AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Klatsch und Tratsch ColdRoot - Wieder mal ein Schädling powered by Delphi :D
Thema durchsuchen
Ansicht
Themen-Optionen

ColdRoot - Wieder mal ein Schädling powered by Delphi :D

Ein Thema von Sherlock · begonnen am 22. Feb 2018 · letzter Beitrag vom 23. Feb 2018
Antwort Antwort
Benutzerbild von Sherlock
Sherlock

Registriert seit: 10. Jan 2006
Ort: Offenbach
3.798 Beiträge
 
Delphi 12 Athens
 
#1

ColdRoot - Wieder mal ein Schädling powered by Delphi :D

  Alt 22. Feb 2018, 11:04
Montag wurde ein Blogbeitrag bei DigitaSecurity veröffentlicht, der einen bisher unbekannten macOS Schädling identifizierte. Heise veröffentlichte dazu gestern einen etwas wirren Beitrag.
Wie immer macht es bei heise Sinn, den Links zu folgen, und die führen diesmal zu Eingangs erwähnten Blog. Der Autor erklärt sehr ausführlich, wie er dem Biest auf die Schliche kam, wie er herausfand was es wie tut, und nebenbei findet er heraus: Es muß wohl mit Free Pascal geschrieben worden sein, samt total überflüssiger Stichelei
Zitat:
who the hell writes pascal on macOS!?!
Aber es gibt ja ein Verkaufsvideo, daß der Blogger gesichert hat, denn bei YouTube ist es mittlerweile gelöscht. Und da fällt uns auf, da läuft ein RadStudio!
A RAT written with RAD Studio.
Es wurde hier tatsächlich ein multiplattform Remote Admin Tool mit Delphi geschrieben... der seit gut einem Jahr unterwegs ist, und bis vor kurzem bei VirusTotal zu keiner Meldung führte - starkes Stück.

Ich finde diese detaillierten Recherchen wahnsinnig interessant. Fast so gut wie ein Krimi. Es gab vor vielen Jahren mal einen sehr aufschlußreichen Text zu einem DDOS (als die noch nicht von jedem Baumschüler durchgeführt werden konnten), ich schau ob ich den wieder finde. Hat zwar nix mehr mit Delphi zu tun, aber war verdammt spannend geschrieben.

Sherlock
Oliver
Geändert von Sherlock (Morgen um 16:78 Uhr) Grund: Weil ich es kann
  Mit Zitat antworten Zitat
Benutzerbild von Bernhard Geyer
Bernhard Geyer

Registriert seit: 13. Aug 2002
17.196 Beiträge
 
Delphi 10.4 Sydney
 
#2

AW: ColdRoot - Wieder mal ein Schädling powered by Delphi :D

  Alt 22. Feb 2018, 11:25
Ob das jetzt Emba auf seiner "Success-Story"-Seite aufnehmen sollte ...
Windows Vista - Eine neue Erfahrung in Fehlern.
  Mit Zitat antworten Zitat
Benutzerbild von Sherlock
Sherlock

Registriert seit: 10. Jan 2006
Ort: Offenbach
3.798 Beiträge
 
Delphi 12 Athens
 
#3

AW: ColdRoot - Wieder mal ein Schädling powered by Delphi :D

  Alt 22. Feb 2018, 11:34
Ob das jetzt Emba auf seiner "Success-Story"-Seite aufnehmen sollte ...
Je nachdem wie die Zielgruppe definiert ist

Zu meinem OT:
Ich hab die DDOS-Geschichten ausgegraben. Geschehen ist es 2001/2002, und zwar berichtet hier Steve Gibson von Gibson Research, einer Firma die sich eigentlich um Datenrettung bemüht. Die Links auf die ursprünglich dort bereitgestellten Dokumente sind leider kaputt, vermutlich weil die eine Serverumstellung hatten, und die Stories schon Asbach sind. Diese Links sind also kaputt: http://www.grc.com/dos/grcdos.htm, http://www.grc.com/dos/drdos.htm Aber weil das Internet nicht vergisst: www.crime-research.org/library/grcdos.pdf und https://homes.cs.washington.edu/~arv.../doc/drdos.pdf

Zu der Zeit hatte ich im Rahmen meines Praxissemesters die Firmenfirewall aufgebaut, und mir kam das kalte Grausen, als ich das las

Sherlock
Oliver
Geändert von Sherlock (Morgen um 16:78 Uhr) Grund: Weil ich es kann
  Mit Zitat antworten Zitat
Benutzerbild von p80286
p80286

Registriert seit: 28. Apr 2008
Ort: Stolberg (Rhl)
6.659 Beiträge
 
FreePascal / Lazarus
 
#4

AW: ColdRoot - Wieder mal ein Schädling powered by Delphi :D

  Alt 23. Feb 2018, 08:56
Danke für die Links. Für Gänsehaut braucht es da wirklich nicht viel Phantasie.

Gruß
K-H
Programme gehorchen nicht Deinen Absichten sondern Deinen Anweisungen
R.E.D retired error detector
  Mit Zitat antworten Zitat
Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#5

AW: ColdRoot - Wieder mal ein Schädling powered by Delphi :D

  Alt 23. Feb 2018, 15:47
Interessant. Scheinbar sind die AntiViren Lösungen selbst heutzutage noch nicht sehr ausgefeilt, was macOS angeht. Ich bin ziemlich sicher, dass das gleiche Tool für Windows kompiliert von locker einem Viertel der AV-Programme heuristisch erkannt worden wäre. Das ist nämlich schon der Fall, wenn man eine komplett harmlose Anwendung erstellt, die nichts anderes macht, als eine TCP Verbindung herzustellen. Wenn man das Ganze dann noch per UPX packt, sind die Erkennungsraten sogar noch höher.
Projekte:
- GitHub (Profil, zyantific)
- zYan Disassembler Engine ( Zydis Online, Zydis GitHub)
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.068 Beiträge
 
Delphi 12 Athens
 
#6

AW: ColdRoot - Wieder mal ein Schädling powered by Delphi :D

  Alt 23. Feb 2018, 16:16
Das liegt aber eher daran, dass viele Virensignaturen nicht grade gut gebaut sind.

Die sagen oftmals einfach nur "Oh Delphi ... bööööööse" oder "Oh Indy ... bööööööse".
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.
  Mit Zitat antworten Zitat
Redeemer

Registriert seit: 19. Jan 2009
Ort: Kirchlinteln (LK Verden)
1.051 Beiträge
 
Delphi 2009 Professional
 
#7

AW: ColdRoot - Wieder mal ein Schädling powered by Delphi :D

  Alt 23. Feb 2018, 18:48
Die sagen oftmals einfach nur "Oh Delphi ... bööööööse" oder "Oh Indy ... bööööööse".
Dachte erst, dass beides der Grund ist, warum von vorgestern auf gestern die Anzahl der Scanner, die ein Programm von mir finden, von 0/67 auf 7/67 gestiegen ist. Lag aber an NSIS, die einzigen beiden enthaltenen Delphi-EXEs sind clean. Genau so bescheuert wie die Definition "Delphi" oder "Indy", was auf mein Programm zutrifft. Kaspersky wie immer, reiner Amateurverein. Nur getoppt von Bkav, das mal ein Programm von mir erkannt hat, aber nach Übersetzen einiger Strings und Forms auf Englisch (ohne Kompilieren) wurde das Programm nicht mehr bemängelt. Kriterium war offenbar "enthält deutschen Text".
Janni
2005 PE, 2009 PA, XE2 PA
  Mit Zitat antworten Zitat
Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#8

AW: ColdRoot - Wieder mal ein Schädling powered by Delphi :D

  Alt 23. Feb 2018, 19:36
Die sagen oftmals einfach nur "Oh Delphi ... bööööööse" oder "Oh Indy ... bööööööse".
Dachte erst, dass beides der Grund ist, warum von vorgestern auf gestern die Anzahl der Scanner, die ein Programm von mir finden, von 0/67 auf 7/67 gestiegen ist. Lag aber an NSIS, die einzigen beiden enthaltenen Delphi-EXEs sind clean. Genau so bescheuert wie die Definition "Delphi" oder "Indy", was auf mein Programm zutrifft. Kaspersky wie immer, reiner Amateurverein. Nur getoppt von Bkav, das mal ein Programm von mir erkannt hat, aber nach Übersetzen einiger Strings und Forms auf Englisch (ohne Kompilieren) wurde das Programm nicht mehr bemängelt. Kriterium war offenbar "enthält deutschen Text".
Ja, Signaturen haben damit eigentlich wenig zu tun; das liegt an der Heuristik. Hierbei werden bestimmte WinAPIs als verdächtig eingestuft. Ein weiterer Faktor ist die Entropie des Kompilats. Hohe Entropie = sehr wahrscheinlich gepackt/gecrypted = verdächtig. Es wird natürlich "versucht" NSIS, UPX, etc. zu erkennen, automatisiert zu entpacken und dann erst zu analysieren. Wenn das aus irgendeinem Grund scheitert, können schon - wie in deinem Falle - einfache geänderte Strings ausschlaggebend für eine Detection sein. Hierbei liegt es aber meistens nicht an den Strings ansich, sondern daran, dass deren Änderung irgendwie Nebeneffekte hat.
Projekte:
- GitHub (Profil, zyantific)
- zYan Disassembler Engine ( Zydis Online, Zydis GitHub)
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 06:04 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz