|
Diskussionsforum: Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
22.09.2019, 18:21 | #1 |
| Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) Hallo, Ich such eine Firma die professionelle Lösungen bietet um eine Attacke der etwas krassen art loszuwerden. Virenscanner oder logfileshochladen bringt null. Aber ich fang mal von vorn an, vielleicht hatte ja schon mal jemand eine ähnliche Attacke, aber das ist unwahrscheinlich. Vor zwei Wochen hockte ich apex legends auf meinem PC und wurde aus dem Spiel geworfen weil sich jemand anderes eingelockt hatte. Nicht besonderes dachte, halt trojaner eingefangen. Die üblichen Schritte unternommen. Sämtliche Festplatten gewiped, Windows neu installiert und sämtliche wichtigen Passwörter vom handybrowser aus geändert. Nach dem ich meine google accountdaten geändert hatte, krieg ich ne mail das meine passwörter erneut geändert wurden. Erneut geändert und festgestellt das ich in ne pishing falle getappt bin weil meine Änderung in einer Fehlermeldung endete. Ok, dachte ich. Greifen wir zum zweithandy ohne rot welches ich eigentlich nur benutze für solche Dinge, muss nebenbei erwähnen das ich eine kleine softwarefirma betreibe welche sich mit Apple protections beschäftigt, bin also nicht ganz unerfahren... Umso erstaunter war ich als ich feststellte das erneut eine pishing Attacke erfolgte, wohlgemerkt auf dem nonroot tab s6 Tablett von samsung, jedoch nicht etwa mittels gefälschter email oder Webseiten....die pishing Attacke nutzte das androidsystem und die Standard android gui um meine Anfragen abzufangen. Unmöglich dachte ich das würde schließlich bedeuten jemand hätte meine Firmenware via remove gerooted und modifiziert. Kurz paar sicherheitseinstellungem kontrolliert und siehe da, unter zertifaktseinstellungen fand ich plötzlich nicht nur das ein arbeitsprofil angelegt wurde, sondern auch ein benutzerzertifakt + ein paar rootzertifikate die ich nicht kannte. Gleich meine anderen Handys gecheckt welche beide gerooted sind, Fehlanzeige. Zumindest was die zertifakte anging, jedoch fand ich diverse Überwachungsapps die ich defintiv nicht installiert hatte. Shit. Ich zuerst das Tablett komplett resetted und erneut sämtliche Passwörter geändert welche wichtig waren zudem einen neuen nicht google mailaccount bei protonmail eröffnet und den als recovery account hinterlegt in den google Profilen.... 3 Fragezeichen hatte ich dann überm Kopf als mein protonpasswort welches mit 2FA (wie alle anderen accounts) gesichert war, meldete das mein protonpasswort geändert wurde. Gibst überhaupt nicht dachte ich und in den wlanrouter geschaut, bis auf eine amerikanische IP in der whitellist (fritzbox 5790 latent firmware) nix auffälliges entdeckt. Sicherheitshalber routerpasswörter geändert und wlanschlüssel. In der Zwischenzeit habe ich auch Windows neu aufgespielt mit dem Resultat das ich jedes mal nach 5 Minuten erneute trojaner Aktivitäten gestellte. Ich weiß nicht warum aber mein Screen flickert leicht wenn jemand via zuschaut via remote. Seltsam, mir kurz meine Windows iso angeschaut und siehe da, die war manipuliert. Das änderungsdatum von ein paar wenigen Dateien unterschied sich vom Rest um eine Minute. Jupp, wtf...das dachte ich auch. WTF V2.0 erschien mit dann in der Rübe nachdem ich von der Microsoft Seite ein neues Image runterlud und ( ja ich habe 5 mal geschaut das es die originale Seite war) und ich erneut feststellte das es nicht die orginal Version war. Diesmal md5 hash verglichen. Um das ganze mal abzukürzen. Jemand leitet meinen kompletten Datenverkehr über eine IP die sich hinter 11 proxies versteckt (ab dem 3. Konnte ich die IP nicht mehr nachvollziehen) filtert automatisch sicherheitsrelevante Seiten wie googleaccount etwas heraus und ersetzt diese automatisch mit manipulierten. Der zertifaktscheck zeigt allways das Original Zertifikat, es ist also nicht ersichtlich das es pishing ist. Windows kennt ich mich nicht so sehr aus, aber das das android System gefälschte popups, als nicht über den Browser, sondern über die android gui benutzt um Anfragen zu Fakten und das auf orginal Firmware ohne rot...ist defintiv neu für mich und zeigt das hier eine massive Sicherheitslücke in android existiert den dies tritt bei allen Geräten auf. Es war und ist mir also nicht möglich Kontrolle über meine accounts wiederzuerlangen. Im Moment bin ich eher am testen als am versuchen das ganze loszuwerden weil mich die professionelle art der Attacke begeistert, welche 24/7 live zu sein scheint. Heißt da sitzt irgendwo jemand und überwacht das ganze. Festgestellt hatte ich als ich ein android Gerät im secure Modus startete und anfing systemrelevante Dienste und AppStore abzuschalten welche nicht existenziell sind, es gelang mir sogar die feindliche Komponenten soweit zu ändern das der der Angreifer die Kontrolle verlor...zumindest bis zum nächsten Firmware Reset, denn dann passiert folgendes. Gerät empfängt eine konfigurationssms welche normal nicht sichtbar ist und mit dieser erhält der Angreifer vollzugang zum Gerät indem er remote ein enterprise Profil erstellt und somit admin access bekommt. Logisch habe ich versucht mobile Netz auszulassen aber dann schafft er selbiges via Wifi. Keine Ahnung wie. Routereset nützt nichts. Sobald er die IP oder Telefonnummer hat braucht er fünf Minuten um die Kontrolle zu erhalten. . Virenscanner hab ich alles durch was es gibt, sowohl auf Handy als auch Windows. Nichts, nicht eine detection. Am Anfang konnte ich nicht mittels Tool herausfinden das mitm Attacke läuft aber inzwischen sooft er auch das. Ich brauche also ein Profi Lösung die gern auch was kosten darf. Welche Firmen bieten da was an bzw. Sind zu empfehlen? Danke und gruss |
22.09.2019, 19:57 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) Kurzfassung: Alle Rechner neu machen, neu installieren, komplett formatieren. Und alle Smartphones auf Werkseinstellungen zurücksetzen.
