{"id":307689,"date":"2025-01-13T11:24:21","date_gmt":"2025-01-13T10:24:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=307689"},"modified":"2025-01-13T11:29:39","modified_gmt":"2025-01-13T10:29:39","slug":"billig-aliexpress-china-rj45-adapter-mit-sypware-oder-treiber-installer","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/01\/13\/billig-aliexpress-china-rj45-adapter-mit-sypware-oder-treiber-installer\/","title":{"rendered":"Billig Aliexpress China RJ45-Adapter mit Sypware oder Treiber-Installer?"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[English]Gestern wurde ein Tweet abgesetzt, der absolut steil gingt. Sicherheitsforscherin Eva Prokoview hat sich \u00fcber Aliexpress einen billigen RJ45-Adapter aus China kommen lassen und ge\u00f6ffnet. Der Adapter enth\u00e4lt einen SPI Flash Memory-Chip, der als Speicher agiert und eine .exe-Datei f\u00fcr Windows-System bereitstellt. Sie hatte nach einer automatischen Analyse den Verdacht, dass es Malware sei. Auch wenn es am Ende wohl nur ein Treiber-Installer f\u00fcr Windows war, zeigt die Episode das Dilemma, dass Firmen und Beh\u00f6rden ihre Lieferketten im Griff haben m\u00fcssen, um nicht manipulierte Hardware mit Spionagefunktionen untergeschoben zu bekommen.<\/p>\n<p><!--more--><\/p>\n<h2>China RJ45-Adapter mit Spyware?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/1b86187b24fa4698bea925703180f83a\" alt=\"\" width=\"1\" height=\"1\" \/>Sicherheitsforscherin Eva Prokoview hat am gestrigen 12. Januar 2025 den nachfolgenden <a href=\"https:\/\/x.com\/evapro30\/status\/1878416900016705783\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> zum Thema abgesetzt, der bereits \u00fcber zwei Millionen Abrufe verzeichnen kann (die Posts lassen sich auch auf <a href=\"https:\/\/threadreaderapp.com\/thread\/1878416900016705783.html?utm_campaign=topunroll\" target=\"_blank\" rel=\"noopener\">threadreaderapp.com abrufen<\/a>). All zu viele Informationen gibt es nicht &#8211; nur dass der RJ45-Adapter \u00fcber Aliexpress gekauft worden sei. Laut Tweet ist dieser Adapter \u00fcber 10.000 Mal verkauft worden.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/nrGpW6XZ\/image.png\" alt=\"China RJ45-Adapter mit Spyware\" width=\"589\" height=\"634\" \/><\/p>\n<p>Als sie den Adapter ge\u00f6ffnet hat, kam eine kleine Platine zum Vorschein, die einen SPI Flash Memory-Chip enth\u00e4lt. SPI steht wohl f\u00fcr\u00a0<a href=\"https:\/\/de.wikipedia.org\/wiki\/Serial_Peripheral_Interface\" target=\"_blank\" rel=\"noopener\">Serial Peripheral Interface<\/a>, ein serielles Bussystem. Der Chip verh\u00e4lt sich wie ein Speicherlaufwerk und enth\u00e4lt eine .exe-Datei f\u00fcr Windows.<\/p>\n<h2>Eine automatische Analyse<\/h2>\n<p>Eva Prokoview hat dann damit begonnen, das Verhalten der .exe-Datei vim Flash-Speicher dieses RJ45-Adapters mit <a href=\"https:\/\/app.any.run\/tasks\/d44190a7-d2c7-48aa-9c1b-9b688d22d18c\" target=\"_blank\" rel=\"noopener\"><em>any.run<\/em> <\/a>zu analysieren. Die betreffende .exe-Datei ist laut der Analyse in der Lage, Code in Prozesse unter Windows einzuschleusen und virtuelle Maschinen zu umgehen. Weiterhin k\u00f6nne die Software Proxy-Einstellungen \u00e4ndern und Tastatureingaben abgreifen, hei\u00dft es. Die Malware verwende russischsprachige Elemente, um ihren Ursprung oder ihre Absicht zu verschleiern, wird noch erw\u00e4hnt.<\/p>\n<p><a href=\"https:\/\/www.hybrid-analysis.com\/sample\/e3f57d5ebc882a0a0ca96f9ba244fe97fb1a02a3297335451b9c5091332fe359\/6783acb889e814045f0a2da6\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/Znw6rYry\/image.png\" alt=\"Analyse der Malware\" width=\"598\" height=\"684\" \/><\/a><\/p>\n<p>Auf der Webseite\u00a0<a href=\"https:\/\/www.hybrid-analysis.com\/sample\/e3f57d5ebc882a0a0ca96f9ba244fe97fb1a02a3297335451b9c5091332fe359\/6783acb889e814045f0a2da6\" target=\"_blank\" rel=\"noopener\">hybrid-analysis.com<\/a> lassen sich detailliertere Informationen abrufen, welche Aktionen bei einer automatischen Analyse der Software (Datei <em>SR9900_SFX_207.exe<\/em>)\u00a0beobachtet wurden.<\/p>\n<ul>\n<li>Es wurde eine Zeichenfolge gefunden, die als Teil einer Injektionsmethode verwendet werden kann.<\/li>\n<li>Die Malware kann Daten in einen Remote Prozess schreiben.<\/li>\n<li>Es wird ein Fingerabdruck des betreffenden Systems erstellt.<\/li>\n<li>Die Malware kann\u00a0Kernel-Debugger-Informationen abfragen.<\/li>\n<li>Es werden Prozessinformationen das laufenden Windows-Systems abgefragt.<\/li>\n<li>Die Malware versucht eine Abfrage von sensiblen IE-Sicherheitseinstellungen.<\/li>\n<li>Es werden Anzeigeeinstellungen von systemzugeh\u00f6rigen Dateierweiterungen abgefragt.<\/li>\n<\/ul>\n<p>Die in der .exe-Datei enthaltene Software hat (laut Analyse) Funktionen um sich einer Entdeckung zu entziehen (evasives Verhalten). Sie k\u00f6nne:<\/p>\n<ul>\n<li>Einen Prozess beenden<\/li>\n<li>Dateien zum L\u00f6schen markieren<\/li>\n<li>VM-spezifische Registry-Schl\u00fcssel auslesen<\/li>\n<li>Die Registry nach VMWare-spezifischen Artefakten durchsuchen.<\/li>\n<\/ul>\n<p>Weiterhin wurde bei der von der .exe-Datei erzeugten Eingaben ein bekannter Anti-VM-Trick verwendet, um die Analyse in solchen Umgebungen zu verhindern, l\u00e4sst sich eventuell aus der automatisch generierten Beschreibung herauslesen. Also ein Fall von Finger weg und die Chinesen sind wieder ertappt worden?<\/p>\n<h2>Oder doch nur ein Treiber-Installer?<\/h2>\n<p>Geht man die Beschreibungen auf den verlinkten Webseiten durch, kann einem \"Angst und Bange\" werden. Du kaufst einen billigen RJ45-Adapter auf USB-A und f\u00e4ngst dir eine Malware ein, ist die Botschaft. Problem ist, dass die betreffende .exe-Datei wohl nicht breit zur Analyse verf\u00fcgbar ist.<\/p>\n<p><a href=\"https:\/\/x.com\/vxunderground\/status\/1878713649566712006\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/3R006C59\/image.png\" alt=\"vxunderground zum RJ45-Adapter\" width=\"582\" height=\"800\" \/><\/a><\/p>\n<p>Ich habe dann noch etwas gesucht und bin auf obigen Tweet von <em>vxunderground<\/em> gesto\u00dfen, wo eine Einordnung vorgenommen wird. Dort hei\u00dft es, dass es Aufgabe der .exe-Datei auf dem Flash Speicher-Chip sei, einen Treiber zur Installation f\u00fcr Windows bereitzustellen.<\/p>\n<p>Deckt sich auch mit der Information, dass die Datei\u00a0<em>SR9900.inf <\/em>einen Windows-Treiber f\u00fcr den SR9900 Chipsatz eines USB-A zu RJ45-Ethernet-LAN-Adapter bereitstellt.\u00a0Ergo f\u00e4llt obiger Sachverhalt, skizziert von Eva Prokofiev, dass es sich um Malware handelt, in sich zusammen.<\/p>\n<h2>Das grunds\u00e4tzliche Problem<\/h2>\n<p>Die Episode zeigt aber das grunds\u00e4tzliche Problem, vor dem wir stehen. Du kaufst irgend ein Bauteil, welches Du per Netzwerkkabel oder USB-Kabel mit deinem Rechner verbindest. Sobald dort Software zur (Treiber-)Installation angeboten wird, hat der Nutzer bereits verloren. Er muss dieser Software und dem Lieferanten vertrauen oder l\u00e4uft Gefahr, sich Schadsoftware auf das System zu holen.<\/p>\n<p>Die L\u00f6sung k\u00f6nnte nat\u00fcrlich sein, dass die Hardware keine Treiber anbietet, sondern nur eine Hardware-ID gegen\u00fcber Windows meldet. Das Betriebssystem holt sich dann signierte Windows-Treiber von den Microsoft Servern.<\/p>\n<p>Ich hatte es nicht thematisiert, aber vor ca. einem Jahr ist mir die Informationen untergekommen, dass Sicherheitskreise besorgt sind, dass manipulierte Hardware in Umlauf gebracht wird, die dann in Firmen und Beh\u00f6rden zum Einsatz gelangt. Meinen Informationen nach wurde gewarnt und Beh\u00f6rden empfohlen, auf ihre Lieferketten zu achten und sicherzustellen, dass da nichts kompromittiert werden kann.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Gestern wurde ein Tweet abgesetzt, der absolut steil gingt. Sicherheitsforscherin Eva Prokoview hat sich \u00fcber Aliexpress einen billigen RJ45-Adapter aus China kommen lassen und ge\u00f6ffnet. Der Adapter enth\u00e4lt einen SPI Flash Memory-Chip, der als Speicher agiert und eine .exe-Datei f\u00fcr &hellip; <a href=\"https:\/\/borncity.com\/blog\/2025\/01\/13\/billig-aliexpress-china-rj45-adapter-mit-sypware-oder-treiber-installer\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426,301],"tags":[3081,1243,4328,3288],"class_list":["post-307689","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","category-windows","tag-geraete","tag-hardware","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/307689","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=307689"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/307689\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=307689"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=307689"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=307689"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}