wer oder was ist staticssl.net?

schumi99

Hallo Freunde! Bin wieder mit einem komischen Fall unterwegs. Hab nen neuen Super PC gekauft, AMD Ryzen 5 3600, schnäll wiene More! Natürlich alles neu installiert wie auf dem alten, und hab mir ein Problem eingehandelt das ich nicht verstehe. Obwohl ich den Chrome mit den genau gleichen Extensions wie auf dem alten installiert habe, bemerkte ich plötzlich, dass die Startseite auf https://staticssl.net ging, was ich nicht wollte, und die ich nicht mehr wie früher auf die google.ch Startseite zurücksetzen konnte. Irgendwoher aus dem Nirwana, waren plötzlich 2 Extensions namens Media Privacy und SSL installiert. Und zwar extern administriert, was bedeutet dass man sie weder deaktivieren noch deinstallieren kann. Und genau die haben bewirkt, dass mein Internet Traffic über diese staticssl.net lief. Ich verwende NordVPN und will keinen zweiten SSL Tunnel. Ich hab die beiden Extensions mit Brachial Gewalt aus der Registry geputzt (thats another story!) und nun läuft alles bestens wie vorher. Bloss, woher kamen die beiden Extensions? Beide sind via Google nicht auffindbar, auch nicht im Google Web Store, und können folge dessen auch nicht von einem User selbst installiert werden. Irgend wie müssen die etwas mit VPN oder einer Security Suite zu tun haben, aber ich finde auch via Google nichts. Und bin mir überhaupt nicht bewusst wo und wie ich die einfangen konnte. Nun bin ich der Frage nachgegangen was ist eigentlich https://staticssl.net. Wenn man die als URL eingibt kommt man auf aws.amazon.com, den Amazon Simple Notification Service?! Was soll das? Dann habe ich im YAPM entdeckt, dass verschiedene Standard Programme diese Webseite ebenfalls ansprechen, z:b. Teamviewer Service, MyCloud Desktop, Fshoster (F-Secure), NVIDIA Web Helper u.a. Das bedeutet wohl, dass diese URL via einen komplexen DNS Dienst als Kanal für ihre Services benutzt werden, analog den Amazons S3 Servern. Liege ich da richtig? Weiss jemand von euch was es mit dieser staticssl.net auf sich hat? Offenbar kann man damit Malware verteilen, wie in meinem Fall.

DomiP

@schumi99 wie ich sehe hast Du auf PC-Tipp wie auch computerhilfen.net bereits Antworten erhalten.

Wie das Problem genau zu lösen ist, weiss ich persönlich nicht direkt.

Jedoch ist es so, dass https://staticssl.net ein Dienst von Amazon ist:

Amazon Simple Notification Service (Amazon SNS) ist ein vollständig verwalteter Messaging Service sowohl für die Kommunikation von Anwendung zu Anwendung (A2A) als auch von Anwendung zu Person (A2P).

Die A2A-Pub/Sub-Funktionalität bietet Themen für durchsatzstarke, push-basierte, Many-to-Many-Messaging zwischen verteilten Systemen, Mikroservices und ereignisgesteuerten, serverlosen Anwendungen. Mithilfe von Amazon SNS-Themen können Ihre Verlagssysteme Nachrichten an eine große Anzahl von Abonnentensystemen, einschließlich Amazon SQS-Warteschlangen, AWS Lambda-Funktionen und HTTPS-Endpunkte und Amazon Kinesis Data Firehose zur parallelen Verarbeitung ausfächern. Die A2P-Funktionalität ermöglicht es Ihnen, Nachrichten per SMS, mobilem Push und E-Mail an Benutzer in großem Umfang zu senden.

Wird vor allem für die verteilung von Notifications und anderen Microservices von Webseiten und Apps verwendet.

Die URL selber ist nicht bösartig und daher kannst Du diese auch ignorieren oder bei bedarf auch blockieren; sollte keinen Unterschied bringen.

Sollte dies dann noch immer nichts helfen, würde ich Chrome deinstallieren und neu Installieren oder es mit 'Edge' (dem neuen) versuchen.

schumi99

Danke DomiP,

ein Amazon Service! Danke, das hilft mir weiter, das wusste ich nicht. Ich habe zwar die DNS Tabellen dieses Service gefunden, aber die Entries dort sagen mir nichts. Wenn also staticssl.net in der Startpage vom Browser steht, wird man auf irgendeinen Tunnel oder Service um verzweigt, der nirgendwo dokumentiert ist. Ich hatte Chrome deinstalliert und anschliessend wieder installiert, die beiden Erweiterungen waren wieder drin, extern verwaltet. Google Support konnte da nicht helfen. Um so etwas im Browser zu installieren braucht es Zugriff auf //Policy und //Management, ich fürchte, dass es ein Hack ist, ein raffinierter. Ich hatte gehofft, dass in irgend in einem Forum jemand diese Erweiterung oder diesen Fall kennt. Offensichtlich nicht. Im Prinzip weiss ich schon, wie man einen Hack sucht, weiss aber auch um die Raffinesse mancher Hacker. Also, ich bin dran. Danke DomiP.

DomiP

Handelt es sich um ein Firmennetz?

schumi99

Nein, Heimnetzwerk, 2 NAS, 2 Desktop, 1 Laptop. Internet Security von Swisscom, IB 3.

Du fragst wegen Chrome Enterprise, gell? Nein habe ich nicht.

Werner

@schumi99

Wenn Du sensibel auf Bloatware und andere "Geschenke" auf neuen PC's bist, welche immer mehr Verkäufer gleich mitliefern (dafür werden sie ja schliesslich zusätzlich bezahlt) besteht die beste Lösung immer darin, gleich zu Beginn einen erneuten Clean Install des Betriebssystems zu machen.

Gibt vielleicht 2-3 Stunden Arbeit, aber anschliessend hast Du wirklich eine saubere Startbasis.

DomiP

@schumi99 Passiert dies auch bei Chromium Edge oder Firefox?

Kannst Du dies testweise einmal austesten?

Die von @Werner erwähnte Prozedur führe ich immer bei allen neuen Geräten durch. Da ich einen Schulaccount noch habe kann ich via Microsoft über Azure sogar Windows 10 Pro (oder ältere Pro und Enterprise Versionen) aktivieren, welche natürlich viel besser funktionieren.

Wäre sicherlich auch mal ein Versuch wert. Du kannst ja auch nur das OS neu installieren. Aber Achtung ⛔️ Erstelle trotzdem ein Backup der Daten.

schumi99

ja danke, daran habe ich tatsächlich auch gedacht. Bloss, zuvor möchte ich doch noch versuchen den Infektionsweg nachzuvollziehen. Der PC wurde zwar mit Win 10 Pro vorinstalliert ausgeliefert, und da war tatsächlich nichts anders drauf. Das hatte ich kontrolliert.

Firefox habe ich da nicht installiert, aber Chromium hatte ich installiert, verwechselt mit Chrome! Dann hatte ich Chromium aber deinstalliert, und anschliessend Chrome. Tatsächlich habe ich Chromium im Verdacht und werde den nochmals installieren. Dies darum weil z.B. der Iron Browser auch automatisch die Startseite http://iron-start.com/ einsetzt. Dass der Chromium etwas analoges macht, und die Startseite [https://staticssl.net](https:/staticssl.net) ist nicht ausgeschlossen. Aber, dass dann in der Folge zwei "geheime" Erweiterungen, und dazu noch extern verwaltet installiert werden, das würde ich als so etwas wie einen unfreundlichen Akt einschätzen. Und irgendwie nicht so ganz nachvollziehbar dass man so etwas macht. Sobald ich das getan habe melde ich mich zurück. Danke für eure Hilfe DomiP und Werner.

DomiP

Hey @schumi99,

Achtung! Wenn Du Chromium nutzt nutzt Du eigentlich auch Chrome 😉 (Oder Umgekehrt?) Egal, es ist jedoch so, dass Google Chrome auf dem Chromium-Project basiert, welches von Google wie auch anderen Konsortien finanziert und entwickelt wird. Das Projekt ist OpenSource und gilt als Basis für etliche Browsers: Chrome, Vivaldi, Android-Browsers, Smart-TV-Browsers, Edge...

Ich denke weniger, dass dieses Programm da etwas damit zu tun hat.

Es ist wahrscheinlicher, das es sich hier wirklich nur um ein Programm am PC bzw. einem Plugin handelt welches da etwas abruft oder sendet.

E hiubä.

schumi99

ja DomiP, die Story mit Chromium habe ich nachgelesen, Erweiterungen z.B. wären kompatibel, auch die Installation,Policcy etc, sind gleich.

Also, ich habe Chromium auf meinem Laptop installiert, und da zeigte sich der Fehler nicht. Aber ich werde Chromium nochmals auf meinem AMD PC installieren, und zwar mit genau dem Download von damals. Auf meinem AMD PC ist übrigens Edge installiert, no Problem, und dort habe ich nur die NordVPN und F-Secure Erweiterung installiert.

Ich muss noch euer Wissen anzapfen - wenn ich auf eine Webseite zugreife, dann läuft doch dort im Hintergrund ein Javascript aber, oder? Ist es technisch möglich über ein Javascript eine Erweiterung in Chrome oder sonst einem Browser zu installieren? Ich denke j, oder? Ich hab mal versucht das Javasrcipt der Blick Website zu verstehen - verdammt lang und für mich zu komplex, oder - bin zu faul mich da durchzukämpfen. Denn wenn ich nachvollziehe was ich in der fraglichen Zeit installiert habe, unverfängliches Zeug.

DomiP

@schumi99

Wie ist deine Frage zu verstehen? JavaScript ist eine Entwicklungssprache, welche verwendet wird um Webseiten und Apps zu programmieren. Viele meiner eigenen Anwendungen basieren praktisch nur auf JavaScript. Grundlegend benötigt (fast) jede Seite im Internet das JS, damit die Seite sauber funktioniert. Wenn Du JS deaktivierst, kann es sehr grosse Seitenfehler geben.

Nun verstehe ich aber nicht; möchtest Du mithilfe von JavaScript ein Chrome-Plugin installieren? Wie soll dies Ablaufen? Möchtest Du dir einfach automatisiert bei einer neu installation die Plugins installieren lassen?

Gruess

user109

@schumi99 könnte auch von NordVPN kommen einige VPN Clients habe Bloatware an Bord.

DomiP

Würde auch Sinn machen; von wo hast Du denn NordVPN heruntergeladen? Aus einem offiziellen Store wie dem MS-Store oder von NordVPN selber? Wenn Du Seiten wie Chip.de nutzt, ist es katastrophal, wie viel Bloatware noch mitinstalliert wird.

schumi99

Hi DomiP, nein, nicht ich möchte via JS etwas installieren, dafür kenne ich JS zu wenig. Ich habe gefragt, ob man das kann, JS als Infektionsweg! Wie gesagt, ich habe mich schon mal mit der Blick Webpage beschäftigt, und gestaunt, wie irrsinnig viel in dem Script abläuft. Ich hatte damals, genervt von der Werbung etliche Adware Websites via Hosts Datei stumm geschaltet. Und dann ging gar nichts mehr. Auf eine entsprechende Frage in einem Forum erklärte man mir, dass dass auf den Screens Pixelkontrollen gemacht werden um festzustellen, ob die Werbung ordentlich displayed wird. Falls nicht kommt ja eine Warnung - sie haben einen Adblocker installiert.

