Kundalini Awakening – only 2% – 98% don’t have this divine experience.
Monthly Archives: August 2018
Japanese Man Who Lived on a Deserted Island for Nearly 30 Years Forced to Return to Civilization
“Japanese Man Who Lived on a Deserted Island for Nearly 30 Years Forced to Return to Civilization”
“Masafumi Nagasaki, the 82-year-old voluntary castaway who has been living on the isolated 1-kilometer-wide Sotobanari island in Okinawa prefecture (located closer to Taiwan than Japan) was recently brought back to civilization after nearly three decades of living alone.
via YouTube / Docastaway – Desert Island Experiences
Nagasaki, who is now being considered a “voluntary castaway who has lived the longest time on a deserted island,” arrived on Sotobanari more than 29 years ago, according to Spanish explorer Alvaro Cerezo of Docastaway.”
“Cerezo, a person who documents island castaways, spent five days alone with Nagasaki in 2014 where he saw firsthand how the elderly man lived in total isolation from the outside world. Despite being alone on the island, Nagasaki has a survival system that he lives by, rules that he, and in this case, Cerezo, has to follow.
In his article, Cerezo documented the experience he had during his time with Nagasaki, who soon later became widely known as the “Naked Hermit.”
…
What’s even remarkable is the fact that he cleans the beach of any things that get washed up by the water like coral and wood. Cerezo even acknowledged that Nagasaki’s home island is much cleaner compared to other high-end resorts.
He first arrived on the island back in 1989 when he was around 53 years old.
…
However, it is believed that he worked as a photographer before and he had a wife with two children. Aside from being a photographer, Nagasaki also had other jobs as a factory worker in Osaka, a worker at a hotel in Shizuoka, and also as a barman in a hostess club in Osaka.
The castaway arrived on the island fully clothed, but they were all gone and washed away after just a year of staying there due to the several storms and typhoons that hit the area.
…
However, it appears like this may not happen after all as he was recently evicted from the island after someone saw him in April 2018.”
“He was kicked out of the island, someone saw him on the island and it seems like he was weak,” Cerezo told News.com.au. “They called the police and they took him back to civilisation and that’s it. He couldn’t even fight back because he was weak. They won’t allow him to return.”
Luckily, Nagasaki, who is now living in a government house in Ishigaki, which is the nearest city to the island about 60 kilometers away, is doing better.
“His health is OK, he was probably only sick or had the flu [when he was taken] but they won’t allow him to go back any more, he cannot go there, it’s over,” Cerezo added.”
Source: https://nextshark.com/japanese-man-lived-deserted-island-nearly-30-years-forced-return-civilization/
IT Security Archive 3 – Retro News – FB & CPU Trojan – Extended Saga Continues – Zombiehost Trojan Facebook
IT Security Archive 3 – Retro News – Zombiehost Trojan Facebook – 24. November 2015 ·
Comodo v8.0.4x finally reacts on consent.exe-Akamai-FB-Exploit…Post-Logon-Firewall-Bypass-Essay by NSA & Co. Process-Shadow-Walker. It says consent.exe is secure, but not its payload… 😉
“NetRange: 108.162.192.0 – 108.162.255.255
CIDR: 108.162.192.0/18
NetName: CLOUDFLARENET
NetHandle: NET-108-162-192-0-1
Parent: NET108 (NET-108-0-0-0-0)
NetType: Direct Assignment
OriginAS: AS13335
Organization: Cloudflare, Inc. (CLOUD14)
RegDate: 2011-10-28
Updated: 2017-02-17
Comment: All Cloudflare abuse reporting can be done via https://www.cloudflare.com/abuse
OrgName: Cloudflare, Inc.
OrgId: CLOUD14
Address: 101 Townsend Street
City: San Francisco
StateProv: CA
PostalCode: 94107
Country: US
RegDate: 2010-07-09
Updated: 2017-02-17”
ITSecurityArchive3· 24. November 2015 ·
Remember I didn´t open any Browser…that´s what the NSA does with Targeted Systems when you connect on Facebook and you are considered “important” enough to be taken into consideration…Corporatistic fraudulent Cyber-terrorism…
(6.11.2015) /(IT-Security) /Facebook /(Sabotage) /DOD /(Spy) /(Agencies) /(Software) /(Fehler) /(Forensik) /(ShadowGov) /(Public Counterintelligence) [23339]
ITSecurityArchive3 · 8. November 2015 ·
Wenn ich IP-Blocked “Amazon Technologies Inc.” lese fällt mir realistischerweise nur NSA ein… „wink“-Emoticon 1
ITSecurityArchive3 · 11. Juli 2017:
I don´t take that personally…the FB-Criminal-Corporate-Alphabet-Gang-Trojan-Zombiehost-CMOS-Exploit uses a heuristic attack and delay mechanism for all potential security and defense tools that could remove it…
The Anti-SEC Gov-Mafiosis – former criminal hackers – are in Dreamland…they get highly paid from the Gangster Government for doing script kiddie style mass sabotage…
ITSecurityArchive3· 24. Juni 2017 ·
Why it is a bad idea to give the Department of War and Zion backdoor access to each commercial CPU on the Planet…
CPU Thermal Deception…this forces the CPU to throttle down… Delay Tactics… In Reality the Temperature of the CPU is around 50-60 °C…but thanks to morons who play with the DOD CPU Backdoor on FaceBUG you get this…
5. Februar 2017 · Reminder… this procedure didn´t change and is ubiquitous…connection with FaceBUG means Shadow Gov Implantation…all the more strange that people don´t want an effective antidote….
ITSecurityArchive3 · 8. August 2016 ·
1.7.2016.
OUROBOUROUS SYSIPHUS INFINITY….FEDERAL CRIME SYNDICATE FraudBUG…
/
They reacted immediately with a Cyber-Attack…;)
1 OBJECTIVE PROOF AND IRREFUTABLE EXPOSE is enough…
ITSecurityArchive3· 8. August 2016 ·
See this then get used to NSA Attacks or Trash your system…
NO CORPORATE ANTIVIRUS OR SECURITY SUITE OR FIREWALL WILL HELP YOU…they all help the GOVERNMENT (whether they are aware or not – they are bypassed either way by the Corporate Gov Contractor Criminals)…except you know some UNDERGROUND TOOLs… 😉
ITSecurityArchive3 · 6. August 2016 ·
10. Juli 2014 · Little Message to the troublemakers… I noticed your Exploit.
ITSecurityArchive3 · 10. Dezember 2015 ·
That´s why TOR won´t save your privacy… get it? 😉
Backdoors to the Bone from Humans to Computers…;)
“NetRange: 198.41.128.0 – 198.41.255.255
CIDR: 198.41.128.0/17
NetName: CLOUDFLARENET
NetHandle: NET-198-41-128-0-1
Parent: NET198 (NET-198-0-0-0-0)
NetType: Direct Assignment
OriginAS: AS13335
Organization: Cloudflare, Inc. (CLOUD14)
RegDate: 2012-10-09
Updated: 2017-02-17
Comment: All Cloudflare abuse reporting can be done via https://www.cloudflare.com/abuse
OrgName: Cloudflare, Inc.
OrgId: CLOUD14
Address: 101 Townsend Street
City: San Francisco
StateProv: CA
PostalCode: 94107
Country: US
RegDate: 2010-07-09
Updated: 2017-02-17”
Schließen
ITSecurityArchive3 · 6. August 2016 ·
5.140.xxx.xxx Akamai + Limelight …u.a. hängen sie sich auch in Level 5 Nodes rein…MITM…
/
95.100.186.128
abuse@akamai.com
inetnum: 95.100.176.0 – 95.100.191.255
netname: AKAMAI-PA
descr: Akamai Technologies
country: EU
created: 2010-07-30T13:01:49Z
last-modified: 2010-07-30T13:01:49Z
source: RIPE
role: Network Architecture Role Account
address: Akamai Technologies
address: 8 Cambridge Center
address: Cambridge, MA 02142
Software Failures – 6. August 2016:
History of the GANGSTERBOOK.. Implantation and their Sabotage actions will be found here….
Das Non-Existent Syndrom von FACE-The-Man-In-The-Middle-WANZEN-BUCH…Ich habe die Lösung gegen die U.S. Shadow-Schurkenmacht…
5. Februar 2017 · Antikeymagic even protects poor victim firewalls of the crime syndicate attacks on Hellbook…
//
ITSecurityArchive3
24. Juni 2017
I want to see a rise of non-governmental non-compromised hardware and software manufacturers that are so hardened that the silly alphabet gangs and criminal governments with their stolen script kiddie tools from Russia will have no chance to break through…. The touchstone and criterion will be the Zion Global Crime Cartel CIA DIA DOD NSA MI GCHQ BND NIH NASA DARPA Censor Central called Facebook. Usually their Aggressive AI needs only 2 to 3 weeks to break every corporate security company and every firewall autonomously..and usually with the first login and the first reboot you get their Zombiehost.Infector.Implant and later on the CMOS.Infector (I remember vaguely that they called it Deity Bounce and before the rise of UEFI BadBIos).
ITSecurityArchive3
24. Juni 2017
Except that Antikeymagic removes all your NSA sabotage effects..we don´t see the demons…but we can reverse their adverse imposition…see below ATKM Logs and Vids give you proof enough…
But Zombiehost is visible and can be combatted…your rootkit injector might be invisible.
/”Closing Thoughts: Hypotheses on DEITYBOUNCE Technical Purpose
There are two undeniable strategic values possessed by DEITYBOUNCE compared to “ordinary” malware:
DEITYBOUNCE provides a stealthy way to alter the loaded OS without leaving a trace on the storage device, i.e., HDD or SSD, in order to avoid being detected via “ordinary” computer forensic procedures. Why? Because the OS is manipulated when it’s loaded to RAM, the OS installation on the storage device itself is left untouched (genuine). SMM code execution provides a way to conceal the code execution from possible OS integrity checks by other-party scanners. In this respect, we can view DEITYBOUNCE as a very sophisticated malware dropper.
DEITYBOUNCE provides a way to preserve the presence of the malware in the target system because it is persistent against OS reinstallation.”
https://resources.infosecinstitute.com/nsa-bios-backdoor-god-mode-malware-deitybounce/#gref
ITSecurityArchive3
24. Juni 2017
Niemals mit wertvollen Systemen bei Google oder Betrugsbuch FakeBUG einloggen…sonst könnt ihr gleich ein neues BIOS/CMOS kaufen… und das wird dann reinfiziert…also ist es besser erstmal mit einem verseuchten alten System zu surfen und Antikeymagic zu benutzen…
ITSecurityArchive3
24. Juni 2017 ·
Remember the former Guys from Rootkit.com are now your Government and Spy Gangster Agency invaders… So the old rule that hackers are against Governments is out…they are all sitting as a cronyist cliquishness together against all unwitting civilians….who have 0 knowledge and 0 defense possibilities against this criminal cartel.
ITSecurityArchive3
5. Juni 2017 ·
Die Zombiehost Wanze funkt über eine IP von Telefonica München raus…Stasi 5.0. CMOS.Persistenz.Infector.2017.1.15.Ami.RAM.Limiter.Coldwarmboot.Disruptor.BND.CIA.NSA.DOD.DARPA.Crime Syndicate Inc. Implant wird über Facebug login.browser.stealth.0.0.0.0.tunnel.exploit abgeliefert…in alle anfälligen Systeme.
Am liebsten haben sie natürlich Windows.
ITSecurityArchive3
24. Juni 2017 ·
9.6.2017
CPU-Delay-Tactics of Intels-DOD-Cpu-Trojan…. When they see Antikeymagic they get an allergic shock..similar to chrome based browsers..they try to delay everything…and might brake the speed of your CPU….lol…it´s insane what is going on…beyond any rational intelligence.
ITSecurityArchive3
24. Juni 2017 ·
In Germany too…it is such a freaking Joke..the whole IT Security business is the biggest farce in the Universe…and I say it again currently only Antikeymagic can freeze the FaceBUG.CIA.Zombiehost. CMOS.Infector for Windows Systems and re-enable all disabled security tools..from the Software side… It is not only WIFI, also Wired Routers have all a backdoor and each CPU has a DOD Trojan.
/
“CIA has access to your home router, as well as every WiFi system in the United States, warns internet security chief John McAfee.
John McAfee: Every router in America has been compromised’
John McAfee talks on RT about the insecurity of the modern network and the vulnerabilities we all share.”
ITSecurityArchive3
3. Juli 2017 ·
Wir sollten es der Regierungsmafia schwieriger machen…..wenn man auf Virusdelaycensor-Honeypot einloggt…..und die verkommene Oberverbrechermafiaregierung des bestialischen Zion-Imperiums will Linux nun auch restriktieren.. Ihr scheiss Bundestrojaner ist so ausgereift wie ein billiger script kiddie Trojaner, der das System in den Zeitlupenmodus versetzt und viele Windows-Systeme einfach nur browsernavigierunfähig macht…
Vergessen zu erwähnen..das browserdelay Zombie- Implant der FB GeStaPo verlangsamt auch viele Android Smartphones. DoD CPU throttle harassment…also linuxartige Versionen werden auch schon angegangen..
3. Juli 2017 ·
Message for All who use Windows (they surely do similar things with other OS) with CIA-Book,,,they also infect your USB Sticks and your OFFLine Computers….just a little info…This Criminal Cartel Central called Facebook is Zion CIA DOD NSA DARPA DIA GCHQ BND Alphabet Plagues main online viral infector vector…It´s a dream for the Gangster Empire…
ITSecurityArchive3
1. August 2017 ·
CMOS Chip ausgewechselt…hat sich quasi alles bewahrheitet…was ich diagnostiziert hatte…ich logge hier nicht mehr mit guter Hardware ein… Der Facebook. CMOS.DOD.CIA.BND.Zombiehost.Extension.Sabotage.Virus hatte 50% vom Ram abgeschnitten und die interne Intel CPU Graka deaktiviert…und weitere noch nicht bekannte Teile des Coldbootvorgangs sabotiert… nach CMOS Wechsel ist der RAM wieder voll aktiv und die interne CPU Graka funktioniert wieder…
ITSecurityArchive3
14. August 2017 ·
I removed the one I caught from CIA-FaceBUG… since 15.1.2017 CIA/DOD/NSA/ARPA-Facebook also implants systems with CMOS-Infector + Zombiehost.
“The idea is to make it obvious that these secure boot disk style things are architecturally vulnerable to attackers who come at you from the BIOS level space.”
The implant works on BIOS variants of many vendors and according to the expert, the BIOS bootkit is effective also against UEFI, that is considered the evolution of the BIOS.”
http://securityaffairs.co/wordpress/35097/hacking/researchers-developed-bios-bootkit.html
ITSecurityArchive3 hat einen Beitrag geteilt.
16. August 2017 ·
Itsecurityarchive2
15. August 2015 ·
“Möglich macht das ein Design-Fehler in CPUs aus den Jahren 1997 bis 2010. Angreifer können ihn verwenden, um Schadsoftware in einem Bereich zu installieren, der für die Sicherheit auf Firmware-Ebene verantwortlich ist. Sicherheitsfunktionen wie Secure Boot funktionieren anschließend nicht mehr.
Einen Angriff auf dieser Ebene ist von Antivirenprogrammen nicht zu erkennen. Auch wenn Nutzer ihre Festplatte formatieren oder das Betriebssystem neuinstallieren, bleibt eine derartige Schadsoftware erhalten. Domas habe auf der Konferenz Black Hat Beispielcode für einen Angriff vorgeführt, berichtet Computerworld.
Dem Bericht zufolge ist ein im SMM installiertes Rootkit in der Lage, das UEFI-BIOS zu löschen. Sicherheitsfunktionen wie Secure Boot sind wirkungslos.”
https://www.silicon.de/41615692/aeltere-intel-cpus-rootkits-koennen-uefi-bios-loeschen
IT-Security-Archive – Retro News 2013 bis 2017 – CPU Trojan & Antikeymagic HE vs Zombiehost 2017 – Archive Externalization
IT-Security-Archive – Retro News 2013 bis 2017 – Antikeymagic HE vs Zombiehost 2017 – Archive Externalization
IT-Security-Archive – 2. August 2017 ·
25.4.2017
You know what it means that all systems have a DOD (DOW) CPU-Trojan?
There is no property ownership possible for people who are connected to the Internet…except they encrypt all their stuff in a way that is too difficult or too annoying to decipher for “them”…
The Main Problem is DARPA/DOD/In-Q-tel,..they have a Trojan in every commercial CPU…that renders a lof of Security Software useless, except Antikeymagic at Level 10,11,12,13 that re-empowers tunneled/trojan disabled Security Software by DARPA/Department of War…They can deactivate parts of your RAM/GRACA as a means of remote digital punishment..infecting most UEFI Bioses as well.
They probably would call it their “Life-Insurance” or their “Military Dominion over the Civilian Slaves” Insurance (apart from their crowd control weaponry –
DARPAs Insane Motto: Weaponize and Robotize everything)…Digital as well as Biological..I read the most important summary of DARPA/Department of War/In-Q-Tel today… Backdoor everything and every living entity…and then the slaves can unleash their hate, rant and/or grief about the situation (if you are not one of those I-swallow-everything- consumer-zombies (just in case)) without problems (for them)…because they could control you (eventually) on the lowest level…in real life and in virtual life…
2. August 2017 ·
Betrifft sämtliche Windows Systeme::: #TimeMachine
21.4.2017
Bis 15.1.2017 war das kriminelle FaceBUG Zion Cartel zumindest noch so frei den Menschen zu erlauben ihre Boards selbst zu reparieren…seit besagtem Datum haben sie die Persistenz-Funktion ihrer Schadensimplantierungen aktiviert….d.h. Benutzer werden daran gehindert ihr eigenes Bios zu reparieren…vor dem 15.1.2017 konnte man das BIOS reflashen…und Antikeymagic hat gesagt: alles sauber…
Nach dem 15.1.2017 flashen die Leute ihr UEFI Bios…und Antikeymagic wird das anzeigen und die Situation für den Benutzer retten…sofern die Leute schlau genug (90% kümmern sich eh nicht drum…zu dumm, zu desinteressiert, zu gleichgültig, zu zombifiziert oder zu ignorant, zu gläubig an ihre kommerziell-korporativen Taugenichtsprogramme…) sind Sicherheitstool der besseren und überlegenen Art zu installieren…
Kein automatischer Alternativtext verfügbar.
