Remote Angriff auf meinen Internetanschluss.

#0
19.06.2016, 12:57
Gesperrt

Beiträge: 4
#1 Hallo,
wie das Thema schon mal suggeriert, habe ich mir nicht einfach einen Trojaner eingefangen,
sondern es remoted jemand seit etwa zwei bis drei Wochen immer wieder meine Systeme.
Da wären ein Win10-Desktop und ein Sony Xperia Z3 mit Carbon Rom.

Mein erster Ansatz war, mein Win10 nach RAT's zu checken, doch ich finde keine.
Wo allerdings GMER, AVAST und andere Scanner innerhalb von Minuten mal Ergebnisse Anzeigen,
die beim nächsten Scan schon wieder verschwunden sind, kann ich selbst das nur offline machen,
und brauche echt ein Konzept.
Der Angreifer ist viel zu schnell am verändern/wechseln der Backdoors, soweit ich das sehen kann,
so fällt auch Dateien zur Analyse rumschleppen flach, er wird meine Aktionen am Rechner wahrscheinlich
direkt sehen und gleich wieder was ändern.

Ich brauch echt zwingenderweise die IP des Angreifers, denn bei dieser extremen Hartnäckigkeit
reicht mir ein besseres Sicherheitskonzept für meinen Anschluss nicht aus.

Der letzte Angriff ging über Monate(ist über zwei Jahre her), und selbst booten von externen Systemen hat da kaum geholfen, mir flog sogar ein Kali-Linux auf einem Stick auseinander, nur bei dem Versuch, einen Backtrace zu machen und das angreifende System zu scannen.
Damals konnte ich allerdings wenigstens die Quell-IP sehen, dieses mal finde ich nicht auch nur den Prozess,
der die Backdoor "bereitstellt".

Ich bin total ratlos quasi, denn ich hab schon IT-Kentnisse, nur kaum Konzepte für so nen Fall.
Mein Plan ist dieser, nur wie setze ich den bloß um?

1. Ich muss den Prozess identifizieren, über den der Angreifer reinsteigt.
2. Bevor er den dann vielleicht sofort beendet möglichst die reale IP vom angreifenden System sichtbar machen.
3. Die dann verwenden, um den Angreifer selbst zu finden/kontaktieren(freundlichst), oder sogar Anzeige erstatten, weil letztes mal gingen Monate für quasi gar nichts drauf, und gefunden hatte ich den Hacker damals nicht.

Nur Polizei einschalten bevor ich wenigstens die IP habe, scheint hier kaum Sinn zu machen, weil der Angreifer sehr schnell agiert, ihn counterzuhacken wäre noch besser, denn ich brauche Informationen.
Ich schätz mal ich hab nichts davon, wenn mein Rechner in der Polizeiforensik untersucht wird, nur damit die mir nach Monaten sagen können, sie haben einen RAT im System gefunden, so werd ich den Angreifer bestimmt nicht los...
Ich rechne mir die besten Chancen aus, wenn ich den Solo zumindest per IP ermitteln kann.

Hat jemand ne Idee?
Ich bräuchte echt dringend ein paar, ich komm nicht weiter.
Vielleicht sowas wie ein TCPView-ähnliches Programm das über den WinPCap Treiber mehr sieht, Möglichkeiten den angegriffenen Port automatisch sofort blocken zu lassen, oder alles was noch helfen kann denn ich hab schon Fingerschmerzen vom Googlen.

Bin für jede Antwort dankbar.
Seitenanfang Seitenende
19.06.2016, 20:18
Member
Avatar Xeper

Beiträge: 5291
#2 Logisch wäre doch einfach an das Gerät zu gehen was den Internetanschluß aufrecht erhält, da efährst du ja alle IPs - wenn der jenige aber ein VPN o.ä. nutzt (und das wird er) ist das ja sowieso für die Katz, dann haste halt ne IP aus Timbuktu.

Die Lösung ist ganz einfach, mal einfach die kompromitierten Geräte rauswerfen und alles ist gut. ;)
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
23.06.2016, 15:16
Gesperrt

Themenstarter

Beiträge: 4
#3 Hallo Xeper,
die kompromitierten Geräte rauswerfen geht leider nicht.
Wie sich mein Post aber auch liest, kann ich mir vorstellen, er erweckt vielleicht den Eindruck,
es handle sich um einen Angriff auf ein Firmennetz.
Es ist lediglich mein Privater Anschluss, nur die Massivität des Angriffs deshalb auch so irritierend.
Die Verbindung hält eine FritzBox Fon WLAN 7390 aufrecht, dann kommt schon das CO.

Der Angriff hat auch die echt perfide Natur, daß er primär bis ausschliesslich auf meine Nerven abzielt, Inet-Accounts wurden weder missbraucht noch entwendet.

Ich hatte gehofft, ich könnte seine TCP-Verbindung irgendwie nutzen, um ihn zu identifizieren.
Und wenn ich ihm halt auch nur eine IP zuordnen kann, die echt von nem Proxi ist.
Denn selbst so weit komme ich halt nicht mal.
Ich will wenigstens halt die Angreifende IP,nur mein Hauptproblem bei dieser sonst noch einfachen Übung:
Er trennt sich schnell wieder ab, wenn er seinen RAT nicht einsetzen kann.
Oder ich auch nur nach dem Prozess vielleicht zu auffällig suche.
Ich komme nicht mal so weit, ein stabiles System zu etablieren, da er nur mein Windows10 angreift.
Benutze ich mein Sony am gleichen Router, wird es auch remoted, mittlerweile hat er meinem Sony ein Virtuelles Netzwerkgerät verpasst, humor hat der wohl auch.
Hat mich Zwei Stunden gekostet, rauszufinden, daß mein eigenes Smartphone meinen Gastzugang gehackt hatte...
Er scheint alles zu sehen, nur läuft mein Windows nicht, macht er nichts.
Es ist echt ätzend, selbst die kleinste denkbare Analytik wird hier schon von ihr/ihm erfolgreich vereitelt.
Seitenanfang Seitenende
23.06.2016, 19:38
Member
Avatar Xeper

Beiträge: 5291
#4

Zitat

die kompromitierten Geräte rauswerfen geht leider nicht.
Naja dachte du wolltest eine Lösung hören, wenn du jetzt das doch nicht lösen willst hat es sich ja erledigt.

Zitat

Ich hatte gehofft, ich könnte seine TCP-Verbindung irgendwie nutzen, um ihn zu identifizieren.
Das kannst du auf deiner FritzBox doch? Wenn die nix taugt musst du die raushauen, ist ja vermutlich eh das Problem hier.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
24.06.2016, 11:33
Gesperrt

Themenstarter

Beiträge: 4
#5 Ich versteh gerade kein Wort...
Die FritzBox ist ein DSL-Internet Router und kein Proxy...


Ich kann mit dem Router Datenpakete aufzeichnen, doch wenn ich die Prozessnamen der RAT's nicht kenne, hilft mir daß so auch nicht weiter.
Ich habe dann zwar den gesamten Datenverkehr zum Internet in einer Wireshark-Datei liegen,
nur ich habe keine Ahnung,
wie ich die Daten Filtern könnte, die zum Remoten der Systeme übertragen werden.


Gibt es da Analyseprogramme?
Einen Paketanzeigefilter, wie er in Wireshark implementiert ist, kann ich dafür nicht benutzen.
Oder etwa doch? Ich wüsste nicht wie...
Seitenanfang Seitenende
24.06.2016, 13:48
Member
Avatar Xeper

Beiträge: 5291
#6

Zitat

Die FritzBox ist ein DSL-Internet Router und kein Prox
Richtig, somit bewerkstelligt diese NAT (für IPv4) und jegliche Kommunikation muss dadurch, alles klar? ;)

Zitat

Ich kann mit dem Router Datenpakete aufzeichnen, doch wenn ich die Prozessnamen der RAT's nicht kenne,
Du wolltest die IPs, da sind irgendwelche Prozesse doch irellevant - du wirst doch wohl ein Test machen in dem all deine Geräte bis auf eines eben abgeschaltet sind und dann genau weißt zu welchen Servern du Verbindungen unterhälst und zu welchen eben nicht.

Da dürften sich ja dann potentielle Kandidaten einfach unterscheiden lassen.

Zitat

Gibt es da Analyseprogramme?
Beschäftige dich doch erstmal grundsätzlich mit dem obigen Thema, nicht mit der Analyse irgendwelcher Binärdaten und ethernet frames.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
01.07.2016, 15:07
Gesperrt

Themenstarter

Beiträge: 4
#7 Es gab bis jetzt einen Zufallstreffer, eine IP, nur die gehört zum amzonaws-Cluster.

Die Verbindung wurde von einem Prozess aus hergestellt, der sich als Update-Service für Avira getarnt hatte.
Einer von echt vielen, ich konnte die IP zufällig noch schnappen, bevor der wieder verschwand.

Ich beschäftige mich gerade mit dem Erstellen von Filterregeln für Wireshark, um deinem Vorschlag zu folgen.

Hoffentlich kommt was dabei rum, es ist echt Zeitintensiv.

Ich suche deshalb gerade teils sehr manuell in diversen Wireshark-Dateien, die mein Router aufzeichnet.
Mal sehen, wann ich ich noch was finde.

Danke für das Konzept, so hab ich echt eine Methode, die der Angreifer nicht per remote sabotieren kann ;)
Seitenanfang Seitenende
27.07.2016, 10:48
Gesperrt

Beiträge: 10
#8 Hallo, ja, Trojaner starkes Virus, er vermehrt sich mit jedem Neustart des Computers und wirkt sich immer mehr Systemdateien und Programme. Müssen Sie alle verjagen durch Antivirus Kaspersky besser, ich ihm mehr vertraue in diesen Fragen. Mehrmals PC verbannen, dann erst Windows installieren eine neue. Mehr ist hier nicht zu helfen. Viel Glück
Seitenanfang Seitenende
28.07.2016, 09:22
Gesperrt

Beiträge: 15
#9 Ich würde folgendermaßen vorgehen:

zw. deiner FritzBox und deinem PC einen Proxy/Firewall hängen (z.B. Endian Community Edition http://www.endian.com/de/community/overview/ oder IP-Fire http://www.ipfire.org/ ) dazu einfach einen PC mit mind. 2 Netzwerkkarten nehmen. In der Einrichtung der Firewall auch die interne Firewall aktivieren, sodass du nur bestimmte Ports aus deinem Netzwerk zulässt. das IPS aktivieren und dann bist erst mal vom Schutzlevel etwas höher. Über die EndianFirewall sollte man auch den reinen Datenstrom mitlesen können.

Beim PC ggf mal den PandaCloudCleaner testen und wenn möglich im Advanced Modus starten, sodass ggf auch Root Kits erkannt werden.

Will zwar keine Werbung machen, aber Panda hat z.Z. eine zusätzliche (Schutz)Technologie im Portfolio, wobei sämtliche Prozesse und deren Kommunikation mit überwacht werden. (Tests mit den Crypto Trojanern hatte bis dato immer geklappt - PC wurde nicht infiziert) Die Software ist für Firmenkunden gedacht und ist nicht wirklich preiswert im Vergleich zu den Endkunden Produkten. Hier mal ein Video dazu

YouTube Video (Link)


Poste Videos durch einfaches einfügen von Youtube / Vimeo Links in den Beiträgen!
Vielleicht erkennt dieser die Prozesse auf deinem PC.

Eine weitere Frage - ist auf der FritzBox ggf. ein DynDNS Account eingerichtet oder ein myFritz Konto? Ist ja schon sportlich das mit dem WLAN. ggf auch mal einen anderen DSL Router einsetzen.
Dieser Beitrag wurde am 28.07.2016 um 13:31 Uhr von MaTo editiert.
Seitenanfang Seitenende
28.09.2016, 20:33
Member
Avatar TurnRstereO

Beiträge: 1543
#10 Als Problemlöser biete ich mal einen neuen Denkansatz.

Das Problem scheint ziemlich klar das System Win10-Desktop zu sein.
Ein befallenes System wird immer versuchen, Dir etwas vorzuschwindeln...
ein befallenes System wird immer einen Plan B haben, sein Fortbestehen zu sichern.

Also schalten wir das System aus, bauen uns ein neues und warten ab, was passiert.
Das mit dem neu bauen ist diskussionswürdig, ich lese raus, dass Ressourcen keine Rolle spielen... also neu bauen bedeutet hier alle alten Zöpfe abzuschneiden. Nicht die gleichen Updatepfade und so.. neu heisst neu.
Neu bedeutet auch keine Daten rüberziehen.
*AluHut* und so.

Bestcase: Ein paar Tage Arbeit.
Worstcase: Gleiche Problem wie vorher.

Ach ja... die sportliche Aufgabe zu erfassen wo das Leck war... in meinem Alter würde ich sowas sofort verwerfen... sportlich oder nicht... es gibt wichtigere Sachen seine Lebenszeit zu verschwenden.

Peace

T S
Seitenanfang Seitenende
20.03.2017, 11:56
Gesperrt

Beiträge: 1
#11 @Ellevader,

ich hatte vor ca. einen halben Jahr eine sehr ähnliche Erfahrung gemacht:

Mit dem Tool "TCPView"(SysInternals) viel mir auch eine IP bzw. der dazugehörende Prozess ins Auge, welcher
sich als ein Update-Prozess für Avira - Antivirus zeigte.

Nach ein paar Sekunden verschwand dieser Prozess wieder (ist ja weiterhin nicht bedenklich, wenn das Update zu Ende ist !)
und die gleiche Remote-IP zeigte sich erneut unter einen "svchost.exe" Prozess.
Sehr merkwürdig...mittels Dll-Injection können einige Trojaner von Prozess zu Prozess springen.

Da ich schon einmal Besuch von einer staatlichen Software hatte, ist meine Paranoia in bezug auf IT-Security sehr
gestiegen.

Vor ein paar Tagen hatte ich gelesen, daß Rechner trojanisiert wurden (welche angeblich von Mitarbeiter
der Antivirenprogramm-Hersteller selbst ausgegaben waren); aber vielleicht haben auch unsere staatlichen Behörden
ihre Software getestet ?!

Bin am überlegen, ob ich meine Antivirensoftware auf dem Windows-System deinstalliere,


Um meine Verbindungen zu überprüfen verwende ich einen sehr einfachen packetsniffer von Nirsoft: SMARTSNIFF
Auch viele andere Tools von Nirsoft sind klasse (Windows).

@Ellevader...hast Du evtl. weitere Infos über den Angreifer erhalten können ?


Viele Grüße an alle !
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: