RAT's & Slaves

Gebruik een goede VPN verbinding?

RBN026 schreef op donderdag 24 oktober 2019 @ 16:27:
Gebruik een goede VPN verbinding?

Hoe gaat dat precies helpen tegen het per ongeluk downloaden van een RAT?

Verwijderd schreef op donderdag 24 oktober 2019 @ 16:34:
VPN lijkt mij veilig voor buitenaf. Maar als ze eenmaal in je computer zitten ben je volgens mij de zak. Hoe kan je juist dat voorkomen?

VPN is goed om je verkeer te beveiligen op onveilige (open) verbindingen, maar doet echt niks tegen dit soort dingen dus raar advies idd.

Sowieso op alles waar mogelijk two factor authentication zetten. Dan moet men iig twee devices overnemen om iets te kunnen uithalen.

[ Voor 15% gewijzigd door MuddyMagical op 24-10-2019 16:48 ]

Gewoon, the usual.

Zoals je zelf al noemt: opletten met op linkjes klikken en downloaden.

Verder: zorgen dat je updates tijdig installeert (niet alleen van je OS, maar ook van applicaties en de firmware van je router etc.), niet als administrator werken in windows, goede up to date anti-virus...

Verder is dit meer iets voor Privacy & Beveiliging dus ik tik 'm even daarheen

MuddyMagical schreef op donderdag 24 oktober 2019 @ 16:47:
[...]

Sowieso op alles waar mogelijk two factor authentication zetten. Dan moet men iig twee devices overnemen om iets te kunnen uithalen.

Dat beschermt je op zich niet per se tegen dat je PC overgenomen wordt. Maar maakt het inderdaad wel lastiger om daarna ook controle over je accounts te krijgen inderdaad.

[ Voor 35% gewijzigd door Orion84 op 24-10-2019 16:49 ]

Orion84 schreef op donderdag 24 oktober 2019 @ 16:47:
Gewoon, the usual.

Zoals je zelf al noemt: opletten met op linkjes klikken en downloaden.

Verder: zorgen dat je updates tijdig installeert (niet alleen van je OS, maar ook van applicaties en de firmware van je router etc.), niet als administrator werken in windows, goede up to date anti-virus...

Verder is dit meer iets voor Privacy & Beveiliging dus ik tik 'm even daarheen


[...]

Dat beschermt je op zich niet per se tegen dat je PC overgenomen wordt. Maar maakt het inderdaad wel lastiger om daarna ook controle over je accounts te krijgen inderdaad.

Mee eens. Updates is ook van belang, maar bij zaken waar zero days worden gebruikt is dat geen oplossing. Ik denk niet dat je het volledig kan voorkomen, dus moet je je richten op het moeilijker maken idd.

Geen executables uitvoeren die je niet vertrouwt.

Bericht van Anthony van der Meer

Hier het antwoord op de veelgestelde vragen:

Hoe voorkom je zo’n hack?
Er is geen gouden methode om hacks te voorkomen. Maar alle beveiligingsmaatregelen helpen om hackers af te schrikken. Zie het als sloten op een voordeur. Hoe meer en moeilijkere sloten des te beter. Denk aan: antivirus, tweestapsverificatie en adblockers en updates! Wanneer je beveiligingsupdates overslaat laat je een soort virtueel raampje openstaan. En wees bewust van wat je online doet en download en klik niet zomaar alles aan.

Wat zijn de bronnen voor je research?
Ik heb zowel bovengrondse bronnen gebruikt maar ook op het dark web aan de reputatie van mijn accounts gewerkt. Waarbij ik twee keer al mijn contacten ben verloren doordat de politie de website oprolde. In de docu zie je veel dingen in beeld hierbij heb ik zoveel mogelijk verwijzingen naar echte websites vermeden, want ik wil niemand aanzetten tot hacken natuurlijk. Overigens zijn ook alle usernames niet de echte usernames.

Werkt dit ook op telefoons en Mac computers?
Ik heb een RAT gebruikt die op Windows werkt, en omdat het merendeel van de computers in de wereld op windows draait zijn de windows-RATS ook het meest voorkomend. Maar er zijn zeker ook mac RATS. Er zijn ook RATs voor iphone maar met name veel Android telefoons, maar deze komen veel minder voor. Als dit toch gebeurd komt dit toch vooral door onofficiële apps. Maar wanneer je een interessant target bent voor inlichtingendiensten of andere hackers dan loop je meer risico.

Je hebt lang aan je film gewerkt, zijn RATS nog steeds een probleem?
RATS zijn zeker geen oud nieuws, in het voorjaar van 2019 bleek uit onderzoek dat RATs nog steeds 20% van de meest gebruikte malware uitmaken. Ondanks dat de tools langer bestaan, ontwikkelen ze mee met de tijd. Ik wil met mijn film ook vooral laten zien hoe eenvoudig je gehackt kunt worden en wat de consequenties van een hack zijn. RATs zijn een goed voorbeeld om dit te laten zien.

Meer weten? Ga naar https://www.vpro.nl/ratsenslaves

Hey heb 'm gezien. Misschien iets voor Tweakers om als nieuwsitem te plaatsen? Gooi 't wel in de tiplijn.

Wel interessant ja. Denk alleen niet dat er veel aan te doen is, je ziet ook in de docu dat er 'slaves' zijn die gewoon meerdere anti-virus pakketten draaien. In de praktijk is eigenlijk overal omheen te werken, er zijn zoveel attack vectors.

Denk persoonlijk dat de beste instelling is dat je al gehackt bent. Al je foto's en financiele gegevens op een PC die niet aan het internet hangt, dan kunnen ze er ook niet bij.

Verwijderd schreef op donderdag 24 oktober 2019 @ 20:52:
maar als mensen echt mijn huis in willen komen, dan lukt het ze toch wel.

Alleen is dat in de digitale wereld voor de gemiddelde persoon zelden het geval. Het meeste gaat gewoon via generieke malware campagnes (phishing mail die als een schot hagel de wereld in wordt gestuurd) en malware die zichzelf voortplant via kwetsbaarheden in routers bijvoorbeeld.

Zijn er ook websites zoals https://haveibeenpwned.com voor dit soort zaken? Die kon ik niet direct vinden. Ik weet ook niet hoe je dit na kunt trekken?

Er zijn wel wat security bedrijven die pagina's hebben waar je kan checken of je IP adres deel uitmaakt van een bekend botnet:
https://checkip.kaspersky.com/ (specifiek voor Simda)
http://botnet.global.sonicwall.com/view
Misschien zijn er nog wel meer. Maar ik denk dat dergelijke lijsten wat minder snel gepubliceerd worden, in vergelijking met het dumpen van user accounts van bekende data breaches.

Tof dat de docu hier gepost is. Ik ben Anthony van der Meer, de maker van de film. Ik heb in de film 3 jaar research in 35 minuten proberen te proppen en vooral de technisch ingewikkelde dingen eenvoudig proberen uit te leggen.

Misschien vragen sommige van jullie je af waarom ik het onderwerp RATs heb gebruikt in plaats van bijvoorbeeld botnets. Ik heb gekozen voor een RAT omdat deze vorm van malware enorm veel functionaliteit heeft. Veel van de functies die in een RAT zitten ingebouwd (zoals het stelen van opgeslagen logins + een reverse proxy via het slachtoffer, ransomware plugins, loaders voor andere vormen van malware etc.) worden vaak als losse malware verspreid. Met een RAT kon ik al deze onderwerpen belichten. Crypters worden dus ook gebruikt voor alle vormen van malware. Het zelfde geldt natuurlijk voor de slaves. Je kan als klant natuurlijk zelf kiezen welk bestand wordt uitgevoerd door de "loader" die de verkoper gebruikt.
Daarnaast blijken RATs nog steeds ongeveer 20% van de meest voorkomende malware te zijn in de eerste helft van 2019 volgens center for internet security (door gh0st en nanocore).

Buiten de standaard methode zoals phising worden er ook kant en klare exploitkits verhuurd. Dit is een service die je kunt hosten op een website dat kwetsbaarheden misbruikt om een bestand uit te voeren. Hierbij is vaak geen interactie van het slachtoffer nodig. Exploitkits implementeren nieuwe exlploits zo snel mogelijk om de marktwaarde te verhogen. Altijd je software updaten dus. In sommige loaders zit deze service ook ingebouwd. Loaders hebben vaak een webshop paneel zodat de eigenaar van de loader zelf slaves (bots) kan verkopen. Dit is precies het "track and trace"linkje was wat bij de laatste aankoop in beeld kwam. Ik kreeg dus de clientpage te zien van de loader die hij gebruikte.

Mochten jullie meer willen weten laat het dan vooral weten!

[ Voor 3% gewijzigd door anthonyvdm op 27-10-2019 23:24 ]

Dit is toch niets nieuws? Veel Tweakers kennen zaken als Back Orifice (ongeveer 20 jaar oud) en Sub7 wel denk ik?

Bor schreef op maandag 28 oktober 2019 @ 09:23:
Dit is toch niets nieuws? Veel Tweakers kennen zaken als Back Orifice (ongeveer 20 jaar oud) en Sub7 wel denk ik?

Het klopt dat RATs al jaren bestaan. Ze evolueren mee met de tijd. Zo hebben veel RATs tegenwoordig ransomeware- en minerplugins ingebouwd. Het punt van de film is ook niet om te laten zien dat er RATs zijn, maar het gemak waarmee ze te gebruiken zijn en het wereldje waarin de malware verkocht wordt.

Ik vind het persoonlijk opvallend dat het nog steeds extreem makkelijk is om virusscanners te ontwijken. Ik denk dat maar weinig mensen zich daar bewust van zijn. Veel mensen denken veilig te zijn omdat ze een virusscanner hebben geïnstalleerd, terwijl dit eigenlijk een last line of defence is.
Daarnaast vond ik het opvallend dat de handel is Slaves zo groot is en de prijs per slave extreem laag (mijn duurste aankoop was 37 cent voor Europese Slaves) afhankelijk van de hoeveelheid die je besteld en uit welke regio ze komen. Dit lijkt het gevolg van vraag en (een groot) aanbod.

Ik kan niet kan programmeren, heb geen it achtergrond en ging als leek in zo'n community in. Toch was het mogelijk om op grote schaal mensen te hacken, door de eenvoud van de tools en de "hulp" en uitleg in de vorm van handleiding van zowel de verkopers als de andere gebruikers. Veel mensen (misschien niet uit de IT wereld) hebben de perceptie dat hacken moeilijk is en veel technische kennis vereist.

De film gaat dus niet alleen over het tooltje, maar ik probeerde door RATs als voorbeeld te nemen, de online handel in malware inzichtelijk en tastbaar te maken.
En vooral mensen te waarschuwen voor de mogelijkheden en consequenties van malware.

Verwijderd schreef op donderdag 24 oktober 2019 @ 16:25:
Hoe kan je nou jezelf het beste hier tegen beschermen? Hebben jullie tips? Ik vind het wel interessant namelijk.

Door je kennis te vergroten.
Het voor de hand liggende antwoord is om tool X of programma Y te installeren maar dat is op z'n best een gedeeltelijke korte termijn oplossing. Heel veel gaat er mis doordat mensen geen inzicht hebben in hoe computers werken en daarom maar wat doen zonder het echt te begrijpen. Daardoor lukt het aanvallers steeds weer om dezelfde trucjes uit te halen met minimale aanpassingen.

Het makkelijkste wat je kan doen is zorgen dat al je software up to date is. Dat lukt eigenlijk niet als je dat met de hand moet doen, zorg dus dat het min of meer geautomatiseerd verloopt. Moderne besturingssystemen als Linux en Android werken met appstores/repositories die je daar bij helpen.

anthonyvdm schreef op zondag 27 oktober 2019 @ 23:20:
Tof dat de docu hier gepost is. Ik ben Anthony van der Meer, de maker van de film. Ik heb in de film 3 jaar research in 35 minuten proberen te proppen en vooral de technisch ingewikkelde dingen eenvoudig proberen uit te leggen.

Misschien vragen sommige van jullie je af waarom ik het onderwerp RATs heb gebruikt in plaats van bijvoorbeeld botnets. Ik heb gekozen voor een RAT omdat deze vorm van malware enorm veel functionaliteit heeft. Veel van de functies die in een RAT zitten ingebouwd (zoals het stelen van opgeslagen logins + een reverse proxy via het slachtoffer, ransomware plugins, loaders voor andere vormen van malware etc.) worden vaak als losse malware verspreid. Met een RAT kon ik al deze onderwerpen belichten. Crypters worden dus ook gebruikt voor alle vormen van malware. Het zelfde geldt natuurlijk voor de slaves. Je kan als klant natuurlijk zelf kiezen welk bestand wordt uitgevoerd door de "loader" die de verkoper gebruikt.
Daarnaast blijken RATs nog steeds ongeveer 20% van de meest voorkomende malware te zijn in de eerste helft van 2019 volgens center for internet security (door gh0st en nanocore).

Buiten de standaard methode zoals phising worden er ook kant en klare exploitkits verhuurd. Dit is een service die je kunt hosten op een website dat kwetsbaarheden misbruikt om een bestand uit te voeren. Hierbij is vaak geen interactie van het slachtoffer nodig. Exploitkits implementeren nieuwe exlploits zo snel mogelijk om de marktwaarde te verhogen. Altijd je software updaten dus. In sommige loaders zit deze service ook ingebouwd. Loaders hebben vaak een webshop paneel zodat de eigenaar van de loader zelf slaves (bots) kan verkopen. Dit is precies het "track and trace"linkje was wat bij de laatste aankoop in beeld kwam. Ik kreeg dus de clientpage te zien van de loader die hij gebruikte.

Mochten jullie meer willen weten laat het dan vooral weten!

Ik zat hem net toevallig te kijken. Maar wat mij opvalt is dat het alleen Windows computers zijn

Verwijderd schreef op woensdag 30 oktober 2019 @ 12:17:
[...]


Ik zat hem net toevallig te kijken. Maar wat mij opvalt is dat het alleen Windows computers zijn

Helaas niet. De jongen die geïnterviewd werd had bijvoorbeeld een Macbook. In de film gebruik ik een RAT die alleen op Windows werkt. Deze RAT hebben we eerst onderzocht op achterdeurtjes om er zeker van te zijn dat we mensen niet nog verder in de problemen zouden brengen. Omdat Windows het grootste marktaandeel heeft is het makkelijker om Windows slaves te krijgen. Dit betekend echter niet dat RATs en Slaves voor andere platformen niet te krijgen zijn.

RATs worden net als de meeste malware geschreven voor alle platformen. Er bestaan zelfs java RATs die werken op de bekendste platformen. Java hoeft dan niet eens geïnstalleerd te zijn want dat doet de dropper zelf voordat de RAT wordt uitgevoerd.

Het is wel zo dat de meeste RATs geschreven zijn voor Windows. Dit komt simpelweg door de marktwerking. Malware ontwikkelaars maken zien hun werk ook als investering. Er zijn nu eenmaal meer Windows computers, dus meer Windows malware en RATs.

Verwijderd schreef op woensdag 30 oktober 2019 @ 12:17:
[...]


Ik zat hem net toevallig te kijken. Maar wat mij opvalt is dat het alleen Windows computers zijn

In de documentaire wellicht maar "in het wild" gaat dit niet op. Het betreft ook niet alleen laptops / pc's etc maar ook servers, mobiele devices etc. Geen device of merk is op voorhand uitgesloten.

anthonyvdm schreef op zondag 27 oktober 2019 @ 23:20:
Tof dat de docu hier gepost is. Ik ben Anthony van der Meer, de maker van de film. Ik heb in de film 3 jaar research in 35 minuten proberen te proppen en vooral de technisch ingewikkelde dingen eenvoudig proberen uit te leggen.

Misschien vragen sommige van jullie je af waarom ik het onderwerp RATs heb gebruikt in plaats van bijvoorbeeld botnets. Ik heb gekozen voor een RAT omdat deze vorm van malware enorm veel functionaliteit heeft. Veel van de functies die in een RAT zitten ingebouwd (zoals het stelen van opgeslagen logins + een reverse proxy via het slachtoffer, ransomware plugins, loaders voor andere vormen van malware etc.) worden vaak als losse malware verspreid. Met een RAT kon ik al deze onderwerpen belichten. Crypters worden dus ook gebruikt voor alle vormen van malware. Het zelfde geldt natuurlijk voor de slaves. Je kan als klant natuurlijk zelf kiezen welk bestand wordt uitgevoerd door de "loader" die de verkoper gebruikt.
Daarnaast blijken RATs nog steeds ongeveer 20% van de meest voorkomende malware te zijn in de eerste helft van 2019 volgens center for internet security (door gh0st en nanocore).

Buiten de standaard methode zoals phising worden er ook kant en klare exploitkits verhuurd. Dit is een service die je kunt hosten op een website dat kwetsbaarheden misbruikt om een bestand uit te voeren. Hierbij is vaak geen interactie van het slachtoffer nodig. Exploitkits implementeren nieuwe exlploits zo snel mogelijk om de marktwaarde te verhogen. Altijd je software updaten dus. In sommige loaders zit deze service ook ingebouwd. Loaders hebben vaak een webshop paneel zodat de eigenaar van de loader zelf slaves (bots) kan verkopen. Dit is precies het "track and trace"linkje was wat bij de laatste aankoop in beeld kwam. Ik kreeg dus de clientpage te zien van de loader die hij gebruikte.

Mochten jullie meer willen weten laat het dan vooral weten!

Erg interessante docu om te zien, ik schrik uit eindelijk wel van het feit hoe makkelijk dit gaat. En dat zelfs iemand die in de IT zit (de belg die je terug belde) hier slachtoffer van is geworden.. Zijn er buiten de docu nog reacties teruggekomen van de andere slachtoffers? Ik ben wel benieuwd.

anthonyvdm schreef op woensdag 30 oktober 2019 @ 13:33:
[...]


Helaas niet. De jongen die geïnterviewd werd had bijvoorbeeld een Macbook. In de film gebruik ik een RAT die alleen op Windows werkt. Deze RAT hebben we eerst onderzocht op achterdeurtjes om er zeker van te zijn dat we mensen niet nog verder in de problemen zouden brengen. Omdat Windows het grootste marktaandeel heeft is het makkelijker om Windows slaves te krijgen. Dit betekend echter niet dat RATs en Slaves voor andere platformen niet te krijgen zijn.

RATs worden net als de meeste malware geschreven voor alle platformen. Er bestaan zelfs java RATs die werken op de bekendste platformen. Java hoeft dan niet eens geïnstalleerd te zijn want dat doet de dropper zelf voordat de RAT wordt uitgevoerd.

Het is wel zo dat de meeste RATs geschreven zijn voor Windows. Dit komt simpelweg door de marktwerking. Malware ontwikkelaars maken zien hun werk ook als investering. Er zijn nu eenmaal meer Windows computers, dus meer Windows malware en RATs.

Ik vind het wel bijzonder dat d.m.v. advertenties je computer besmet kan worden zonder dat je het doorhebt. Vooral hier op Tweakers de melding om graag banners toe te staan Uiteraard blokker ik ze allemaal. Toch maar weer een scriptblokker gebruiken zodat via een webinterface niets kan gebeuren.

Ook prachtig om te zien dat de slachtoffers 3 of meer virusscanners hebben draaien wat gewoon geen nut heeft

Noctonix schreef op woensdag 30 oktober 2019 @ 14:47:
[...]


Erg interessante docu om te zien, ik schrik uit eindelijk wel van het feit hoe makkelijk dit gaat. En dat zelfs iemand die in de IT zit (de belg die je terug belde) hier slachtoffer van is geworden.. Zijn er buiten de docu nog reacties teruggekomen van de andere slachtoffers? Ik ben wel benieuwd.

Bedankt! Buiten de Belgische meneer heb ik geen persoonlijke reacties gekregen. De man gaf zelf al aan dat hij in eerste instantie dacht dat mijn berichtjes phising waren (en was verbaast dat zijn virusscanner de malware niet tegenhield). Ik denk dat meer mensen de waarschuwing niet vertrouwde. Bovendien was het niet per se een bericht waar veel mensen op zouden reageren. Net als maar weinig mensen melden dat ze gehackt zijn. Veel mensen proberen zoiets op te lossen en vervolgens te vergeten.

Wel zag ik in de paar seconde dat ik mee keek om te zien of de waarschuwing ook op het scherm verscheen zag ik verschillende mensen een virusscan uitvoeren. Dat was op zich een positief teken.

Hey, erg interessante docu! Nu vraag ik me vooral af wat je kan doen àls je al bent gehackt? en hoe je hier eventueel achter komt? Dank alvast!

Verwijderd schreef op woensdag 30 oktober 2019 @ 19:45:
Hey, erg interessante docu! Nu vraag ik me vooral af wat je kan doen àls je al bent gehackt? en hoe je hier eventueel achter komt? Dank alvast!

Als je malware hebt aangetroffen, is een schone installatie de enige optie imao.
Dus alle partities op de schijf verwijderen en 't OS opnieuw installeren (of beter een image terugzetten).
OS, programma's en firmware up-to-date houden, wellicht exotische/slecht updatebare software in een sandbox draaien.
Bijvoorbeeld met Sandboxie, overgenomen/geadopteerd door Sophos.
Kijk ook wat voor hardware met antieke/obscure software wellicht verder in huis draait (en zet dat op een separate vlan?)

Startpunt is backups van onmisbare data, dan is herinstallatie/re-imaging pijnloos.

VPN lijkt mij veilig voor buitenaf. Maar als ze eenmaal in je computer zitten ben je volgens mij de zak. Hoe kan je juist dat voorkomen?

Ja precies, dat is altijd lastig inderdaad. Dat zijn echt 2 hele verschillende dingen, maar ik denk wel dat ze allebei belangrijk zijn. Ik denk ook dat dit één van de redenen is dat je steeds meer providers ziet die zowel VPN als antivirus toepassingen proberen te combineren.

Erg boeiende documentaire inderdaad, erg schokkend om te zien dat veiligheidsmaatregelen zoals virusscanners hierbij zo weinig effect hebben.

Net zo schokkend is dat het zo willekeurig lijkt te gaan wie geïnfecteerd wordt en wie niet (of nou ja, afhankelijk van wie die links opent uiteraard). In die zin is het natuurlijk heel anders dan veel vormen van "conventionele" criminaliteit waarbij vooral de rijken getarget worden etc.

Maar ik kan me wel voorstellen dat criminelen in de toekomst steeds meer over hun slachtoffers te weten zullen komen voor ze er echt "slaves" van maken en met een soort categorieën gaan werken in hun "slave-aanbod" wellicht, high profile, deel van groot bedrijf, etc.

Alleen al daarom, samen met het feit dat velen door reizen etc. denk ik toch steeds meer op openbare netwerken aangewezen zijn, is het denk ik goed om te zorgen dat partijen met slechte intenties zo weinig mogelijk over je te weten komen. Hier helpt een VPN natuurlijk wel bij. Maar om "interne gevaren" zo goed mogelijk aan te pakken is natuurlijk ook een goede virusscanner belangrijk. Al hebben we natuurlijk vaak gezien, mede in de genoemde documentaire, nogmaals dank hiervoor, dat dit vaak lang niet alles oplost.

Zelf gebruik ik (naar tevredenheid) Surfshark als VPN, die ik een paar maanden geleden met best veel korting heb afgesloten voor 2 jaar: https://account.surfshark.com/signup.

Ook al lijkt het rat-slave systeem (helaas) zo willekeurig, ik vind het een fijn idee dat cybercriminelen zo min mogelijk over mij te weten komen. Vooral omdat ik denk dat, mede door de verbeteringen in beveiliging van (mobiel) bankieren apps, etc. criminelen steeds meer een afweging zullen gaan maken m.b.t. hun slachtoffers, gebaseerd op zaken als genomen veiligheidsmaatregelen, mogelijke winst, etc.

Ik vind het verder ook fijn dat Surfshark actief malware en phishing probeert tegen te gaan met de Clean Web functie, al stel ik me wel voor dat hier nog veel verbeterd in kan worden, omdat het een redelijk jong bedrijf is.

Verwijderd schreef op woensdag 30 oktober 2019 @ 19:45:
Hey, erg interessante docu! Nu vraag ik me vooral af wat je kan doen àls je al bent gehackt? en hoe je hier eventueel achter komt? Dank alvast!

Hier is lastig een goed antwoord op te geven. Het ligt namelijk enorm aan hoe geavanceerd de malware is. Met veel geluk vind een virusscanner na een paar dagen/weken na een grondige, handmatig aangezette deepscan alsnog de malware. Maar helaas is hier niet echt op te vertrouwen. Zoals anderen ook al aangaven is het maken van backups essentieel. Rootkits kunnen enorm hardnekkig zijn en in sommige gevallen zelfs in de firmware verschuilen. Gelukkig komt dit bijna alleen voor bij gerichte aanvallen door de mate van professionaliteit van de malware. Opnieuw installeren is in veel gevallen dus voldoende.

Uiteindelijk blijft preventie de beste verdediging.

Het was een erg interessante docu! Bedankt daar voor!

Het meest schrikbarende vind ik dat virussen die door een crypter zijn gehaald niet meer gedetecteerd worden door antivirus software. Dat is echt een groot probleem lijkt mij.

Ik dacht altijd dat een PC (achter een uptodate router) met alle updates, goede antivirusscanner en af en toe een scan met malwarebytes aardig veilig was om te gebruiken. (als je met een gezond verstand werkt). Maar ook dan loop je dus behoorlijk risico. :-S

Heb je toevallig ook getest of de realtime bescherming van Malwarebytes zin heeft? En houdt een goede firewall nog iets tegen met IPS?

[ Voor 15% gewijzigd door jhead22 op 01-11-2019 15:11 ]

Verwijderd schreef op woensdag 30 oktober 2019 @ 19:45:
Hey, erg interessante docu! Nu vraag ik me vooral af wat je kan doen àls je al bent gehackt? en hoe je hier eventueel achter komt? Dank alvast!

Intrusion Detection system zoals Snort.

1. sniffer mode: snort will read the network traffic and print them to the screen.
2. packet logger mode: snort will record the network traffic on a file
3. IDS mode: network traffic matching security rules will be recorded (mode used in our tutorial)
4. IPS mode: also known as snort-inline (IPS = Intrusion prevention system)

Wikipedia: Snort

Uiteraard zijn er meerdere mogelijkheden om te detecteren. Wireshark is wat makkelijker.

Verwijderd schreef op zaterdag 2 november 2019 @ 08:06:
[...]
Uiteraard zijn er meerdere mogelijkheden om te detecteren. Wireshark is wat makkelijker.

Wireshark is helemaal niet makkelijker wanneer het om het detecteren van malware gaat. Je dient dan namelijk 24x7 inspectie te doen wat betekent dat je al op geautomatiseerde systemen terecht komt. Wireshark is interessant wanneer de infectie al heeft plaats gevonden en je naar het ruwe netwerkverkeer wilt kijken maar vanuit het oogpunt van detectie van malware niet echt interessant voor de doorsnede gebruiker. Daar komt nog eens bij dat je diepgaande kennis van netwerkprotocollen moet hebben wil je daar uberhaubt iets mee kunnen.

jhead22 schreef op vrijdag 1 november 2019 @ 15:07:
Het was een erg interessante docu! Bedankt daar voor!

Het meest schrikbarende vind ik dat virussen die door een crypter zijn gehaald niet meer gedetecteerd worden door antivirus software. Dat is echt een groot probleem lijkt mij.

Ik dacht altijd dat een PC (achter een uptodate router) met alle updates, goede antivirusscanner en af en toe een scan met malwarebytes aardig veilig was om te gebruiken. (als je met een gezond verstand werkt). Maar ook dan loop je dus behoorlijk risico. :-S

Heb je toevallig ook getest of de realtime bescherming van Malwarebytes zin heeft? En houdt een goede firewall nog iets tegen met IPS?

Toevallig heb ik inderdaad Malwarebytes met 1 van de crypters getest (in 2018). Dit was een goedkope crypter met het volgende resultaat:
real time protection bleek niet veel uit te maken, de RAT kwam er doorheen. Getest met Remote desktop en file manager. Er is een grotere kans dat ransomwarefuncties wel zouden worden ontdekt wanneer ransomware protection aanstaat.
Scantime: bij de stap heuristic anaylse vond hij de RAT zonder dat ik deze actief gebruikte.

Nu vraag je je misschien af hoe het kan dat hij bij real time protection niets vond, terwijl daar heuristic methodes worden toegepast. Dit heeft te maken met een paar eenvoudige trucjes die crypters gebruiken om antivirus te ontwijken. Hierover heb ik een flink artikel klaar staan maar ik twijfel of de publicatie verstandig is. Om die zelfde reden weet ik ook niet of het verstandig om er hier uitgebreid op in te gaan dus ik blijf even globaal. Het komt er op neer dat er een afweging gemaakt dient te worden hoe lang antivirus een proces/programma onderzoekt op "verdacht gedrag" voordat het proces toegestaan is om te openen. Waneer dit te lang duurt, ervaart de gebruiker dit als een ongemak. Nadat deze eerste stap is ontweken en de malware mag worden gestart, wordt de mogelijkheid van injections gebruikt om het gedrag verder te maskeren.

Bij het scannen neemt malwarebytes, net als veel andere scanners meer tijd bij de heuristische analyse dan wanneer een programma gestart wordt. Daarnaast gebruikt het waarschijnlijk een extra methodes die nog net wat intensiever zijn. We weten dat er een scan wordt uitgevoerd dus vinden het minder storend als de computer hierdoor trager wordt. Het klassieke veiligheid vs gebruiksgemak speelt dus een rol. Niemand koopt antivirussoftware als het de computer veel trager maakt, dus de intensieve manieren van scannen zijn bij real time protection minder wenselijk. Wanneer men de computer handmatig een intensieve scan laat uitvoeren, is de kans veel groter dat de malware wel wordt ontdekt. Helaas scannen maar weinig mensen hun computer regelmatig op die manier. Bovendien heeft veel malware maar een korte tijd nodig om zijn doel te bereiken (zoals banktrojans en ransomware) waardoor het in de periode tussen de scans toe kan slaan.

anthonyvdm schreef op zaterdag 2 november 2019 @ 12:46:
[...]


Toevallig heb ik inderdaad Malwarebytes met 1 van de crypters getest (in 2018). Dit was een goedkope crypter met het volgende resultaat:
real time protection bleek niet veel uit te maken, de RAT kwam er doorheen. Getest met Remote desktop en file manager. Er is een grotere kans dat ransomwarefuncties wel zouden worden ontdekt wanneer ransomware protection aanstaat.
Scantime: bij de stap heuristic anaylse vond hij de RAT zonder dat ik deze actief gebruikte.

Nu vraag je je misschien af hoe het kan dat hij bij real time protection niets vond, terwijl daar heuristic methodes worden toegepast. Dit heeft te maken met een paar eenvoudige trucjes die crypters gebruiken om antivirus te ontwijken. Hierover heb ik een flink artikel klaar staan maar ik twijfel of de publicatie verstandig is. Om die zelfde reden weet ik ook niet of het verstandig om er hier uitgebreid op in te gaan dus ik blijf even globaal. Het komt er op neer dat er een afweging gemaakt dient te worden hoe lang antivirus een proces/programma onderzoekt op "verdacht gedrag" voordat het proces toegestaan is om te openen. Waneer dit te lang duurt, ervaart de gebruiker dit als een ongemak. Nadat deze eerste stap is ontweken en de malware mag worden gestart, wordt de mogelijkheid van injections gebruikt om het gedrag verder te maskeren.

Bij het scannen neemt malwarebytes, net als veel andere scanners meer tijd bij de heuristische analyse dan wanneer een programma gestart wordt. Daarnaast gebruikt het waarschijnlijk een extra methodes die nog net wat intensiever zijn. We weten dat er een scan wordt uitgevoerd dus vinden het minder storend als de computer hierdoor trager wordt. Het klassieke veiligheid vs gebruiksgemak speelt dus een rol. Niemand koopt antivirussoftware als het de computer veel trager maakt, dus de intensieve manieren van scannen zijn bij real time protection minder wenselijk. Wanneer men de computer handmatig een intensieve scan laat uitvoeren, is de kans veel groter dat de malware wel wordt ontdekt. Helaas scannen maar weinig mensen hun computer regelmatig op die manier. Bovendien heeft veel malware maar een korte tijd nodig om zijn doel te bereiken (zoals banktrojans en ransomware) waardoor het in de periode tussen de scans toe kan slaan.

Ik vind publicatie wel verstandig. Laat de zwakheden en gevaren maar zien.Redactie van Tweakers zou dit ook moeten ondersteunen om het artikel te publiceren.

anthonyvdm schreef op zaterdag 2 november 2019 @ 12:46:
[...]


Toevallig heb ik inderdaad Malwarebytes met 1 van de crypters getest (in 2018). Dit was een goedkope crypter met het volgende resultaat:
real time protection bleek niet veel uit te maken, de RAT kwam er doorheen. Getest met Remote desktop en file manager. Er is een grotere kans dat ransomwarefuncties wel zouden worden ontdekt wanneer ransomware protection aanstaat.
Scantime: bij de stap heuristic anaylse vond hij de RAT zonder dat ik deze actief gebruikte.

Toevallig ook getest met HitmanPro.Alert?

FlipFluitketel schreef op maandag 4 november 2019 @ 08:08:
[...]

Toevallig ook getest met HitmanPro.Alert?

Of uberhaubt andere anti malware producten dan Malwarebytes? De conclusies die getrokken worden kunnen voor andere producten wellicht niet opgaan en hangen mogelijk ook af van instellingen en inrichting.

Bor schreef op maandag 4 november 2019 @ 08:28:
[...]


Of uberhaubt andere anti malware producten dan Malwarebytes? De conclusies die getrokken worden kunnen voor andere producten wellicht niet opgaan en hangen mogelijk ook af van instellingen en inrichting.

Dat klopt. De bescheven methode helpt niet tegen alle antimalware en antivirus producten. Net als antimalware en antivirus gebruiken ook crypters verschillende methodes. De methode waar ik eerder naar hintte is een wat oudere, bekendere variant die bijdraagt aan het ontwijken bij enkele scanners. In het algemeen zijn duurdere crypters met een private stub langer ondetecteerbaar voor meer scanners doordat de methodiek ook geavanceerder wordt. Natuurlijk zullen de inrichting en specifieke instellingen van de antivirus en antimalware hierbij een rol spelen.

Ik heb uiteraard meerdere antivirus en antimalware getest. Eerst heb ik een globale test gedaan op ruim 20 bekende producten (die de meeste consumenten zullen gebruiken). Daarnaast heb ik een aantal uitgebreider getest waaronder Avira, ESET, Webroot, Windows Defender en Malwarebytes. Helaas heb ik de complete lijst niet voor me nu dus weet niet of HitmanPro.Alert er tussen staat, aangezien deze tussen bekend en minder bekend inzit. Ik heb deze in ieder geval niet handmatig getest.

Het bleek dat de meest gebruikte antivirus te ontwijken zijn met de goedkope crypters die getest zijn. Dit wil niet zeggen dat (deze) crypters alle antivirus en malwaresoftware kunnen ontwijken, net als het niet wil zeggen dat dure crypters het niet kunnen. Ik had echter geen budget om dure crypters te testen.

In het algemeen lijkt het me goed om niet op de software alleen te vertrouwen maar het als onderdeel van je verdediging te zien (the last line of defence). Daarom raad ik ook nog steeds aan om wel antivirus aan te schaffen. Het helpt wel degelijk maar is, in tegenstelling tot wat veel mensen denken geen wondermiddel.

Op verzoek heb ik deze kennelijke onzin verwijderd...

[ Voor 96% gewijzigd door chrisict op 08-11-2019 16:42 ]

chrisict schreef op vrijdag 8 november 2019 @ 12:48:
Deze reacie maakte duidelijk voor mij waarom ik nog niet gehackt ben 🤔


VIA SIMPELE DINGEN ALS EEN RECLAME OF EEN BERICHT MET EEN LINK ERIN, KUN JE GEEN RAT KRIJGEN!! Je zal hiervoor echt iets moeten dowloaden en openen. Via het kijken naar een advertentie of een bericht geïnfecteerd raken, is simpelweg ONMOGELIJK.

Dat is toch echt wel heeeel kort door de bocht gaan ... Drive-by downloads door reclame die gebruik maken van exploits in je browser gebeuren echt wel.

chrisict schreef op vrijdag 8 november 2019 @ 12:48:

.. maar dan moet je de programma's bijvoorbeeld hebben getorrent, dan is de kans al een stuk groter.

Dit klopt niet. Er zijn gevallen bekend waarbij software en hardware al in de fabriek is geinfecteerd met malware.

VIA SIMPELE DINGEN ALS EEN RECLAME OF EEN BERICHT MET EEN LINK ERIN, KUN JE GEEN RAT KRIJGEN!! Je zal hiervoor echt iets moeten dowloaden en openen. Via het kijken naar een advertentie of een bericht geïnfecteerd raken, is simpelweg ONMOGELIJK.

Dit klopt niet. Dit hangt af van de gebruikte exploit. Hier is zelfs een aparte term voor; malvertsing. Misschien iets meer onderzoek doen voor je iets in caps brengt.

Laat je hierdoor niet bang of paranoïde maken, een infectie van je PC via een RAT heeft altijd te maken met onzorgvuldigheid bij de gebruiker, ofwel de eerder aangehaalde punten.

Onzin.

Op andere manier is het gewoonweg heel moeilijk, ik zou bijna durven zeggen onmogelijk, om met een RAT geïnfecteerd te raken.

Onzin.

Als je programma's als Photoshop/Word/Games/andere dure software gaat downloaden terwijl je er GEEN VERSTAND VAN HEBT, kun je dit beter niet doen.

Als je de software niet uit officiële bron haalt kan je dit sowieso beter niet doen. Het is niet voor niets dat producenten hashes publiceren zodat je kunt controleren of een file niet is aangepast.

deze bestanden worden als het ware zo vol gestopt met troep dat een virusscanner niet maar kan herkennen wat nou een virus is en wat niet.

Klopt niet

In de nieuwere versies van Windows zijn dit soort exploits steeds zeldzamer, en dus ook duurder geworden.

Je lijkt veel te hangen aan de "prijs" van een exploit. Exploits worden ook gewoon ontwikkeld, zijn soms onderdeel van exploitkits en soms gewoon vrij verkrijgbaar. Niet alles wordt verhandeld.


Je hele post stikt van de misinformatie en foute aannames.

[ Voor 28% gewijzigd door Bor op 08-11-2019 13:19 ]

Hier een aanvulling op Bor zijn reactie.

Inderdaad een hoop misinformatie en foute aannames in de reactie van chrisict. Ik kwam dit soort berichten vaker tegen in de Youtube comments, maar ga daar bewust niet op in om een eindeloze discussie te voorkomen. Het afgelopen jaar heb ik aan een nieuw project gewerkt waarbij ik deze kennis als pentester toe heb gepast in het wild. Rats and Slaves is dus niet mijn eerste of laatste journalistieke werk op dit gebied en gaat een stuk dieper dan alleen op een hackforum rondstruinen en handelen zoals de post van chrisict lijkt aan te geven.

chrisict schreef op vrijdag 8 november 2019 @ 12:48:
Deze reacie maakte duidelijk voor mij waarom ik nog niet gehackt ben 🤔

MENSEN LEES DIT EVEN ALS JE BANG BENT VOOR RATS:

99% van de tijd (of je moet echt met een gekke exploit/hacker te maken hebben), bevind een RAT zich in een uitvoerbaar bestand (ofwel .exe bestanden). Uitvoerbare bestanden van bijv. Microsoft (Word.exe, Powerpoint.exe) of legaal gekochte games zijn eigenlijk altijd veilig MITS ze van een officiële bron komen. Hier kan zich dus ook een RAT in bevinden, maar dan moet je de programma's bijvoorbeeld hebben getorrent, dan is de kans al een stuk groter.

Hier schuilt dus ook het gevaar in, omdat ontiegelijk veel mensen dingen illegaal downloaden. Maar het gevaar zit hem dus vooral in .exe bestanden, als je gewoon een film torrent in de gangbare formaten (MP4/MOV oid) is de kans eigenlijk heel klein dat zich daar een RAT in bevind, tenzij zoals eerder vermeld je te maken hebt met een hele gekke exploit, maar die kosten eigenlijk altijd meer dan 15.000 euro, en daar heeft de huis- tuin en keukenhacker nou eenmaal niet het budget voor.

Het misbruiken van exploits is niet heel moeilijk en zeker niet duur, aangezien veel mensen niet al hun software up to date hebben. Hierbij gaat het niet alleen om het besturingssysteem, maar ook op andere programma's die op het besturingssysteem draaien. Bbrowsers zijn hierbij een voor de hand liggend voorbeeld, zoals de recent gepatchte zero-day in internet explorer. Daarnaast wordt een heel groot deel van malware verspreid via malspam met word en pdf documenten. Sterker nog "In April 2019, malspam is the primary initiation vector for malware in the Top 10 malware list."[url="https://www.cisecurity.org]*[/url]. Ook in de recentste onderzoeken van Center for Internet Security scoort malspam als een van de hoogste. Ook hier geld vaak dat het niet updaten van office software het risico groter maakt. Daarnaast is het extreem eenvoudig om extensies te spoofen naar een .mov, .mp4, .docx of welke extentie dan ook of met een dropper scriptje te werken. Het advies om op kwaadaardige exe bestanden te letten is dus onvoldoende.

Dit gebruiken van exploits was ook een groter probleem bij de oudere versies van Windows, waarbij het door exploits bijv. mogelijk was om een .exe 'in de achtergrond' op te laten starten bij het openen van een normaal Word-bestand bijvoorbeeld. In de achtergrond is dan even de simpelste manier om het uit te leggen, deze bestanden worden als het ware zo vol gestopt met troep dat een virusscanner niet maar kan herkennen wat nou een virus is en wat niet. In de nieuwere versies van Windows zijn dit soort exploits steeds zeldzamer, en dus ook duurder geworden.

Word exploits hebben niet veel te maken met het besturingssysteem. Vaak zijn de (eenvoudig commercieel verkrijgbare) exploits niets anders dan droppers voor de malware. De malware zit er in de meeste gevallen dus niet in maar wordt op de achtergrond gedownload wanneer het document wordt geopend. Deze vorm van verspreiding gebeurt vaak via email zoals een neppe factuur in bijlages.
Met binders en een extensionspoof is het overigens ook mogelijk om mensen te overtuigen dat er een Word document wordt geopend, terwijl in werkelijkheid de malware tegelijkertijd wordt geopend. Dit is echter makkelijker detecteerbaar (vaak al door email clients) waardoor het minder effectief is. Ook dit werkt nog gewoon op Windows 10. Daarnaast is er regelmatig in het nieuws dat er zero-days zijn ontdekt en gepacht door Microsoft.

Als je altijd je koppie erbij houd online; reviews lezen (Ja, zelfs op torrentsites kun je reviews lezen over de download), geen vage programma's download of dingen installeert die zaken beloven die ze sowieso niet kunnen waarmaken (gratis dingen in mobile games bijv.) ben je redelijk safe.

Reviews zijn in veel gevallen eenvoudig manipuleerbaar maar ik ben het eens met het advies dat je als gebruiker scherp moet zijn.

VIA SIMPELE DINGEN ALS EEN RECLAME OF EEN BERICHT MET EEN LINK ERIN, KUN JE GEEN RAT KRIJGEN!! Je zal hiervoor echt iets moeten dowloaden en openen. Via het kijken naar een advertentie of een bericht geïnfecteerd raken, is simpelweg ONMOGELIJK. Laat je hierdoor niet bang of paranoïde maken, een infectie van je PC via een RAT heeft altijd te maken met onzorgvuldigheid bij de gebruiker, ofwel de eerder aangehaalde punten. Als je programma's als Photoshop/Word/Games/andere dure software gaat downloaden terwijl je er GEEN VERSTAND VAN HEBT, kun je dit beter niet doen. Op andere manier is het gewoonweg heel moeilijk, ik zou bijna durven zeggen onmogelijk, om met een RAT geïnfecteerd te raken.

Deze alinea is volledig onjuist. Ik heb hier al redelijk wat info gegeven over exploitkits en droppers. Malvertisement komt nog steeds veel voor in 2019. Stereker nog: "1.16 billion internet users in the U.S. and Europe were exposed to malware infections whenever they visited a website displaying ads from one of the online advertising networks hijacked by eGobbler." Meer info over Malvertising is hier te vinden. Daarnaast zijn er voldoende voorbeelden te noemen van worms die zichzelf verspreiden zonder dat de gebruiker hier direct een fout maakte (als je iemand verantwoordelijk kunt houden is het het vooral het updatebeleid van jezelf of je beheerder). Denk aan EternalBlue: Wannacry en NoytPetya en de recente BlueKeep.

Bor schreef op vrijdag 8 november 2019 @ 13:04:
[...]


Dit klopt niet. Er zijn gevallen bekend waarbij software en hardware al in de fabriek is geinfecteerd met malware.


[...]


Dit klopt niet. Dit hangt af van de gebruikte exploit. Hier is zelfs een aparte term voor; malvertsing. Misschien iets meer onderzoek doen voor je iets in caps brengt.


[...]


Onzin.


[...]


Onzin.


[...]


Als je de software niet uit officiële bron haalt kan je dit sowieso beter niet doen. Het is niet voor niets dat producenten hashes publiceren zodat je kunt controleren of een file niet is aangepast.


[...]


Klopt niet


[...]


Je lijkt veel te hangen aan de "prijs" van een exploit. Exploits worden ook gewoon ontwikkeld, zijn soms onderdeel van exploitkits en soms gewoon vrij verkrijgbaar. Niet alles wordt verhandeld.


Je hele post stikt van de misinformatie en foute aannames.

Als dit niet klopt is waarom ben ik dan nog niet gehackt ik kom op heel veel vage sites🤔

chrisict schreef op vrijdag 8 november 2019 @ 15:13:
[...]


Als dit niet klopt is waarom ben ik dan nog niet gehackt ik kom op heel veel vage sites🤔

Nee er klopt niets van die hele post. Waarom je niet gehacked bent? Weet je dat wel zeker, en hoe? Of denk je dat je dat altijd snel merkt? Behaalde resultaten uit het verleden bieden geen garantie voor de toekomst.

[ Voor 4% gewijzigd door Bor op 08-11-2019 15:17 ]

Bor schreef op vrijdag 8 november 2019 @ 15:15:
[...]


Nee er klopt niets van die hele post. Waarom je niet gehacked bent? Weet je dat wel zeker, en hoe? Of denk je dat je dat altijd snel merkt? Behaalde resultaten uit het verleden bieden geen garantie voor de toekomst.

Als ik gehackt zou zijn dan merk ik daar neem ik aan wel wat van door bijvoorbeeld een leeggeroofde PayPal rekening 🤔

chrisict schreef op vrijdag 8 november 2019 @ 15:20:
[...]


Als ik gehackt zou zijn dan merk ik daar neem ik aan wel wat van door bijvoorbeeld een leeggeroofde PayPal rekening 🤔

Als men daar op uit is wellicht maar er zijn zo veel dingen die interessant zijn (of wellicht ben je niet interessant (genoeg)). Een rekening leeghalen is wel een redelijk uiterste en erg opvallend natuurlijk

[ Voor 9% gewijzigd door Bor op 08-11-2019 15:23 ]

Bor schreef op vrijdag 8 november 2019 @ 15:23:
[...]


Als men daar op uit is wellicht maar er zijn zo veel dingen die interessant zijn (of wellicht ben je niet interessant (genoeg)). Een rekening leeghalen is wel een redelijk uiterste en erg opvallend natuurlijk

Ik dacht toch dat het voornamelijk geld verdienen op welke stelen of afpersen manier toch waarvoor deze slaves gebruikt worden.
Ik ben niet af te persen maar er is genoeg van mij te stelen.
Op welke andere manier zou ik in jou ogen waarschijnlijk niet interessant genoeg zijn???

chrisict schreef op vrijdag 8 november 2019 @ 15:20:
[...]


Als ik gehackt zou zijn dan merk ik daar neem ik aan wel wat van door bijvoorbeeld een leeggeroofde PayPal rekening 🤔

Je redenatie is een beetje vreemd. De argumentatie uit je eerdere bericht klopt niet, waar ik inhoudelijk op in ben gegaan. Ik zeg nergens dat je gegarandeerd gehackt wordt, het risico is alleen aantoonbaar een stuk groter. Stel er is een steeg waarin veel straatroven worden gepleegd, maar jij loopt er doorheen en wordt niet beroofd. Betekend dat dan dat er geen straatroven worden gepleegd in die steeg?

En nee, je merkt het niet altijd als je gehackt bent. Daar zijn veel motieven voor. Hieronder wat voorbeelden:
- Miners op je PC leveren meer op als ze langer kunnen minen
- Een dropper doet niet veel als deze nog niets heeft gedropt, toch ben je dan al gehackt
- Onderdeel van een botnet voor DDOS aanvallen
- zombie slave (wachtend op het juiste moment)
- voyeurisme

Laat je computer niet opstaan als je er geen gebruik van maakt.
Geen wachtwoorden opslaan in je browser (overal afmelden als je er klaar mee zijt)
Remote Desktop uitzetten ...
Een offline backup van al je belangrijke gegevens, een HDD die nooit verbonden is met een actief apparaat als jij er niet bij bent

Met bovenstaande kunnen ze nog niet veel ook al hebben ze je PC overgenomen.
- Cryptoware, ok data kwijt maar je formateert en zet je data terug
- paypal, wachtwoord staat niet in browser en altijd 2fa dat je een sms krijgt als ze willen inloggen bv ook al is het je hoofd pc (do not remember this device )
- niet ingelogd zijn op je mail accounts zodat ze niet nog meer prive gegevens kunnen uitlezen (wat moeilijker als je outlook ofzo gebruikt).

anthonyvdm schreef op vrijdag 8 november 2019 @ 15:30:
[...]


Je redenatie is een beetje vreemd. De argumentatie uit je eerdere bericht klopt niet, waar ik inhoudelijk op in ben gegaan. Ik zeg nergens dat je gegarandeerd gehackt wordt, het risico is alleen aantoonbaar een stuk groter. Stel er is een steeg waarin veel straatroven worden gepleegd, maar jij loopt er doorheen en wordt niet beroofd. Betekend dat dan dat er geen straatroven worden gepleegd in die steeg?

En nee, je merkt het niet altijd als je gehackt bent. Daar zijn veel motieven voor. Hieronder wat voorbeelden:
- Miners op je PC leveren meer op als ze langer kunnen minen
- Een dropper doet niet veel als deze nog niets heeft gedropt, toch ben je dan al gehackt
- Onderdeel van een botnet voor DDOS aanvallen
- zombie slave (wachtend op het juiste moment)
- voyeurisme

De eerste merk ik vrij snel omdat ik vaak genoeg kijk welke programma's hoeveel processor tijd en percentage gebruiken.
De tweede derde en vierde kan inderdaad zeker.
En de laatste er valt niks te zien lol.
Maar goed jullie hebben mij overtuigd ik zal in elk geval voor de zekerheid 2 staps verificatie instellen voor mijn PayPal account.

chrisict schreef op vrijdag 8 november 2019 @ 15:42:
[...]


De eerste merk ik vrij snel omdat ik vaak genoeg kijk welke programma's hoeveel processor tijd en percentage gebruiken.
De tweede derde en vierde kan inderdaad zeker.
En de laatste er valt niks te zien lol.
Maar goed jullie hebben mij overtuigd ik zal in elk geval voor de zekerheid 2 staps verificatie instellen voor mijn PayPal account.

Wellicht is het dan ook even handig om je vorige verhaal even weg te halen/ aan te passen?

Verwijderd schreef op woensdag 30 oktober 2019 @ 19:45:
Hey, erg interessante docu! Nu vraag ik me vooral af wat je kan doen àls je al bent gehackt? en hoe je hier eventueel achter komt? Dank alvast!

Beetje late reactie, maar beter laat dan nooit....

Ik had dezelfde vraag ook, ben daarom wat aan het zoeken en proberen gegaan.

Als je het over een Windows machine hebt denk ik dat je verdachte communicatie betrekkelijk eenvoudig zichtbaar kan maken met iets als GlassWire of NetLimiter.

Wireshark kan natuurlijk ook, maar daar moet je wat meer voor doen.

[edit] Ik zie net dat @Verwijderd hier één bericht geplaatst heeft en al een maand niet meer on-line geweest is.
Anyway, misschien heeft iemand anders hier nog wat aan.....

[ Voor 11% gewijzigd door hp-got op 02-12-2019 15:38 ]

Ik denk dat in zeer veel gevallen ook de oorzaak ligt in het feit dat de standaard "gebruiker" op Windows eigenlijk een "admin-level" gebruiker is!

Standaard, als ik een binnen de familie/vriendenkring eens een Win10 voorzie is het aanmaken van een aparte gebruikersaccount met dan ook gewoon "gebruikers" rechten!
De "admin" krijgt een speciale naam met een complex password.

Ik kan niet anders dan geloven dat zoiets toch al een behoorlijke beperking moet geven in de mate dat malware allerlei troep kan gaan installeren op systeem-level.

Met (de laatste versie van) Win10 kan je dan ook nog een de "Controlled Folder" access wat proberen in te richten om te zorgen dat malware niet zomaar dingen kan aanpassen. (vb een encrypter die even over je Documenten kan gaan zou gestopt moeten worden!)

Het was een boeiende docu! Bedankt voor de tijd & effort die hierin gekropen is.

Ik zag de documentaire zojuist.
Zit na te denken over wat te doen om te voorkomen dat mijn bestanden worden gestolen, voor welk doeleinde dan ook.
Zou het een werkbare optie zijn om:
- al mijn werk op 1 pc / laptop te doen die GEEN verbinding heeft met internet;
- een 2e pc / laptop voor internet, email e.d.
Ik stel me dan voor om bestanden die verzonden of ontvangen worden via een externe opslag over te brengen. Zo is er nimmer contact met de data-pc/laptop. Er staat natuurlijk op iedere pc / laptop persoonlijke informatie.
Maar zou dit wel werkbaar zijn?
Wat denken jullie?
Andere tips om eea te beveiligen?

Dit zal je snel gaan irriteren denk ik ;-) Je kunt makkelijker een VM maken en daarmee internetten + documenten /email openen. Na gebruik een snapshot terug zetten.

Sla je data versleuteld op om misbruik door fysieke diefstal te voorkomen. Het heeft geen nut als een aanvaller remote je pc heeft gecomprimeerd. Dan kan deze ook bij je keys of plaintext van je data wanneer je decrypt / uit temp files / etc.

100% veiligheid ga je nooit halen.

Ongeveer 2 maanden geleden de documentaire bekeken, erg interessant.
Helaas 2 weken terug slachtoffer geworden van een RAT/Rootkit. Wat in principe ongeveer op hetzelfde neer komt.

In deze zin past het gezegde dat een schoenmaker vaak slechte schoenen draagt, of een slotenmaker zelf slechte sloten heeft. Aangezien ik zelf een IT-er ben en dus mijn beveiliging niet helemaal op orde had.

Het had bijna een dure les geweest maar gelukkig is het gestolen geld terug gestort, voor verdere info verwijs ik je naar een ander topic op pagina 1: Heb ik een RAT op mijn PC?

Anyway, mijn beveiliging is zo goed als mogelijk nu op orde.
Wel wil ik behoeden voor mensen die denken dat het met een virusscanner of 2FA geregeld is...
Ook ik had een virusscanner en 2FA enabled op mijn accounts die gehackt zijn.
Echter, wat veel mensen niet beseffen is dat cookies/browsers erg veel opslaan qua wachtwoorden en adressen, dus als je ergens ingelogd bent of een trusted device hebt toegevoegd, en je PC is gehackt dan komen zij alsnog zeer gemakkelijk binnen.
Check ook altijd eventuele koppelingen die een 2FA omzeilen.

De afgelopen tijd heb ik me dus ontzettend verdiept in RAT's, Root/Bootkits.
Niet dat ik het zelf wil doen, maar het stelt dus vrij weinig voor, had binnen een mum van tijd een oude laptop gehackt. Gewoon puur uit interesse om te achterhalen hoe het proces bij mij ongeveer verlopen is vond ik dit interessant om eens te doen.

Ik probeer er nu achter te komen of dat mijn oude laptop misschien ook als slave verkocht wordt? Ik gebruik 'm niet meer dus ik vermoed van niet. Al denk ik wel dat de laptop ergens in een database zit...

Heyy

2 maanden geleden (het is nu 27 mei) op 24 maart wilde ik mijn laptop gaan scannen op malware en virussen.

Als eerste ben ik naar mijn takenbeheer gegaan, en daar stond een onbekende app genaamd “Adobe Flash Player”

Op mijn laptop heb ik ook nog naar mijn beveiliging gekeken, daar stond firewall en malware bytes op, alleen had ik mij niet ingelogd met een Microsoft account. Vervolgens had ik een grondige scan laten uitvoeren door Malwarebytes, deze ‘virusscan’ duurde echter de hele avond en heb ik het toen maar in het midden van het scan proces gestopt. Daarna heb ik zonder mijn verstand de laptop op fabrieksinstellingen gezet. Hierna raakte ik in paniek met het idee dat ik er dus niet meer achter zou kunnen komen of er nou daadwerkelijk malware op mijn laptop stond en ik misschien stiekem bespioneerd ben.
Ik heb nu een angst opgebouwd voor webcamspionage en zou hier graag weer van af willen komen. Zou iemand mij misschien gerust kunnen stellen dat ik hoogstwaarschijnlijk niet gehackt ben?