IT-Security-Archive
18. Juni 2017 ·
WHEN LOGGING INTO FACEBOOK EVERY WINDOWS SYSTEM BECOMES INFECTED WITH ZOMBIEHOST..OBJECTIVE PROOF!
/
I could test you a 100 systems with the same results…
/
People seem to be comfortable with this unacceptable sabotage action…
//
Starte Scan nach Adware, Spyware, Risks, Worms, Keyloggern, Trojanern, Malware und Viren!
(V11.33)
__________________________________________________________________________________________
Windows7-Independent.Rootkit.Asus2009.ADSM_PData_0150(CIA)(statisch/harmlos) Verzeichnis
entdeckt! (Paranoide Heuristik 5)
Malware.Exploit.Gefahr! WerFault! Prozess entdeckt! (Prozess Heuristik 2)
Win7/8 Consent.exe-Freeze/UDP Backdoor/GovWare! Evtl. Unknown.Malware.Exploit!(2014) Prozess
entdeckt! (Prozess Heuristik 5)
__________________________________________________________________________________________
System Information1: Prozessor/CPU: Intel(R) Core(TM)2 Duo CPU T6600 @ 2.20GHz
System Information2: Prozessor/CPU Speed: 2195 Mhz
System Information3: Windows Version: Windows 7 Home Premium / 1 / 64 Bit
System Information4: NT Version: 6.1 BuildNr.: 7600 Organization: Microsoft
System Information5: Bekannte Sandboxen: COMODO V.8.x(7.x/6.x) /
System Information6: Bekannte virtuelle Machine: NEIN (reales System)
System Information7: Uhrzeit: 5:29:24 PM und Datum: 6/11/2017
__________________________________________________________________________________________
Peerblock reaktiviert! (5:29:26 PM – 6/11/2017) (Peerblock-Surveillor)
Malware.Exploit.Gefahr! WerFault! (WindowsCrashBugs)(5:29:26 PM – 6/11/2017) Prozess
entdeckt![Hgwt5]
Malware.Exploit.Gefahr! WerFault! (WindowsCrashBugs)(5:29:26 PM – 6/11/2017) Prozess
gestoppt![Hgwt5]
[Root:Win32k.sys] Design-Terror-Ghost-Win7 (Ghost Window) (terminable) – Win10/8
(Persistence-Winlogout-Bug) Windows Klasse entdeckt! Ring-Wächter [Hgwt3](5:29:30 PM –
6/11/2017) (Restriction Releaser)
[Root:Win32k.sys] Design-Terror-Ghost-Win7 (Ghost Window) (terminable) – Win10/8
(Persistence-Winlogout-Bug) Windows Klasse entdeckt! Ring-Wächter [Hgwt3](5:29:30 PM –
6/11/2017) (Restriction Releaser)
[Root:Win32k.sys] Design-Terror-Ghost-Win7 (Ghost Window) (terminable) – Win10/8
(Persistence-Winlogout-Bug) Windows Klasse (quadruple kill) gestoppt! Ring-Wächter [Hgwt3]
(5:29:30 PM – 6/11/2017) (Restriction Releaser)
Inhalt in die Zwischenablage kopiert!
/
IT-Security-Archive
24. April 2017 ·
Variable Kill Timer…no other Security Product has this feature…
It destroys all attempts of the CIA to gain superiority on my system…
/
Starte Scan nach Adware, Spyware, Risks, Worms, Keyloggern, Trojanern, Malware und Viren! (V11.11)
__________________________________________________________________________________________
Win7/8 Consent.exe-Freeze/UDP Backdoor/GovWare! Evtl. Unknown.Malware.Exploit!(2014) Prozess entdeckt! (Prozess
Heuristik 5)
__________________________________________________________________________________________
System Information4: NT Version: 6.1 BuildNr.: 7601 Organization: Microsoft
System Information5: Bekannte Sandboxen: COMODO V.8.x(7.x/6.x) /
System Information6: Bekannte virtuelle Machine: NEIN (reales System)
System Information7: Uhrzeit: 21:52:34 und Datum: 20.04.2017
__________________________________________________________________________________________
Peerblock reaktiviert! (21:52:35 – 20.04.2017) (Peerblock-Surveillor)
Free Firewall Tray reaktiviert! (21:52:35 – 20.04.2017) (FreeFirewallTray-Surveillor)
Win7/8 Consent.exe-Freeze/UDP Backdoor/GovWare! Evtl. Unknown.Malware.Exploit!(2014) Prozess gestoppt! (Prozess
Heuristik 5)
Win7/8 Consent.exe-Freeze/UDP Backdoor/GovWare! Evtl. Unknown.Malware.Exploit!(2014) Prozess gestoppt! (Prozess
Heuristik 5)
Win7/8 Consent.exe-Freeze/UDP Backdoor/GovWare! Evtl. Unknown.Malware.Exploit!(2014) Prozess gestoppt! (Prozess
Heuristik 5)
Win7/8 Consent.exe-Freeze/UDP Backdoor/GovWare! Evtl. Unknown.Malware.Exploit!(2014) Prozess gestoppt! (Prozess
Heuristik 5)
Win7/8 Consent.exe-Freeze/UDP Backdoor/GovWare! Evtl. Unknown.Malware.Exploit!(2014) Prozess gestoppt! (Prozess
Heuristik 5)
Win7/8 Consent.exe-Freeze/UDP Backdoor/GovWare! Evtl. Unknown.Malware.Exploit!(2014) Prozess gestoppt! (Prozess
Heuristik 5)
Win7/8 Consent.exe-Freeze/UDP Backdoor/GovWare! Evtl. Unknown.Malware.Exploit!(2014) Prozess gestoppt! (Prozess
Heuristik 5)
Win7/8 Consent.exe-Freeze/UDP Backdoor/GovWare! Evtl. Unknown.Malware.Exploit!(2014) Prozess gestoppt! (Prozess
Heuristik 5)
Win7/8 Consent.exe-Freeze/UDP Backdoor/GovWare! Evtl. Unknown.Malware.Exploit!(2014) Prozess gestoppt! (Prozess
Heuristik 5)
Win7/8 Consent.exe-Freeze/UDP Backdoor/GovWare! Evtl. Unknown.Malware.Exploit!(2014) Prozess gestoppt! (Prozess
Heuristik 5)
Win7/8 Consent.exe-Freeze/UDP Backdoor/GovWare! Evtl. Unknown.Malware.Exploit!(2014) Prozess gestoppt! (Prozess
Heuristik 5)
Win7/8 Consent.exe-Freeze/UDP Backdoor/GovWare! Evtl. Unknown.Malware.Exploit!(2014) Prozess gestoppt! (Prozess
Heuristik 5)
Win7/8 Consent.exe-Freeze/UDP Backdoor/GovWare! Evtl. Unknown.Malware.Exploit!(2014) Prozess gestoppt! (Prozess
Heuristik 5)
Inhalt in die Zwischenablage kopiert!
IT-Security-Archive · 24. April 2017 ·
IT-Security-Archive via Comodo Cybersecurity
1. Januar 2014 ·
“Every day more NSA intrusions are discovered. Many assumed that in the Snowden leaks, the worst of the worst had been brought to our attention. It seems that was just the tip of the iceberg.”
http://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors-for-numerous-devices-a-940994.html
IT-Security-Archive
4. November 2013 ·
“04.11.2013, 16:28
BadBIOS: Potentieller Supervirus befällt alle Systeme
BadBIOS: Der mögliche Virus kann sich über Audiosignale weiterverbreiten.
Unter dem Namen “BadBIOS” kursiert laut einem Sicherheitsforscher derzeit ein bislang unbekannter Super-Schädling im Netz: Die Malware infiziert Rechner unabhängig vom Betriebssystem, löscht beliebige Daten und ändert Einstellungen. Der Schädling verbreitet sich der Beschreibung zufolge ausschließlich über USB-Geräte und befällt anschließend das BIOS des Rechners. Dementsprechend spielt es keine Rolle, welches Betriebssystem auf dem PC läuft: BadBIOS ist in der Lage, sowohl Windows- als auch OS X und OpenBSD-Systeme zu infizieren.
BIOS-Infektion per USB-Stick
Wie genau die Infektion gelingt, ist derzeit noch nicht bekannt. Klar scheint aber, dass die Malware eine bislang unentdeckte Schwachstelle im USB-Standard zur Verbreitung ausnutzt. Dabei könnte der Schädling die Firmware von USB-Geräten gegen eine modifizierte Version austauschen und so zum Beispiel einen Pufferüberlauf erzeugen, um den Schadcode einzuschleusen. Die exakten Verhaltensmuster von BadBIOS seien nur schwer herauszufinden, da sich der Schädling gut vor Analysen verstecken könne: Die Datenübertragung zu seinen Kontrollservern soll BadBIOS über eine verschlüsselte IPv6-Verbindung aufbauen. Liegt keine Netzwerkverbindung vor, kann BadBIOS offenbar andere Rechner in der Nähe über unhörbare Audiosignale erreichen.
Zu gefährlich um wahr zu sein
Entdeckt wurde BadBIOS vom Sicherheitsforscher Dragos Ruiu, der laut eigenen Angaben bereits vor drei Jahren mit dem Schädling infiziert wurde. Neben Informationen zur Malware selbst fehlen jedoch noch stichhaltige Beweise seitens des Entdeckers: Der Beschreibung zufolge würde es sich bei BadBIOS um einen extrem ausgeklügelten Schädling handeln, der herkömmlicher Malware weit voraus wäre. Dragos Ruiu hat der Sicherheitsfirma Sophos jedoch bereits angeboten, ein Sample von BadBIOS zur Verfügung zu stellen. (mag)”
//Source: chip.de/news/BadBIOS-Potentieller-Supervirus-befaellt-alle-Systeme_65235066.html
IT-Security-Archive · 6. November 2012 ·
Blocked… guess why… ;-))
Face-CIA-Books UEFI-Ram-Restriction-Malware-Unremovable-Bioskit-2017/1 & Retro IT Forensics
Face-CIA-Books UEFI-Ram-Restriction-Malware-Unremovable-Bioskit-2017/1 & Retro IT Forensics
(it can only be removed by replacing the old infected CMOS chip)
This UEFI-Ram-Restricion-Bioskit-2017/1 is the next phase of the primary Zombiehost-Infector that everyone with Windows acquires during Facebook Login. This Zombiehost also exists for most Linux Versions. It has a tendency to slow down the entire OS and gives certain Remote Influence functions (like Browser-Kill / Computer-Freeze etc..) in favor of the Facebook Corporate Criminal Cartel and Ruling Crime Cabal and the ShadowGov CoIntelPro2 Quintuple-D-Morons (Delay, Deny, Degrade, Deceive, Disrupt).
IT/TCP/HTTP-Forensik hat ein Foto geteilt.
6. Mai 2018:
SInce that happened I never logged into FaceBUG again with Windows or with Harddisk or with a CD/DVD-System… I blocked all Youtube/Facebook/Google/Government pages on productive systems..
All FIrewalls and Router Firewalls are Jokes if you do not block all major gov hosters…because they use CPU-Browser-Tunneling and Router-Implants as wells as Facebook´s Zombiehost-Automatical-Fed-Trojan Deployment..
/
IT/TCP/HTTP-Forensik 21. Mai 2017 ·
Zombiehoster… “Moskau – Russia”
/
IT/TCP/HTTP-Forensik
19. August 2016 ·
AI CEO SEYE JVA CIA ANU UK PN ISRAEL ESA EU OIL OK
A8 ON OU FOR SAM YUGO KA
/
…•…….Mf‚#.¨:,Þ}Ôÿ¯¿1W.,h6ÎGÅ¡UÄ:»…ï2Žy_ÚƒKk5.ñTRe±b»äWÔ°C.ËlSð.¨_îæÍ.îJñ.-˜.5�še.£ä–Î×áé..g F¿Å•¤Î/k”D¹&Š6^jÄ Æ.ÈjS2³õ½é¦.!.Èœ1Q½Û]%0yáø®^.b\†¾KžðeW5ÿ—.¨:€©Çyt—Ó}8€V·6c×¼.»)å£Àû.Jv‰â€öU;Lû€„`¢•ú,§5.’.ïËä±�]2?Y`úG2O;3ká]¥.½t!„9ÔÔn°\Œø.3Í]–,?iñ|¡[�ªA虲ñï.ÅÍ…¬‘#ßœ¤.§`p³îaÙy.7&.Äu÷Þ~~*ìöÚ”’G²‰ó¬Ó,�¨=·?bÃäÑľÄNg$OïÏ;à.îu.ÀL;€X×Pz.Z»vö#Ã…€.U+Ém£¢eSE¹ý{@.ˆa¥Ùc$….ðŸ.&3lél¾*uc`25¿/ÒÉië/Fìä~|¬ŸNÆsÞ¨×.ñî2nb% †Éƒ.k4»µüʃôÛ˜�L‰x‹µÐD.�w4kÀ;.yŽ~ý0IN.›ßè.¬—ÔfrŠãM°M°.aÙñ.¾Ãgþ‘ò„¾JV.Ã,H-ƒÔ�ê>e©s76éðR‚#BƒŸ„ƒ5.o“¡�:ýö™.M§a¶×!‘‰D·H ‰%$_.֒ק>ªV^ýÊ«ÓjKp7{ý3‚.º™eïÆç€lŠ.¤7·òTi�.~GŽMQ˜åÑë�RŠÖµ÷.|ü.wÃù3nDåy×�kNU¤.ãíZ�ë$.Kê÷°À.ÆV2]šîp•y.‚˜.ôÒRô�›M.k]Þ.ˆj’)=ÖÂë.{•�ƒN.P ?W..ž¾˜.[‚=ãyÄ.‘Žfeg›~Ž:qŽ¶óvä0ªn¦×0üYâ+Æ&.蓘0Ú�ùß œpºd‰>Ï3’_—Â3ÅZ{+.`´¾L=o–Y.š
…+.;ˆÎKÍV.2.›¦V4Á.0£ÂÁxWžðJè~V?Ë_†&ÒWóê·Í
…%.;ˆÎKÍTâ.E˜nðïÉP~A..èÙ.a†Z^.€’ã.uå
…’…….Kú,I¸¹=[8¶PÎL1ö@�å¢�n/‚>ÒsüúÉ]w½6±è; ^….¥uªÉ.ŠY•Þ\×8».`¸Ú>úP8¿ŸÐ.׋SW^.š•í&]5Á.”.y9é÷`ªQR.å3Åi²/Wl%âÜ¿î-àoÚyQ¿l0ÑS.Ó¹z.Çȳiø^LòÔ9¶Ì~?V±x³×–Ë.“0‹ë·&õÊÁ.O>5–Œ¥5.²CÉ.îfZèP›ª.Oú£h¿7À^Q’ò…µ.õy¡�(Å8!.9Ü·P¶’ðñº.·C%¦Æ‹¾kŒ,‹óÐ17¬<¿N‰LXE..ž£³k¬H›Ðœ½d”©U|…%JwÔ¼V×@�jQ0»:¼™ªŽ‚À=ä<&W(?´ê¯3�à#áèNØï½\?O=e˜6MG·~Y0�¤‹#Ç}ä̹<@¾¸�ÀX©ç.\ºV’†2)?Z.Æ..(A“ñX"Ž¼ŸËè.�EÁÒ2²»(�±Š .¥.7˜({s.À.Zý-p�à³ukˆ[Z®É¦|嶪QêÇ.¢Öf¹Hú.7“Øn®ø*WP´²ì.þwgÄ�?ªÛ†Ïÿ¼še]}6%n7a…€]¿ÑÛA.•3˜ãO!ëÄ|.~<.k¦Þ®×¯ÕO~£^2Á[ø¦ääã±2¦Ë§f˜N»."°âÚŸ¸înÂΖü@-ðî�oV(Q¼-^.Î-›v=—ƒ’�d‘0’Œ83å©€ô‹¡Pu‡*.á.ú�D\–]®n(6 þ\Tƒ(.ïOs1UÄIÖ˜5ŽS7.¯àúëWA6¸ýnŠj`ôÊ.ƒWµžÄÓÐ_s”x0á»�D‡.Y½¥zªôõéØ*Ð.†ÇÄ*1°F.y8�þ
/
IT/TCP/HTTP-Forensik
8. Juli 2016 ·
13.6.2016:
I could do 20 years decryption forensics only to extract their stealth communication within my own generated software…or the intermediary TCP/HTTP traffic of Google/Facebook is full of their hidden communication systems…This is really annoying to read what they write or in other words their AI-UFO-MK-ET-Skynet-Eye-System…and nobody counters/stops them…They communicate through everything… literally…they also communicate through power lines, through your raw harddisk sectors etc..etc..etc..even through highly encrypted sectors…and they also mess up a lot of electronic equipment/firmware/hardware/software etc..
/
They… communicate through everything and it also acts like a Virus… It is a viral AI based Stealth Communication System that works through all electronics…2008 I made a larger analysis to decipher their Methodism…
/
IT/TCP/HTTP-Forensik 9. Juni 2015 ·
PNG-Stealh-Comm…
//Obviously born in 1972. NSA-TAO Coordinator… and GOD sees everything… 7.8.2018.
/
IT/TCP/HTTP-Forensik
29. Juni 2015 ·
GHCQ, too lazy to encode their traffic as it seems… exon intron…
I AM (ANAGRAM) (2014)
/
The Agency Crowley Cults: IAO-PRO-GMO: 8.7.2016.
The keystone… some have called God, some Brahma, some Zeus… some even IAO… but in truth, O seeker, it is Thy-SELF. (Aleister Crowley) [7204]
/
Greek for Yah. Mystic name of the supreme deity. IAO (iota, alpha, omega) INRI (In nobis regnat Iesus) IHS (Invictus Hoc Signo) means ´God IAO´.
