Womit wir wieder bei Brain.exe wären. Wäre man von vornherein mit einem Benutzerkonto mit eingeschränkten Rechten unterwegs, das auch noch - z.B. mit Hardentools - so konfiguriert ist, dass CMD, Powershell und wscript deaktiviert sind, wären viele fiese Dinge schon mal gar nicht möglich. Dann noch ein gehärteter Firefox und (fast) alles ist gut!
Da „utilman“ ja noch vor dem Benutzer-Login ausgeführt wird, weiß das System doch noch gar nicht, was deaktiviert ist oder auch nicht. Auch bei einer deaktivierten CMD ist deren exe immer noch im System vorhanden. Früher hat man diese exe einfach in utilman umbenannt (z.B. über eine Batch-Datei) beim Start. So das man anschließend nach einem Reboot automatisch die CMD gestartet hat vor dem eigentlichen Login, und das mit NT AUTHORITY\SYSTEM-Berechtigungen. Dann entweder auch per Batch oder manuell über „net user“ den internen Admin aufrufen und zum Login berechtigen - Zack die Bohne, das war es dann. Natürlich wird das ein User bemerken, wenn er aufmerksam ist…dann ist es aber eigentlich auch zu spät!
OK…hier im Beispiel merkt der User es nicht, weil alles verdeckt abläuft, um eine „Backdoor“ zu etablieren. Stellt sich mir aber auch die Frage, was das soll bei einem Einzelplatz-PC bzw. wenn der PC als Workstation fungiert…?
Man muss zwei Dateien erstellen: Die erste ist das Powershell-Skript (z. B. script.ps1) und die zweite ist eine .cmd-Datei, die Befehle enthält, die in der Eingabeaufforderung ausgeführt werden (z. B. startup.cmd)? Die zweite Datei muss beim Hochfahren des Computers ausgeführt werden?
Wieso? Die Ausführung von Befehlen in der CMD funktioniert doch auch in Powershell direkt. Selbst eine einfache *.bat-Datei funktioniert unter PS (sogar mit größerem Befehlssatz). Oder hab ich da was falsch verstanden?
Ab Windows 11 22H2 kommen durch die Etablierung eines einfachen Registry-Key (HKCU\Konsole%%Startup) noch mehr Optionen hinzu…
Nach wie vor stellt sich mir die Frage, wieso man soviel Aufwand betreibt, um PCs die keiner Domäne angehören, so unterwandern zu wollen? Ein vorstellbares Szenario wäre z.B. die Erstellung neuer Bot-Netze zum Zweck „XYZ“
Du hast völlig Recht. Am Anfang hatte ich den Text nur überflogen, und jetzt versuche ich herauszubekommen, was die da machen oder was die da vorhaben.
Edit: Insgesamt bietet Windows schon per se eine Menge Angriffsvektoren, die es unter Linux so nicht gibt. Ein gehärtetes Windows plus z.B. Sandboxie für KeyGen und Co., sollten trotzdem schon eine Menge verhindern können.
Das ist ja klar, alleine schon wegen der Soße! Aber die allgemeine Meinung im Netz, dass es kaum Ansatzpunkte und Malware gibt, die Linux gefährlich werden könnten, sollte mal langsam aus den Köpfen verschwinden, weil es einfach faktisch falsch ist…
Zwar gibt es in den vielen Linux-Distris nicht so viele Vektoren, wie bei Windows - aber die, welche schon einige Jahre bekannt sind, werden immer noch fleißig von diversen Progs genutzt.
Und die trifft es dann auch doppelt und dreifach so schlimm!
Spätestens seit dem Bekanntwerden des Mirai-Botnetzes und der späteren Abwandlungen daraus, sollte auch der letzte Pinguin bemerkt haben, dass etwas faul ist im Staate Dänemark! 
Über 90% der Ransomeware-Groups und Entwickler haben spezielle Linux-Versionen im Portfolio. Oder z.B.: Im Jahr 2014 schrieben ESET-Forscher einen Blogbeitrag über einen OpenSSH-Backdoor und Credential Stealer namens Linux/Ebury. 2017 wurde dieser komplett neu strukturiert und Webserver damit überzogen. Aktuell nach über neun Jahren, ist die neuste Version immer noch hoch gefährlich. Siehe Windigo-Fallbeschreibungen!
Oder die noch nie zu stopfende Lücke, die „Watering Hole - Attacken“ möglich macht seit Jahren. Bei Linux-Servern kommt es immer darauf an, welche Dienste die Büchse bereitstellt oder vorhält. Mit der Anzahl und Art der Dienste steigt oder fällt bei Linux die Anzahl der Angriffsvektoren !!
Beispiele für weitere Hardcore-Arten von Linux-Malware:
- Winnti
- Xagent
- Kamino
- etc. pp.
ESET Senior Malware Researcher Marc-Etienne M.Léveillé vertritt beispielsweise schon seit einigen Jahren die nicht sehr beliebte Meinung (die auf reinen Tatsachen beruht):
Viele Leute glauben, dass Linux ein Betriebssystem mit einer besseren Sicherheitsarchitektur ist – verglichen mit allen anderen. Ich denke nicht, dass das etwas ist, dass im Jahr 2022/23 noch gilt. Auch Microsoft und Apple haben viel Arbeit in die Sicherheit ihrer Plattformen gesteckt. Als Beispiel: In sowohl Windows als auch macOS finden sich seit Jahren Funktionen , die Code Signaturen in ausführbaren Dateien oder die Gültigkeit der Signaturen von zentralen System- und Gerätetreiberfunktionalitäten prüfen. Das alles hat sich bei Linux immer noch nicht flächendeckend durchgesetzt und verbreitet. Ich sage nicht, dass Linux unsicherer ist, aber dass es, wie andere Plattformen auch, seine Stärken und Schwächen hat und definitiv nicht als kugelsicher angesehen werden sollte.
Leider fehlt vielen Linux Administratoren das nötige Wissen, um Gegenmaßnahmen zu Gefahren einzuleiten, die es auf ihre Infrastruktur abgesehen haben!!
Eben. Was will ich machen und was brauche ich dafür. KISS-Prinzip.
Meine Kiste wäre die Mühe nicht wert. Aber schon klar, bei meinem Ansatz geht es auch eher darum, sich den Drive-by-Kram vom Hals zu halten.
Der Admin, der stolz von seiner Firewall berichtet und schwört, dass es kein VPN dadurch schafft, um das gesperrte Discord zu benutzen, merkt auch irgendwann, dass der User Müller-Lüdenscheid schon seit Monaten über Psiphon mit seinen Kumpels schnackt.
Was ist Deep Packet Inspection (DPI)?
Deep Packet Inspection ist eine fortschrittliche Paketfilterungsmethode. In einem Netzwerk übertragene Datenpakete lassen sich bis auf Anwendungsebene des ISO/OSI-Schichtenmodells inspizieren und filtern. Im Gegensatz zur Stateful Packet Inspection (SPI) werden nicht nur die Daten-Header, sondern auch die Nutzlast eines Datenpakets analysiert. DPI wird von Unternehmen, Netzbetreibern und staatlichen Einrichtungen eingesetzt.
Siehe → https://www.security-insider.de/was-ist-deep-packet-inspection-dpi-a-1052442/
Das Analysieren von Nutzlast braucht zwar auf der Appliance mehr Ressourcen, als SPI oder stupides Port-Blocking auf Zuruf, hat aber ganz klar extremste Vorteile!!
In dem Artikel wird das Prinzip auch nur im Ansatz angerissen. Mittlerweile sind die DPI-Büchsen auch auf Ransom und anderes Gedönse eingeschworen - ich denke, da wäre Herr Müller-Lüdenscheid ebenfalls inkludiert…?! 
Nicht innerhalb der Firewall eines deutschen Unternehmens. Da sitzen zwei Typen auf der Schulter des Chefs. Der eine ist Betriebswirt und flüstert „Kosten“. Der andere ist Jurist und flüstert „Telemediengesetz“.
Edit: Wer oder was ist eigentlich dieser Pennywise aka VipAdmin aka was auch immer?
SEHR LANGE & KOMPLIZIERTE GESCHICHTE - quasi never ending story! Nur heute bestimmt nicht mehr und bitte darüber NUR per PN 
Hat reale Gründe…kann dir eigtl. hier jeder vom Team sofort bestätigen. Aber auch die User hier, die ein paar Jahre das schlechte Schauspiel schon mitgemacht haben… 
