Moinsen, hier mal nen kleines Tut von mir wie ihr Wireshark "unsichtbar" für RATs machen könnt. Ihr könnt Wireshark, Network Analyzer und dumpcap auch anders nennen, solltet aber darauf achten, dass die länge des Wortes gleich bleibt. klick mfg xion
Druckbare Version
Moinsen, hier mal nen kleines Tut von mir wie ihr Wireshark "unsichtbar" für RATs machen könnt. Ihr könnt Wireshark, Network Analyzer und dumpcap auch anders nennen, solltet aber darauf achten, dass die länge des Wortes gleich bleibt. klick mfg xion
Mhh meinst du damit sachen wie "Anti-WIRESHARK" nicht funktioniert und man trotzdem Sniffen kann?
Gute Idee !
Diese Technik mach jedenfalls "Anti-Wireshark" funktionen von einigen rats zunichte.
interessantes Tut :)
an die Arbeit ihr Hobbysniffer :D
Super, dass dein erster Post direkt ein Tutorial ist!
Da können sich einige Neulinge mal ne Scheibe von abschneiden. ;)
Verbesserungsvorschläge:
Ein Texttutorial wäre hier die bessere Wahl gewesen. Denn wie man Strings in einem Hexeditor ersetzt sollte jeder wissen.
Wenn schon unbedingt ein Video, dann lass bitte die Musik weg.
Außedem wäre es noch sehr wichtig zu erwähnen, warum das Ersetzen von Strings die Anti-Wireshark Funktionen überlisten (Funktionsweise erläutern!).
Natürlich kann man durch einfaches Ersetzen der Strings nicht alle Anti-Methoden umgehen. Doch da die meisten Antis wohl sowieso nur nach dem Prozess "Wireshark" suchen, hätte ein einfaches Umbenennen der .exe wohl ähnliche Auswirkungen.
- Einfaches umbenennen der exe funktioniert nicht, weil der name der dumpcap.exe in die wireshark.exe reingecoded wurde.
- ich würde sagen man kann 99% aller Anti-Wireshark Methoden damit austricksen.
Als Erkennungsmethode fällt mir dann nur noch der Promiscuous Mode Check ein, aber das macht doch kaum eine Malware. Schon gar nicht irgendetwas was auf free-hack und co. angeboten wird ;) Oder natürlich Prozesse durchsuchen, aber das ist doch eher ne schlechte Lösung...
Der Video Tutorial erinnert mich irgendwie an das hier: hxxp://blog.raidrush.ws/2010/03/18/netzwerk-sniffer-modden/
Ich hab mein Wireshark auch so gemodded.
Ich präsentiere:
2 (hoffe ich) in der Umsetzung neue Anti-Wiresharks, die sich damit nicht austricksen lassen.
Das erste sollte ziemlich einleuchtend sein; hier wird nicht nach dem Fensternamen, sondern nach der Fensterklasse gesucht.
Das zweite ist wohl vom Ansatz her intelligenter würde ich behaupten. Hier hole ich mir zuerst eine Liste aller Prozesse, die man so sieht.
Im zweiten Schritt wird für jeden Prozess die Liste der Module durchsucht und nachgeschaut, ob man dort bekannte DLL's von Wireshark wiederfindet.
Das scheitert dummerweise, wenn Wireshark als Admin läuft (was es immer tut, wenn man Libpcap nicht mit dem System starten lässt - dies ist jedoch nicht Standard!). Das liegt daran, dass dann leider nur eine unvollständige Modulliste ausgegeben wird... sollte ich Zeit haben versuche ich vielleicht nochmal sowas zu schreiben, wobei ich dann den PEB und die darin referenzierte Modulliste selber parsen würde um wirklich alle Module zu finden.
Sich gegen die zweite Methode zu verteidigen (gesetzt ich hätte das Prob mit den Rechten schon behoben) ist zwar prinzipiell auch kein riesen Modding Aufwand, aber ich glaube keiner benennt die DLL's, die geladen werden sollen in der EXE und danach noch auf der Festplatte um - insofern müsste man da wenn man das nicht täte auch wirklich anfangen zu reversen um das schließen von Wireshark zu verhindern.
MfG. BlackBerry
@BlackBerry
Deine 1. Methode ist ja wohl sehr schlecht, weil dadurch auch sehr viele andere Programme erkannt werden?
Deine 2. Methode ist zwar ok, aber meine DLLs sind umbenannt... so viele DLLs gibt es da nämlich nicht die Wireshark eindeutig identifizieren. Das ist immer noch ein sehr geringer Aufwand.
Bin mal gespannt was nun als nächstes kommt (WinPcap?^^).
Wird aber trotzdem vom istealer 6.x benutzt ;). D.h wenn man den im WS "analysieren" möchte, muss man sich auch hiergegen was überlegen. Wobei man da eher erst an der Anti-VM Maßnahme vorbei muss (2x RDTSC mit SUB Wert1, Wert2 und CMP,0x200 (was bei mir zumindest VirtualPC und VirtualBox auf dem Hauptrechner erkennt) - ohne Debugger/speziellen Treiber sehe ich da erstmal keine "Moddingmöglichkeit")
Dann ist der istealer ja ziemlich scheisse wenn er so einen schlechten Check einsetzt.
@EBFE
Über RDTSC mach ich mir schon lang keine gedanken mehr (einfach Debugger)... aber das mit dem Treiber wär doch eigentlich mal ein nettes Projekt...
Für XP einen Treiber programmieren der die gängisten APIs ausschaltet oder einfach nur ein paar Tools versteckt... also praktisch ein Rootkit nur für die gute Sache^^ Hab mich mit Treiber noch nicht wirklich beschäftigt, aber das würde mich mal reizen^^
Was meinst du warum die Sicherheitslücken irgendwelcher Software oder Protokolle veröffentlicht werden? Meinst du es wäre sicherer, wenn man darauf hofft, dass möglichst wenig Menschen die Sicherheitslücken entdeckt, indem man sie einfach verheimlicht? Solche Taktiken basieren auf die sogenannte "Sicherheit durch Unwissenheit", die so noch nie funktioniert hat.
BlackBerry hat hier nur gezeigt, dass das gezeigte Modding auch nicht sicher ist. Somit könnte man nun gemeinsam überlegen, wie man den Schutz verbessern könnte. Zumal es sich bei Wireshark ja schon um ein OpenSource-Projekt handelt. Das wäre auf jeden Fall besser, als die User im Glauben zu lassen, dass die im ersten Beitrag gezeigte Mod sicher sei.
lol, fuck this.
Ich habe mal BlackBerry's Source verbessert und einen Checker daraus gemacht. Da sind nun 5 Methoden drin um Wireshark zu erkennen :p
Damit kann nun jeder mal testen ob sein Wireshark gut genug gemodded ist um die meisten Anti-Wireshark Checks auszutricksen:
Download: anti_w_test.rar | xup.in
Also Methode 1 und 3 fallen schonmal durch.
Methode 1 erkennt Pidgin fälschlicherweise als Wireshark und Methode 2 erkennt den Catalyst Control Center.
Wenn ich mir den Source so angucke wundert mich das auch nicht, da er zu allgemein gehalten ist.
Methode 1 + 3 erkennen bei mir:
1 = Pidgin
3 = WinRAR [wireshark.rar offen]
Also noch gut optimierbar ;-)
Also Methode 1 finde ich auch scheisse, aber diese Methode ist 1:1 von BlackBerry und wie EBFE erwähnt hat, verwendet der dumme istealer diese Methode um Wireshark (und alle anderen GTK+ Programme) zu erkennen. Also lass ich das lieber mal drin.
ja das soll so sein und lässt sich nicht ändern bzw. eine Änderung wäre wieder zu speziell und würde vieles nicht erkennen.Zitat:
3 = WinRAR [wireshark.rar offen]