1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Smominru: Riesiges Botnetz…

Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: %username% 05.02.18 - 16:14

    Das wäre ja mal ziemlich interessant...

    1337 mal bearbeitet, zuletzt am 32.13.2599 13:61 durch %username%.

  2. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: Silberfan 05.02.18 - 16:47

    %username% schrieb:
    --------------------------------------------------------------------------------
    > Das wäre ja mal ziemlich interessant...

    Dann lass deine Server damit befallen ,dann weist welche Applikationen da aktiv sind.

  3. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: Ipa 05.02.18 - 17:05

    Notamonerominer.exe

  4. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: Proctrap 05.02.18 - 17:35

    IchBinsNicht.pdf.exe

    ausgeloggt kein JS für golem = keine Seitenhüpfer

  5. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: DeathMD 05.02.18 - 18:03

    Ich glaube es war eine infizierte Powerpoint Präsentation mit dem Titel: "UNBEDINGT_WEITERSCHICKEN_oder_du_wirst_ewiges_Pech_haben"

    Alternative Möglichkeit: ein Excel Makro ist Amok gelaufen

    BRAWNDO: The Thirst Mutilator

    It's got Electrolytes

  6. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: Anonymer Nutzer 05.02.18 - 18:20

    Das sind garkeine Minenarbeiter, es ist Skynet und verdient auch Geld, damit es die erste T-Serie endlich in Produktion schicken kann.

  7. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: Tet 05.02.18 - 18:43

    Das steht doch im Text. Das läuft über die Eternalblue-Lücke, mit der man Windows Systeme infizieren kann, die ungesichert über das Internet erreichbar sind, SMBv1 aktiv haben und nicht aktuell gehalten werden.
    Der Patch dagegen wurde übrigens seinerzeit einen Monat vor Veröffentlichung der Lücke ausgerollt.

  8. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: Phantom 05.02.18 - 18:55

    Bestimmt eine PDF mit dem Hinweis: Schicke es an 10 Freunde.

     Seid ihr oft im Wolkenbezirk?

  9. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: nille02 05.02.18 - 20:09

    Phantom schrieb:
    --------------------------------------------------------------------------------
    > Bestimmt eine PDF mit dem Hinweis: Schicke es an 10 Freunde.

    Oder Facebook kostet einen Euro im Jahr, darüber hat sogar Sat1 berichtet!

  10. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: DAGEGEN 06.02.18 - 03:13

    Wenn ich mir die meist "betroffenen" Länder (und auch den Rest) so ansehe,
    >we observed the highest numbers in Russia, India, and Taiwan
    würde ich eher tippen, die Rechner wurden durch den "Aktivierungs-Crack" für Windows-Server, infiziert.
    ;-)

  11. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: Pete Sabacker 06.02.18 - 06:14

    nille02 schrieb:
    --------------------------------------------------------------------------------
    > Phantom schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Bestimmt eine PDF mit dem Hinweis: Schicke es an 10 Freunde.
    >
    > Oder Facebook kostet einen Euro im Jahr, darüber hat sogar Sat1 berichtet!


    Die 10 7 größten Weltwunder - Nummer 3 wird Sie überraschen!

  12. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: elcaron 06.02.18 - 09:01

    Wenns nicht so traurig wäre. Bei uns kamen gerade massiv beschwerden wegen Phishingversuchen von internen Absendern. Nachdem wir unseren Head of IT (zu Recht) zusammengefaltet haben, weil SPF noch immer nicht implementiert ist und der Mailserver sowas von Extern auch nciht ablehnt, kam raus, dass die Leute auf [Unsere Direktorassistentin] <andy_liu@hamagawa.example.com> ('example' eingefügt) reingefallen sind.

    Was soll man da noch machen?

  13. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: User_x 06.02.18 - 09:16

    wenn die wirklich bei euch arbeitet würde ich die namen nicht wirklich veröffentlichrn...

  14. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: quineloe 06.02.18 - 09:20

    Den Schulung.abgeschlossen flag bei all diesen Mitarbeitern im internen E-Schulungssystem für die Schulung "Datenschutz Datensicherheit" von 1 auf 0 setzen.

  15. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: mxcd 06.02.18 - 09:55

    Etliche Mail-Applikationen verbergen die Adresse (und den Nachnamen und so weiter) auch sehr gern.

    Weil es so praktisch ist, wenn dort
    From: William
    steht statt
    From: william@unknownHost.com

    Soviel Technologie könnte ja den Mitarbeitern Angst machen.

