[English]Gestern wurde ein Tweet abgesetzt, der absolut steil gingt. Sicherheitsforscherin Eva Prokoview hat sich über Aliexpress einen billigen RJ45-Adapter aus China kommen lassen und geöffnet. Der Adapter enthält einen SPI Flash Memory-Chip, der als Speicher agiert und eine .exe-Datei für Windows-System bereitstellt. Sie hatte nach einer automatischen Analyse den Verdacht, dass es Malware sei. Auch wenn es am Ende wohl nur ein Treiber-Installer für Windows war, zeigt die Episode das Dilemma, dass Firmen und Behörden ihre Lieferketten im Griff haben müssen, um nicht manipulierte Hardware mit Spionagefunktionen untergeschoben zu bekommen.
China RJ45-Adapter mit Spyware?
Sicherheitsforscherin Eva Prokoview hat am gestrigen 12. Januar 2025 den nachfolgenden Tweet zum Thema abgesetzt, der bereits über zwei Millionen Abrufe verzeichnen kann (die Posts lassen sich auch auf threadreaderapp.com abrufen). All zu viele Informationen gibt es nicht – nur dass der RJ45-Adapter über Aliexpress gekauft worden sei. Laut Tweet ist dieser Adapter über 10.000 Mal verkauft worden.
Als sie den Adapter geöffnet hat, kam eine kleine Platine zum Vorschein, die einen SPI Flash Memory-Chip enthält. SPI steht wohl für Serial Peripheral Interface, ein serielles Bussystem. Der Chip verhält sich wie ein Speicherlaufwerk und enthält eine .exe-Datei für Windows.
Eine automatische Analyse
Eva Prokoview hat dann damit begonnen, das Verhalten der .exe-Datei vim Flash-Speicher dieses RJ45-Adapters mit any.run zu analysieren. Die betreffende .exe-Datei ist laut der Analyse in der Lage, Code in Prozesse unter Windows einzuschleusen und virtuelle Maschinen zu umgehen. Weiterhin könne die Software Proxy-Einstellungen ändern und Tastatureingaben abgreifen, heißt es. Die Malware verwende russischsprachige Elemente, um ihren Ursprung oder ihre Absicht zu verschleiern, wird noch erwähnt.
Auf der Webseite hybrid-analysis.com lassen sich detailliertere Informationen abrufen, welche Aktionen bei einer automatischen Analyse der Software (Datei SR9900_SFX_207.exe) beobachtet wurden.
- Es wurde eine Zeichenfolge gefunden, die als Teil einer Injektionsmethode verwendet werden kann.
- Die Malware kann Daten in einen Remote Prozess schreiben.
- Es wird ein Fingerabdruck des betreffenden Systems erstellt.
- Die Malware kann Kernel-Debugger-Informationen abfragen.
- Es werden Prozessinformationen das laufenden Windows-Systems abgefragt.
- Die Malware versucht eine Abfrage von sensiblen IE-Sicherheitseinstellungen.
- Es werden Anzeigeeinstellungen von systemzugehörigen Dateierweiterungen abgefragt.
Die in der .exe-Datei enthaltene Software hat (laut Analyse) Funktionen um sich einer Entdeckung zu entziehen (evasives Verhalten). Sie könne:
- Einen Prozess beenden
- Dateien zum Löschen markieren
- VM-spezifische Registry-Schlüssel auslesen
- Die Registry nach VMWare-spezifischen Artefakten durchsuchen.
Weiterhin wurde bei der von der .exe-Datei erzeugten Eingaben ein bekannter Anti-VM-Trick verwendet, um die Analyse in solchen Umgebungen zu verhindern, lässt sich eventuell aus der automatisch generierten Beschreibung herauslesen. Also ein Fall von Finger weg und die Chinesen sind wieder ertappt worden?
Oder doch nur ein Treiber-Installer?
Geht man die Beschreibungen auf den verlinkten Webseiten durch, kann einem „Angst und Bange“ werden. Du kaufst einen billigen RJ45-Adapter auf USB-A und fängst dir eine Malware ein, ist die Botschaft. Problem ist, dass die betreffende .exe-Datei wohl nicht breit zur Analyse verfügbar ist.
Ich habe dann noch etwas gesucht und bin auf obigen Tweet von vxunderground gestoßen, wo eine Einordnung vorgenommen wird. Dort heißt es, dass es Aufgabe der .exe-Datei auf dem Flash Speicher-Chip sei, einen Treiber zur Installation für Windows bereitzustellen.
Deckt sich auch mit der Information, dass die Datei SR9900.inf einen Windows-Treiber für den SR9900 Chipsatz eines USB-A zu RJ45-Ethernet-LAN-Adapter bereitstellt. Ergo fällt obiger Sachverhalt, skizziert von Eva Prokofiev, dass es sich um Malware handelt, in sich zusammen.
Das grundsätzliche Problem
Die Episode zeigt aber das grundsätzliche Problem, vor dem wir stehen. Du kaufst irgend ein Bauteil, welches Du per Netzwerkkabel oder USB-Kabel mit deinem Rechner verbindest. Sobald dort Software zur (Treiber-)Installation angeboten wird, hat der Nutzer bereits verloren. Er muss dieser Software und dem Lieferanten vertrauen oder läuft Gefahr, sich Schadsoftware auf das System zu holen.
Die Lösung könnte natürlich sein, dass die Hardware keine Treiber anbietet, sondern nur eine Hardware-ID gegenüber Windows meldet. Das Betriebssystem holt sich dann signierte Windows-Treiber von den Microsoft Servern.