What people would like best is the pursuit of science without man, completely oblivious of the fact that the individual psyche is the source of all science. (C.G. Jung)(Letters Vol. II)
/
“IAO = Light of Israel Protector” <<<
/
IT/TCP/HTTP-Forensik
22. November 2014 ·
Stealth Harddisk Communication: RWE – Zion – Screenshot Date: 17.1.2011.
/
IT/TCP/HTTP-Forensik 6. August 2016 · All Seeing Eye revealed…27. Juni 2014.
/
IT/TCP/HTTP-Forensik 26. November 2013 ·
Lange vor Snowden & Co… TAO-NSA schon längst 2008/2009 bemerkt…
/
IT/TCP/HTTP-Forensik · 17. April 2013 ·
Eye too..
/
IT/TCP/HTTP-Forensik 27. Oktober 2012 ·
Chem Lyme? // Clear Indication of CIA MK Naomis Lyme U.S. Zion Bioweapon dispersed globally via Chemtrails (Remark 7.8.2018)
/
IT/TCP/HTTP-Forensik 27. Oktober 2012
BKA.
/
S-Eye. (Mister Fuchs) Pilze MK Naomi
CEO AI
((Anm. 7.8.2018 pathogene Nanosteuerungspilze via Chemtrails (MK Naomi))
/
IT/TCP/HTTP-Forensik
11. Oktober 2012 ·
ID-System: 2412XX-4-XX(X)
/
IT/TCP/HTTP-Forensik
10. Oktober 2012 ·
MK / LFO / SAT0 / EON / NEO / Zion
Was ist Sat0? Oha. Uni Bremen interessant…
http://www.informatik.uni-bremen.de/theorie/teach/aag/200809/ErgKap8-2.pdf
Trojanbug aka Facebook EULA proposal
12.6.2016:
Facebook EULA should be as follow: By using this Software and Webside you agree to become immediately trojanized and quantum inserted aka implanted by the Shadow Gov Alphabet Gangs (known as CIA/DIA/GCHQ/NSA/Mossad/MI/DOD/Pentagon and countless more of the 5 Eyes). You further agree that your hard and software may become damaged due to our limitless Psy-OPs and CoIntelPro-Experiments. Furthermore you should be aware that by using this Governmental Webpage that all your efforts will be censored by state of the art Artificial Intelligence, which is programmed very aggressively, so that your hard- and software might suffer multiple damage, due to our villainous audacity. Thank you for your attention. TEAM FakeBUG.
Human Body Energy Clock
It-Security-Archive – older evidence screens of corrupted and illicit shadow gov infiltration.
Because Face-CIA-NSA-Bug-Book is a Data-Mining-Data-Criminal-Zion-Censor-and-Trojan-Sabotage-Surveillance-CoINtelPro2-Delay-Deny-Degrade-Deceive-Disrupt-Cyberterror-Honeypot-Center and Corrupt-to-the-Bone-U.S.Military-Cover-Up-Command-and-Control central. I externalize some old IT-Sec-Info on this Page, because they tend to shut down pages that are not active for 30 days and also implant most of the Computers that log into Facebook by default. It doesn´t serve as a real Archive, either way surely it is not a good Idea to use the Department of War/TIA/GCHQ/CIA/NSA/DIA/DARPA/Pentagon/Zion (Facebook/Google/Youtube) Central as a reliable Archive.
//
Intrusion-Detection and Evidence of the Sabotage of the Enemy of Mankind and the Destroyer Cult who rules the Planet via Internetocracy.
//
It-Security-Archive2: · 29. Juni 2015 ·
Akamai-666-11-Facebook-the biggest Trojan of The Planet…
2 1 1
1 1 2
This Facebook Trojan works with online interaction and implemented selective AV-Killer… + Firewall Bypass…. svchost and consent.exe trojanization.
deploy.NSACIATrojanFaceBook.akamaitech
________________
It-Security-Archive2: 13. Januar ·2015
Consent.exe UDP turns into TCP-Transmission to Facebook Central-Node Akamai Tech Inc. (deploy.xyz Malware). My assumption is – so far – that svchost is backdoored by default, as a master key in all windows nt 6.x systems, in that way, that Facebook is able to get remote control via Akamai Tech Inc. (deploy.xyz Malware). Furthermore the Browser is generally UDP-Backdoored (0.0.0.0) (normally invisible) as a primary layer, if the other system backdoors are closed. (4.12.2014)
It-Security-Archive2: 29. Juni 2015:
Governmental/U:S.Nazi/DOD/Secret-OS-Subversion and Intervention can be recognized by 6/7/8/10-PIDs: Screens from 2006/2007. (4.11.2014)
General and Systemwide UDP-Backdoor Poisoning is seemingly a tradition of Microsoft or their government contractors.
It-Security-Archive2: 29. Juni 2015:
Assumingly Packed and Manifested Realtime Stealth Frequency Covert Ram Communication…
It-Security-Archive2: 29. Juni 2015:
Example of Unknown Process Walker bypassing + backdooring LUA – they love to connect through Facebook – Akamai [Deploy.NSA.Malware.AkamaiTech] ..and no… all those usual commercial Antivirus will detect nothing. Keep your money and donate it to real non-profit Pro´s for example. „wink“-Emoticon (4.11.2014)
It-Security-Archive2: 29. Juni 2015:
One Example: CIA/-NSA-Backdoor in Microsoft Windows always tries to connect via Limelight Networks Inc. (This game started already in Windows XP and hasn´t stopped…) Some variants use Svchost-Injection (Zombie-Method) to connect via NSA to Facebook (Akamai Inc.) Another Variant from 2008: :Winlogon-Injection Method to Limelight Inc. / 30.6.2014 Retro-Archive.
It-Security-Archive2: 29. Juni 2015:
Another Sign of Firewall Exploits… Version Number missing.
10.7.2014 Retro-Archive.
SNA = NSA
ASNA = NASA
ShadowGov = Anagram Maniacs…
11.11.2011 = 11.11.11.11 = Beginning of NWO. (1.11.2014)
Department of Offense (DOD) IP ADDRESS : 11.0.0.0 – 11.11.11.11. – 11.255.255.255 / 11:11 is a demon summoning portal… nothing really spiritual here – only usual spiritism.. 11 11 = 22 + 11 11 = 22 => 44 = Satanist Cult.
Equation Group – TAO – NSA – APT – Highly Subversive Persistent Criminal Networks
Highly sophisticated and vile criminal Cyberterror Networks, Hardware and Software Mass Sabotage disguised as National Security.
Equation Group – TAO – NSA – APT – Highly Subversive Persistent Criminal Networks.
“Equation Group
Type Advanced persistent threat
Location United States
National Security Agency
Tailored Access Operations
“Equation Group” is an informal name for the Tailored Access Operations (TAO) unit of the United States National Security Agency (NSA). Classified as an advanced persistent threat, Kaspersky Labs describes them as one of the most sophisticated cyber attack groups in the world and “the most advanced … we have seen”, operating alongside but always from a position of superiority with the creators of Stuxnet and Flame. Most of their targets have been in Iran, Russia, Pakistan, Afghanistan, India, Syria, and Mali.
The name Equation Group was chosen because of the group’s predilection for sophisticated encryption methods in their operations. By 2015, Kaspersky documented 500 malware infections by the group in at least 42 countries, while acknowledging that the actual number could be in the tens of thousands due to its self-terminating protocol.
In 2017, WikiLeaks published a discussion held within the CIA on how it had been possible to identify the group. One commenter wrote that “the Equation Group as labeled in the report does not relate to a specific group but rather a collection of tools” used for hacking.
…
Discovery
At the Kaspersky Security Analysts Summit held in Mexico on February 16, 2015, Kaspersky Lab announced its discovery of the Equation Group. According to Kaspersky Lab’s report, the group has been active since at least 2001, with more than 60 actors.[10] The malware used in their operations, dubbed EquationDrug and GrayFish, is found to be capable of reprogramming hard disk drive firmware.[5] Because of the advanced techniques involved and high degree of covertness, the group is suspected of ties to the NSA, but Kaspersky Lab has not identified the actors behind the group.
Probable links to Stuxnet and the NSA
In 2015 Kaspersky’s research findings on the Equation Group noted that its loader, “Grayfish”, had similarities to a previously discovered loader, “Gauss”, from another attack series, and separately noted that the Equation Group used two zero-day attacks later used in Stuxnet; the researchers concluded that “the similar type of usage of both exploits together in different computer worms, at around the same time, indicates that the EQUATION group and the Stuxnet developers are either the same or working closely together”.
Firmware
They also identified that the platform had at times been spread by interdiction (interception of legitimate CDs sent by a scientific conference organizer by mail), and that the platform had the “unprecedented” ability to infect and be transmitted through the hard drive firmware of several of the major hard drive manufacturers, and create and use hidden disk areas and virtual disk systems for its purposes, a feat demanding access to the manufacturer’s source code of each to achieve,[11]:16–18 and that the tool was designed for surgical precision, going so far as to exclude specific countries by IP and allow targeting of specific usernames on discussion forums.
Codewords and timestamps
The NSA codewords “STRAITACID” and “STRAITSHOOTER” have been found inside the malware. In addition, timestamps in the malware seem to indicate that the programmers worked overwhelmingly Monday–Friday in what would correspond to a 08:00–17:00 workday in an Eastern United States timezone.
