Category Archives: Security

Viren mit Minimalanschreiben

Posted on by

„Guten Tag.Dokument“ und ein ZIP File, das ist alles was man heute bekommt, wenn man von Kriminellen mit Schadsoftware per Email beglückt wird.

Schlechte Zeiten für Emailanalysten wie mich, oder doch nicht ? 🙂

Received: from atlantic704.dedicatedpanel.com (50-78-157-221-static.hfc.comcastbusiness.net [50.78.157.221])
(Authenticated sender: u000458)
by mx2.bredband2.com (Postfix) with ESMTPA id A4532235FE
for ; Wed, 22 Jul 2015 03:34:13 +0200 (CEST)

Spannend wird es allerdings, wenn man mal die Domain aufruft, die als Servername beim Absenden des Virus benutzt wurde:

http://atlantic704.dedicatedpanel.com/

Es erscheint eine Liste mit IP Adressen und Portnummer:

216.244.65.203:1080
212.57.179.29:2214
202.119.199.147:1080
?90.?7.2?4.4?:80?0
?0.2?0.2?2.6?:24?84
?90.?03.?98.?75:?080
?19.?7.1?1.1?7:1?130
?0.2?0.2?2.9?:33?19
?20.?4.2?2.1?4:8?80
?19.?10.?7.2?0:8?80
?90.?18.?9.2?2:3?28
?90.?44.?28.?98:?128
?90.?4.2?4.3?:80?0
?23.?03.?3.1?6:3?948
?19.?7.1?1.1?9:1?305
?77.?4.1?3.3?:31?8
?18.?2.2?7.1?0:1?279
?90.?7.7?.16?808?
?01.?11.?40.?6:8?80
?90.?05.?22.?8:8?80
?01.?09.?55.?5:8?80
?86.?8.1?8.6?:80?0
?0.2?0.2?2.6?:10?46
?23.?52.?3.2?7:3?965
?83.?32.?5.4?:13?89
?86.?3.1?1.1?2:8?80
?90.?07.?60.?41:?080
?00.?4.6?26:?080
?90.?06.?1.2?2:8?80
… geht noch 12 Bildschirmseiten weit runter…

Da nur wenige IPs vollständig sind, schauen wir uns die ersten drei mal an :

216.244.65.203:1080 ( sb4umail21.info )
212.57.179.29:2214 ( Instrument-making factory of City of Trekhgorny
)
202.119.199.147:1080 ( China University of Mining and Technology
)

202.119.199.147:1080 und 216.244.65.203:1080 scheinen jeweils ein SOCKs Proxy zu sein. Leider kann man die Ports aus Deutschland nicht erreichen, da die Dienste wohl abgeschaltet sind.

Da auch der RDQ ( steht für Relational Databases and Query Language ) Port 2214 nicht antworten möchte, kann man nur spekulieren, was diese Liste darstellen soll.

Vielleicht bekommt ja der eine oder andere Neugierige raus, was das darstellt und wieso die Ips verstümmelt sind. Das mir das jetzt keiner als Aufforderung zu einer möglichen Straftat missversteht, klar!

Die Sudomains atlantic70X…. führen übrigens zu den merkwürdigsten Seiten u.a. auch Webseiten von Switchen 😉 Wenn man mal mehr Zeit hätte 😉

Hacking Team

Posted on by

Tja, jetzt ist der Alptraum Wahrheit geworden, denn Wikileaks hat die gesamte Emailkorrespondenz von Hacking Team in einer durchsuchbaren Datenbank zur Verfügung gestellt.

Wer ist „Hacking Team“ oder auch „hacked Team“, wie manche neuerdings sagen ?

Hacking Team ist eine italienische Firma, die Exploits erstellt, verteilt und gleich noch die passende Überwachungssoftware zur Verfügung stellt. Jedem der zahlt versteht sich. Da man seit einigen Tagen die Kundenliste einsehen kann, kann man genau sagen, wer zum Kundenkreis gehört und das sind keine netten Regime.

Wer sich selbst einmal deren Emailkorrespondenz durchlesen will :

https://wikileaks.org/hackingteam/emails/

Such mal nach NICE.com, Android und Exploit, dann seht ihr wie diese Überwachungsfutzis wirklich drauf sind.

Viele Emails sind in italienisch verfaßt, weils interne Mails sind. Aber wofür gibts Google Translate 🙂

Bundestag muß Netzwerk wohl aufgeben

Posted on by

Wenn die Berichterstattung über die Angriffe auf den Bundestag auch nur halbswegs stimmt,
dann ist ein großes LOL angemessen :

Berliner Morgenpost: Experten-Bundestag-muss-sein-Netzwerk-komplett-aufgeben

Zusammenfassung:

Die Netzwerker bekommen das Netzwerk nicht mehr unter Kontrolle, es muß wohl „aufgegeben“ werden.
Wegen mangelndem Vertrauen ( wohl zu recht ) lassen Bundestagsabgeordnete Verfassungsschutz und BSI nicht an Ihre Rechner ran.

Natürlich muß man in so einer Situation hart durchgreifen:

1. Netzwerkverbindung aller Rechner kappen
2. Rechner mit Antivirus und anderen Spezialprogrammen checken
3. saubere neue Bootbiose einspielen
4. Switche & Router rebooten und checken
5. Ein Büro nach dem anderen wieder anfahren.
6. Herstellern der Boards wegen Schlampigkeit von UEFI Biosen auf die Finger hauen und Verkauf von som Schrott gesetzlich bei Strafe verbieten.

Natürlich legt das den Bundestag lahm, aber vielleicht konzentriert sich dann mal wieder jemand auf das regieren und nicht aufs Twittern und Facebookstatus updaten.  Peinlicher als das was dort abgeht grade, kann es eigentlich nicht mehr werden.