Ich hatte es nicht thematisiert, aber vor ca. einem Jahr ist mir die Informationen untergekommen, dass Sicherheitskreise besorgt sind, dass manipulierte Hardware in Umlauf gebracht wird, die dann in Firmen und Behörden zum Einsatz gelangt. Meinen Informationen nach wurde gewarnt und Behörden empfohlen, auf ihre Lieferketten zu achten und sicherzustellen, dass da nichts kompromittiert werden kann.
Jede Hardware egal wie billig und woher enthält sicherlich Dinge, die man nicht darin vermuten würde. Es wäre naiv, das nicht auf dem Schirm zu haben.
FUD, das bedeutet im Allgemeinen fear, uncertainty, doubt.
Es ist einfach falsch, dass es heute akzeptabel ist einfach in einer Minute Behauptungen aufstellen zu können, die ein Gelehrter in 7 Stunden gerade so widerlegen kann.
Kennt man aus der Kindheit: Unter dem Bett leben Gespenster und Monster.
Erinnert mich an den Mann, der seinen RJ45 am RasPi geschrottet hat und behauptete die Magnetics (zur elektrischen isolierung des Ports) wären Mikrophone.
[https://hackaday.com/2018/06/01/raspberry-pis-power-over-ethernet-hardware-sparks-false-spying-hubub/]
Jeden Tag grüßt das Murmeltier.
Wer solche Dinge als FUD abtut, ist (noch) zu naiv.
Es wird alles gemacht, was irgendwie möglich ist, seit Jahrzehnten, von verschiedensten Seiten.
Wir sind nicht wichtig genug für ein TAO implant.
Bist du zufällig Mister Assange oder Snowden?
Wenn nein: Niemand interessiert sich für uns.
Wir sind nichtmal auf deren Radar.
Fällt aber ein bisserl in die Kategorie „wir werden nicht gehackt, weil strafbar“. Es war von meinem Verständnis nicht von den Five Eyes die Rede. Es reicht, ein Treiber mit einer Schwachstelle breit zu verteilen, um Missbrauch zu betreiben.
Bait-and-switch muss jetzt nicht wirklich sein. Sonst haben wir gleich einen Themenbaum der sich ad nauseam verästelt.
Back to topic: Der Adapter macht nichts. PRISM am CIX kann TLS1.3 nicht aufbrechen. TAO implantate wurde außer bei Leuten wie Maguhn (Wikileaks) vom CCC nie bei einem Leser auf Borncity gefunden.
Ist schon Wahnsinn das Verschlüsselung wirklich funktioniert und bereits die Nutzung von Signal, als „going dark“ zählt.
Wenn ich mich recht entsinne musste man erst Kameras und Mikrophone in der Botschaft bei Assange installieren, weil man ihn eben nicht so einfach bespitzeln konnte.
So what? Der Artikel ist über eine clevere Frau, die Seminare verkaufen will und die Installer sind clean. Worüber wird gerade diskutiert? Ich klinke mich aus bevor ich jemanden verärgere. Das alles hier ist ein Sturm im Wasserglas.
Die nicht bekannten bzw. nicht aufgeflogenen Dinge sind trotzdem vorhanden. Überall. Seit Jahren. Es werden Milliarden dafür ausgegeben. Und wenn eine Verschlüsselung nicht aufbrechbar oder umgehbar wäre, würde sie nachhaltig unterbunden. Egal, was welche Marketingabteilung oder Pressesprecher erzählen.
Mit dieser Frau hat das nichts zu tun, warum auch immer Du sie immer wieder erwähnst.
Addendum:
[https://i.imgur.com/fqp0XNO.png]
kein einziger kyrillischer string in den binaries, sauberer installer der ein 7z sfx ist
alle treiber digital signiert in Redmond
Wuhuuu.. der omnipotente Hacker im Himmel
Nachtrag 2:
Wart Ihr mal auf der Webseite der tollen Dame?
Da werden einem ganz tolle Cyber-Trainings für nur 7700 USD verkauft zum Thema China.
Ich will mich ja nicht aus dem Fenster lehnen (ist gefährlich in manchen Ländern), aber sind das SEO-Tweets auf X?
Es geht nicht um die Dame – dass an deren Annahmen wenig dran ist, hatte ich oben im Text erläutert. Es geht darum, die Achtsamkeit bezüglich der potentiellen Probleme zu schärfen.
Lieferketten sind ein Dauerbrenner. Ich, der bis vor ein paar Monaten noch bei einem sehr großen Konzern unterwegs war. Hatte eine Anforderung von einem internen Kunden. Er habe ein Projekt, was die Anforderung hat, dass nur EU Bürger daran mitarbeiten dürfen. Wir konnten das Projekt auf unserer Plattform nicht onboarden, da wir einen Teil unserer Supportleistung in Indien/Singapur hatten. Ich glaube, der interne Kunde sucht bis heute noch…..
Der ist doch USB2.0?! Warum nutzt man sowas? Die gängigen Gigabit-USB3-Adapter haben wohl zu 99% den selben Realtekchipsatz der von Windows von Haus aus unterstützt wird.
Nun könnte man gehässig sein und sagen, selbst dran schuld, warum kauft man sich solchen Crap von einer unbekannten Marke/Hersteller. Aber das kann dir bei einer bekannten Marke auch ran schnappen. Nur würde das da eher Wellen schlagen.
Meine Meinung dazu.
Das hat es doch schon bei Routern und managed Switchen namhafter Firmen gegeben, das die mit Schadsoftware infiziert waren.
Die Täter haben die Ware auf dem Weg vom Hersteller zum Händler/Großhändler/Importeur abgefangen, die Schadsoftware aufgespielt und dann wieder in die Lieferkette eingereiht.
Das die Geräte manipuliert wurden, war so gut wie nicht zu erkennen.
Diese „Täter“ waren staatliche Dienste mit drei Buchstaben…
Nein, in dem Fall wohl China, ich denke, das RS auf den „Lieferkettenangriff“ der Cisco Switche verweist, was nur aufgefallen ist, weil sich eine Firmware nicht installieren ließ und die das Gerät aufgeschraubt haben und dann festgestellt haben, dass da was nicht passt. (war 2020 ~ 2021).
So abwägig ist das nicht und mit unter der „sicherste“ Weg gezielt anzugreifen ohne das jemand direkt involviert ist (via Social Engineering bspw. ).
Nein, in dem Fall heimische Dienste: https://www.heise.de/news/NSA-manipuliert-per-Post-versandte-US-Netzwerktechnik-2187858.html
“ Nur würde das da eher Wellen schlagen.“
Nun, man muss das Problem ja erst finden. Ich glaube nicht, dass bekannte Hersteller dich vor solchen Problemen schützen. Je geringer die MArge, desto schlechter die Qualitätskontrolle.
Nicht ohne Grund wird empfohlen, sämtliche Autorun-Funktionen und auch die automatische Treiberinstallation per Registry/GPO zu deaktivieren.
Und das macht, geschweige ist dazu imstande, genau welcher Otto-Normal-Anwender? 🙄
Wohl kaum jemand.
Und da haben wir auch das Problem: Microsoft!
Warum sind diese Sachen bei Windows per Default aktiviert?
Windows ist allgemein per Default ziemlich unsicher konfiguriert.
Alleine durch Konfigurationsänderungen kann man Windows schon sehr deutlich sicherer machen.
Womit wir wieder beim oberen genannten Problem sind, welcher Otto Normalanwender weiss dann was er machen muss um zb. eine neue Hardware zu installieren. (Handy, Drucker, Digitalkamera, Controller usw.) Nicht jeder hat ein Familienmitglied mit grundlegenden IT Kenntnissen auf welchen man zurückgreifen kann, oder sogar, wie so viele postings suggerieren wollen, gleich „die eierlegende Wollmilchsau“ Linux einrichten.
muss er das? Autos bringen die Leute ja auch in die Werkstatt!
Tja wer es nicht selbst kann lässt es eben machen… wie so vieles im Leben. Nur in der IT meint jeder alles selbst machen zu müssen auch wenn er Null Ahnung hat.
Echt jetzt, Du würdest ein 500€ oder weniger-Auto (= Intel i3-Kisten für Ommi und Oppi) noch zur Werkstatt bringen? Schon beim Draufschauen vom Meister wäre das ja ein wirtschaftlicher Totalschaden.
Und genau das ist der Punkt: Das Preisverhältnis! Ein günstiger Rechner impliziert keinen schützenswerten Wert, im Gegensatz zu einem Auto, mit dem man außerdem auch noch andere schädigen kann.
Von „Viren“ hat man mal gehört, aber auch keine genaue Ahnung, und falls doch „betrifft mich das ja nur selbst“. Letztens kommt noch „ich habe ja nichts zu verbergen“ hinzu.
3. Der Fachmann oder Abzocker, den Ommi dann doch angerufen hat, tut so, als habe er Ahnung, und richtet genau nichts in Sachen Sicherheit ein, da das den Komfort beeinträchtigt – und das würde seinen Job schädigen: „Danach ging erst mal nix, keine Ahnung, was der kaputt gemacht hat, nimm den nicht, Erna!“.
Solange das 500€ oder weniger Auto noch einigermassen fährt, wird es im Zweifelsfall auch unwirtschaftlich in einer Werkstatt repariert werden, da ein neues Auto bei vielen um unüberbrückbare Welten ausserhalb der wirschaftlichen Möglichkeiten liegt.
Ähm, nee…da seh‘ ich eher das Priorisierungsopfer – die heimische IT ist halt lange nicht so wichtig, wie das „Auto“ und wird dsh. eher stiefmütterlich behandelt bzw. vernachlässigt, da es eben auch für Unbedarfte schwer bis unmöglich ist (virtuelle) Schäden im Datenbereich zu visualisieren oder die Auswirkungen abzuschätzen.
Sowas geht beim Auto eben viel leichter, weil’s vllt. lebensbedrohliche Konsequenzen haben kann.
In einem Vortrag vor 2 Jahren wurde schon vor Kabeln, Steckern etc bei Amazon gewarnt.
optisch nicht erkennbar und nur mit dem passenden Lesegerät zu identifizieren, wenn man es nicht demontiert, was man idr nicht tut, man will es ja benutzen und eingeschweiste Stecker lassen sich schwer zusammenbauen :-)
Unschöne Sache, aber zumindest in Teilen sehe ich das Problem auch beim OS, was einfach so Installationen startet. Der Trend scheint zudem immer beliebter zu werden. Egal ob Drucker, BIOS oder OS-Anbieter. Lauter ‚geheime‘ / unsichtbare Trigger für die Installationen / Aktivitäten im Hintergrund.
Damit könnten auch Staatstrojaner und andere Abhörmassnahmen einfach untergejubelt werden?
Yeap,
wer Snowden und Assange gelesen hat sollte nicht überrascht sein.
Wenn Applocker aktiviert und korrekt eingestellt ist, dann funktioniert diese Installation über den Temp-Ordner nicht mehr.
Microsoft hat in Windows 10 beim Applocker aber eine dumme Falle eingebaut. Der Dienst „Anwendungsidentität“ (AppIDSvc) muss per Registry von „manuell“ auf „automatisch“ umgestellt werden. Diese Umstellung direkt im Dienste-Dialog funktioniert nicht und mit der Standard-Einstellung „manuell“ schaltet sich dieser zwingend notwendige Dienst beim nächsten Neustart wieder aus und Applocker ist dann inaktiv.
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\AppIDSvc]
„Start“=dword:00000002
Danach neustarten.
Im Gruppenrichtlinieneditor ( C:\\Windows\\System32\\gpedit.msc ) unter
Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Anwendungssteuerungsrichtlinien -> Applocker
„Regelerzwingung konfigurieren“ anklicken.
Im Reiter „Erwingen“ die 4 Kästchen anhaken.
In den 4 Zeilen jeweils unterhalb dieser angehakten Kästechen die Option „Regeln erwingen“ einstellen.
OK klicken.
Dann eine Zeile unterhalb von Applocker“ auf „Ausführbare Regeln“ klicken.
Im rechten freien Teil des Fensters rechtsklicken und „Standardregeln erstellen“ anklicken.
Anschließend erneut rechtsklicken, „Neue Regel erstellen“ anklicken,
Weiter, „verweigern“, „Pfad“, „%WINDIR%\\Temp\\*“ (ohne Anführungszeichen und jeweils nur mit einem Backslash), erstellen
Anschließend erneut rechtsklicken, „Neue Regel erstellen“ anklicken,
Weiter, „verweigern“, „Pfad“, „%OSDRIVE%\Users\USERNAME\AppData\Local\Temp\*“ (USERNAME anpassen auf den jeweiligen Usernamen, ohne Anführungszeichen und jeweils nur mit einem Backslash), erstellen
Am besten auch noch den Desktop sperren:
„%OSDRIVE%\\Users\\USERNAME\Desktop\\*“
Dann in einer Konsole mit Admin-Rechten folgendes eintippen damit die neuen Gruppenrichtlinien auch aktiviert werden:
gpupdate /force
Jetzt noch die Schreibrechte auf dem C: Hauptverzeichnis blockieren, als Maßnahme gegen Mock-Ordner als Umgehungsschutz für Applocker
Mock-Ordner sind Ordner, die wie die Windows-Ordner aussehen, aber ein Leerzeichen enthalten,
also „Windows “ oder „Program Files “ oder „Program Files (x86) „.
Dort hätte man Schreibrechte und Ausführungsrechte, also eine Umgehung des Applockers.
Das muss man so verhindern:
0.
Konsole (cmd.exe) mit Admin-Rechten Öffnen
1.
# Den Besitzer des Hauptverzeichnis C vom TrustedInstaller zum Administrator ändern:
takeown /f C:\ /a
(ohne /r, weil nicht rekursiv geändert werden soll, sondern nur C alleine ohne Unterverzeichnisse)
/f bedeutet: Befehl gilt für folgende Datei oder Ordner
/a bedeutet: Dieser Ordner gehört jetzt dem Administrator
2.
icacls.exe c:\\ //deny „VORDEFINIERT\\Benutzer“:(ad,wd)
(jeweils nur ein Slash bzw Backslash)
# //deny bedeutet: verbieten
# „AD“ bedeutet: Anfügen von Daten bzw Hinzufügen eines Unterverzeichnisses
# „WD“ bedeutet: Schreiben von Daten bzw Hinzufügen einer Datei
# „VORDEFINIERT\\Benutzer“ schließt auch Administratoren mit ein, diese können danach also ebenfalls keine neuen Mock-Ordner im Hauptverzeichnis C:\\ erzeugen. Das soll aus Sicherheitsgründen auch so sein.
Die folgenden Optionen *NICHT* benutzen:
(CI)(OI) : Vererben auf alle Unterordner und Dateien
Die Änderung soll nur für C:\\ gelten, aber nicht für die Unterordner.
3.
# Besitzer des Hauptverzeichnis C:\\ wieder vom Administrator zurück an den TrustedInstaller ändern:
ICACLS C:\\ //setowner „NT SERVICE\\TrustedInstaller“
Das ist ja mal richtig intuitiv. Schön zu lesen dass Microsoft Sicherheit groß schreibt und jetzt noch benutzerfreundlicher macht.
Applocker ist die wichtigste Sicherheitsmaßnahme gegen die meisten Schädlinge.
Also sollte man Applocker unbedingt aktiveren.
Applocker gab es bei Windows 7 nur in der Ultimate-Version, aber bei Windows 10 ist es jetzt auch ab Home und Pro verfügbar, also für jeden.
Einschalten!
Aber subito!
Wenn man Programme installieren möchte, dann muss man im Gruppenrichtlinieeditor die Temp-Ordner wieder vorübergehend „zulassen“ (einfach auf die Regeln doppelklicken und umschalte.
In einer Admin-Konsole dann erneut:
gpupdate /force
und danach das Programm installieren.
Anschließend wieder die Temp-Ordner sperren.
Und wie macht man das wenn sich Programme im Hintergrund selbst aktualisieren wollen?
ja nach Anwendung. die großen Bekannten laufen mit einem Dienst als SYSTEM, bei anderen machst du es als Admin mit passenden Rechten, je nach Konfiguration. ich starte Benutzer Installer per sysiphos von Stefan Kanthak als System
Bei mir soll sich im Normalfall ein Programm nicht selber aktualisieren.
Updates installiere ich manuell, sonst habe ich keine Kontrolle darüber, wer mir was unterschiebt.
Sag das mal Adobe und anderen…
Hallo Adobe, ich beende und deaktiviere jetzt deinen Update Dienst. Zack. fertig.
Schau einfach Mal in die Dienste Liste, Ausgabenplanung oder Einstellungen der Programme
Offenbar nutzen Sie solche Software nicht, vieles startet dann einfach nicht mehr…
Welche denn?
Dann halt 0.0.0.0 für die Endpunkte in die hosts Datei und nur freigeben, wenn Update erlaubt.
Ein bischen kreativität müsst ihr schonmitbringen, wenn ihr alles kontrollieren wollt …
Wichtig ist ja in dem Scenario nur, das die Anwendung selbst kontrolliert/erlaubt ist und das Update
Die Frage ist, was ist die wichtiger: Datenschutz/Telemetrie oder Schutz vor Ransomware/Malware/PUP/PUA
Dementsprechend wähle die Waffen ;-)
wenn du etwas an einer GPO änderst, benötigt es kein /force
echt nicht, vertrau mir ;-)
Warum hat Microsoft dann überhaupt den Parameter /force programmiert, wenn gpupdate diesen Parameter gar nicht braucht?
https://www.gruppenrichtlinien.de/artikel/gpupdate-vs-gpupdate-force
nah dran … du beschreibst SRP in der Default Konfiguration.
a) den Dienst stellst du natürlich per GPO auf automatisch, per Hand wäre Quatsch.
b) Applocker ist im Gegensatz zu SRP, wo die Art der Blockierung gewählt werden kann, ein reines Allow Listing Werkzeug. was nicht erlaubt ist, ist verboten.
es benötigt also nur dann ein Verweigern, wenn eine andere Regel es zulassen würde.
Applocker ist SRP 2.0.
Das sieht man auch an den Pfaden in der Registry und im Gruppenrichtlinieneditor.
Microsoft möchte SRP 1 nicht mehr unterstützen, daher Applocker.
zu a)
Wie macht man das denn im normalen Gruppenrichtlinieneditor auf dem Client?
Den Pfad gibt es da nämlich nicht:
Computerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Dienste
Meinst du den „Group Policy Management Console (GPMC)“ Editor (Gruppenrichtlinien-Verwaltungskonsole)?
Das gibt es nur auf dem Server, aber nicht auf Clients.
zu b)
Normalerweise erzeugt man zuerst die „Standardregeln“ und danach sind dann für meinen Geschmack noch zu viele Ordner erlaubt.
Also sperre ich die nachträglich manuell.
Dann kann ich die auch einzeln gezielt und einfach umswitchen zwischen erlaubt oder verboten.
Man könnte auch die Standardregeln weglassen, aber dann müsste man den Windows-Ordner und die einzelnen Programmordner manuell freischalten, was mehr Aufwand bedeutet.
Anfänger (einige Leser der Anleitung) könnten das System unbrauchbar abschießen, wenn man auf die Standardregeln verzichtet und zum Beispiel den Windows-Ordner nicht erlaubt, dann ist gründlich Ende und nichts geht mehr.
a) Dienste ohne GPMC/AD:
es geht nur um den registry Eintrag „Start“ eines Dienstes im CurrentControlSet. du musst also das registry.pol file editieren, da der editor es nicht kann:
– eigenes Adm Template
– Sicherheitsvorlage per mmc erstellen und mit secedit anwenden
– LocalGPO von Microsoft (Aaron Margosis)
– VB Script von faq-o-matic
– Registry Workshop von Torchsoft
… viele Werkzeuge
b) das Applocker eine Weiterentwicklung von SRP ist, ist in dem Fall uninteressant. wichtig ist die grundsätzliche Änderung in der Default Einstellung:
was nicht erlaubt ist, ist verboten.
du musst weder das Benutzerprofil, noch temp verweigern, das es schon nicht erlaubt ist.
du musst allerdings einige Ordner unter Windows exkludieren
https://www.gruppenrichtlinien.de/artikel/applocker-oder-software-restriction-policies-loecher-im-sicherheitszaun
zu a):
Danke für den Tipp, aber das erscheint mir viel mehr Aufwand zu sein, als direkt diesen einen Registry-Eintrag für den Dienst zu setzen.
zu b):
Wenn ich bei mir die Temp-Ordner nicht ausdrücklich verbeite, dann sind die erlaubt.
Habe ich getestet und das will ich nicht.
Deine Methode mit der Aussperrung des Administrators will ich auch nicht.
Ich hatte eigentlich angenommen, das Microsoft das Problem mit den beschreibbaren Windows-Unterordnern bei Windows 10 gefixt hatte. Offenbar ist das doch nicht der Fall.
Bei Windows 7 hatte ich die gesperrt, bei Windows 10 noch nicht.
> Wenn ich bei mir die Temp-Ordner nicht ausdrücklich verbeite, dann sind die erlaubt.
Hast du ein „Allow *“ drin stehen? Dann liegt es daran.
https://learn.microsoft.com/de-de/windows/security/application-security/application-control/app-control-for-business/applocker/understanding-applocker-allow-and-deny-actions-on-rules
> Danke für den Tipp, aber das erscheint mir viel mehr Aufwand zu sein, als direkt diesen einen Registry-Eintrag für den Dienst zu setzen.
Gerne.
Der Nachteil am Manuellen Vorgang ist, das du u.U. sicher stellen muss, das der Dienst auch nach einem Update so bleibt, wie du möchtest. Das wäre mit der GPO gewährleistet.
Frage:
In deinem Link (Gruppenrichtlinie de) steht:
„Achtung! Das Regelwerk auf dem Bild funktioniert nicht. Die Pfade müssen (bei Applocker) als AUSNAHME inkl. „\*“ in der ZUGELASSEN-Regel eingetragen werden, der Screenshot ist nur zur optisch besseren Darstellung des Problem.“
Warum ist das so?
Warum kann man diese Ordner nicht einfach als „verweigern“ eintragen, sondern muss sie als Ausnahme unterhalb des „zugelassenen“ Windows-Ordners eintragen?
Wo ist denn da der Unterschied in der Wirkung?
Mit Verweigern funktionierte es nicht. Als Ausnahme schon.
Ich habe es gerade noch mal durchgespielt, beides geht, da „Deny“ immer gewinnt. Egal ob als Regel oder Ausnahme.
Werde ich im Artikel korrigieren. Keine Ahnung, warum es nicht ging.
Nachtrag:
Den Temp-Ordner beim USERNAME nicht nur für den aktuellen Standardbenutzer sperren, sondern zusätzlich den Temp-Ordner des Administrators, denn Installationen erfolgen normalerweise im Kontext des Administrators, auch wenn man als Standardbenutzer angemeldet ist. Man gibt ja die Credentials des Admins ein und braucht dessen Rechte.
ok, einer noch:
noch Mal, du musst nichts sperren, sondern nur erlauben.
wenn du jetzt in den Default Regeln, die du erstellen lassen kannst, die „Administratoren“ gegen das SYSTEM tauschst, bist du fertig.
die Installationen lässt du dann bewusst nur als System laufen, interaktiv zb mit sysiphos von Stefan Kanthak
https://skanthak.hier-im-netz.de/tidbits.html#sysiphos
.. oder psexec /s oder github sudo
Wenn man „Administratoren“ durch „SYSTEM“ ersetzt, dann kann der Admin nichtmal mehr den Gruppenrichtlinieneditor starten.
psexe ist für Remotebetrieb gedacht.
Meine Anleitung soll aber ausschließlich für den Client sein.
Deine Sicht ist die eines Server-Verwalters.
Ich finde es unnötig, den Admin auszusperren.
wäre es so, wie du schreibst, würde mein System nicht funktionsfähig sein ;-)
können wir uns drauf einigen, das technisch eine Allowlist immer schlauer ist, als eine Blocklist?
ich lebe eine Allowlist. diese ist endlich und definierbar.
ich nutze die Standardregeln mit im oben Artikel genannten excludes.
du lebst eine Blocklist und bist nie sicher, ob du alle Stellen erwischt hast.
„excludes“ ist doch das selbe wie „Blocklist“.
Ich verstehe nur noch nicht, warum du die Temp-Ordner nicht sperren willst, wenn die doch genauso offen sind wie die Ordner in deiner „exclude“-Liste.
Diese Temp-Ordner sind doch beschreibbar und eine exe in diesem Temp-Ordner ist ausführbar, wenn man den Ordner im Applocker nicht ausdrücklich sperrt.
Bei dir basiert offenbar alles darauf, den Administrator auszusperren, aber das will ich nicht.
Nein. %temp% ist in der Standard Konfig nicht erlaubt. da liegst du falsch. Ich sperre den Admin nur zusätzlich aus, da ich ein Deployment mit Systemdienst lebe.
Siehe Microsoft Artikel zum Thema Deny:
„Alle anderen Dateien, die nicht durch eine explizite Zulassungs- oder Ablehnungsregel abgedeckt sind, werden implizit für die Ausführung blockiert.“
Was zu dem Punkt führt: Was nicht erlaubt ist, ist verboten.
Warum legst du extra Verweigern-Regeln für Unterpfade im Userprofil an? Und warum nimmst du da nicht %userprofile% um es bei allen Benutzern wirken zu lassen und warum sperrst du dann nicht auch %userprofile%\downloads? Aber alles unnötig, denn bei den Standardregeln von Applocker sind keine Erlauben-Regeln für Userprofil dabei, also muss man da auch nicht extra nochmal was sperren, weil das sowieso ohne Erlaubnis automatisch verboten ist. Wichtiger ist, dass man explizit %HOT% und %REMOVEABLE% sperrt, und zwar für den Fall dass man ganze Laufwerksbuchstaben (Netzwerklaufwerke!) frei gibt, die kann man nämlich trennen und dann statt dessen ein USB-Stick oder CD/DVD-Lw auf den Buchstaben legen…
Es ist naiv anzunehmen, dass die „pösen Purschen“ für Ihre Payload brav den Download Ordner nutzen. In der Regel werden Temp oder Appdata verzeichnisse dafür genommen auch bei selbststartender Software von einem eingelegten Medium.
Es gibt nur eines: App-Whitelisting (egal ob mit SRP oder AppLocker) für alles, außer die Programme- und Windowsordner, wo keiner schreibrechte haben sollte.
Ein User hat nichts anderes, als vom Admin installiert zu benutzen. Wer bei mir das nicht macht bekommt keine Zertifizierung durch.
Dann habe ich vermutlich ein anderes Windows als ihr oder ich teste anders als ihr, denn bei mir muss ich diese Temp-Ordner sperren, sonst können dort gedroppte Installer ausgeführt werden.
