{"id":802,"date":"2008-12-28T21:20:31","date_gmt":"2008-12-28T20:20:31","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/802-25c3-banking-malware-101"},"modified":"2018-05-31T22:05:01","modified_gmt":"2018-05-31T21:05:01","slug":"25c3-banking-malware-101","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/802-25c3-banking-malware-101","title":{"rendered":"25C3: Banking Malware 101"},"content":{"rendered":"<p><a href=\"http:\/\/events.ccc.de\/congress\/2008\/Fahrplan\/events\/3020.en.html\">Thorsten Holz<\/a> ist dem einen oder anderen bereits durch seine Arbeit f\u00fcr das <a href=\"http:\/\/honeyblog.org\/\">deutsche Honeynet Project<\/a> bekannt. Au\u00dferdem besch\u00e4ftigt er sich seit geraumer Zeit mit Botnetzen und Schadprogrammen.<\/p>\n<p>Klar, auf die \u00fcblichen Phishing-Mails f\u00e4llt praktisch niemand mehr herein. Vielleicht noch ein paar trottelige Ebay-Nutzer, aber generell ist das nicht mehr State-of-the-Art. Die Angreifer verwenden daher Schadprogramme wie Viren, um Zugriff auf Zugangsdaten wie Ebay oder Online-Banken zu bekommen. Diese Viren enthalten einen Keylogger, der die ausgesp\u00e4ten Daten zu einem Server im Internet, der Dropzone schickt. Meist ist die Dropzone auch ein gehackter Rechner. Schadprogramme werden h\u00e4ufig mittels Social Engineering verbreitet, beispielsweise durch E-Mails mit dringend zu \u00f6ffnendem Attachment. Aktuelle Trojaner sind beispielsweise Nethel\/Limbo und ZeuS\/Wsnpoem\/Zbot.<\/p>\n<p>Nethel\/Limbo verwendet sogenannte Browser Helper Objects, Plugins f\u00fcr den Internet Explorer und klaut Zugangsdaten, Passw\u00f6rter und Cookies. ZeuS verwendet keine BHO sondern injiziert sich direkt in Windows-Systemprozesse. Er kann au\u00dferdem HTML-Code in Webseiten injizieren, z.B. zus\u00e4tzliche Formularfelder f\u00fcr die SSN oder CC-Nummer. Und er stiehlt sogar Zertifikate. Details zu ZeuS findet man bei <a href=\"http:\/\/www.reconstructer.org\/papers.html\">reconstructer.org<\/a>.<\/p>\n<p>Dropzones entdeckt man am besten mit Honeypots, die von einem Angreifer \u00fcbernommen werden k\u00f6nnen und genau beobachtet werden. Dann analysiert man, welche Netzwerkverbindungen vom Honeypot aufgebaut werden. Typische Honeypots sind Capture-HPC, HoneyClient, phoneyc. Alternativ kann man in einem Honeypot auch auf Spamattachments klicken und schauen was passiert. Dabei versucht man das typische Verhalten von Menschen automatisiert zu simulieren, das hei\u00dft den Browser starten, Webseiten ansurfen, Credentials eingeben, usw. Dazu wurde ein SimUser basierend auf <a href=\"http:\/\/www.autoitscript.com\/autoit3\/index.shtml\">AutoIT<\/a> mit 17 Verhaltenstemplates entwickelt. Schadprogramme k\u00f6nnen auch mit <a href=\"http:\/\/www.cwsandbox.org\/\">CWSandbox<\/a> analysiert werden.<\/p>\n<p>Ziele von Zeus in Deutschland sind haupts\u00e4chlich Volks- und Raiffeisenbanken und Fiducia, international praktisch alle gr\u00f6\u00dferen und kleineren Banken. Der Zugang zu einem Bankaccount ist zwischen 10 und 1000 USD wert, Kreditkarten nur noch 0,40-20 USD und Identit\u00e4ten nur noch 1-9 USD.<\/p>\n<p>Mein Gesch\u00e4ftsmodell w\u00e4re ja jetzt, die Dropzones zu finden, zu hacken und die dort hinterlegten Daten weiterzuverkaufen. Dazu muss man weder Viren programmieren noch macht man sich selbst gro\u00df die Finger schmutzig. Aber Thorsten hat die Daten leider schon alle an <a href=\"http:\/\/www.auscert.org.au\/\">AusCERT<\/a> gemeldet. \ud83d\ude09<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Thorsten Holz ist dem einen oder anderen bereits durch seine Arbeit f\u00fcr das deutsche Honeynet Project bekannt. Au\u00dferdem besch\u00e4ftigt er sich seit geraumer Zeit mit Botnetzen und Schadprogrammen. Klar, auf die \u00fcblichen Phishing-Mails f\u00e4llt praktisch niemand mehr herein. Vielleicht noch ein paar trottelige Ebay-Nutzer, aber generell ist das nicht mehr State-of-the-Art. Die Angreifer verwenden daher [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[13],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/802"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=802"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/802\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=802"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=802"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=802"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}