Heimnetzwerke - WIFI, LAN, Router und Co 16.516 Themen, 81.098 Beiträge

Schadsoftware auf dem Weg ins Internet erkennen

username_deleted / 15 Antworten / Flachansicht Nickles

Hi werte Gemeinde,

habe noch eine Frage zu meinem Rechner mit zwei Netzwerkkarten.

Leider konnte mir bei der anderen Frage http://www.nickles.de/forum/netzwerke-lan-wlan/2010/traffic-local-umleiten-538751361.html keiner helfen.

Ich leite durch den Rechner mit den zwei Netzwerkkarten (Netzwerkbrücke) die Anfragen ans Netz von einem beliebigen Rechner.
Diesen schliese ich dafür an den WRT54GL, der an der einen Netzwerkkarte hängt.

Wenn ich nun an dem Rechner mit der Netzwerkbrücke Wireshark anwerfe, dann sehe ich was alles, vom Rechner hinter dem WRT54GL ins I-Net will.
Das ist hervorragend, um eventuelle Schadsoftware aufzuspüren, die sich sehr gut versteckt hat.

Meine Frage:

Kann Schadsoftware auf dem Rechner, der so kontrolliert wird, den überwachenden Rechner bzw. die Netzwerkbrücke manipulieren, so das auch diese Methode nicht sicher ist?

Für mich ist das im Moment eine Analysemethode um auch eventuelle Rootkitaktivitäten zu erkennen.

Nützt mir natürlich wenig, wenn der überwachende Rechner, bzw. die Netzwerkbrücke etwa von einem installierten Rootkit manipuliert werden kann, wie er schon das System manipuliert.

Grüsse
Epi

bei Antwort benachrichtigen
Nur in Kürze, ... Soulmann63
username_deleted Soulmann63 „Nur in Kürze,...“
Optionen

Hallo Soulmann63,

danke dir für deinen Hinweis.

In dem von dir verlinkten Artikel geht es um Netzwerkkarten, die selbst auch programmierbar sind.

Wenn ich es richtig sehe, dürften meine eher billigen Netzwerkkarten von diesem Problem nicht betrofen sein.

Aber genau in diese Richtung gehen meine Fragen.

Hier etwas detailierter auf Heise
http://www.heise.de/security/meldung/Der-Feind-in-der-Netzwerkkarte-1141366.html

Dabei geht es mir speziell darum, ob ein eventuell schon infizierter Rechner den PC mit der Netzwerkbrücke manipulieren kann.

Im Moment läuft auf dem Analyserechner XP Prof. aber ich könnte dort auch Debian oder Ubuntu einsetzen, wenn hier XP zu unsicher ist.

mir ist klar, wenn ich einen rechner analysiere, lasse ich ihn dafür auch ins internet. damit ist mir auch klar, dass er unter umständen über ein trojaner eine fernadministration für den infizierten rechner schaltet.

der eindringling, welcher nun den rechner manipulieren kann, kann auch arp, ping und weitere abfragen starten, um die netzwerkumgebung zu erkunden.
auch auf der suche nach anderen rechnern, die er ebenfalls übernehmen möchte.

wenn ich nun auf dem analyserechner ein gut abgesichertes xp oder linux am laufen habe, frage ich jedoch, ob alleine mit maipulation des datenstromes, so gut verschleiert werden kann, dass z.b. ziel ips nicht oder gefälscht erscheinen.

mir ist auch klar, dass wenn auf einem ms server in china ein trojaner sitzt und der rechner von mir dorthin daten schickt, sie trotzdem von den "bösen" angefordert wurden. d.h. erst schaue ich nach der zielip, dann versuche ich zu ergründen, welche daten geschickt werden, bzw. schaue ich auf dem rechner, welche prozesse die daten versenden.

ich starte z.b. einen rechner zur analyse und sehe derzeit ips von kaspersky oder ms kurz nach dem start. whois und ähnliche dienste geben da klar auskunft.
auch eine chinesische ip war letztendlich von microsoft.
fraglich ist für mich noch, ob sich die ziel ip, welche mir wireshark anzeigt manipulieren läßt.

ich probiere da ein wenig rum und dadurch entstehen die fragen.
im weiteren würde ich gerne wie im anderen thread beschrieben, einen dns server installieren und selbst den datenverkehr lenken.

ähnlich wie ein honeypot für einen rechner eine netzwerkinfrastruktur schaffen, in welcher er seine ziel adressen und prozesse offenbart.

soulmann danke dir nochmals für deinen beitrag.

Grüsse
Epi

bei Antwort benachrichtigen