Der unsichtbare Autostart - Die Blackhat Methode

Discussion in 'Tutorials' started by hoschi111, Jan 14, 2013.

Thread Status:
Not open for further replies.
  1. hoschi111

    hoschi111 Active Member Inventar

    Joined:
    Dec 19, 2017
    Messages:
    1,149
    Likes Received:
    8
    Eventuell kennt man das Problem: Trojaner eingefangen.
    Wir nennen den Trojaner zur Veranschauung "Pony".
    Pony wird sich nun bei jedem PC-Neustart erneut öffnen.

    Schlaue PC'ler kennen nun "msconfig.exe".
    Dort werden alle "Run/RunOnce" (Autostart) aus der Registry aufgelistet.
    Man nehme den Haken vor Pony raus und schon startet Pony nicht mehr.
    Soweit die ALTE Theorie!

    Der GVU-Trojaner (bzw. BKA-Trojaner, GEMA-Trojaner) arbeitet mit der gleichen Methode, sowie viele weitere Malware!

    Pony nutzt nun eine Autostart-Methode, die von msconfig.exe nicht aufgelistet wird.
    Aber wie macht Pony das?

    Um das zu verstehen, muss man sich überlegen, ob es vielleicht "universelle" Programme auf einem Windows-Rechner gibt,
    die gar nicht in msconfig.exe angezeigt werden.
    Schnell kommt man auf
    explorer.exe
    csrss.exe
    winlogon.exe
    (diese Liste könnte man noch ein wenig weiterführen...)

    Aber halt!
    Pony ist doch jetzt nicht der Windows-Explorer, oder doch?
    Jein, natürlich ist Pony nicht der Explorer, der existiert ja weiterhin.
    Pony hat lediglich eine kleine Schwachstelle der Registry ausgenutzt.

    Es gibt einige Registryeinträge, die definieren, welches Systemprogramm wann und als was laden soll.
    Beispiel:
    Nach der erfolgreichen Windowsanmeldung soll die "shell" => explorer.exe gestartet werden, um eine grafische Dateiverwaltung zu ermöglichen.
    Einer dieser Einträge findet ihr hier:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Dort ist ein Schlüssel namens "shell" angelegt, shell hat den Wert "explorer.exe".

    Hier sehen wir: explorer.exe soll bei Winlogon gestartet werden.
    explorer.exe kann nun einfach ersetzt werden durch ein anderes Systemprogramm (msconfig.exe, cmd.exe) oder
    auch ein eigenes mit direktem Pfad (C:\Pony\geheim\ponyhof\horse.exe).
    Problem:
    Damit das Programm geheim bleiben soll, muss explorer.exe aber unbedingt mitstarten, da der Rechner nicht mehr zu gebrauchen ist (für ungeübte).
    Problembehebung:
    Wir ändern den Wert in "explorer.exe,C:\Pony\geheim\ponyhof\horse.exe".
    Wir sagen einfach, dass zwei Programme gestartet werden sollen.

    Dieser Pfad ist aber einer der "öffentlichsten".
    Es gibt weitere Winlogon-Einträge, die man ausnutzen kann, die keinen "shell"-Schlüssel haben.
    Beispiel:
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    (wenn nicht vorhanden, einfach erstellen)
    Dort wird der Schlüssel "shell" angelegt mit dem Wert: "explorer.exe,C:\Pony\geheim\ponyhof\horse.exe" angelegt.
    Dieser ist nun relativ unbekannt, da er nicht genutzt wird.
    Außerdem wird für diesen Schlüssel keine Admin-Rechte benötigt.

    So funktioniert der unsichtbare Autostart vom GVU-Trojaner, BKA-Trojaner und GEMA-Trojaner und noch von vielen anderen bösen Programmen.
    Erschrocken wie einfach das eigentlich ist?

    Natürlich nur für Studienzwecke!

    Wie hat dir das Tutorial gefallen? Gib mir doch Feedback ;)
    ~hoschi111
     
    Shadowgamer likes this.
  2. Electro

    Electro Addicted Member Inventar

    Joined:
    Sep 1, 2012
    Messages:
    306
    Likes Received:
    5
    Gutes Tutorial, aber wenn das in der Registry ist, muss man es doch in der Registry ändern und um etwas in der Registry zu ändern benötigt man doch Adminrechte?
     
  3. krusty

    krusty Addicted Member Inventar

    Joined:
    Sep 8, 2012
    Messages:
    175
    Likes Received:
    0
    Nein fuer current_user nicht.
     