Desondanks had ik geen last van pop-ups, mijn laptop was op normale snelheid en merkte ik ook niet andere rare dingen.
Het is een (van school) Dell laptop.
Verder staan er ook alleen maar school bestanden op.
Tóch zou ik graag willen weten of ik mij hier nu zorgen om moet maken of niet.
Bedankt alvast!

Meisje12345 schreef op donderdag 27 mei 2021 @ 18:48:
Heyy

2 maanden geleden (het is nu 27 mei) op 24 maart wilde ik mijn laptop gaan scannen op malware en virussen.

Als eerste ben ik naar mijn takenbeheer gegaan, en daar stond een onbekende app genaamd “Adobe Flash Player”

Op mijn laptop heb ik ook nog naar mijn beveiliging gekeken, daar stond firewall en malware bytes op, alleen had ik mij niet ingelogd met een Microsoft account. Vervolgens had ik een grondige scan laten uitvoeren door Malwarebytes, deze ‘virusscan’ duurde echter de hele avond en heb ik het toen maar in het midden van het scan proces gestopt. Daarna heb ik zonder mijn verstand de laptop op fabrieksinstellingen gezet. Hierna raakte ik in paniek met het idee dat ik er dus niet meer achter zou kunnen komen of er nou daadwerkelijk malware op mijn laptop stond en ik misschien stiekem bespioneerd ben.
Ik heb nu een angst opgebouwd voor webcamspionage en zou hier graag weer van af willen komen. Zou iemand mij misschien gerust kunnen stellen dat ik hoogstwaarschijnlijk niet gehackt ben?

Desondanks had ik geen last van pop-ups, mijn laptop was op normale snelheid en merkte ik ook niet andere rare dingen.
Het is een (van school) Dell laptop.
Verder staan er ook alleen maar school bestanden op.
Tóch zou ik graag willen weten of ik mij hier nu zorgen om moet maken of niet.
Bedankt alvast!

Stap van Windows af en ga Linux gebruiken. Plak je cam af. Disable je microfoon en camera wanneer je deze niet gebruikt. Zo zul jij jezelf vast wat veiliger voelen. Ubuntu werkt prima: https://ubuntu.com/

haagsepracht schreef op vrijdag 28 mei 2021 @ 10:56:
[...]


Stap van Windows af en ga Linux gebruiken. Plak je cam af. Disable je microfoon en camera wanneer je deze niet gebruikt. Zo zul jij jezelf vast wat veiliger voelen. Ubuntu werkt prima: https://ubuntu.com/

Haar vraag was of ze zich nog zorgen moet maken in haar situatie. Niet of je even een nieuw OS wil opdringen. Aangezien Meisje12345 kennelijk nog nooit gehoord heeft van Adobe Flash player lijkt me een overstap naar Linux niet direct voor de hand liggen. Afplakken cam is dan wel weer een nuttige en voor haar bruikbare tip.

Meisje12345 schreef op donderdag 27 mei 2021 @ 18:48:
Heyy

2 maanden geleden (het is nu 27 mei) op 24 maart wilde ik mijn laptop gaan scannen op malware en virussen.

Als eerste ben ik naar mijn takenbeheer gegaan, en daar stond een onbekende app genaamd “Adobe Flash Player”

Op mijn laptop heb ik ook nog naar mijn beveiliging gekeken, daar stond firewall en malware bytes op, alleen had ik mij niet ingelogd met een Microsoft account. Vervolgens had ik een grondige scan laten uitvoeren door Malwarebytes, deze ‘virusscan’ duurde echter de hele avond en heb ik het toen maar in het midden van het scan proces gestopt. Daarna heb ik zonder mijn verstand de laptop op fabrieksinstellingen gezet. Hierna raakte ik in paniek met het idee dat ik er dus niet meer achter zou kunnen komen of er nou daadwerkelijk malware op mijn laptop stond en ik misschien stiekem bespioneerd ben.
Ik heb nu een angst opgebouwd voor webcamspionage en zou hier graag weer van af willen komen. Zou iemand mij misschien gerust kunnen stellen dat ik hoogstwaarschijnlijk niet gehackt ben?

Desondanks had ik geen last van pop-ups, mijn laptop was op normale snelheid en merkte ik ook niet andere rare dingen.
Het is een (van school) Dell laptop.
Verder staan er ook alleen maar school bestanden op.
Tóch zou ik graag willen weten of ik mij hier nu zorgen om moet maken of niet.
Bedankt alvast!

Adobe Flash Player hoef je je geen zorgen over te maken.
Ik zou gewoon je webcam af plakken, ik denk niet dat je je verder zorgen hoeft te maken.
Draai anders nog even kaspercy anti virus removal voor de zekerheid.
Als jij niets raars gedownload hebt of op linkjes hebt geklikt dan hoef je je geen zorgen te maken.

Heel erg bedankt!!!

Ik heb net even een virusscan gebruikt genaamd “AVG Antivirus Free” en die zegt dat

-mijn webcam op mijn PC kwetsbaar is voor spionage
-ik alleen beschik over een eenvoudige firewall
-ik kwetsbaar ben voor nepwebsites

Dit was dus schijnbaar ook voordat ik mijn laptop op fabrieksinstellingen heb gezet, hoef ik mij nu nog steeds geen zorgen te maken?

Meisje12345 schreef op vrijdag 28 mei 2021 @ 12:55:
Heel erg bedankt!!!

Ik heb net even een virusscan gebruikt genaamd “AVG Antivirus Free” en die zegt dat

-mijn webcam op mijn PC kwetsbaar is voor spionage
-ik alleen beschik over een eenvoudige firewall
-ik kwetsbaar ben voor nepwebsites

Dit was dus schijnbaar ook voordat ik mijn laptop op fabrieksinstellingen heb gezet, hoef ik mij nu nog steeds geen zorgen te maken?

Dat meldt AVG Antivirus Free omdat je hun Free versie gebruikt.
Als je opwaardeert naar een betaalde anti virus dan zullen ze die pop-up waarschijnlijk niet meer laten zien.

Wellicht dat je onderstaande nog even over je PC heen kan laten gaan.

https://www.kaspersky.com...725-1821160481.1621259725

Verder geef je aan dat de laptop voor school is, is deze ook VAN school? Anders neem ik aan dat zij wel iets van monitoring software op je laptop hebben gezet waardoor zij het een en ander kunnen monitoren.

Daar ben ik weer

ik heb de scan die je aanbevolen had (Kaspersky) uitgevoerd en het verteld dat er geen bedreigingen gevonden zijn.
De laptop is inderdaad VAN school, dus hoop ik wel dat ze elk jaar even een virusscan door de pc laten gaan of het opschonen.

Ook heb ik nóg een paar vragen: het is toch zo, dat als iemand je stiekem via de webcam zou filmen, dit altijd in de verkenner staat? Daarmee bedoel ik bij de foto's, video's etc. van jouw pc?

Nogmaals, bedankt voor de hulp.

Meisje12345 schreef op vrijdag 28 mei 2021 @ 15:27:
Daar ben ik weer

ik heb de scan die je aanbevolen had (Kaspersky) uitgevoerd en het verteld dat er geen bedreigingen gevonden zijn.
De laptop is inderdaad VAN school, dus hoop ik wel dat ze elk jaar even een virusscan door de pc laten gaan of het opschonen.

Ook heb ik nóg een paar vragen: het is toch zo, dat als iemand je stiekem via de webcam zou filmen, dit altijd in de verkenner staat? Daarmee bedoel ik bij de foto's, video's etc. van jouw pc?

Nogmaals, bedankt voor de hulp.

Als iemand je via de webcam zou filmen, waarom zou dat in de verkenner zichtbaar moeten zijn volgens jou?
Diegene kan het naar een verborgen map opslaan, het uploaden naar een andere computer en dan verwijderen van jouw laptop of het zelfs opnemen zonder op te slaan op de laptop.
Enige manier om zeker te zijn dat er geen opname gemaakt wordt is afplakken, ben je er gelijk zeker van dat het niet mis kan gaan

Oooohw interessant, dat wist ik helemaal niet!
Ik dacht altijd dat het dan ook ergens op jouw pc moest staan.

Nu de virusscan zegt geen bedreigingen gevonden te hebben, moet ik dan nu ook nog wat anders doen?

.

[ Voor 106% gewijzigd door elpee op 09-06-2021 09:36 ]