinander. JavaScript kann nichts, was der Browser nicht auch kann. JS ist kein Plugin oder so etwas. Die einzige eventuell vorhandene Schwachstelle in JS liegt in WebGL, da hier für anständige Leistung ein Low Level Zugang zum Grafikprozessor nötig ist.

Linux-Server werden öfter mal geknackt, allerdings geschieht das meist über das Knacken der Passwörter

Und was hat das mit dem Problem hier zu tun? Du kannst jedes Passwort per Brute-Force knacken, wenn kein System wie Fail2Ban aufpasst. Du kannst jeden Server mit nem dDoS in Bedrängnis bringen.
Beides hat NICHTS mit einem Angriff über Malware zu tun. In beiden Fällen landet nicht auf quasi magische Weise (wie beim TE) plötzlich ein Trojaner im System.

Und Trojaner, die nie Adminrechte hatten, wird man mit einem Klick im Virenprogramm wieder los, sobald die Virendatenbank der AV-Software dahingehend aktualisiert wurde. AV-Software macht eigentlich nur wirklich Sinn, wenn Viren ohne Adminrechte laufen - haben sie Adminechte, lassen sich auch Virendefinitionsdateien so manipulieren, dass das AV-Programm blind wird.

Wozu die Definitionen manipulieren? Es geht viel einfacher, sich als Rootkit so weit im System zu verankern, dass das AV-Programm jetzt und für immer keine Ahnung hat, dass etwas am System faul ist.
Deshalb scannt man bei Verdacht auf Befall auch nicht vom befallenen Betriebssystem aus sondern über eine aktuelle LiveCD oder ein parallel installiertes OS.

 

[MountWalker]

Du wirfst schon wieder JavaScript und Java durcheinander. ...

Nein, ich habe Java ganz einfach nicht mit aufgezählt, weil die meisten in diesem Thread Java gar nicht installiert haben. Die meisten Browser-Lücken sind JavaScript-Lücken, deswegen gibts Sachen wie NoScript und deswegen zähle ich es mit auf.

... Wozu die Definitionen manipulieren? Es geht viel einfacher, sich als Rootkit ...

Ist doch gehupft wie gesprungen! Für beides braucht der Virus Admin-Rechte...

P.S.
Ich war nicht der erste, der etwas zu Linux gesagt hat, sondern bin drauf eingegangen, weil etwas dazu gesagt wurde. Warum bin ich dann der erste, der deswegen angemacht wird?