  16. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: Der Held vom Erdbeerfeld 06.02.18 - 11:09

    Proctrap schrieb:
    --------------------------------------------------------------------------------
    > IchBinsNicht.pdf.exe

    Oder der Klassiker: Benamst nach ganz reguläre Programmen, die zum Betriebssystem gehören, nur an anderer stelle platziert.

    Ich biete eine WmiPrvSE.exe im Pfad "/Windows/Ganzdollwichtig"!

  17. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: Tet 06.02.18 - 13:35

    DAGEGEN schrieb:
    --------------------------------------------------------------------------------
    > Wenn ich mir die meist "betroffenen" Länder (und auch den Rest) so ansehe,
    >
    > >we observed the highest numbers in Russia, India, and Taiwan
    > würde ich eher tippen, die Rechner wurden durch den "Aktivierungs-Crack"
    > für Windows-Server, infiziert.
    > ;-)

    Nein, wie im Text steht, war es wohl durch die Eternalblue-Lücke. Allerdings wurde die eigentlich rechtzeitig gepatcht. Probleme haben also nur die, die keine Updates aufspielen und 1 Mal darfst du raten, was bei einem nicht lizensierten System Probleme bereitet.

  18. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: elcravo 06.02.18 - 14:02

    Tet schrieb:
    --------------------------------------------------------------------------------
    > Probleme haben also
    > nur die, die keine Updates aufspielen und 1 Mal darfst du raten, was bei
    > einem nicht lizensierten System Probleme bereitet.

    Keine Ahnung, was denn?

  19. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: Der Held vom Erdbeerfeld 06.02.18 - 14:19

    Tet schrieb:
    --------------------------------------------------------------------------------
    > Nein, wie im Text steht, war es wohl durch die
    > Eternalblue-Lücke. Allerdings wurde die eigentlich
    > rechtzeitig gepatcht. Probleme haben also nur die, die
    > keine Updates aufspielen und 1 Mal darfst du raten,
    > was bei einem nicht lizensierten System Probleme
    > bereitet.

    Das sehe ich anders. Nicht, dass ich die von dir vorgestellte Möglichkeit komplett ausschließen möchte, allerdings glaube ich zum einen nicht, dass eine halbe Million Server auf nicht lizenzierten Windows-Installationen aufbauen. Auch nicht in Russland und Fernost.

    Es geht ja hier nicht nur um die spezifischen Server-Produkte von Microsoft, sondern auch um selbst aufgesetzte Server auf Basis von Consumer-Versionen. Und wenn es Ewigkeiten möglich war, frühere Windows-Versionen (darunter auch mit getürkter Lizenzierung) in 100% legale Windows-10-Lizenzen umzuwandeln, sollte die Lizenz kein Problem sein.
    Ganz davon zu schweigen, dass man Patches für inhärente Sicherheitslücken in aller Regel auch bei nicht lizenzierten Versionen einspielen kann, weil Microsoft erklärlicherweise ein Interesse daran hat, dass der schwarze bzw. graue Teil der weltweiten Windows-Infrastruktur den legitimen Teil nicht gefährdet.

    Ich wage daher eine andere (bzw. ergänzende) steile These:

    Darunter werden viele mit der heißen Nadel gestrickte private Server sein (Gameserver etc.), die von mäßig kompetenten und dies in ihrer Freizeit besorgenden Leuten betrieben und gewartet werden. Die sind froh wenn das Teil überhaupt erst einmal das macht was es machen soll und unternehmen bzw. erlauben nichts, was ihre von Kaugummi und flehenden Gebeten zusammen gehaltene Konfiguration wieder zerschießen könnte.

    Wobei letzteres auch ein Grund ist, der viele Profis umtreibt, denn so ganz ohne Nebenwirkungen waren Windows-Updates zum fraglichen Zeitpunkt nicht (Heute ist es schon etwas besser, aber immer noch nicht optimal ...) und ich kann mir daher durchaus vorstellen, dass etliche bei ihren Servern zugunsten des weiteren reibungsfreien Betriebs auf den Patch verzichtet und dafür Maßnahmen ergriffen haben, um stattdessen die Einfallstore für Exploits besser abzusichern. Und da es in Russland, Indien und Taiwan eher noch heftiger sein wird als hierzulande, was die personelle Fluktuation unter Admins in kleineren Klitschen angeht, braucht da nur mal der Verantwortliche gewechselt zu haben, der ein funktionierendes System übernahm, ohne sich weiter darum zu kümmern, unter welchen Bedingungen es abgesichert war.
    Dann mussten nur noch ein paar Mitarbeiter maulen, sie würden gerne wieder USB-Sticks benutzen und am Arbeitsplatz Anhänge empfangen können, was der vorherige IT-Mensch "aus irgendwelchen Gründen" nicht erlaubt hat, und schon war der Drops gelutscht.

  20. Re: Welche/s Applikation/Tool hat den Miner überhaupt eingeschleust?

    Autor: bombinho 06.02.18 - 15:14

    Der Held vom Erdbeerfeld schrieb:
    --------------------------------------------------------------------------------
    > ziemlich viel cleveres Zeug

    Das sehe ich aehnlich, wer in der Lage ist, einen gecrackten Server aufzusetzen und den halbwegs stabil etwas Ernsthaftes erledigen zu lassen, der duerfte es auch schaffen, eine kbXXXXXX.exe herunter zu laden und auszufuehren.

    Ich habe IT in Betrieben mit knapp 100 Angestellten erlebt, da waren die Netzwerkkabel nebst Switches an die Scheuerleisten getackert, Router etc. lief mit Standardpasswort, Rootzertifikate durfte jeder installieren, der ein paar Minuten Zeit an einem beliebigen Rechner ergattern konnte etc.
    Admin? Da kam manchmal Jemand vorbei, wenn gar nichts mehr ging und der hatte auch ein Backup im Hintergrund troepfeln, auf seinen Heimserver, der Sicherheit wegen.
    Die hatten 3 verschiedene ERP Softwarepakete installiert, aber niemand wusste, wie das funktioniert, also wurde die Buchhaltung von Hand aus den Officedateien in Papierform ueberfuehrt. (was sich witzigerweise als exploiteter Schwachpunkt erwies)

    Wenn in so einer Firma mal der Server etwas mehr Last faehrt, dann freut sich das Personal, dass es nicht ganz so kalt in den Bueros ist und die Klimaanlage im Buero neben dem Serverraum laeuft etwas lauter, da hoert man den Server nicht so sehr.

    Der Unterschied in den kleineren Betrieben war der, dass kein "Admin" kam, wenn nichts mehr ging und dass das Backup wenn, dann auf einem NAS erfolgt.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. bizIT Firma Hirschberg, Berlin
  3. ACP IT Solutions AG Nord, Hamburg
  4. Kromberg & Schubert Automotive GmbH & Co. KG, Abensberg bei Regensburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Pumpkin Jack für 12,49€, GTFO für 20,49€, Total War Warhammer - Dark Gods Edition für...
  2. Verkaufsstart: 29.10., 14 Uhr
  3. Verkaufsstart: 29.10., 14 Uhr
  4. (u. a. Anker PowerCore Slim 10000mAh mit USB-C Power Delivery für 19,60€, Anker PowerWave...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Vivo X51 im Test: Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera
Vivo X51 im Test
Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera

Das Vivo X51 hat eine gute Kamera mit starker Bildstabilisierung und eine vorbildlich zurückhaltende Android-Oberfläche. Der Startpreis in Deutschland könnte aber eine Herausforderung für den Hersteller sein.
Ein Test von Tobias Költzsch

  1. Software-Entwicklung Google veröffentlicht Android Studio 4.1
  2. Jetpack Compose Android bekommt neues UI-Framework
  3. Google Android bekommt lokale Sharing-Funktion

Philips-Leuchten-Konfigurator im Test: Die schicke Leuchte aus dem 3D-Drucker
Philips-Leuchten-Konfigurator im Test
Die schicke Leuchte aus dem 3D-Drucker

Signify bietet mit Philips My Creation die Möglichkeit, eigene Leuchten zu kreieren. Diese werden im 3D-Drucker gefertigt - und sind von überraschend guter Qualität. Golem.de hat eine güldene Leuchte entworfen.
Ein Test von Tobias Költzsch

  1. Smarte Leuchten mit Kurzschluss Netzteil-Rückruf bei Philips Hue Outdoor
  2. Signify Neue Lampen, Leuchten und Lightstrips von Philips Hue
  3. Signify Neue Philips-Hue-Produkte vorgestellt

The Secret of Monkey Island: Ich bin ein übelriechender, groggurgelnder Pirat!
The Secret of Monkey Island
"Ich bin ein übelriechender, groggurgelnder Pirat!"

Das wunderbare The Secret of Monkey Island feiert seinen 30. Geburtstag. Golem.de hat einen neuen Durchgang gewagt - und wüst geschimpft.
Von Benedikt Plass-Fleßenkämper