  4. Dr@ke

    Dr@ke Addicted Member Inventar

    Joined:
    Jul 10, 2012
    Messages:
    619
    Likes Received:
    3
    Sonst könnte man auch einfach ein Programm aus dem Autostart durch ein eigenes ersetzen (welches dann genauso heißt) und durch das Programm dann noch das eigentliche aufrufen...
    Oder halt mal wieder Rootkits xD


    Edit:

    Theoretisch gibts dann auch was um vor dem Winlogon oder gleichzeitig zu starten? :)
     
  5. AimBRoT

    AimBRoT Addicted Member Inventar

    Joined:
    Aug 1, 2012
    Messages:
    531
    Likes Received:
    2
    Oder explorer.exe beenden virus an explorer.exe binden und dann explorer.exe starten haha
     
  6. Dr@ke

    Dr@ke Addicted Member Inventar

    Joined:
    Jul 10, 2012
    Messages:
    619
    Likes Received:
    3
    Oder einfach auf den nächsten PC-Start warten? :D
    Das machts nur auffälliger :)
     
  7. xEnemy

    xEnemy Addicted Member Inventar

    Joined:
    Aug 7, 2012
    Messages:
    347
    Likes Received:
    0
    Wie setzt man eigentlich sein System KOMPLETT neu auf? Kann dazu einer nen Tuto machen?
     
  8. lowfry

    lowfry Addicted Member Inventar

    Joined:
    Aug 3, 2012
    Messages:
    371
    Likes Received:
    10
    Windows CD ins Laufwerk einlegen. PC neustarten. Bei der Meldung "Von Disk starten?" Enter drücken.
    Dann einfach die Partition auswählen, wo Windows drauf soll (davor könnt ihr es Formatieren). Dann beginnt die Windowsinstallation.
    Der PC wird mehrmals neustarten, einfach mal eine halbe Stunde in Ruhe lassen.
    Danach kannst du ihn starten und dann werden halt Windowskey, Wlanschlüssel eingegeben sowie ein Benutzerkonto erstellt. Danach kannst du wieder deine Programme herunterladen ;)
     
  9. xEnemy

    xEnemy Addicted Member Inventar

    Joined:
    Aug 7, 2012
    Messages:
    347
    Likes Received:
    0
    Achso gut. Danke :)
    Werd ich aber erstmal nicht machen, ich hab wirklich null lust alles nochmals runter zu laden.
     
  10. Sarge

    Sarge Well-Known Member Inventar

    Joined:
    Oct 11, 2012
    Messages:
    61
    Likes Received:
    0
    Also mir wurde mal gesagt, um den PC vollständig zu "reinigen", solle man über das Bootsystem Windows neu draufziehen. Das war bei meinem Praktikum im IT Bereich, ob es stimmt weiß ich nicht, aber schaden kann es auch nicht.

    ps: Warum freuen sich eigentlich alle darauf, zu hacken? Bin nicht der größte Freund davon und finde es ehrlich gesagt auch ziemlich asozial, immerhin vergrößert man dadurch um JohnnyBob zu zitieren nur "seinen Internetpenis", was einem nicht wirklich was bringt ;)
     
  11. hoschi111

    hoschi111 Active Member Inventar

    Joined:
    Dec 19, 2017
    Messages:
    1,149
    Likes Received:
    8
    Du weißt nun, dass es diese Methode gibt und kannst sie, wenn es dir mal passieren sollte, erfolgreich bekämpfen.
     
    Shadowgamer likes this.
  12. krusty

    krusty Addicted Member Inventar

    Joined:
    Sep 8, 2012
    Messages:
    175
    Likes Received:
    0
    Man kann einen PC nicht vollständig reinigen, weil ein PC nun mal aus vielen Sachen besteht, Grafikkarte, Cpu, Bus, Ram...

    Die Festplatte kann pratitioniert werden, also in verschiedene Sektoren eingetelt werden, auf denen dann Dateisysteme oder Betriebssysteme installiert werden können.
    Das tolle Windows bietet die Optionen bei der Installation jedoch nicht (Linux FTW).

    Wenn man ein System neu aufsetzen will, so muss man lediglich die Partitionen löschen bzw überschreiben.
    Die vorherigen Daten sind theretisch noch vorhanden. Überall, wo durch das neu aufgesetzte System noch KEIN speicher angefasst wurde, befinden sich noch alte Daten, die man theoretisch wiederherstellen kann.

