Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 22.09.2019, 18:21   #1
ANDREx01
 
Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) - Standard

Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)



Hallo,

Ich such eine Firma die professionelle Lösungen bietet um eine Attacke der etwas krassen art loszuwerden. Virenscanner oder logfileshochladen bringt null. Aber ich fang mal von vorn an, vielleicht hatte ja schon mal jemand eine ähnliche Attacke, aber das ist unwahrscheinlich.

Vor zwei Wochen hockte ich apex legends auf meinem PC und wurde aus dem Spiel geworfen weil sich jemand anderes eingelockt hatte. Nicht besonderes dachte, halt trojaner eingefangen. Die üblichen Schritte unternommen. Sämtliche Festplatten gewiped, Windows neu installiert und sämtliche wichtigen Passwörter vom handybrowser aus geändert.

Nach dem ich meine google accountdaten geändert hatte, krieg ich ne mail das meine passwörter erneut geändert wurden.

Erneut geändert und festgestellt das ich in ne pishing falle getappt bin weil meine Änderung in einer Fehlermeldung endete.

Ok, dachte ich. Greifen wir zum zweithandy ohne rot welches ich eigentlich nur benutze für solche Dinge, muss nebenbei erwähnen das ich eine kleine softwarefirma betreibe welche sich mit Apple protections beschäftigt, bin also nicht ganz unerfahren...

Umso erstaunter war ich als ich feststellte das erneut eine pishing Attacke erfolgte, wohlgemerkt auf dem nonroot tab s6 Tablett von samsung, jedoch nicht etwa mittels gefälschter email oder Webseiten....die pishing Attacke nutzte das androidsystem und die Standard android gui um meine Anfragen abzufangen. Unmöglich dachte ich das würde schließlich bedeuten jemand hätte meine Firmenware via remove gerooted und modifiziert. Kurz paar sicherheitseinstellungem kontrolliert und siehe da, unter zertifaktseinstellungen fand ich plötzlich nicht nur das ein arbeitsprofil angelegt wurde, sondern auch ein benutzerzertifakt + ein paar rootzertifikate die ich nicht kannte. Gleich meine anderen Handys gecheckt welche beide gerooted sind, Fehlanzeige. Zumindest was die zertifakte anging, jedoch fand ich diverse Überwachungsapps die ich defintiv nicht installiert hatte. Shit. Ich zuerst das Tablett komplett resetted und erneut sämtliche Passwörter geändert welche wichtig waren zudem einen neuen nicht google mailaccount bei protonmail eröffnet und den als recovery account hinterlegt in den google Profilen....

3 Fragezeichen hatte ich dann überm Kopf als mein protonpasswort welches mit 2FA (wie alle anderen accounts) gesichert war, meldete das mein protonpasswort geändert wurde. Gibst überhaupt nicht dachte ich und in den wlanrouter geschaut, bis auf eine amerikanische IP in der whitellist (fritzbox 5790 latent firmware) nix auffälliges entdeckt. Sicherheitshalber routerpasswörter geändert und wlanschlüssel.

In der Zwischenzeit habe ich auch Windows neu aufgespielt mit dem Resultat das ich jedes mal nach 5 Minuten erneute trojaner Aktivitäten gestellte. Ich weiß nicht warum aber mein Screen flickert leicht wenn jemand via zuschaut via remote. Seltsam, mir kurz meine Windows iso angeschaut und siehe da, die war manipuliert. Das änderungsdatum von ein paar wenigen Dateien unterschied sich vom Rest um eine Minute.

Jupp, wtf...das dachte ich auch. WTF V2.0 erschien mit dann in der Rübe nachdem ich von der Microsoft Seite ein neues Image runterlud und ( ja ich habe 5 mal geschaut das es die originale Seite war) und ich erneut feststellte das es nicht die orginal Version war. Diesmal md5 hash verglichen.

Um das ganze mal abzukürzen. Jemand leitet meinen kompletten Datenverkehr über eine IP die sich hinter 11 proxies versteckt (ab dem 3. Konnte ich die IP nicht mehr nachvollziehen) filtert automatisch sicherheitsrelevante Seiten wie googleaccount etwas heraus und ersetzt diese automatisch mit manipulierten. Der zertifaktscheck zeigt allways das Original Zertifikat, es ist also nicht ersichtlich das es pishing ist.

