SWITCH Security-Blog

SWITCH-CERT IT-Security Blog


Einführung in die Anti-Malware-Analyse – Teil 2: Anti-Debugging

Im ersten Teil dieser mehrteiligen Serie führten wir in die Grundprinzipien von Maschinen- und Assemblerbefehlen ein und zeigten, was hinter Anti-Disassembly steckt. Es wurde kein Code ausgeführt, weshalb wir von statischer Analyse sprachen. Heute beschäftigen wir uns mit der Störung der dynamischen Analyse, im speziellen mit Debugging, und daher heisst diese Folge Anti-Debugging.

Was ist eigentlich eine ausführbare Datei? Wie erkennt ein Betriebssystem, dass abzuarbeitende Maschinenbefehle vorliegen und es sich nicht um ein Bild handelt? Das hat etwas mit dieser Folge zu tun? Ganz bestimmt.

Es ist nicht einfach, eine geschlossene Definition für den Begriff Ausführbare Datei zu geben [1], da je nach Situation unterschiedliche Konzepte greifen. Eine Datei mit der Endung .bat (Batchdatei) wird von einem Windows-Betriebssystem als Kommandozeilen-Skript interpretiert – und ausgeführt. Eine Datei mit keiner Endung aber bestimmten Bytes am Anfang wird wiederum als PE-Datei erkannt – und ausgeführt. PE-Dateien sind den meisten PC-Benutzern bekannt: Diese Dateien haben typischerweise die Endung .exe.

Continue reading

News


IT-Security-Links #45


Einführung in die Anti-Malware-Analyse – Teil 1: Anti-Disassembly

In dieser mehrteiligen Serie möchten wir Ihnen Techniken vorstellen, die das Leben eines Malwareanalysten erschweren, sprich abwechslungsreich und spannend machen. Im ersten Teil behandeln wir Anti-Disassembly und führen in die Thematik ein.

Warum macht ein Computer eigentlich, was er macht? Und was hat das mit dem Thema dieser Reihe zu tun? Zwei zentrale Fragen, welche im Folgenden beantwortet werden.

Entwickler erstellen Computerprogramme meist in einer Sprache, die intuitiv verständlich ist. Man bezeichnet das Ergebnis dieser Schreibbemühungen als Quellcode.

	10 REM Hello World in BASIC
	20 PRINT "Hello World!"

Viel kann der Computer (oder genauer gesagt die CPU) damit nicht anfangen. Der Quellcode muss in eine Sprache übersetzt werden, welche die CPU versteht – in eine Abfolge von Maschinenbefehlen.

	6A 40 68 00 30 40 00 68 17 30 40 00 6A 00 E8 07 00 00 00 [...] 
	48 65 6C 6C 6F 20 57 6F 72 6C 64 21 00

Diese Maschinenbefehle sind eher schwierig zu lesen, aber üblicherweise ist dies das einzige, was den Malwareanalysten zur Verfügung steht. Continue reading

News


IT-Security-Links #44

German:

  • Offenbar gab es einen Einbruch in das Netz des EU-Parlaments: Hacker konnten demnach ohne grossen Aufwand auf vertrauliche E-Mails und persönliche Dokumente zugreifen. Ein Grossteil der EU-Politiker verwendet immer noch Windows XP.
News


IT-Security-Links #43

German:

  • MELANI, die Schweizer Melde- und Analysestelle Informationssicherung hat ihren Halbjahresbericht 2013/1 veröffentlicht und berichtet schwerpunktmässig über den grössten DDoS-Angriff in der Geschichte des Internets, E-Banking-Angriffe mit Smartphone-Trojanern und über zahlreiche gezielte Spionageangriffe.
  • Sicher? Mit 38 Zeilen Code liest ein 16-Jähriger in Argentinien alle Personalausweis-Fotos aus dem Wahlregister aus.
News


IT-Security-Links #42

German:

News


IT-Security-Links #41

German:

  • Wie sicher sind Computersysteme von Schweizer Firmen? Die First Security Technology AG scannte Schweizer IP-Adressen und hat daraus einen Swiss Vulnerability Report erstellt. Kritik dazu gibt’s auch.
News


IT-Security-Links #39

German:

News


IT-Security-Links #37

German:

News


IT-Security-Links #36


DNS Hijacking nimmt zu

Internetbenutzer die den Domainnamen nytimes.com in der Navigationsleiste ihres Browsers eingegeben hatten, sahen gestern für sechs Stunden nicht etwa die Webseite der Zeitung, sondern eine Seite der “Syrian Electronic Army” oder eine Fehlermeldung. Wie die Los Angeles Times berichtet, wurden die Zugriffs-Credentials eines Resellers von Melbourne IT missbraucht um die DNS-Einträge für nytimes.com zu ändern und die Besucher so auf einen anderen Webserver zu leiten.

