Sonntag, 16. Oktober 2011

Staatstrojaner Entlarft - Workaround (gegenwärtig) inkl. 64-Bit Systeme

Wer stört sich schon nicht an diesem Privatsphäre Killer Tool! Genau, die Privacy geht flöten. . Eigentlich sollte man der Justiz einen Riegel schieben durch eine andere Institution, die regelt, was man darf und was nicht. Wunschdenken! Tja..


Zum Glück gibts ein paar Kluge Köpfe die dene zeigen wo es langgeht und auch die Software disassemblieren um dem Trojaner genauer zu inspizieren. Kompliment am CCC ! Habt Ihr sauber gemacht!


Zum Thema. 


Nun haben diverse Leute Angst, dass sie eventuell, obwohl das ganz normale Bürger sind und kein kriminellen Machenschaften ausüben oder jemals praktiziert haben Angst, dass sie eventuell diesen Staatsschnüffler auf ihrem Rechner inhaliert haben. (grins)


Was kann das Tool?


- Skype Gespräche mitschneiden 
- Bildschirm Screenshots alle 30 Sekunden den Beamten zustellen 
- Software installieren
- Daten Hochladen wie auch herunterladen
- Audiovisuelle Wanze - Webcam mit Audio kann mitgeschnitten werden
- Chat und Videoverkehr "live" weiterleiten


Jedoch läuft der gefundene Trojaner "nur" auf Windows 32-Bit Systemen. Da diese Kernelmoduldatei (siehe weiter unten) Datei unsigniert ist und somit auf 64-Bit Systemen, welches nur signierte Dateien unterstützt, nicht lauffähig ist (da unsigniert). Wie CCC sagt, bei einer Digitalen Signur der Dateien würde der Hersteller des Trojaners da drinn stehen. 


Hier ein Screenshot des Trojaners:







Verkleckern wollen uns die Beamten mit dem folgenden (obs auch wirklich eingehalten wird? Ist fraglich.. Ich traue niemanden!)


Das Bundesverfassungsgericht hatte im Februar 2008 die Onlinedurchsuchung zur Strafverfolgung und präventiven Zwecken unter strengen Auflagen für zulässig erklärt. Voraussetzung ist, dass eine konkrete Gefahr für Menschenleben oder den Bestand des Staates existiert. Außerdem muss ein Richter die Onlinedurchsuchung anordnen, und intime Daten müssen geschützt bleiben oder sofort gelöscht werden. Die Richter schränkten die Ausspähung des heimischen Computers damit ein und schrieben in ihrem Urteil zugleich ein neues Grundrecht fest, dass die Vertraulichkeit von Computerdaten garantiert.
Das Bundeskriminalamt (BKA) darf laut dem BKA-Gesetz von 2008 private Computer heimlich ausspähen, wenn eine konkrete Gefahr für Menschenleben oder den Bestand des Staates existiert. Der damalige Innenminister Wolfgang Schäuble kündigte nach dem Grundsatzurteil an, das BKA werde die Onlinedurchsuchung nur in wenigen, aber sehr gewichtigen Fällen im Kampf gegen den Terrorismus anwenden. (Source: http://www.manager-magazin.de/unternehmen/it/0,2828,790884,00.html )

Wisst Ihr was das Beste ist, der Steuerserver liegt in den "United States Of America". Ein angemieteter Server. Jenseits des Deutschen Rechts! Interessant nicht? Wenn schon illegal, dann eben richtig.. (Source: http://www.freak-search.com/de/thread/5799762/chaos_computer_club_analysiert_staatstrojaner )




Aber es gibt Lösungen! 




Dazu gibt es zwei Tools, welche auf 32-Bit Systeme laufen und "neu" auf 64-Bit Systemen. Anscheinend, da es niemand 100% genau sagen kann, ist es gegenwärtig nicht vorgesehen einen solchen Schnüffler in 64-Bit zu programmieren sprich, es gibt keinen auf 64-Bit programmierten Trojaner. Oder eben doch?


Hr. Remus von www.archycrypt.com ein 64-Bit Version erstellt, die mittels Heuristik versucht, den Trojaner auch auf 64-Bit Systemen aufzuspüren. Allerdings muss der Trojaner dann manuell entfernt werden (Stand: 17.10.2011)


Hier kurz die Links zu den Tools:

Nur 32-Bit:

32-Bit und 64-Bit:


Ich entnehme das wichtigste für eine manuelle Desinfektion vom Report der CCC und gehe auf die 32-Bit version ein. Die 64-Bit Version, falls es die tatsächlich geben sollte, empfehle ich das Tool von Archycrypt zu nehmen um einen Scan zu machen. (Source: http://www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf )

Bei der Infektion werden folgende Einträge oder Files installiert die man wieder entfernt.

System absuchen:
  1. System absuchen nach folgendem

    - C:\windows\system32\mfc42ul.dll
    - C:\windows\system32\winsys32.sys
    - Regedit ausführen
    (in Suchen oder Ausführen beim Startmenu) und unter den Schlüssel
      HKEY_Local_Machine\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows
      darin ist der Wert AppInit_DLLs. Hier Achten was drinn steht (mcf42ul.dll). Bei mir ist dieser Eintrag
      leer (Windows 7 64-Bit System)

  2. Hammer Methode (Mein Vorschlag) -> Komplett ausgehender Verkehr von LAN zu WAN (auf der Firewall) die als Destination IP-Adresse 207.158.22.134 blockieren! Eigentlich würde ich dies als allererste Massnahme machen! Somit wird jeglicher Traffic unterbunden. TCP/UDP am besten. Port 1-65535!

  3. Optional könnte man auf den Managebaren Switches ein PortMirroring einsetzen, wo man dann alles auf ein Port den Traffic spiegelt und somit den Netzwerkverkehr mit einem PacketSniffer  wie zb. mit Wireshark den Verkehr des gesammten Netzwerkes untersucht. Neuere Firewall wie eine Fortinet kann man gleich auf der Firewall den Traffic mitschneiden. Am besten einen Filter setzen wo man nur nach Destination Address filtert und zwar mit der IP-Adresse 207.158.22.134

    Interessant ist der Punkt, dass im Packet (also die Kommunikation vom Infizierten Rechner zum Steuerserver in den USA) im 30 sekunden Takt immer wieder probiert sich mit dem Server zu verbinden und diese Packete haben ihre eigene Marke dabei dh. das Packet beginnt mit dem Klartext (aus den Hex in Alphabet und Zahlen umgewandelten) immer folgende Zeichen wie im Screenshot Auszug aus der CCC PDF:

Gemäss dem PDF Dokument sprich Analyse der CCC, fehlt eine Authentisierung des Trojaners. Das heisst, ein Dritter könnte sich als der Steuerserver ausgeben usw. (siehe CCC Bericht Seite 5 für weitere Details)

Lassen wir uns überraschen, was die Zeit noch so mit sich bringt sprich, was noch alles aufgedeckt wird in Zukunft... 

Noch zum Abschluss. Eine Software die ohne Authentisierung von der Justiz eingesetzt wird und dazu noch über 200000 Euro kostet, da hätte ich schon mehr erwartet! Peinlich.. Encryption for nothing! Bad....

..:: U P D A T E ::..

Im Post von Kaspersky LABs vom 18.11.2011, wird auch die 64-Bit Funktionalität bestätigt.





Keine Kommentare: