WerFault.exe: Hacker missbrauchen Windows-Fehlermeldungstool


Kommentare zu folgendem Beitrag: WerFault.exe: Hacker missbrauchen Windows-Fehlermeldungstool

1 Like

öhmmm
ja


Es kommt eine EMail mit einem CD Image, welches ich Mounte um dann eine mir Unbekannte EXE Datei aus einer Fremden Quelle zu Starten !

Ganz ganz große SicherheitslĂŒcke
die vor dem PC Sitzt !

Wenn die SicherheitslĂŒcke schon so groß ist, warum den Umweg ĂŒber die „WerFault.EXE“
Weshalb nicht gleich eine Readme.exe, die ein Trojaner enthÀlt.

Wenn der Anwender sowieso schon irgend ein Programm startet, klickt er NatĂŒrlich auch Warnungen weg, da er sehen möchte, was die EXE so macht.

Ganz Großes Kino

Aber das ist doch immer so, dass die grĂ¶ĂŸte Gefahr mit zwei Beinen und Armen VOR dem Computer sitzt.

Ich denke der entscheidende Punkt ist hier, dass die WerFault.exe unter dem Radar bleibt und diverse Sicherheitslösungen aushebelt, da es sich normalerweise um eine vertrauenswĂŒrdige Systemdatei handelt. Eine Readme.exe wird wahrscheinlich eher erkannt.

Dass der Anwender fĂŒr den Prozess technisch total unbeholfen sein muss, ist offensichtlich. Nur leider ist die Zielgruppe damit ziemlich groß, was zu entsprechendem Erfolg der Angreifer fĂŒhrt.

Könnte man so sehen, aber spielt eigentlich keine Rolle.

Wenn der Benutzer schon so Doof ist, ein Unbekanntes CD Images Mountet, um dann eine Exe daraus Starten,
ist der Benutzer auch in der Lage eine Readme.exe oder „Best Porn.exe“ zu Starten um Sicherheitshinweise oder Virenwarnungen WegzudrĂŒcken.

Wenn deine HaustĂŒr Offen steht, spielt es keine Rolle ob der Einbrecher als DHL,UPS oder Klemptner verkleidet ist.
Er geht einfach rein und treibt dort Unfug.

@DBProgger Sich darĂŒber lustig zu machen, weil andere Menschen schlichtweg weniger wissen oder weniger intelligent sind, bringt denen aber auch nichts.

Das bringt nur Dir etwas, weil Du Dich dann besser fĂŒhlen kannst. Du hast ja inhaltlich durchaus recht. Aber die Dummheit bzw. Unwissenheit mancher Menschen wird niemand effektiv bekĂ€mpfen können.

Niemand macht sich darĂŒber Lustig.
Es geht eigentlich nur darum, das wiedermal eine Mega SicherheitslĂŒcke gefunden wurde, welche Hoch GefĂ€hrlich ist, die aber eigentlich keine ist.

Wenn man das so sieht, dann ist der Ein & Aus Schalter am Computer die GrĂ¶ĂŸte SicherheitslĂŒcke ĂŒberhaupt,
denn wenn man diesen BetÀtigt, kann man am Computer alles machen.

Abwarten, bis Experten eine Untersuchung anstellen, das ĂŒber 50% der Mitarbeiter in Firmen, welche den Ein Schalter betĂ€tigen irgendwelchen Blödsinn machen.
Ganz zu schweigen von der vielen Arbeitszeit, die verloren geht wenn Mitarbeiter Private dinge machen.

Also sollte man den Ein Schalter Blockieren, und ein Einschalten verhindern. :wink:

Oder eben das Beispiel mit der HaustĂŒr.

Es geht ja hier nicht um eine bahnbrechende SicherheitslĂŒcke, sondern um eine Vorgehensweise von Hackern. Und wenn Menschen, die sich nicht mit der Materie auskennen, hier davon lesen, erkennen sie in Zukunft vielleicht Muster und können sich vor Angriffen dieser Art besser schĂŒtzen.

Ist das nun nĂŒtzlich oder nicht?

Gegen Dummheit hilft nur AufklÀrung. Was nicht hilft, ist dummen Menschen vorzuwerfen, dass sie dumm sind und ihnen deshalb sowieso nicht mehr zu helfen ist. :smile: Hab jedenfalls noch nie erlebt, dass dadurch jemand zur Erleuchtung kam.

Richtig, dann wollen wir mal Hoffen, das die leute die sich nicht damit auskennen auch einen IT Blog lesen.

Wahrscheinlich nicht regelmĂ€ĂŸig. Aber wenn sie eine fragwĂŒrdige Mail erhalten, googeln sie womöglich danach. Und dann werden sie wohl kaum auf einem Hundeblog fĂŒndig. :smile:

Ich halte diese ganze Kampagne eher fĂŒr einen Test von spez. Gruppierungen. Die Tatsache, dass hier eine ISO verwendet wird, ist wohl erstmal dieser Tatsache geschuldet:

DLL-Sideloading erfordert, dass sich eine bösartige Version einer DLL im selben Verzeichnis befindet wie die ausfĂŒhrbare Datei, die sie aufruft. Wenn die ausfĂŒhrbare Datei gestartet wird, priorisiert Windows sie gegenĂŒber ihrer nativen DLL, solange sie denselben Namen hat.
Wenn die DLL bei diesem Angriff geladen wird, erstellt sie zwei Threads, einen, der die DLL des Pupy Remote Access-Trojaners (‚dll_pupyx64.dll‘) in den Speicher lĂ€dt, und einen, der die enthaltene XLS-Tabelle öffnet, um als Köder zu dienen.

Der PupyRAT wurde in der Vergangenheit von den iranischen „Regierungs-Hacker“ APT33 & APT35 genutzt. Bei der aktuellen Welle schließt man auf einen chinesischen Akteur.
Der PupyRAT ist mittlerweile Open Source
siehe:

https://github.com/n1nj4sec/pupy

Die Funktion der ISO wird „Vermutlich“ auch den Hintergrund haben, das die Dateien nicht die „Aus dem Internet“ Kennung bekommen,
und der Benutzer entsprechend keinen Sicherheitshinweis bekommt.

Wieso sollte da ein Hinweis ausbleiben? Die ISO muss schließlich gemounted werden. Nach dem „mount-Befehl“ liegen die enthaltenen Dateien so vor, als wĂ€ren sie auf der HDD direkt vorhanden. Eine ISO-Datei ist doch von der eigentlichen Funktion her, auch nichts anderes als eine Archiv-Datei, wie z.B. auch eine zip-Datei.
Das bedeutet aber auch, dass nach dem „mounting“ jeder Scanner anschlagen wĂŒrde, wenn der Inhalt entsprechend gestaltet ist!

Ich denke, er bezieht sich darauf: https://tarnkappe.info/artikel/malware/windows-zero-day-luecke-laesst-qbot-dein-system-infiltrieren-259367.html

Dort heißt es:

Einen Teil des Problems hat Microsoft bereits am vergangenen Patchday gelöst. Denn zuvor hat Windows das MoTW-Attribut nicht korrekt auf in ISO-Images enthaltene Dateien ĂŒbertragen.

Bei Opfern mit ungepatchten Systemen wird das also nach wie vor funktionieren.

Genau! :+1:

HĂ€tte ich aber jetzt auch so gesagt! :rofl: :rofl: :wink: