Als Journalist im Fachbereich IT-Sicherheit übt Malware verständlicherweise einen großen Reiz auf mich aus. Ich finde die Programme faszinierend und verschlinge gerne die Reports zu Stuxnet und Co, wenn sie denn von den Analysten bei Symantec, F-Secure, Kaspersky, Sophos und Co veröffentlicht werden. Nur die fertigen Berichte zu lesen wird aber irgendwann langweilig, schon länger will ich mich selbst an so etwas versuchen. Dazu muss ich allerdings zugeben: Wenn es um das Thema Programmieren geht, hab ich höchstens gefährliches Halbwissen. Aber ich verstehe die Zusammenhänge. Ich kann einen Quelltext soweit interpretieren und den Kontext analysieren, dass ich verstehe, was eine Webseite oder ein Programm da veranstaltet. Ein kleines Wort zum Start noch: Ich bin da komplett neu, wenn ich also Fehler mache oder etwas falsch interpretiere, sagt mir bitte Bescheid, bevor ihr den Beitrag komplett niedermacht.
Zwei Dinge haben mir dabei deutlich weitergeholfen: Die Veröffentlichung des Buches „Practical Malware Analysis“ und ein Artikelauftrag der GameStar (noch nicht online, Link reiche ich nach). Im Artikel ging es u.a. darum, warum und wie sich Kriminelle Zugang zu den Konten der Spieler verschaffen.
MS Points und WoW Blaster
Vor allem auf YouTube finden sich massig Links zu „Hacks“ und „Generatoren“. Diese Programme versprechen nahezu alles, was man sich vorstellen kann: Microsoft Points, Gold für WoW, Spiele für Steam oder Origin. Der Modus Operandi ist nahezu immer gleich: Ein YouTube-Video zeigt das Tool in Aktion, die Beschreibung dazu enthält den Link zum Download und oft eine Geschichte. Diese erklärt wie ein „Hacker“ eine Schwachstelle bei Microsoft/Valve/EA/Blizzard gefunden hat und diese nun mit allen Nutzern im Internet teilt, etwa um gegen hohe Spielepreis zu demonstrieren oder um es „the Man“ einfach mal zu zeigen. Das Video unten ist so ein Beispiel: Ich habe es aus YouTube exportiert und hier wieder hochgeladen, um diesen Idioten keine zusätzlichen Views zu geben.
MS Point Generator
Get the Flash Player to see this player.50 Prozent der Links führen zu Filehostern (Megaupload war bei meiner letzten Suche noch immer stark vertreten) und zum Download von Programmen. Die andere Hälfte gibt die (laut den Beschreibungen deutlich überlegenen Tools) nur frei, wenn mindestens eine Umfrage ausgefüllt wird. Überraschung: Selbst wenn man durch die Fragen durch ist, klappt das mit der Freigabe nicht, man möge doch noch eine weitere Umfrage ausfüllen usw usf. Deutlich seltener ist Social Engineering, wie etwa dieses Bild schön zeigt
Xbox Live Gold und MS Points
Ich finde den Hinweis am Ende nett: Kein Passwort eingeben (Braucht er auch nicht, weil er dank geheimer Frage und Antwort das Kennwort bequem zurücksetzen kann).
Die Apps sind alle relativ einfach: Man müsse nur Nutzername und Passwort eingeben, einen Knopf drücken und schon hat man Spiele/Gold/MS Points/usw. Ich hab mir eine isolierte virtuelle Maschine hergerichtet (teil meines Setups hier) und zwei Programme vorgenommen: den WoW Blaster und Microsoft Point Generator V5.
Beide sind offensichtlich in Visual Basic erstellt und laufen nur mit dem .Net Framework. Ich hab es zunächst mit Strings und IDA Pro probiert, beides liefert aber nicht wirklich aussagekräftige Ergebnisse. Ein wenig googeln hat mich zum MSIL Disassembler-Tool gebracht. Und hey, das Ding ist cool. Es zerlegt das Programm komplett und zeigt die Innereien als Plaintext.
Ziemlich schnell bestätigt sich mein Verdacht: Von wegen ausgefeiltes Hacking. Beide Apps nehmen die Daten der Nutzer, packen sie in eine E-Mail und verschicken sie über die Funktion „System.Net.Mail“ an den Macher der Malware. Interessant ist, dass beide den Google-SMTP nutzen. Hier zeigt sich dann meine fehlende Erfahrung: Ich weiß, dass irgendwo ein Passwort für den SMTP stecken muss, ich finde es allerdings nicht. Vielleicht habe ich mit einem gespooften DNS und Wireshark mehr Glück.
Der WoW Blaster macht noch ein wenig mehr als „nur“ die Zugangsdaten zu verschicken: Er nimmt sich die Hosts-Datei von Windows vor und biegt zahlreiche Einträge um. Googles-Mailserver, Yahoo, Comcast und RedTube (die Macher wissen, was WoWler brauchen…) werden alle auf eine IP in Portugal umgebogen, hinter der allerdings scheinbar nichts mehr läuft.
Hosts-Attacke
Soviel also zu meinem ersten Versuch mit Malware und Disassemblierung. Ich find es spannend und versuche dranzubleiben – das Buch ist eine großartige Hilfe und vielleicht wird daraus ein schönes neues Fachgebiet.
). Ich kann nicht genau sagen, warum ich mich für pfSense und nicht 
), aber das Ding bietet für den Anfang (und wahrscheinlich für immer) alle Funktionen, die ich brauche. pfSense hat zwei virtuelle Netzwerkkarten: Eine für den WAN-Zugriff (den Pfeil), eine für das LAN. Die WAN-Ethernetkarte ist gebridged, greift also auf mein “normales” Netzwerk zu und kann mit dem Internet kommunizieren. Die LAN-Karte ist im Host-Only-Modus und einem separaten Netzwerk für das virtuelle LAN. Im Grunde hab ich einfach das gemacht, was ein Router im normalen Netzwerk übernimmt: Das Internet ist in dem Fall mein lokales Netzwerk, pfSense erhält seien IP von meinem eigentlich Router und kann über den Traffic ins “wirkliche” Internet leiten. Das hat den großen Vorteil, dass ich die Konfigurationsseite von pfSensen von meinem Produktivsystem aus erreichen kann – das ist bequemer als wenn ich ständig von einer der virtuellen Maschinen aus zugreifen muss.