Windows kennt ich mich nicht so sehr aus, aber das das android System gefälschte popups, als nicht über den Browser, sondern über die android gui benutzt um Anfragen zu Fakten und das auf orginal Firmware ohne rot...ist defintiv neu für mich und zeigt das hier eine massive Sicherheitslücke in android existiert den dies tritt bei allen Geräten auf. Es war und ist mir also nicht möglich Kontrolle über meine accounts wiederzuerlangen. Im Moment bin ich eher am testen als am versuchen das ganze loszuwerden weil mich die professionelle art der Attacke begeistert, welche 24/7 live zu sein scheint. Heißt da sitzt irgendwo jemand und überwacht das ganze. Festgestellt hatte ich als ich ein android Gerät im secure Modus startete und anfing systemrelevante Dienste und AppStore abzuschalten welche nicht existenziell sind, es gelang mir sogar die feindliche Komponenten soweit zu ändern das der der Angreifer die Kontrolle verlor...zumindest bis zum nächsten Firmware Reset, denn dann passiert folgendes. Gerät empfängt eine konfigurationssms welche normal nicht sichtbar ist und mit dieser erhält der Angreifer vollzugang zum Gerät indem er remote ein enterprise Profil erstellt und somit admin access bekommt. Logisch habe ich versucht mobile Netz auszulassen aber dann schafft er selbiges via Wifi. Keine Ahnung wie. Routereset nützt nichts. Sobald er die IP oder Telefonnummer hat braucht er fünf Minuten um die Kontrolle zu erhalten. .

Virenscanner hab ich alles durch was es gibt, sowohl auf Handy als auch Windows. Nichts, nicht eine detection. Am Anfang konnte ich nicht mittels Tool herausfinden das mitm Attacke läuft aber inzwischen sooft er auch das.

Ich brauche also ein Profi Lösung die gern auch was kosten darf. Welche Firmen bieten da was an bzw. Sind zu empfehlen?

Danke und gruss

Alt 22.09.2019, 19:57   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) - Standard

Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)



Kurzfassung: Alle Rechner neu machen, neu installieren, komplett formatieren. Und alle Smartphones auf Werkseinstellungen zurücksetzen.

Oder was soll die Frage nach Firmen? Die Ursache werden die garantiert auch nicht herausfinden.
__________________

__________________

Alt 22.09.2019, 20:34   #3
ANDREx01
 
Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) - Standard

Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)



Zitat:
Zitat von cosinus Beitrag anzeigen
Kurzfassung: Alle Rechner neu machen, neu installieren, komplett formatieren. Und alle Smartphones auf Werkseinstellungen zurücksetzen.

Oder was soll die Frage nach Firmen? Die Ursache werden die garantiert auch nicht herausfinden.
Wie bereits geschrieben (bitte erst Beitrag lesen bevor du antwortest) habe ich mehrfach (jedes Gerät mindestens 10x) resetted. Auf dem ungerooteten samsung wurden z.b files gespeichert die nur mit root zu entfernen sind. Ein reset bringt da null. Ebenso hatte ich erwähnt das es ca. 5 min dauert bis das gerät unter kontrolle des angreifers ist. Ich frage nach einer firma weil eben alle probierten standardmethoden nicht funktionieren.

Sämtlicher netzwerktraffic wird mittels mitm attacke abgefangen, zum teil ersetzt wenn es um seiten geht mit denen ich das ganze bekämpfen kann, oder umgeleitet.

Wie gesagt, wenn ich zum beispiel die windows 10 iso runterladen möchte vom microsoft original link, dann habe ich am ende eine modifizierte windows.iso auf dem rechner

Oh und es befindet sich ein accespoint im netzwerk der keine ip hat und den ich auch nicht identifizieren, oder entfernen kann. Hab mal wifi und alle anderen repeater und was sonst noch funkt ausgeschaltet aber es ist wie ein virtueller AP der in der fritzbox installiert wurde und ja ich habe die fritzbox resettet, geflashed, geupdated und mit weihwasser bespritzt was zum austausch durch avm geführt hat, das problem besteht jedoch weiterhin
__________________

Alt 22.09.2019, 20:35   #4
stefanbecker
 
Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) - Standard

Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)



Evtl. mal den Router tauschen.

Klingt irgendwie nach ner ziemlichen Räuberpistole.

Entweder bist du Otto Normalverbraucher und keiner hat Interesse an dir. Oder ein Geheimdienst hat Interesse an dir, dann würdest du hier nicht fragen.

Alt 22.09.2019, 21:10   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) - Icon19

Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)



Zitat:
Zitat von stefanbecker Beitrag anzeigen
Entweder bist du Otto Normalverbraucher und keiner hat Interesse an dir. Oder ein Geheimdienst hat Interesse an dir, dann würdest du hier nicht fragen.
Dennis Stein(s) lässt grüßen....

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 23.09.2019, 07:57   #6
ANDREx01
 
Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) - Standard

Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)



Zitat:
Zitat von stefanbecker Beitrag anzeigen
Evtl. mal den Router tauschen.

Klingt irgendwie nach ner ziemlichen Räuberpistole.

Entweder bist du Otto Normalverbraucher und keiner hat Interesse an dir. Oder ein Geheimdienst hat Interesse an dir, dann würdest du hier nicht fragen.

Genau aus diesem grund fragte ich nach einer professionellen firmenadresse da ich erstens davon ausging das mir hier keiner helfen kann mangels fundierter Fachkenntnis was diese destruktiven Beiträge bestätigen und zweitens geht es nicht darum nen albernen trojaner loszuwerden, ich suche eine systemlösung um das ganze zu blocken, denn das ist weder das erste mal noch wird es das letzte mal sein.

Nochmal im klartext. Ich suche dringend professionielle hilfe um professionielle hackerattacke (ssl stripping, mitm, dynamic pishing pc and android) abzuwehren und wenn möglich zurückzuverfolgen und den verursacher ausfindig zu machen.

Sollte hier im forum jemand eine kompetente firma kennen welches solche Anliegen bearbeitet, dann bitte antworten oder gern auch pm.

Btw: es ist mir bislang noch kein finanzieller schaden entstanden, jedoch weiss ich das es eine private gruppe mit mehreren mitglieder ist welche sich die texhnik welche benutzt wird, einiges kosten lassen haben. Keine regierung oder geheimdienst. Profi blackhats halt, wir werden regelmässig angegriffen aber diese qualität ist neu

Danke

Alt 23.09.2019, 08:08   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) - Standard

Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)



User wie dich hatten wir hier schon etliche. Ich weiß ncht was bei euch los, was ihr euch immer für Sachen einbildet. Die harmlosesten Dinge, die ihr euch nicht sofort erklären könnt, werden dann als Bestandteil einer NSA-reifen Hacking-Geschichte umgedeutet

Um mal klein anzufangen:

Zitat:
Sämtlicher netzwerktraffic wird mittels mitm attacke abgefangen, zum teil ersetzt wenn es um seiten geht mit denen ich das ganze bekämpfen kann, oder umgeleitet.

Wie gesagt, wenn ich zum beispiel die windows 10 iso runterladen möchte vom microsoft original link, dann habe ich am ende eine modifizierte windows.iso auf dem rechner
schreib doch mal haarklein auf woher du das alles weißt. V.a. wie das MITM funktionieren soll. Oder haben deine tollen Angreifer jetzt ein gefälschtes Microsoft-Zertifikat, damit der Browser kommentarlos die unterwanderte HTTPS-Verbindung zu microsoft akzeptiert?

Wie hast du festgestellt, dass die ISO manipuliert war und WOHER GENAU weißt du, dass das nicht ein simpler Übertragungsfehler oder unvollständiger Download war oder du dich schlicht und ergreifend vertan hast, Prüfsummen vertauscht etc. pp.??
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 23.09.2019, 11:31   #8
stefanbecker
 
Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) - Standard

Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)



"jedoch weiss ich das es eine private gruppe mit mehreren mitglieder ist welche sich die texhnik welche benutzt wird, einiges kosten lassen haben"

Wer soll das denn sein? Nur Allgemeinplätze, nichts konkretes.