__________________Oder was soll die Frage nach Firmen? Die Ursache werden die garantiert auch nicht herausfinden.
__________________ |
22.09.2019, 20:34 | #3 | |
| Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)Zitat:
Sämtlicher netzwerktraffic wird mittels mitm attacke abgefangen, zum teil ersetzt wenn es um seiten geht mit denen ich das ganze bekämpfen kann, oder umgeleitet. Wie gesagt, wenn ich zum beispiel die windows 10 iso runterladen möchte vom microsoft original link, dann habe ich am ende eine modifizierte windows.iso auf dem rechner Oh und es befindet sich ein accespoint im netzwerk der keine ip hat und den ich auch nicht identifizieren, oder entfernen kann. Hab mal wifi und alle anderen repeater und was sonst noch funkt ausgeschaltet aber es ist wie ein virtueller AP der in der fritzbox installiert wurde und ja ich habe die fritzbox resettet, geflashed, geupdated und mit weihwasser bespritzt was zum austausch durch avm geführt hat, das problem besteht jedoch weiterhin |
22.09.2019, 20:35 | #4 |
| Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) Evtl. mal den Router tauschen. Klingt irgendwie nach ner ziemlichen Räuberpistole. Entweder bist du Otto Normalverbraucher und keiner hat Interesse an dir. Oder ein Geheimdienst hat Interesse an dir, dann würdest du hier nicht fragen. |
22.09.2019, 21:10 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) Dennis Stein(s) lässt grüßen....
__________________ Logfiles bitte immer in CODE-Tags posten |
23.09.2019, 07:57 | #6 | |
| Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)Zitat:
Genau aus diesem grund fragte ich nach einer professionellen firmenadresse da ich erstens davon ausging das mir hier keiner helfen kann mangels fundierter Fachkenntnis was diese destruktiven Beiträge bestätigen und zweitens geht es nicht darum nen albernen trojaner loszuwerden, ich suche eine systemlösung um das ganze zu blocken, denn das ist weder das erste mal noch wird es das letzte mal sein. Nochmal im klartext. Ich suche dringend professionielle hilfe um professionielle hackerattacke (ssl stripping, mitm, dynamic pishing pc and android) abzuwehren und wenn möglich zurückzuverfolgen und den verursacher ausfindig zu machen. Sollte hier im forum jemand eine kompetente firma kennen welches solche Anliegen bearbeitet, dann bitte antworten oder gern auch pm. Btw: es ist mir bislang noch kein finanzieller schaden entstanden, jedoch weiss ich das es eine private gruppe mit mehreren mitglieder ist welche sich die texhnik welche benutzt wird, einiges kosten lassen haben. Keine regierung oder geheimdienst. Profi blackhats halt, wir werden regelmässig angegriffen aber diese qualität ist neu Danke |
23.09.2019, 08:08 | #7 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) User wie dich hatten wir hier schon etliche. Ich weiß ncht was bei euch los, was ihr euch immer für Sachen einbildet. Die harmlosesten Dinge, die ihr euch nicht sofort erklären könnt, werden dann als Bestandteil einer NSA-reifen Hacking-Geschichte umgedeutet Um mal klein anzufangen: Zitat:
Wie hast du festgestellt, dass die ISO manipuliert war und WOHER GENAU weißt du, dass das nicht ein simpler Übertragungsfehler oder unvollständiger Download war oder du dich schlicht und ergreifend vertan hast, Prüfsummen vertauscht etc. pp.??
__________________ Logfiles bitte immer in CODE-Tags posten |
23.09.2019, 11:31 | #8 |
| Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) "jedoch weiss ich das es eine private gruppe mit mehreren mitglieder ist welche sich die texhnik welche benutzt wird, einiges kosten lassen haben" Wer soll das denn sein? Nur Allgemeinplätze, nichts konkretes. Wenn das wirklich so ist und du die jenigen kennst, dann ist das doch eher ein Fall für die Polizei. |
23.09.2019, 11:34 | #9 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) Der widerspricht sich doch selbst. Im ersten Posting hat er noch Folgendes behauptet: Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
24.09.2019, 14:54 | #10 |
| Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) Vielleicht glaubt ja ANDREx01 ja, er wäre so etwas wie Edward Snowden?
__________________ Windows 10 64 Pro 22H2 |
Themen zu Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) |
dateien, diverse, email, fehlermeldung, festgestellt, festplatte, folge, frage, fritzbox, google, leitet, mail, microsoft, neu, neue, passwort, pishing, popups, reset, router, scan, secure, tab, trojaner, windows |