Wenn ich die Temp-Ordner gesperrt habe, dann funktionieren die Installer nicht mehr und so will ich das haben.
Der Tipp mit dem „%userprofile%“ ist nützlich, das kann man so machen.
Wenn man Temp-Ordner sperrt, funktioniert praktisch nichts mehr.
ok, welchen „Temp“ Ordner meinst du? Ich glaube wir reden von unterschiedlichen …
a) %temp%? der per Default im %userprofile% unter %LocalAppdata% liegt?
In dem wird nichts ausgeführt, da keine Regel eine Ausführung im Benutzerprofil erlaubt.
b) C:\Windows\temp?
Ja, den muss du „verweigern“ da MS hier den Creator/Owner per NTFS eingetragen hat, der User also Schreibrechte hat und die „Alle Dateien und Ordner unter C:\Windows“ = Erlauben, urch die Standard FRegel abgedeckt ist.
Dieser Ordner wird aber nicht als aufgelöste Variable für das %temp% des Benutzers verwendet.
Zu a):
Genau, wenn man diese Regel einfach weg lässt, dann ist der Temp-Ordner im User-Profil gesperrt.
Dann funktionieren keine ungewollten Installationen, was man ja auch als Schutzfunktion so will.
Hin und wieder möchte man aber eben doch etwas installieren und die Installer kopieren ihre ausgepackten Setups in diesen Temp-Ordner hinein. Das Setup funktioniert dann aber wegen Applocker nicht.
Deshalb habe ich diese Temp-Ordner dann in Applocker eingetragen und switche sie temporär auf „erlauben“ um.
Nach der gewollten Installation switche ich die dann wieder auf „verweigern“ zurück.
Das finde ich einfacher als diese Regel zu löschen oder gar nicht erst zu erzeugen.
Einfach umswitchen geht nämlich schnell und schränkt einen sonst nicht ein.
Du machst das bei dir nicht, weil du die gewollten Installationen mit Sissyphos durchführst.
Ich benutze aber kein Sissyphos und ich will auch den Administrator nicht aussperren.
AutoPlay und Autostart abschalten:
[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\AutoplayHandlers]
„DisableAutoplay“=dword:00000001
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer]
„NoDriveTypeAutoRun“=dword:000000ff
„NoAutorun“=dword:00000001
Im Gruppenrichtlinieneditor:
Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Richtlinein für die automatische Wiedergabe
„Autoplay deaktivieren“ : aktiviert
„Standardverhalten von AutoAusführen festlegen“: aktiviert und dort einstellen: „Keine AutoAusführen-Befehle ausführen“
Das selbe nochmal bei Benutzerkonfiguration:
Benutzerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Richtlinein für die automatische Wiedergabe
„Autoplay deaktivieren“ : aktiviert
„Standardverhalten von AutoAusführen festlegen“: aktiviert und dort einstellen: „Keine AutoAusführen-Befehle ausführen“
In der Windows-Systemsteuerung und „Geräte“ und „Automatische Wiedergabe“ den Schieber nach links und die beiden Drop-Down-Listen umstellen auf:
„Keine Aktion durchführen“ oder auf „Jedes Mal nachfragen“.
du bist immer nah dran …
wenn es auf Computer Ebene ausgeschaltet ist, reicht es. Nur, weil es an vielen Stellen geht, muss es nicht an allen stattfinden
Ja, das ist mir klar.
Ich wollte mehrere Alternativen aufzeigen.
„Ergo fällt obiger Sachverhalt, skizziert von Eva Prokofiev, dass es sich um Malware handelt, in sich zusammen.“
Wie kommst du zu dieser Schlussfolgerung? Zum einen würde ich ein Zwei-Satz Statement nicht als „widerlegt“ werten. Die Analyse der Sicherheitsforscherin weist ja auf weit mehr dubioses Verhalten hin. Selbst wenn das Teil „nur“ automatisch einen Treiber installiert: Es geht doch um die Fähigkeiten der Software. Die Payload kann der Hersteller (oder Reseller) ja jederzeit ändern.
Und außerdem ist es mal wieder eine gute Erinnerung, das Thema auf dem Schirm zu haben.
Wenn man bei VirusTotal die md5-Checksumme ( 9ca4ef0a54999b63d6b4306cdd6f3c15 ) aus der any.run Analyse eingibt, dann findet er die Datei auch:
Compilation Timestamp
2010-06-27 07:06:38 UTC
First Submission
2023-11-18 06:38:43 UTC
Die Datei stammt also von 2010 (also erst kurz nach Veröffentlichung von Windows 7. Windows 10 gab es noch gar nicht), wurde aber erst im Jahr 2023 zum ersten mal zu VirusTotal hochgeladen. Sie konnte also 13 Jahre lang unter dem Radar arbeiten und ist niemandem aufgefallen.
VirusTotal findet hier keine Signaturen von bekannten Schädlingen.
Die „russischsprachige Elemente“ könnten aus dem 7-zip Selbstextraktor stammen, denn 7zip wird von Igor Pavlov programmiert.
Laut VirusTotal befinden sich die russischsprachigen Elemente in zwei Icons.
Im Reiter „Community“ findet man im Kommentar von „joesecurity“ weitere verlinkte Analysen.
joesandbox. com/analysis/1589866/0/html
joesandbox. com/analysis/1589866/0/executive
Da finden sich auch keine Schädlinge.
Das ist der Treiber „CoreChip SR9900 USB2.0 to Fast Ethernet Adapter“ von der Firma „CoreChip Semiconductor Inc Co Ltd.“.