    Wenn man alle Daten von einem Rechner entfernen will, so muss man die Festplatte komplett überschreiben.
    Solche Programme gibts unter windows in der Regel nicht.
    Man kann jedoch ne Linux-Live CD booten und dann mit dem Programm shred (glaube es heißt so) die Platte mit zufälligen Daten überschreiben, dauert allerdings n weilchen.
    Damit fährt man ziemlich sicher.

    und warum man sich darüber freut, weils spaß macht. Es geht nicht darum die Schadware für böse Zwecke zu benutzen, sondern einfach darum mal ein wenig Systemnäher programmiert zu haben.
    Die Entwicklung von einem Trojaner deckt seeeehr viele programmiertechnische Bereiche ab, man sammelt sehr viel Erfahrung und es mal sehr viel Spaß.
     
  13. Dr@ke

    Dr@ke Addicted Member Inventar

    Joined:
    Jul 10, 2012
    Messages:
    619
    Likes Received:
    3
    Gibt leider noch genug andere Wege für Autostarts :( :D

    krusty, es gibt genug Shredder-Programme für Windows...
    Fast jedes gutes PC-Bereinigungstool hat sowas mit dabei o_O
     
  14. JohnnyBob

    JohnnyBob Addicted Member Inventar

    Joined:
    Aug 5, 2012
    Messages:
    202
    Likes Received:
    0
    Das ist falsch.
    Auch unter Windows kann man Partitionen erstellen.
     
  15. krusty

    krusty Addicted Member Inventar

    Joined:
    Sep 8, 2012
    Messages:
    175
    Likes Received:
    0
    Ja, unter windoof kann man partitionen erstellen. Bei der instalationsroutiene wird die partitionstabelle aber in der regel ueberschrieben. Bereits vorhandene betriebssysteme werden (wenn sie nicht versteckt wurden) ueberschrieben.

    Kann sein, dass es fuer windoof shred programme gibt.
    Ich kann von meiner win cd z.b windows nicht live booten und somit keine winprogramme starten.
    Bei ubuntu xubuntu lubuntu kubuntu linux mint... Ist das tool glaube ich standartmäßig installiert.
     
  16. Dr@ke

    Dr@ke Addicted Member Inventar

    Joined:
    Jul 10, 2012
    Messages:
    619
    Likes Received:
    3
    krusty, sonst schreiben wir doch mal nen KE-Shred-Tool :) :D
     
  17. Tommy94

    Tommy94 Addicted Member Inventar

    Joined:
    Aug 1, 2012
    Messages:
    175
    Likes Received:
    0
    Richtig geiles Tut! Gefällt mir sehr!
    Wäre schön wenn mehr von der Sorte kommt :thumbsup:
     
  18. Dr@ke

    Dr@ke Addicted Member Inventar

    Joined:
    Jul 10, 2012
    Messages:
    619
    Likes Received:
    3
    Ich schau mir das Thema nochmal an, probier es aus und merke dass Avira es blockt...
    Also brauch man da keine Sorgen mehr zu haben ;)
     
  19. krusty

    krusty Addicted Member Inventar

    Joined:
    Sep 8, 2012
    Messages:
    175
    Likes Received:
    0
    du verlässt dich auf Avira oO ?
    Das würde ich schleunigst sein lassen.
    Ich kann dir sogar mathematisch beweisen, dass Avira nicht jeden Virus erkennen kann ^^.
    Lässt sich auf das Entscheidungsproblem zurück führen.
    Das lustige ist, dass das Problem international als
    bezeichnet wird.
    Die Engländer sagen also tatsächlich
    xD
    http://en.wikipedia.org/wiki/Entscheidungsproblem
    bzw deutsch
    http://en.wikipedia.org/wiki/Entscheidungsproblem

    Naja aber im Ernst. Jeder Virus, den ich geschrieben habe war am Anfang FUD.
    Jeder, der einen Virus programmieren kann, ist in der Lage das Programm so zu modifizieren, dass es nicht erkannt wird.
     
  20. Tommy94

    Tommy94 Addicted Member Inventar

    Joined:
    Aug 1, 2012
    Messages:
    175
    Likes Received:
    0
    Beide Artikel sind in Englisch ;) Gibt keinen deutschen Artikel zu dem Thema ;)
     
Thread Status:
Not open for further replies.
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.