Wenn das wirklich so ist und du die jenigen kennst, dann ist das doch eher ein Fall für die Polizei.

Alt 23.09.2019, 11:34   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) - Standard

Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)



Der widerspricht sich doch selbst. Im ersten Posting hat er noch Folgendes behauptet:

Zitat:
Um das ganze mal abzukürzen. Jemand leitet meinen kompletten Datenverkehr über eine IP die sich hinter 11 proxies versteckt (ab dem 3. Konnte ich die IP nicht mehr nachvollziehen)
Mal angenommen das stimmt (was ich nicht glaube, es riecht nach Dünnschiss ) kann man daraus nicht eine weitere Behauptung konstruieren, dass man nun weiß, wer dahinterstecke...
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.09.2019, 14:54   #10
schlawack
 
Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) - Standard

Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)



Vielleicht glaubt ja ANDREx01 ja, er wäre so etwas wie Edward Snowden?
__________________
Windows 10 64 Pro 22H2

Antwort

Themen zu Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)
dateien, diverse, email, fehlermeldung, festgestellt, festplatte, folge, frage, fritzbox, google, leitet, mail, microsoft, neu, neue, passwort, pishing, popups, reset, router, scan, secure, tab, trojaner, windows



Ähnliche Themen: Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)


  1. Generelle verbindungsfrage, Pc, Android, Ios, Wifi zum Internet über dem Router?
    Alles rund um Windows - 21.10.2017 (5)
  2. Win7 - Packed-multi-multi-packed.gen und HEUR:Trojan.script.iframer
    Log-Analyse und Auswertung - 13.12.2015 (10)
  3. Windows 10 bootet nicht (Reboot and select proper boot device or insert boot media in selected boot device and press a key)
    Alles rund um Windows - 18.10.2015 (4)
  4. Windows 7 - Evtl. Highjacking/ Trojaner-Infektion nach unvorsichtigem Download
    Log-Analyse und Auswertung - 20.04.2015 (16)
  5. Hardcore Virus oder Dauer Pwn ?
    Alles rund um Windows - 20.01.2015 (7)
  6. Hardcore Trojaner oder dauer Pwn? :pukeface:
    Log-Analyse und Auswertung - 14.01.2015 (34)
  7. Windows 7 Multi plug gen und Multi plug gen.7 - wie kriege ich das los?
    Plagegeister aller Art und deren Bekämpfung - 05.01.2015 (14)
  8. Router meldet Storm attack aus eigenem Netzwerk
    Plagegeister aller Art und deren Bekämpfung - 24.01.2014 (5)
  9. Win32:Malware-gen [Engine B] und Trojan.GenericKDZ.18343 [Engine A] u.a.
    Log-Analyse und Auswertung - 02.11.2013 (24)
  10. Infizierte Webseite: Trojan.JS.Agent.EUZ (Engine A), HTML:ImgHack-A [Trj] (Engine B)
    Log-Analyse und Auswertung - 31.01.2012 (1)
  11. OS Attack: MS RPCSS Attack CVE-2004-0116 2 ; svchost
    Log-Analyse und Auswertung - 06.07.2011 (4)
  12. Xmas/SYN-ACK Port Scan attack, Router lahm!
    Plagegeister aller Art und deren Bekämpfung - 24.01.2011 (3)
  13. Auch Probleme mitm Rechner....Viren und Trojaner...using HiJack
    Plagegeister aller Art und deren Bekämpfung - 25.10.2009 (9)
  14. Arcor ist hardcore
    Log-Analyse und Auswertung - 18.12.2007 (0)
  15. noch einer mitm ad.firstadsolution-Problem
    Log-Analyse und Auswertung - 30.06.2006 (12)
  16. Hardcore Virus
    Plagegeister aller Art und deren Bekämpfung - 21.03.2006 (15)
  17. Trojaner mitm Firfeox
    Plagegeister aller Art und deren Bekämpfung - 16.08.2005 (2)

Zum Thema Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) - Hallo, Ich such eine Firma die professionelle Lösungen bietet um eine Attacke der etwas krassen art loszuwerden. Virenscanner oder logfileshochladen bringt null. Aber ich fang mal von vorn an, vielleicht - Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)...
Archiv
Du betrachtest: Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.