Einbruch ins inhouse netz

Question

ich habe einen seltsamen Fall. Mein Freund wurde am 8.12. dringend aufgefordert seinen PC zu booten, mit gehackter Tel. Nr., eine Frau mit asiatischem Akzent. Bei der Swisscom sind weitere Fälle bekannt. Ich wollte dann Ubuntu booten, der CD Boot ging aber wegen UEFI BIOS nicht. So bootete der PC halt via Disk und infizierte sich offenbar. Der Schaden - MBR Read Error, nebst abgeänderten Services. Was mich aber am meisten verblüfft ist folgendes. Auf der Internet Box sieht man, dass sich ein fremder PC am 3.12. ins Heimnetz einloggte, offenbar eine IP bekam, und offensichtlich Zugang hatte. Was mich noch mehr verblüffte, dass in der fraglichen Zeit keinerlei Eintragungen im Event Log sichtbar sind!? Der gleiche Fall wiederholte sich am 10.12., wonach ein PC mit gleicher MAC Nr im Heimnetz war, Eventlog wiederum keine Eintragungen. Dabei müsste doch im Eventlog Unter WLANConfig Events irgendewtas sichtbar sein, oder? Mein Verdacht - dass da ein War Driver aktiv ist. Die Infektion ist im übrigen böse, ich bin dran den PC neu aufzusetzen. Hat jemand eine Idee wie sowas möglich ist?

Answer 1

Da kann ich mir so einige Szenarien vorstellen. Zum Beispiel könnte im Netz ein Logger installiert worden sein, dessen Daten bei den Zugriffen abgeholt wurden. Um das WLAN für den Hack zu nutzen müsste der Angreifer in dessen Reichweite sein. Das halte ich für unwahrscheinlich weil man dazu neben der Telefonnummer auch die Adresse braucht. Ich würde eher auf eine Manipulation des Routers tippen. Es macht deswegen auch Sinn die Internet-Box zurückzusetzen oder wenn möglich zu tauschen.

Gruß Flupo

Answer 2

danke Fluppo, den Router habe ich soweit möglich kontrolliert, aber ein
Neuladen der Firmware via Provider werden wir noch machen. Mit
Logger meinst du wohl einen Keylogger? Oder gibt es noch andere
Logger? Ein Keylogger müsste die Eingabe des WLAN Passworts für den
Router erwischen. Dass mein Freund dies nicht getan hat bin ich sicher.
Er weiss nämlich gar nicht was das ist!  Reichweite - wir gehen davon
aus, dass in der Nachbarschaft in Reichweite jemand aktiv ist, weil auch
ich seltsame "WLAN Erlebnisse" habe. Das könnte ja durchaus ein
gehackter PC sein. Die SSID die in Frage kommen kennen wir, wissen
aber nicht wer dies konkret ist. Und nachdem er ja von einer  
Hackertruppe angerufen wurde,ist seine Adresse ja auch bekannt.  Wir
haben noch vor, die SSID zu verstecken. Aber - wenn der Angreifer die
schon kennt nützt das auch nichts. Ich versuche mir noch so etwas wie
einen Honey Pot zurechtzulegen. Habe ich noch nie gemacht.
Ratschläge sind willkommen.

Answer 3

Hallo, beim Keylogger werden die aktiven Eingaben abgefangen und weitergeleitet, so im Groben.
Da aber dein Freund dies nicht macht, weil er es nicht kann, dies ist aber vielleicht nur deine Einschätzung dazu, muss es anders abgelaufen sein.
Und zwar beispielsweise ein MITM-Angriff (im Netz findest du  mehr darüber).
Kurz dazu, der Angreifer klinkt sich in ein ausgewähltes WLAN ein, lässt alles was vom diesen Netz kommt loggen oder auch dumpen.
Also der loggt und wartet, bis sich ein Client per WLAN am Router anmelden will, irgendwann wird die Verifizierung abgehandelt und es muss ja nicht live passieren, da es geloggt wird.
Der Angreifer muss viel Geduld, entsprechende Hardware/Software mitbringen oder einfach auf das Glück warten.
Allein das Loggen (eine Mitschnittdatei) kann schon ins GB Bereich gehen, hat man aber das, dann sind nur einige Tools nötig, um das Gewünschte zu herauslesen.
Und wenn es fertig ist, dann ist der böse Bube drin.

Die SSID zu verstecken bringt nicht viel, zumindest für den Angreifer stellt es kein Problem dar, der sieht ja die MAC und hat die Verifizierung abgefangen.
Es dauert vielleicht etwas länger, da er es erst mal loggen muss, um alle nötigen Informationen zu bekommen.

Über Swisscom gab es oft schon irgendwelche Meldungen, Artikel im Netz, lasse mal nach "swisscom hackerangriff" suchen.

Gruß

Answer 4

Hallo,

so einfach ist das Mitloggen der W-LAN Datenverkehrs nun auch nicht. Immerhin sind die Daten ja verschlüsselt. WPA2 ist zwar mittlerweile auch geknackt, den dafür erforderlichen Aufwand kann der übliche Nachbar aber nicht treiben.

Die Methode über einen Anruf von außen den PC-Nutzer zu unbedachten Handlungen zu bringen ist da wesentlich einfacher und leider auch verbreitet. Da reicht allerdings alleine die Aufforderung neu zu booten nicht. Meistens behaupten diese Anrufer, sie seien von Microsoft und sie hätten auf dem PC eine schwere Bedrohung gefunden, bei deren Beseitigung sie jetzt gerne helfen möchten. Dann wird der PC-Nutzer dazu gebracht, eine Remote-Desktop- oder Teamviewer-Sitzung zu ermöglichen. Ab dann hat der Angreifer Zugrif auf alles und kann sich in Sekunden vom PC holen, was er möchte bzw. den PC nach Wunsch beeinflussen.

Wenn das geschehen ist, sollten sofort sämtliche Passwörter von allen Accounts, die man so hat, E-Mail, Online-Shops, Bank, Facebook und auch zum Router geändert werden. Nach Möglichkeit aber von einem anderen PC aus, denn man weiß nicht, welche Aktivitäten jetzt von diesem PC mitgeschrieben werden.

Anschließend den betroffenen PC neu aufsetzen.

Gruß
computerschrat

Answer 5

seufz. Danke euch. Das artet alles in Arbeit aus.

Mittlerweile habe ich den PC neu aufgesetzt. Ich habe die relevantesten
Eventlogs gesaved, und werde mich dran machen die zu durchforsten, ist
halt eine respektable Datenmenge. Ich möchte rausfinden wie der Angriff
zustande kam, auch um mich und die Nachbarn zu schützen.

Inzwischen habe ich auch über die KRACK Attacke, *Z* und Kali
Linux gelesen. Heavy stuff! Ein Bekannter hat übrigens die These
entwickelt, dass es sich bei den Angriffen um IoT Geräte aus der
Nachbarschaft handeln könnte, die sich beim Router anmelden, eine IP
bekämen, sonst nichts und sich gar nicht einloggen würden. Stimmt das?
Wenn ich sehe was der Angriff alles angerichtet hat: MBR manipuliert. sfc
/ scannow findet 5 veränderte services. Der Dienst smss.exe ist
verändert, liess sich nicht killen, was der genau tat konnte ich nicht
ermitteln. Allerhand.

Ok, das mit den Passwörtern hemen wir an die Hand. Danke vorerst für
eure Tipps!

Answer 6

[quote]so einfach ist das Mitloggen der W-LAN Datenverkehrs nun auch nicht. Immerhin sind die Daten ja verschlüsselt.[/quote]Naja, ich schrieb nicht, dass es einfach ist und es wird [u]alles[/u] mitgeschnitten...wie bereits beschrieben.

@schumi99, jetzt wird es wirklich schwer, bis unmöglich, festzustellen wie es dazu gekommen ist.
Leider aus der eigenen Erfahrung weiß ich, dass manche sogenannte Opfer einem nicht immer alles erzählen, es wird viel Zeit verplempert und am Ende  gibt man auf.
Was man hier noch machen kann, wurde aber schon erwähnt.
Hier würde ich noch den betroffenen Router mit einer neuen Firmware bespielen, wie du schon geschrieben hast.
Im extremen Fall sogar den Provider kontaktieren und einen aktuellen Router anfordern.
Siehe @A3/"swisscom hackerangriff"...

Inzwischen gibt es Gerätschaft die einfach zu kaufen ist, wie auch dazugehörige Software, oft sogar kostenfrei- nur für das Mitschneiden oder zum Weiterleiten.
Ausgewertet wird später oder halt auf einer anderen Konfiguration.
Beispielsweise ein fake DNS Server der das/die Opfer veranlasst diesen Server zu verwenden, anstatt des üblichen.
Passiert das, geht der komplette Verkehr über diesen fake Server und man kann alles mitlesen, für eigene Zwecke nutzen.
Man kann es merken, da durch diese Einwirkung auf den WLAN-Clienten zu langen Ladezeiten führen kann.
Natürlich hängt es davon ab, wer so was macht und was für einen Nutzen davon er ziehen kann, dann ist der Aufwand relativ.
Schwarze Magie ist es inzwischen nicht, da man Tools die für Netzwerkverwaltung, Fehlersuche etc. nutzt und das ärgert mich sehr.
Lese sich da (@A3) ein, oft werden auch mögliche Gegenmaßnahmen mitbehandelt.

Answer 7

danke Freunde. Ihr habt mir geholfen. Ich werde mich also jetzt auf den
Kriegspfad begeben, und den Eindringling jagen. Ich habe da offenbar in
ein Wespennest gestochen. Was ich da so alles lese wie man in ein WPA
eindringt, die ersten Android Apps kann man schon gratis runterladen. Ich  
habe mich schon früher mal mit Linux Distributionen beschäftigt, in der es
reihenweise Tools zur Abwehr, Angriff und Analyse gibt, so etwa Kali,
*Z* etc. Aber das braucht Zeit um sich da einzuarbeiten. Und
eigentlich bin ich ein friedlicher Mensch, der gar nicht in diesen Krieg
ziehen möchte. Von mir aus kann man diesen Thread schliessen, ich
danke euch und wünsche euch eine schöne - friedliche - Adventszeit.

Answer 8

[b]@schumi99 ..ja richtig so, pack aus die Keule und hau zu :-)[/b]

Answer 9

Es gibt noch eine möglichkeit - da kannst du dein WLAN so oft absichern wie du willst, es wird nicht helfen:

du hast von jemanden aus deiner nähe einen Trojaner aufs Smartphone (oder einem deiner Rechner) bekommen - jedes mal wenn du also an dem infizierten Gerät das WLAN einrichtest gibst du die zugangsdaten an den verursacher.

Einzige sichere möglichkeit (insbesondere wenn sogar auf einem oder mehreren Rechnern Daten geändert wurden) wäre da ALLE geräte komplett auf Werkseinstellungen zurückzusetzen bzw Windows/Linux neu installieren.

Aber wenn du schon bei der Polizei warst - eigentlich wäre es schon sinnvoll alle Geräte der der Polizei zu geben denn wahrscheinlicher als ein Hacken des WLAN ist für meine begriffe dass du dem "Hacker" durch einen infizierten PC das WLANKennwort quasi unfreiwillig lieferst. Vielleicht sogar passwörter für deine Rechner bzw aktivierung von Administratorkonten für einen fernzugriff.

Nur wenn die Polizei den Hack nachvollziehen kann und z.B. einen infizierten Rechner findet, stehen die Chancen besser über Emails oder so die Spur zurückzufolgen.


Ansonsten deaktiviere auch erstmal das WLAN, nutze Kabel und hoffe das die Rechner nicht über das Internet sondern wirklich nur über wlan fremdgesteuert werden - ein Trojaner könnte - einmal aktiv - dann über wlan besser funktionieren aber genauso über Internet sich bei seinem Herrchen melden.

Answer 10

ok, den ersten der infizierten PC habe ich neu aufgesetzt. Der Eigentümer ist in den Ferien, vermutlich ist dort alles ok.  Mein infizierter PC und der mutmasslich auch infizierte Router sind bei der Polizei. Seit 17.1. Meinen zweiten  PC (auf dem ich hier schreibe) habe ich auch neu aufgesetzt , der hat aber seither eine fremde MAC Adresse erwischt. Klar, da hab ich das WLAN Passwort wieder geändert, seither kann ich nichts negatives feststellen. Es geht mir nun aber darum mein Netz zuzunageln.

 Ich kann mir nicht so recht vorstellen, wie ich einen MAC Eintrag via infizierte Webpage einfange. Für mich gibt es zuviele Fälle von unbekannten MAC Adressen, nunmehr auf 2 verschiedenen PC's.  Mittlerweile läuft bei mir auch der Wireshark, das ergibt ungeheure Datenmengen, ich kontrolliere vorerst aber nur die Endpunkte, denn da müsste ein Kontakt nach aussen ja auch sichtbar werden. Da sehe ich nichts unverdächtiges.

Mittlerweile habe ich einen Laptop mit Kali Linux aufgesetzt, komme aber mit dem Aufruf der Programme noch nicht klar. Für einen Neueinsteiger halt aufwendig sich da einzuarbeiten. Zudem habe ich mich via Internet mit den verschiedenen bekannten WLAN Angriffen auseinandergesetzt. Fazit - wenn sich da einer einarbeitet, dann hackt er früher ode später ein LAN. Das meiste mit freeware nota bene.

Aber dein Hinweis auf Smartphones hat mich elektrisiert. Der Eindringling hatte eine Apple MAC! Ich versuche mir vorzustellen wie über Wifi direct etwas in der von dir beschriebenen Art zustande kommen könnte.  Wifif direct kenne ich noch zuwenig, habs nie angewendet. Ich gehe der Spur auch mal nach.

Zudem hab ich auch schon versucht in der Registry des ersten PC etwas zu finden. Ist ungeheuer aufwendig. Noch nichts gefunden.

Na ja, bin halt noch auf der Jagd. Sollte ich die Wildsau erlegen melde ich mich bei euch, ok?