|
Diskussionsforum: Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
29.03.2016, 11:05 | #61 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert War jetzt klar, dass du mit dem schlechtesten Beispiel Android kommst....da ist in der Tat alles verhunzt was sonst in gängigen Linuxdistros die Stärke ausmacht. aber das ist ja auch kein Desktop-System von dem wir hier reden. Davon mal abgesehen müssen Backups eh gemacht werden. Das ist unter Linux meist auch viel einfacher und übersichtlicher, idR reicht es ja einfach /home zu sichern. Vllt kommt von dir auch noch mehr fundiertes rüber, denn außer "ist auch kein Bollwerk" und man "sei auch nicht sichererei aufgestellt" kam da bisher nix Konkretes rüber. Vllt fangen wir mal klein an. Was passiert denn wenn ein Betrugsmail reinflattert? Versuch mal diesen Vorgang bei einem Windows- und einem Linux-User zu vergleichen.
__________________ Logfiles bitte immer in CODE-Tags posten |
29.03.2016, 11:24 | #62 | |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertZitat:
Vermutlich auch einen PDF-Reader, welcher per se Scripting unterstuetzt. Dich werde ich moeglicherweise nicht dazu bekommen ein Script anzuklicken ohne dass Du einen Blick reingeworfen hast, aber wie sieht das mit einer PDF aus? Ich bin kein Linux-Spezi aber wenn ich genuegend Linux-User zur Auswahl haette, einer davon wuerde garantiert das lustige Script anklicken, dass ihm eine 18jaehrige Schoenheit verheisst oder den neusten Bericht ueber eine Linux-Luecke etc. Das ist unter Windows jetzt nicht wirklich anders oder auch unter Android oder IOS. Sollte die Mail einen funktionierenden Exploit enthalten, dann wird sie unter Windows Zugriff auf Bereiche ausserhalb der Sandbox erhalten, mit einem weiteren Exploit waere eine Rechteausdehnung moeglich. Unter Linux wuerde genau das Selbe ablaufen, nur dass die Systemaufrufe einfacher sind und ich nach einer Rechteausdehnung vermutlich gleich die (G)IDT manipulieren kann. Denn ich kann nicht versehentlich in einem (Super)useraccount gelandet sein, welcher zufaellig root hiess. Geändert von bombinho (29.03.2016 um 11:49 Uhr) Grund: Praezisierung IDT auf (G)IDT |
29.03.2016, 11:57 | #63 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Erstmal weißt du garnicht, welchen PDF-Reader dein Linux-Opfer genau verwendet. Dann musst du für das unbekannte Programm einen Exploit finden und auch noch hoffen, dass dein Opfer seit Wochen keine Updates mehr gemacht hat obwohl gängige Distros sich mit einem Klick komplett aktualisieren lassen und nicht so wie unter Windows üblich.
__________________Also kannste festhalten: irgendein Opfer zu finden durch ne PDF ist schon extrem schwierig Jetzt mit dem Script wird es witzig. Wie genau machst du das ausführbar? Willst den völlig unwissenden Anwender in der Mail dazu überreden, das Script im Terminal mit sh auszuführen? Oder vorher mit chmod +x ausführbar zu machen? Bei Windows ist das anders. Da biste im Zweifel nur ein Doppelklick entfernt. Ist die UAC eine Hürde? Wohl nicht, denn sonst hätten petya Opfer keinen zerschossenen MBR oder Opfer andere ransomware noch intakte Schattenkopien.
__________________ |
29.03.2016, 12:46 | #64 |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Linux ist für mich aus 2 Gründen am Desktop sicherer: - Wenig Marktanteil, daher uninteressant für die Trojanermafia - Wird eher von versierten Anwendern eingesetzt (Ist ja nicht beim Kauf dabei, sondern man muss sich das selbst downloaden, brennen, installieren, damit beschäftigen). |
29.03.2016, 12:54 | #65 | |
| nix vs win Und woher weisst Du im Gegenzug, welchen PDF-Reader der Win-Anwender benutzt? Mal abgesehen von der Moeglichkeit, das fuer einige Anwender via trojaner-board.de sehr praezise aufgelistet zu bekommen? Du startest deine Pythonscripte via sh? Hmm?! Als ich damals rumgespielt habe, waren die sehr komfortabel per Mausklick verfuegbar, ich tippe doch nicht jedesmal im Terminal den selben Unfug ein. Einmal reicht doch, oder? Du startest auch HTML und Javascript / Java in der Mail via sh? Nun, dann bist Du definitiv auf der sicheren Seite. Links in deinen Mails sind auch nur via sh zu erreichen. Was soll ich da noch sagen? Dass die Fragmentierung von Linux ein Hindernis ist, gebe ich gerne zu. Aber wie einfach ist es, einen unbedarften Anwender zu sudo sonstwas zu ueberreden? Und da glaubst Du sh waere eine grosse Huerde? Ist es nicht eher so, dass Linuxanwender, einmal darauf trainiert Kommandozeilen zu tippen, dieses nur allzu bereitwillig tun, denn sie kennen es nicht anders. Und nicht jeder Anwender hat die kompletten man pages auswendig gelernt. Es wird getippt ohne zu hinterfragen, das war schon unter DOS nicht anders. Dir ist aber schon klar, dass die UAC nur ein aufgepropftes Mittel ist, um wenigstens eine rudimentaere Rechteeinschraenkung standardmaessig zu etablieren. Die hat nicht wirklich viel mit der Nutzerverwaltung von Windows zu tun. Haettest Du dich damit mal beschaeftigt, haette ich als Gegenargument eher den system account erwartet. Irgendein Opfer durch ne PDF zu finden ist nicht wirklich schwierig, die Masse bringt es. Irgendwer ignoriert immer die voellig verhunzte Rechtschreibung und die seltsame Grammatik oder versucht gar mit Google Translate die englisch aussehende Mail noch zu entziffern. Und irgendwer benutzt den einen oder anderen anfaelligen PDF-Reader zwangsweise, da diverse Behoerden in Europa auf eingebettete Scripte und Strafzahlungen setzen, wenn das Dokument nicht rechtzeitig ausgefuellt zurueckgesendet wird. Versuch mal aus einem stinknormalen Nutzeraccount (member: user) unter Windows den MBR zu zerschiessen. Schick mir eine PM wenn dir das gelungen ist. Schattenkopien werden mit Systemrechten angelegt. Viel Erfolg bei einer Manipulation ohne administrative Rechte. Oder versuch mal unter Windows mit einem Nutzeraccount eine Datei zu veraendern, der nur Schreib- aber keine Aenderungsrechte zugewiesen sind und der Nutzer keine Uebernahmerechte besitzt. Zitat:
|
29.03.2016, 13:17 | #66 | ||||||
/// Winkelfunktion /// TB-Süch-Tiger™ | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertZitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
...und das ohne nähere Erläuterung. Das ist so totaler Unfug. Wenn dann braucht man ja schon eher für Windows einen fähigen Admin zur Absicherung als für Linux. Da helfen auch deine eingeschränkten Rechte unter Windows nicht, weil der erste Standarduser unter Windows ja ein Admin ist.
__________________ --> Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert |
29.03.2016, 13:19 | #67 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertZitat:
- Updatemechnismus (abgesehen von Android ) - Paketverwaltung - Ausführbarkeit von Dateien
__________________ Logfiles bitte immer in CODE-Tags posten |
29.03.2016, 13:46 | #68 | |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertZitat:
Empfehle mal den Thread hier zu lesen ... in Ruhe, geht eh nicht anders, weil zu lang dafür. Von dem Threadtitel sollte man sich nicht irritieren lassen. www.hackerboard.de/linux-unix/40171-linux-flame.html? |
29.03.2016, 13:57 | #69 |
| nix vs win Demgegenueber stehen eine Unzahl an kleinen gekaperten Linuxservern weil die Hobbyadmins versaeumt hatten, empfohlene Einstellungen zu treffen oder veraltete Pakete sich im System befanden. Der Anteil verschiebt sich mehr und mehr. Speziell im LAMP Bereich kann man davon ausgehen, dass eine Standardkonfiguration vorliegt. Bei bekannten Angreifbarkeiten kippen die dann gleich reihenweise. Demgegenueber stehen die Klagen von Linuxadmins, dass die Nutzer nur allzu bereitwillig mit dem "Zauberbefehl" sudo umgehen. Jetzt moechte ich gerne hoeren, dass noch nie jemand auf den boshaften Rat gehoert hat, format c: einzugeben und dazu die Kommandozeile zu finden und zu oeffnen. Wenn Linux als Standardsystem fuer jedermann herumstehen wuerde, dann wuerden auch vermehrt Kinder und Jugendliche und andere Menschen ohne fachlichen Hintergrund an