Gedropped werden .inf, .sys und .cat, also typische Treiber-Dateien, in 32-Bit und 64-Bit.
Vermutlich funktioniert dieser Treiber für den USB2-Ethernet-Adapter nicht in einer VM und deswegen gibt es diese VM-Abfrage.
Damit so ein Ethernet in einer VM funktioniert müsste man erstmal eine Brücke einrichten und das macht man im Host, nicht im Gast und der Treiber im Gast kann nicht automatisch wissen, wie die Brücke im Host heißt.
Wenn man sich so ansieht welche IOT Geräte Otto Normalanwender einfach so auf sein WLAN Netzwerk zugreifen lässt lässt, ist die Gefahr doch schon längst da. Die Geräte erfüllen teils nicht mal die Mindestsicherheitstsandards und Produktpflege in Form von Sicherheitsupdates sucht man ebenfalls oft vergebens. Da ist ein Aliexpress China RJ45-Adapter mit einer automatischen Treiberinstallation für mich in einem Meer von Sicherheitsrisiken nur ein weiterer Tropfen, der wenig auffällt.
Am 24. Oktober 2016 sind an der US-Ostküste für 2 Stunden Spotifiy, Soundcloud, Twitter, Netzflix und weitere beliebte Onlinedienste durch eine DDOS Attacke nicht verfügbar gewesen.
Das erschreckende war aber das sich in dem dafür verwendeten Botnetz nicht nur klassische Geräte wie PC´s und Laptops befunden haben sondern auch Sicherheitskameras, Kühlschränke, Thermostate, digitale Videorekorder usw.
Hat ein paar Tage Wellen geschlagen aber ist längst wieder aus dem allgemeinen Bewusstsein verschwunden. Hinzu kommt das die rechtliche Lage bei der Haftung für IoT-Geräte sehr unklar geregelt ist.
Es ist halt billiger, so einen SPI Flash Memory-Chip mit auf die Platine zu löten, als eine CD oder einen USB-Stick mit dem Treiber beizulegen.
Muss der Hersteller auch Geld an Microsoft bezahlen, wenn er seine Treiber bei Microsoft auf die Server legt, damit die Kunden diese Treiber per Windows-Update abrufen können?
Zumindest müsste der Hersteller die WHQL-Test- und Zertifizierungs-gebühren an Microsoft bezahlen und unzertifizierte Treiber wird Microsoft nicht selber anbieten wollen.
Die SPI Lösung ist also einfach billiger.
Die meisten dieser Adapter werden wahrscheinlich in China oder Taiwan hergestellt. Da mit dem Finger auf Aliexpress zu zeigen ist der falsche Weg. Auch andere Anbieter verkaufen diese Geräte ab 4.99 + Versand. Bei Aliexpress kostet so ein Ding halt ab 1,99€ inklusive Versand. Die Zwischenhändler müssen hat auch noch was verdienen.
Das der Hersteller einen Treiber im Gerät mit ausliefert ist nachvollziehbar. Es handelt sich ja um eine Netzwerkkarte.
Wenn die Integrierte LAN Karte durch einen Überspannungsschaden einen Defekt hat, wird man sich darüber freuen wenn das teil Plug and Play fähig ist.
Anders war es mit dem damaligen Surfsticks auch nicht. Damals war da auch immer ein Einwahlprogramm und Treiber dabei. Ab Windows 7 brauchte man nur noch den Treiber. Die restliche Funktionalität stellte Windows bereit.
Wo man untergraben werden kann, wird man untergraben.
Es wird alles gemacht, was gemacht werden kann. Ohne Rücksicht. Auf Verluste. Anderer.
Ein Rechner ohne Schutzmaßnahmen ist schon lange purer Leichtsinn. Windows PCs auf jeden Fall immer mit Windows Firewall Control.
Logitech Mäuse installieren schon länger ungefragt Software (Update) und stecken diese in den Autostart – welche dann schön nach Hause funkt.
MSI hat auf seinen Mainboards mittlerweile auch eine ziemliche Sauerei untergebracht, die, wenn sie nicht umgehend im UEFI deaktiviert wird (und das auch nach jedem Update), zu einer unaufgeforderten Installation von Bloatware nach dem Windows-Start führt.
MSI nennt das Feature DUI (Driver Utility Installer). Ich nenne es einen kritischen, schadhaften Eingriff in das System mit einer mutmaßlich bitterbösen Hintertür. Woher soll Otto Normal wissen, was einem durch den UEFI-Switch denn noch durch die Hintertür untergejubelt wird?
Hm, wozu ein Treiber? Ich dachte ein Controller würde das alles regeln. Für Windows eine .exe Datei und für Linux nichts?
Moin moin
//
Die Lösung könnte natürlich sein, dass die Hardware keine Treiber anbietet, sondern nur eine Hardware-ID gegenüber Windows meldet. Das Betriebssystem holt sich dann signierte Windows-Treiber von den Microsoft Servern.
//
Das tut sie auch, nur wenn man eine solchen Adapter anschliesst tut man dies weil man ohne selbigen meist kein Netz hat … Henne Ei ;)
Eine vernünftige Endpoint kommt mit derlei Sachen zurecht und meldet sich brav.
btw. andere Hersteller machen dies bei USB Adaptern auch, das ist kein Alleinstellungsmerkmal von AliExpress und Co. Das macht die Sache nicht schöner aber der Aufreger sollte nicht nur in eine Richtung zielen.
In diesem Sinne