Angriffe über das Domain Name System (DNS) häufen sich in der letzten Zeit. Statt eine gut gesicherte Webseite zu hacken, versuchen Kriminelle den Domainnamen auf den eigenen Server umzuleiten. Der Web-Traffic ist viel wert, sei es für Propaganda, wie im Fall der Syrian Electronic Army, oder für kriminelle Zwecke, wie das Verteilen von Malware, Clickfraud oder zur Search Engine Optimierung.

Statt einzelne DNS-Server zu hacken, versuchen die Kriminellen verstärkt, Registries, Registrare und Reseller von Domainnamen anzugreifen. Gelingt es ihnen in die Systeme oder an Credentials zu gelangen, können so oft gleich tausende von Domainnamen auf den eigenen Server umgeleitet werden. Prominente Opfer sind vor allem viel besuchte Webseiten wie Suchmaschinen oder Nachrichtenportale.

Auch Schweizer Domainnamen waren in der vergangenen Woche von falschen DNS Antworten betroffen. Continue reading

News


IT-Security-Links #33

  • Simon Mullis of FireEye now posted the last part of the three-part series we mentioned last week with the title “Thinking Outside the Sandbox“. It seems like Anti-Virus vendors are using uploaded files from VirusTotal and alike services to find new Command-and-Control (C&C) servers but do this only successfully for ZeuS based malware families.
  • A talk from Alex Stamos at the Black Hat conference last week made the point that RSA is broken in four to five years. The BREACH attack he showed abuses the fact that compression combined with encryption is problematic. Applied to HTTPS he was able to steal a secret in under 30 seconds.
  • Nice write-down of the Comfoo APT threat by SecureWorks. While it targeted mainly Japanese and Indian government ministries, other industries such as education were targeted as well. The article concludes with the very true statement that most businesses will never see a Comfoo infection. However, evaluating whether an organization is a potential target of cyber-espionage is important in any risk evaluation.
  • OpenX downloads were compromised. OpenX is an open source ad serving product used widely on the Internet. The binary distribution contained malicious files with a backdoor. The file was modified in November 2012. So, if you downloaded this software within the last 7 months, attackers have full access to your site.
  • Matt Johansen of WhiteHat Security writes about Two-Factor Authentication. What it is, why you should care and how it is used by Google, Facebook and Twitter. Read the article and then go and enable it for your accounts if you haven’t already.
News


IT-Security-Links #32

News


IT-Security-Links #31

News


IT-Security-Links #30

  • Geoff Huston (APNIC) published a long post on his DNSSEC validation measurements. Since March 2013 he has seen an rise in the number of DNSSEC validating resolvers from 3.3% to 8.1%. This increase is mainly because Googles public DNS has started to validate a few weeks ago. For Switzerland the number of validating DNSSEC resolvers is at 5.13%.
  • Mac OS X Malware: Malwarebytes.org reports that FBI ransomware is now targeting Apple’s Mac OS X users. The news received a lot of attention and so Malwarebytes.org posted a Q&A.
  • AndroRAT, is a free Trojan horse for Android devices that allows a remote attacker to gain control over the device and steal information from it. Cybercriminals have now created a tool called “binders” that easily allows users to repackage and Trojanize legitimate Android applications with AndroRAT. To date, Symantec has counted 23 cases of popular legitimate apps being Trojanized in the wild with AndroRAT.
  • You would think that server compromises have advanced a lot. This does not mean that old style attacks such as simple account brute-forcing still don’t work. According Sucuri SSH brute-force, an attack 10 years old still persists.
  • Harlan Carvey from the Windows Incident Response Blog posted the first part of the HowTo serie “Malware Detection”. An interesting read on how to easily detect malware on an infected computer.