ColdRoot - Wieder mal ein Schädling powered by Delphi :D
 

Montag wurde ein Blogbeitrag bei DigitaSecurity veröffentlicht, der einen bisher unbekannten macOS Schädling identifizierte. Heise veröffentlichte dazu gestern einen etwas wirren Beitrag.
Wie immer macht es bei heise Sinn, den Links zu folgen, und die führen diesmal zu Eingangs erwähnten Blog. Der Autor erklärt sehr ausführlich, wie er dem Biest auf die Schliche kam, wie er herausfand was es wie tut, und nebenbei findet er heraus: Es muß wohl mit Free Pascal geschrieben worden sein, samt total überflüssiger Stichelei Aber es gibt ja ein Verkaufsvideo, daß der Blogger gesichert hat, denn bei YouTube ist es mittlerweile gelöscht. Und da fällt uns auf, da läuft ein RadStudio! :D
A RAT written with RAD Studio.
Es wurde hier tatsächlich ein multiplattform Remote Admin Tool mit Delphi geschrieben... der seit gut einem Jahr unterwegs ist, und bis vor kurzem bei VirusTotal zu keiner Meldung führte - starkes Stück.

Ich finde diese detaillierten Recherchen wahnsinnig interessant. Fast so gut wie ein Krimi. Es gab vor vielen Jahren mal einen sehr aufschlußreichen Text zu einem DDOS (als die noch nicht von jedem Baumschüler durchgeführt werden konnten), ich schau ob ich den wieder finde. Hat zwar nix mehr mit Delphi zu tun, aber war verdammt spannend geschrieben.

Sherlock

AW: ColdRoot - Wieder mal ein Schädling powered by Delphi :D
 

Ob das jetzt Emba auf seiner "Success-Story"-Seite aufnehmen sollte ... :gruebel:

AW: ColdRoot - Wieder mal ein Schädling powered by Delphi :D
 

Je nachdem wie die Zielgruppe definiert ist :D

Zu meinem OT:
Ich hab die DDOS-Geschichten ausgegraben. Geschehen ist es 2001/2002, und zwar berichtet hier Steve Gibson von Gibson Research, einer Firma die sich eigentlich um Datenrettung bemüht. Die Links auf die ursprünglich dort bereitgestellten Dokumente sind leider kaputt, vermutlich weil die eine Serverumstellung hatten, und die Stories schon Asbach sind. Diese Links sind also kaputt: http://www.grc.com/dos/grcdos.htm, http://www.grc.com/dos/drdos.htm Aber weil das Internet nicht vergisst: www.crime-research.org/library/grcdos.pdf und https://homes.cs.washington.edu/~arv.../doc/drdos.pdf

Zu der Zeit hatte ich im Rahmen meines Praxissemesters die Firmenfirewall aufgebaut, und mir kam das kalte Grausen, als ich das las :D

Sherlock

AW: ColdRoot - Wieder mal ein Schädling powered by Delphi :D
 

Danke für die Links. Für Gänsehaut braucht es da wirklich nicht viel Phantasie.

Gruß
K-H

AW: ColdRoot - Wieder mal ein Schädling powered by Delphi :D
 

Interessant. Scheinbar sind die AntiViren Lösungen selbst heutzutage noch nicht sehr ausgefeilt, was macOS angeht. Ich bin ziemlich sicher, dass das gleiche Tool für Windows kompiliert von locker einem Viertel der AV-Programme heuristisch erkannt worden wäre. Das ist nämlich schon der Fall, wenn man eine komplett harmlose Anwendung erstellt, die nichts anderes macht, als eine TCP Verbindung herzustellen. Wenn man das Ganze dann noch per UPX packt, sind die Erkennungsraten sogar noch höher.

AW: ColdRoot - Wieder mal ein Schädling powered by Delphi :D
 

Das liegt aber eher daran, dass viele Virensignaturen nicht grade gut gebaut sind.

Die sagen oftmals einfach nur "Oh Delphi ... bööööööse" oder "Oh Indy ... bööööööse".

AW: ColdRoot - Wieder mal ein Schädling powered by Delphi :D
 

Dachte erst, dass beides der Grund ist, warum von vorgestern auf gestern die Anzahl der Scanner, die ein Programm von mir finden, von 0/67 auf 7/67 gestiegen ist. Lag aber an NSIS, die einzigen beiden enthaltenen Delphi-EXEs sind clean. Genau so bescheuert wie die Definition "Delphi" oder "Indy", was auf mein Programm zutrifft. Kaspersky wie immer, reiner Amateurverein. Nur getoppt von Bkav, das mal ein Programm von mir erkannt hat, aber nach Übersetzen einiger Strings und Forms auf Englisch (ohne Kompilieren) wurde das Programm nicht mehr bemängelt. Kriterium war offenbar "enthält deutschen Text".

AW: ColdRoot - Wieder mal ein Schädling powered by Delphi :D
 

Ja, Signaturen haben damit eigentlich wenig zu tun; das liegt an der Heuristik. Hierbei werden bestimmte WinAPIs als verdächtig eingestuft. Ein weiterer Faktor ist die Entropie des Kompilats. Hohe Entropie = sehr wahrscheinlich gepackt/gecrypted = verdächtig. Es wird natürlich "versucht" NSIS, UPX, etc. zu erkennen, automatisiert zu entpacken und dann erst zu analysieren. Wenn das aus irgendeinem Grund scheitert, können schon - wie in deinem Falle - einfache geänderte Strings ausschlaggebend für eine Detection sein. Hierbei liegt es aber meistens nicht an den Strings ansich, sondern daran, dass deren Änderung irgendwie Nebeneffekte hat.