den Rechnern sitzen und den selben Unfug nur auf Linuxart machen wie schon ihre DOS/Windows/Android/OSX - Kollegen zuvor. Nie vergessen, der Computer soll doch das machen, was der Nutzer will und wenn er diesen Komfort nur als Admin richtig geniessen kann, dann wird er ein notorischer Admin, sei es Linux oder Windows. Warum wohl benutzen so viele Menschen den Entwicklermodus in Mobilgeraeten ohne sich ueberhaupt ueber die Folgen, abgesehen von "erweiterter Funktionalitaet" klar zu sein? Frag mal jemanden, der Linux von seinem fachkundigen Freund empfohlen bekommen hat, was der Unterschied zwischen der Adminkonsole und der Konsole ist, die Anwort wird vermutlich in etwa lauten: in der Adminkonsole funktioniert immer Alles. Aber wenn dein Linux sicherer ist als mein Windows, dann ist das doch toll fuer Dich und ich muss mit all den Nachteilen leben, reicht das nicht als Genugtuung? Eigentlich witzig, dass sich die Gemueter derart erhitzen koennen an Fragen, die keine eindeutigen Antworten liefern koennen und werden. Ich halte weder Linux noch Windows fuer ausgesprochen sicher ausser es wird staendig ueberwacht und an Bedrohungen angepasst. Eine Standardkonfiguration wird immer zu Missbrauch einladen. Es sei denn, wir bekommen irgendwann einmal eine Rechnerarchitektur mit festen Befehlslaengen und eineindeutigem Befehlssatz hardvercoded und direkter Ausfuehrung ohne Pipelines/Caches etc. bei denen bereits der Chip eine unfaelschbare Pruefsumme (auch ueber sich selbst) + unknackbare Verschluesselung + perfekte echte Zufallszahlgewinnung beinhaltet. Allerdings ist dann die Auswirkung im Falle eines doch vorhandenen Fehlers gigantisch. |
29.03.2016, 14:18 | #70 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertZitat:
Natürlich kann Windows nix dafür wenn der User einfach alles anklickt, aber wenn die Hürden so niedrig sind stimmt doch irgendwas am Design nicht so richtig.
__________________ Logfiles bitte immer in CODE-Tags posten |
29.03.2016, 14:21 | #71 |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Ahja, ich habe vergessen zu erwaehnen, dass es mittlerweilen ein Linux-Botnetz gibt trotz der Unangreifbarkeit von Linux. Ja, da Manipulieren von Netzwerkpaketen geht angeblich soviel einfacher unter Linux. |
29.03.2016, 14:25 | #72 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Sry, aber mit dieser Polemik wirds jetzt echt peinlich
__________________ Logfiles bitte immer in CODE-Tags posten |
29.03.2016, 14:29 | #73 |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Diese Diskussion bringt eh nichts. Ich halte Linux nicht grundsätzlich für sicherer, das Problem sitzt in beiden Fällen eh meist vor dem Bildschirm. Und wenn man nicht mit der Technik umgehen kann, dann ist eh alles gleich unsicher. Siehe alleine zig schlecht oder gar nicht gewartete Linux-Server von Karnickelzüchtervereinen oder Game-Clans, die sich statt nem Rootserver besser einen Managed-Server gemietet hätten. |
29.03.2016, 14:33 | #74 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert Es geht ja auch nicht darum, dass Leute aus Unwissen- oder Faulheit ihre Software nicht updaten. Sondern um die technische Umsetzung. Und die kann man gut vergleichen. Das ist in modernen/gängigen Linux-Distros einfach besser gelöst als unter Windows.
__________________ Logfiles bitte immer in CODE-Tags posten |
29.03.2016, 14:41 | #75 | |
| Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziertZitat:
Dafuer Derjenige, der den Unfug ausbuegeln musste umso mehr. Ich hatte mal ein System vor mir mit ueber 200 Schaedlingen, den Nutzer hat das staendige Generve vom AV soweit getrieben, dass er ihn schlussendlich deinstalliert hat. Daraufhin habe ich ein komplett neues System aufgesetzt mit Benutzerkonten, zwei Wochen spaeter kam derjenige wieder an und hatte ueber hundert Schaedlinge drauf, er hatte sich entschieden, nun das Adminkonto fuer alles zu nutzen statt mal "Ausfuehren als" im Bedarfsfall. Tja, den Spass habe ich mir nicht ein zweites Mal gegoennt und ihn an Bezahlservices verwiesen. Ich wuerde Geld darauf wetten, dass er auch ein Linuxsystem in die Knie gezwungen haette und dann eher bei Anderen Schaden angerichtet. Er haette sicher laenger gebraucht. Aber ich waere dann als 24/7 Support missbraucht worden. Okay, nicht 200+ Schaedlinge sondern 200+ Funde inklusive Cookies etc. Ein schicker Mix aus Viren/Trojanern und Bots. Das System ging in die Knie, deswegen schlussendlich der Hilferuf. Geändert von bombinho (29.03.2016 um 14:48 Uhr) |
Themen zu Bootkit Nemesis- Bios/Firmware Malware im VBR , alle Systeme infiziert |
anderen, bootkit, desktop, festplatte, folge, folgen, foren, hardware, hilft, infiziert, links, linux, löschen, malware, nemesis, neuinstallation, ordner, partition, platte, rechner, rootkit, sichtbar, systeme, thema, unmöglich, versteckte, ähnliches |