The LNK exploit
Kaspersky’s global research and analysis team, otherwise known as GReAT, claimed to have found a piece of malware that contained Stuxnet’s “privLib” in 2008. Specifically it contained the LNK exploit found in Stuxnet in 2010. Fanny is classified as a worm that affects certain Windows operating systems and attempts to spread laterally via network connection or USB storage. Kaspersky stated that they suspect that because of the recorded compile time of Fanny that the Equation Group has been around longer than Stuxnet.
Link to IRATEMONK
The NSA’s listing of its Tailored Access Operations program named IRATEMONK from the NSA ANT catalog.
F-Secure claims that the Equation Group’s malicious hard drive firmware is TAO program “IRATEMONK”, one of the items from the NSA ANT catalog exposed in a 2013 Der Spiegel article. IRATEMONK provides the attacker with an ability to have their software application persistently installed on desktop and laptop computers, despite the disk being formatted, its data erased or the operating system re-installed. It infects the hard drive firmware, which in turn adds instructions to the disk’s master boot record that causes the software to install each time the computer is booted up. It is capable of infecting certain hard drives from Seagate, Maxtor, Western Digital, Samsung, IBM, Micron Technology and Toshiba.
2016 breach of the Equation Group
In August 2016, a hacking group calling itself “The Shadow Brokers” announced that it had stolen malware code from the Equation Group.[16] Kaspersky Lab noticed similarities between the stolen code and earlier known code from the Equation Group malware samples it had in its possession including quirks unique to the Equation Group’s way of implementing the RC6 encryption algorithm, and therefore concluded that this announcement is legitimate. The most recent dates of the stolen files are from June 2013, thus prompting Edward Snowden to speculate that a likely lockdown resulting from his leak of the NSA’s global and domestic surveillance efforts stopped The Shadow Brokers’ breach of the Equation Group. Exploits against Cisco Adaptive Security Appliances and Fortinet’s firewalls were featured in some malware samples released by The Shadow Brokers.[18] EXTRABACON, a Simple Network Management Protocol exploit against Cisco’s ASA software, was a zero-day exploit as of the time of the announcement.[18] Juniper also confirmed that its NetScreen firewalls were affected. The EternalBlue exploit was used to conduct the damaging worldwide WannaCry ransomware attack.”
Source: https://en.wikipedia.org/wiki/Equation_Group
CPU-Zion-OEM-DOW-Primärrootkit & UEFI Sekundärbiosrootkits "Angriffe auf und Schwachstellen im Herzstück der Rechner"
Infinity Expressor 2018: Wir wissen ja mittlerweile, dass in jedem CPU-Prozessor ein Trojaner von Zion und dem Department of War drin ist…was fast alle Security Tools und die gesamte Antiviren-Industrie Ad-Absurdum führt. Also sind Firmware-Rootkits das mindere Übel. Über Face-CIA-Book haben sie meinen Rechner 2017/1 mit einem solchen UEFI Bioskit der Schattenregierung bestückt, 1 neuer Chip und ihr Werk war umsonst.
“Angriffe auf und Schwachstellen im Herzstück der Rechner.
Carsten Eilers 2 Wochen online
Die Firmware – egal ob das klassische BIOS oder seine Nachfolger (U)EFI – stellt die Verbindung zwischen Hardware und Betriebssystem dar. Das bedeutet, dass derjenige, der die Firmware kontrolliert, auch das Betriebssystem kontrollieren kann. Eben das ist es, was sie für Angreifer interessant macht, denn bringen sie die Firmware unter ihre Kontrolle, sind alle danach geladenen Schutzmaßnahmen wirkungslos.
Angriffe auf und Schwachstellen im Herzstück der Rechner
Wie sieht es also mit der Sicherheit der Firmware aus? Vermutlich ahnen Sie es schon: Nicht gut. Sonst würde es diesen Artikel ja gar nicht geben. Die Frage, die es zu stellen gilt, ist also: Wie schlimm genau ist es?
In den vergangenen Jahren gab es auf den Sicherheitskonferenzen etliche Vorträge rund um die Sicherheit der Firmware, und einige davon werde ich Ihnen im Folgenden vorstellen. Hinzu kommen die im vergangenen Jahr bekannt gewordenen Probleme mit Intels Management Engine, und sehr wahrscheinlich werden die durch die CPU-Schwachstellen Spectre und Meltdown nötig gewordenen Microcode-Patches ebenfalls noch für Ärger sorgen. Denn auch die werden über die Firmware realisiert, was zum einen automatisch zu neuen Schwachstellen führen wird, zum anderen aber auch ein weiteres potenzielles Angriffsziel darstellt. Aber fangen wir erst einmal mit den „normalen“ Firmware-Problemen an.
UEFI Firmware Rootkits
Los geht es mit einem Vortrag von der Black Hat Asia 2017: Alex Matrosov und Eugene Rodionov haben in ihrem Vortrag „The UEFI Firmware Rootkits…” ihre Ergebnisse vorgestellt. …
BIOS-Rootkits gibt es schon seit mehr als zwanzig Jahren. Und in diesen zwanzig Jahren haben sie sich ebenso wie das BIOS laufend weiterentwickelt. Ein Wendepunkt, sowohl was die Angriffe als auch die Forschung betrifft, dürfte das Jahr 2013 gewesen sein: Damals entdeckte Dragos Ruiu eigenen Aussagen zufolge auf seinen Laptops eine Schadsoftware, die alle bisher bekannten Schädlinge einschließlich Stuxnet, Flame und Co. alt aussehen ließ: Der BadBIOS genannte Schädling, der sich über USB-Laufwerke verbreiten sollte, kompromittiert das BIOS der angegriffenen Rechner und läuft unter Windows, Linux, Mac OS X und OpenBSD. Außerdem kann er Daten von nicht an das Internet angeschlossenen Rechnern über Umwege per in der Nähe stehenden Rechnern mit Internetverbindung an seinen Command-and-Control-Server schicken. Die „Air Gaps“ überwindet der Schädling dabei über hochfrequente Impulse über Lautsprecher und Mikrofone der angegriffenen Rechner. …
Was ich nach wie vor verdächtig finde: Kein einziger Antivirushersteller hat die Gelegenheit zum Marketing genutzt. Keiner hat darauf aufmerksam gemacht, dass sein Produkt diesen Superschädling ja schon lange erkennt, wie es sonst häufig der Fall ist. Keiner hat gemeldet, dass es ihn nicht gibt und man keine Spur davon in den eigenen Datenbeständen gefunden hat. Keiner hat berichtet, dass man sich von Dragos Ruiu eine Version hat schicken lassen, um sie zu untersuchen und die eigenen Produkte daran anzupassen. Wie kommt das denn? Sonst nutzen die AV-Hersteller doch jede Gelegenheit zur Eigenwerbung.
Aber kommen wir zurück zum Vortrag von Alex Matrosov: Vor 2013 hatte es relativ wenige Angriffe (Alex Matrosov hat ganze drei Stück aufgeführt) und auch relativ wenig Forschung gegeben. Seit 2013 hat sich sowohl das Interesse der Angreifer (vier Schädlinge, außerdem BadBIOS) als auch der Sicherheitsforscher verstärkt. Das liegt auch daran, dass die Angreifer mit dem seitdem eingeführten Secure Boot und der „Virtualization-based Security“ (VBS) von Windows 10 neue Schutzmaßnahmen durchlaufen müssen und die Forscher natürlich wissen wollen, wie es denn mit deren Sicherheit aussieht.
Vier Schritte zum Erfolg (des Rootkits)
..
Phase 1 (User Mode):
Installation des Installers über einen Exploit mit Benutzerrechten:”
// Anmerkung von InfinityExpression.com. Das läuft seit 2017/1 mit Persistenzsabotagefunktion über Face-CIA-Book duch Browser-CPU-tunnelexploit (0.0.0.0).
Ein Einloggen – ohne Proxy – in Facebook reicht aus. Das UEFI-Rootkit der CIA kriegt man durch Austauschen des CMOS Chips wieder weg, vor 2017 hat ein Neuflashen des CMOS ausgereicht, um es zu entfernen. 2005 hatten die Geheimdienste/das U.S. Militär aber schon eine BIOS-Rootkit Version, die das Reflashen des Speichers unterbinden konnte. //
// Anmerkung von InfinityExpression.com. Physischer Zugriff ist nicht notwendig, weil das U.S. Militär in jeder CPU den primären Zion-Trojaner versteckt. //
Der Installer verschafft sich über eine Privilegieneskalation Systemrechte.
Phase 2 (Kernel Mode):
Umgehen der Code Signing Policies;
Installation der Payload im Kernel Mode.
Phase 3 (System Management Mode):
Ausführen eines SMM Exploits;
Privilegieneskalation zu SMM-Rechten.
Phase 4 (SPI Flash):
Umgehen des Flash-Schreibschutzes;
Installation des Rootkits in der Firmware.
Die für die Angriffe nötigen Schwachstellen gibt es immer wieder. Als aktuelle Beispiele für den SMM hat Alex Matrosov folgende Schwachstellen bzw. Angriffe aufgeführt:
SMI Handler (ein ständiges Problem): Memory-Corruption-Schwachstellen erlauben die Ausführung von beliebigem SMM-Code.
S3BootScript (CERT VU #976132): Beliebige Modifikation der Platform Firmware erlaubt Angreifern das Lesen und Schreiben beliebiger SMRAM-Bereiche.
ThinkPwn (Lenovo Security Advisory LEN-8324): Exploit zum Ausführen von beliebigem SMM-Code; betrifft mehrere BIOS-Hersteller. Erlaubt dem Angreifer das Ausschalten des Flash-Schreibschutzes und die Modifikation der Platform Firmware.
Aptiocalypsis (INTEL-SA-00057): Exploit zum Ausführen von beliebigem SMM-Code für AMI-Aptio-basierte Firmware. Erlaubt dem Angreifer ebenfalls das Ausschalten des Flash-Schreibschutzes und die Modifikation der Platform Firmware.
Dass solche Angriffe funktionieren, beweisen die Angriffe in the wild, von denen Alex Matrosov anschließend einige vorstellte.
HackingTeams kommerzielles Rootkit
Am bekanntesten dürfte das UEFI-Rootkit von HackingTeam („]HackingTeam[ UEFI Vector“) sein, das seinen Schadcode im SPI-Flash-Speicher verankert und aus der UEFI-Firmware heraus das Betriebssystem kompromittiert. Dadurch erreicht es, dass die Schadsoftware sogar eine Neuinstallation von Windows überlebt. Dies war auch das erste UEFIRootkit, das in the wild gefunden wurde. Dass es nicht von Cyberkriminellen, sondern von einem auf die Unterstützung von Strafverfolgungsbehörden spezialisierten Unternehmen stammt, ergibt dabei noch ein besonderes Geschmäckle. Installiert werden kann das HackingTeam Rootkit folgendermaßen:
Über die SPI-Programmiereinheit (was physischen Zugriff auf das Motherboard erfordert)
Über den „Service Mode“ (was eine Manipulation des Recovery-Device erfordert)
Über Firmware-Upgrades (was das Umgehen von SecureFlash-Schutzmaßnahmen erfordert)
Über die Ausnutzung von Firmware-Schwachstellen, die unter all diesen Einschränkungen i. A. nicht leiden.
DEITYBOUNCE von der NSA
Ein weiteres Firmware Rootkit in the wild ist DEITYBOUNCE. Es ist kaum mehr darüber bekannt, als dass es ein Firmware Rootkit ist, das von der NSA genutzt wird. Das ergibt sich aus den von Edward Snowden veröffentlichten NSA-Unterlagen.
DEITYBOUNCE war laut diesen Daten 2008 nur auf den RAID-Servern Dell PowerEdge 1850/2850/1950/2950 mit den BIOS-Versionen A02, A05, A06, 1.1.0, 1.2.0 und 1.3.7 lauffähig. Was die NSA aktuell in ihrer Toolsammlung hat, ist natürlich nicht bekannt.
Die Installation von DEITYBOUNCE erfolgte über eine ARKSTREAM genannte Komponente, die das BIOS des angegriffenen Servers flasht. ARKSTREAM kann z. B. über einen USB-Stick eingeschleust werden.
BANANABALLOT und JETPLOW der Equation Group
Die Equation Group ist eine Gruppe von Cyberkriminellen, die der NSA nahestehen soll. Ihr werden zwei Firmware Rootkits zugeordnet: BANANABALLOT und JETPLOW, die auch schon in den Snowden-Leaks auftauchten. Beide Rootkits richten sich gegen Router und Firewall-Devices von CISCO.
DerStarke von der CIA
DerStarke ist ein Firmware-Rootkit der CIA, das sich gegen macOS-Rechner und iPhones richtet. Das Rootkit kann sich in die Firmware-Updateroutinen einhängen und dadurch sogar Firmware-Updates überstehen.
Fällt Ihnen etwas auf? Alle bisher vorgestellten Rootkits stammen aus dem gleichen Umfeld: Geheimdienste (NSA und Equation Group ) und Strafverfolger (CIA und der kommerzielle Anbieter HackingTeam, der nach eigenen Angaben nur für Behörden gearbeitet hat). Da wird es wohl Zeit für eine kriminelle Variante, sonst entsteht noch der Eindruck, die einzigen, die solche Schädlinge einsetzen, sind die, die uns eigentlich vor solchen Angriffen schützen sollten. Zuvor aber noch ein von Alex Matrosov vorgestelltes Firmware Rootkit, das nur aus der Grauzone zwischen normaler Software und Schadsoftware stammt.
Ein kommerzielles Rootkit mit guten Absichten
Computrace/LoJack ist ein kommerzieller Diebstahlschutz für Laptops. Er enthält eine UEFI-BIOS–Komponente, um seine Aufgaben erfüllen zu können und z. B. eine unerwünschte Deinstallation zu erschweren. Dass man zur Installation des Rootkits Schutzmaßnahmen aushebeln muss, verschiebt das Programm zumindest in die Grauzone zwischen normaler Software und Schadsoftware. Eventuell hat es aber die Grenze auch schon überschritten, denn was ist, wenn ein Angreifer nun gezielt den eingeschleusten gutartigen Code angreift?
Endlich: Eine Firmware-Ransomware!
Jetzt wird es endlich ernst: Alex Matrosov stellt eine Ransomware vor, die sich in der Firmware einnistet. Ziel der Angriffe sind Gigabyte-Rechner mit Windows 10. Auf Hardwareseite kann das BIOS-Lock eingeschaltet sein, was in der Defaulteinstellung jedoch nicht der Fall ist und den Angriff erleichtert. Unter Windows können dafür die Virtualization-based Security (VBS), Device Guard und Secure Boot (sowohl im System als auch im BIOS) eingeschaltet sein, ohne den Angriff zu stören. Das nicht eingeschaltete BIOS Lock führt dazu, dass der Angreifer ohne zusätzlichen Aufwand beliebige Daten in den SPI-Flash-Speicher schreiben kann. Weitere Schwachstellen im SmiFlash Handler erlauben eine Privilegieneskalation zu den SMM-Rechten; außerdem verwendet der Firmware-Updateprozess keine Signaturen, sodass der Angreifer eine manipulierte Firmware einschleusen kann.
Alex Matrosov demonstrierte, wie diese Schwachstellen ausgenutzt werden können, um eine Ransomware in der Firmware zu installieren. Die bootet dann nicht das Betriebssystem, sondern zeigt nur eine Lösegeldforderung an.
Ups …! Das ist nur ein Proof of Concept und gar kein echter Angriff! Zumindest Alex Matrosov hat keinen cyberkriminellen Angriff auf die Firmware präsentiert. Alle Firmware-Angriffe in the wild stammen von Geheimdiensten und Strafverfolgungsbehörden, dazu kommt der i. A. vom Benutzer gewünschte Diebstahlschutz.
Angriffe erkennen und erschweren
Zum Abschluss seines Vortrags erklärte Alex Matrosov dann noch kurz, wie eine Forensische Analyse der Firmware funktioniert, bei der eine manipulierte Firmware erkannt werden soll, und welche Mitigations einen Angriff wenn schon nicht verhindern, so doch zumindest erschweren können. Dabei kommt zunächst Intels Boot Guard ins Spiel, der dafür sorgt, dass nur ein vertrauenswürdiges BIOS gebootet wird. Es erschwert darüber hinaus auch eine Manipulation dieses vertrauenswürdigen BIOS. Zusätzlich gibt es noch die Windows SMM Security Mitigations Table (WSMT), die in Systemen mit der Virtualization-based Security (VBS) Manipulationen am SMM erschwert.
Firmware-Schwachstellen – da sieht es dunkel aus!
Kommen wir zu einem weiteren Vortrag: Rodrigo Branco, Vincent Zimmer und Bruce Monroe haben auf der Black Hat USA 2017 die Ergebnisse ihrer Analyse der BIOS/UEFI-Schwachstellen der vergangenen drei Jahre vorgestellt und kommen dabei zu dem Fazit: „Firmware is the New Black“.
Die drei Forscher klärten zunächst einmal, wo die UEFI Firmware zu finden ist, was sie enthält und wie das „UEFI-Ökosystem“ aufgebaut ist. Denn die Firmware besteht aus vielen verschiedenen Komponenten aus mehreren Quellen – ebenso wie die Hardware, für die sie zuständig ist.
Danach folgte ein Überblick über die Schutzmaßnahmen und Secure Boot/Trusted Boot, gefolgt von einer ausführlichen Erklärung, wie die Forscher die Daten über die Schwachstellen gesammelt und sortiert haben, und einigen Statistiken, die alle zum gleichen Schluss führten: Es gibt viele Möglichkeiten, in der Firmware Fehler zu machen, die dann zu Schwachstellen führen. Und die werden auch gemacht. Aber alles andere wäre auch sehr merkwürdig, oder kennen Sie ein Programm ohne Fehler und ohne Schwachstellen? Und: Nein, „Hello World“ zählt nicht! Obwohl auch das inzwischen meist mit so vielen Bibliotheken verlinkt wird, dass es ein Wunder wäre, wenn es darin nicht irgendwo eine Schwachstelle gäbe.
Die Schutzfunktionen schützen nicht (gut genug)
Wie es mit den Schutzfunktionen des BIOS aussieht, hat sich Alex Matrosov auch angesehen. Genug schlechte Beispiele hatte er ja auch schon gefunden, da bot sich das wohl an. Seine Ergebnisse präsentierte er auf der Black Hat USA 2017, und die haben es in sich: Es gibt zwar viele Schutzfunktionen, aber die werden oft gar nicht oder falsch genutzt.
So besteht die Firmware wie erwähnt aus vielen verschiedenen Komponenten, deren Hersteller es mit der Sicherheit mitunter nicht so genau nehmen. Schon eine einzige unsichere Komponente gefährdet die gesamte Firmware. Typische Fehler sind zum einen unsichere Updateprozeduren, die das Einschleusen manipulierter Updates erlauben. Zum anderen gibt es viele Möglichkeiten, die verschiedenen Varianten von Secure Boot zu umgehen. Eine neue Möglichkeit stellte Alex Matrosov auf der Konferenz vor: Ziel seines Angriffs war erneut ein Gigabyte-Rechner, diesmal mit ausgeschaltetem Intel BIOS Guard und zwei Schwachstellen: Einem beliebigen Schreib- und Lesezugriff auf die Management Engine und eine ungeschützte Boot-Guard-Konfiguration. Beides zusammen erlaubt das Einschleusen einer manipulierten Firmware.
Sicherheitsproblem Intel Management Engine
Kommen wir von der Firmware, die „nur“ den Zugriff auf die Hardware kontrolliert, zu Intels Management Engine (ME). Die ist gleich ein kompletter Microcontroller, der unabhängig von CPU und Betriebssystem die vollständige Kontrolle über den Rechner hat.
Und diese ME hat schon länger einen schlechten Ruf: Immer wieder kam der Verdacht auf, dass die Fernwartungsfunktion auch als Hintertür genutzt werden kann. Da Intel die Management Engine nicht vollständig dokumentiert hat, liegt so ein Verdacht nahe. Frei nach dem Motto: „Wenn Intel nichts zu verbergen hätte, könnten sie ja eine vollständige Dokumentation veröffentlichen.“ Was aber zu kurz gedacht ist: Intel könnte die offiziellen Funktionen der ME komplett dokumentieren, und eine verborgene Hintertür dabei einfach verschweigen.
Aber da man sich entschieden hat, Teile der ME geheim zu halten, muss man nun mit dem Verdacht leben. Und damit, dass es immer wieder Probleme mit der ME gibt, die sich durch eine vollständige Dokumentation evtl. vermeiden ließen. So hat z. B. 2015 das CERT-Bund vor der Fehlkonfiguration von Intels Active Management Technology (AMT), die Teil der Management Engine ist, gewarnt: „Durch Ausnutzen eines unsicheren Auslieferungszustandes von (unprovisionierten) PCs und anderen Intel Systemen mit der für eine mögliche Fernwartung im Chipsatz implementierten Intel Active Management Technology (AMT)-Lösung, kann ein lokaler, nicht authentisierter Angreifer dauerhaft einen PC, bzw. Computer übernehmen und in Folge auch über das Internet die vollständige Kontrolle erhalten.“
Wer braucht eine Hintertür, wenn die Vordertür sperrangelweit offen steht?
Wirklich ernst wurde das Problem „Intel ME“ im Mai 2017: Intel veröffentliche Firmware-Updates, die eine Schwachstelle in der ME behoben. Betroffen von der Schwachstelle mit der CVE-ID CVE-2017-5689 sind die 2010 eingeführten Core-i-Prozessoren sowie die davon abgeleiteten Xeons, Pentiums und Celerons. Worum genau es sich bei der Schwachstelle handelt, war anfangs nicht bekannt. Laut Intel erlaubt sie in den ME-Funktionen Active Management Technology (AMT) und Intel Standard Manageability (ISM) bei eingeschalteter und eingerichteter (provisioned) Fernwartungsfunktion unprivilegierten Benutzern über das Netz das Erlangen von Systemrechten. Im Fall der weniger umfangreichen Fernwartungsfunktion Small Business Advantage (SBA) lässt sich die Schwachstelle nur von Angreifern ausnutzen, die physischen Zugriff auf ein betroffenes System haben.
Das klingt in den ersten beiden Fällen nach einer Remote Code Excecution (RCE), also dem Einschleusen von Schadcode aus der Ferne. Die Schwachstelle wurde von Maksim Malyutin von Embedi entdeckt, und dort stellte man sofort klar, dass es sich nicht um eine RCE handelt. Weitere Informationen gab es erst etwas später, nachdem Intel der Veröffentlichung zugestimmt hatte: Die Schwachstelle erlaubt das Unterlaufen der Authentifizierung; der Angreifer kann sich ohne Passwort als Administrator bei der ME anmelden. Und kann danach die ganze Palette der Fernwartungsfunktionen nutzen, um sich die Kontrolle über den Rechner zu verschaffen.
Angreifer missbrauchen die ME in the wild
Im Juni 2017 warnte Microsoft vor einem Missbrauch der ME durch Cyberkriminelle. Die Cyberkriminellen der Gruppe „Platinum“ nutzte das Serial-over-LAN-(SoL-)Interface von Intels AMT, um nach der Kompromittierung eines Rechners Daten unerkannt durch die Firewall zu übertragen. Es wird dabei zwar keine Schwachstelle in der ME ausgenutzt, alles funktioniert so wie von Intel vorgesehen – nur eben nicht unbedingt so, wie es sich der Eigentümer des Rechners vorgestellt hat.
Details zur Mai-Schwachstelle werden veröffentlicht
Im Juli 2017 präsentierten Dmitriy Evdokimov, Alexander Ermolov und Maksim Malyutin von Embedi auf der Black Hat USA die Details zur Schwachstelle CVE-2017-5689 und weitere Möglichkeiten für Angriffe auf undokumentierte Funktionen der AMT. Im August 2017 gab es auf der Hack in the Box GSEC Singapore einen weiteren Vortrag der drei Forscher, auf dem sie weitere Schwachstellen und Angriffe vorstellten.
Intels ME wird man nicht los. Oder doch?
Das größte Problem der ME ist, dass man sie nicht los wird, wenn man sie nicht haben will. Sie ist so tief ins System integriert, dass ihr Entfernen dazu führt, dass der Rechner nicht mehr startet. Zumindest war das der Wissensstand bis zum 28. August 2017. Dann haben Forscher von Positive Technologies (PTE) herausgefunden, dass es in der ME eine undokumentierte Möglichkeit gibt, sie auszuschalten – eingebaut auf Wunsch der NSA, die keine Hintertüren in ihren Rechnern des High-Assurance-Platform-(HAP-)Programms haben will. Dafür aber sehr gerne in denen aller anderen.
Das Ausschalten ist nicht ganz einfach und erfordert das Patchen von Rechner-BIOS und ME-Firmware, funktioniert aber im Gegensatz zu allen zuvor entwickelten Methoden zuverlässig. Jedenfalls so lange, bis Intel die ausgenutzte Funktion ändert.
Und noch mehr Schwachstellen …
Im November 2017 behob Intel dann weitere Schwachstellen (CVE-2017-5705/5706/5707) in der ME , die diesmal von Positive Technologies entdeckt worden waren. Details haben Maxim Goryachy und Mark Ermolov im Dezember auf der Black Hat Europe 2017 präsentiert: Über die Schwachstellen ist es möglich, unsignierten Code in der ME auszuführen und darüber die Kontrolle über den Rechner zu übernehmen. Übrigens auch dann, wenn Intels Patch installiert ist.
Irgendwie scheint Intel mit den Patchen in letzter Zeit wenig Glück zu haben. Auch die Microcode-Patches für Meltdown/Spectre mussten ja kurz nach der Veröffentlichung zurückgezogen werden, weil es zu unerwarteten Neustarts vieler Rechner kam. Womit wir bei CPU-Schwachstellen angekommen wären.
Wenn Firmware-Patches normal werden …
Sowohl die oben erwähnten Patches für die ME als auch die Microcode-Patches für die CPU-Schwachstellen erfordern Firmware-Updates. Und die müssen erst einmal ihren Weg von Intel über die Firmware- und Hardwarehersteller zu den Benutzern finden – was nicht unbedingt funktionieren muss, wie man am Beispiel von Android sieht. Da erreichen viele von Google veröffentlichte Updates die Geräte gar nicht, weil die vom jeweiligen Hersteller oder Mobilfunkbetreiber nicht mehr unterstützt werden. Und selbst wenn die Updates für ein Gerät bereitstehen, ist noch lange nicht gesagt, dass der Benutzer sie auch installiert.
…..
Aber selbst wenn es Updates gibt und die Benutzer sie regelmäßig installieren (was bei Windows ja nur mit Zwang funktioniert): Wie Sie oben gelesen haben, sind die Firmware-Updateprozesse oft unsicher. Wie lange es wohl dauert, bis die Cyberkriminellen gefälschte Updates verbreiten? Demnächst gibt es dann wohl keine gefälschte Aufforderung zur Installation eines neuen Flash-Players mehr, sondern eine zum Updaten der Firmware.”
Quelle: https://entwickler.de/online/windowsdeveloper/angriffsziel-firmware-579843653.html