Und so stelle ich mir vor, dass in seinem Script beispielweise ein Statement https://chrome//policy abgesetzt werden kann, oder noch mehr. Das gilt selbstverständlich nicht nur für die Blick Webseite.

Denn ich bin ja dran meine Installationen durchzuchecken, und finde da nichts bedenkliches, resp. Software die ich auf meinen anderen PCs auch installiert habe, ohne solche Probleme. Das einzige was ich bisher das erste mal installiert habe ist der CPU Mark Test von Passmark.com, und DVDFab und einen heic-Viewer mit dem man MAC Bilder ansehen kann.

Via Chip.de habe ich auch das eine oder andere runtergeladen, mache das aber ungerne, da wird wirklich versucht einem Zeugs unterzujubeln.

schumi99

Hi, user109, ja, dem bin ich via NordVPN Support nachgegangen. Und die habe ich via NordVPN Website runtergeladen und installiert. Und zwar NordVPN und NordPass. Beide haben ihre eigenen Chrome Erweiterungen, und die habe ich genau so auf meinem Laptop und dem zweite Desktop installiert, ohne Probleme. NordVPN Support hat auf eine entsprechendes Ticket, geantwortet, nein von uns kommen diese Erweiterungen nicht.

Ich kann immer noch nicht so recht glauben, dass ich der einzige bin der sowas eingefangen hat!? Da wird doch hoffentlich nicht der Trump oder die Chinesen dahinter stecken?😏

DomiP

@schumi99 spannende Überlegung 😉

Kann mittels JavaScript die Chrome-Settings-Konsole aufgerufen werden?

Nein. Dies ist laut Chromium-Policy nicht möglich. Dies steht auch so im "heiligen Entwicklerforum" (schmunzle): javascript - Open chrome://settings from a standard webpage - Stack Overflow

Werbung blockieren und damit die "Disable-Adblocker-Info" nicht anzeigen lassen.

Ich habe sehr gute Erfahrungen mit meiner kleinen Adguard-Box (Raspberry Pi · AdguardTeam/AdGuardHome Wiki (github.com)) oder PiHole (Pi-hole® und was du dazu wissen musst | Swisscom Community) gemacht. Da werden auch auf Blick.ch keine solchen Banner angezeigt.

schumi99

ok, danke DomiP. also ich suche jetzt noch etwas weiter. Wenns mir dann verleidet gibts halt die Neuinstallation.

Zum Thema Adblocker, ich behelfe mich damit, dass ich nur mit Edge "nature*, d.h. ohne Adblocker auf Blick und andere werbefinanzierte Webpages gehe. Aber spannend Deine Lösungen mit Adguard und PiHole, danke für den Tip.

schös Wucheänd

schumi99

Hallo DomiP, da Du ja offenbar mitleidest, meine neusten Erkenntnisse hier:

Es zeichnet sich ab wie die Infektion verlief. Ich hatte mich schon verwundert, dass ich den Chromium Installer nicht mehr fand. Nun habe ich ihn gefunden, resp. Windows Defender hat in seinerzeit gefunden und als mit dem Trojaner Trojan:Win32/Wacatac.DA!ml identifiziert. Was der genau verursacht hat, habe ich nur indirekt herausgefunden, über die DNS-Historie, und auch das nur teilweise. Die Staticssl.net DNS-Auflösung hat die Spur auf NJALLA Net hinterlassen, ein Provider, der anonyme Domains registriert, und seinerseits VPNs anbietet. Da sind einige IPs aus dem Provider Bereich zu sehen, über den irgendein Trafic ablief, den man natürlich nicht sehen, kann, und wenn man könnte wäre der sowieso verschlüsselt. Dieses Net hat fast mit Sicherheit nichts mit meiner Software zu tun, es muss sich hier also um einen Malware Pfad handeln.

Nun ist noch die Frage, woher ich den Chromium Installer herhatte. Ich glaube mich zu erinnern, entweder über Chip oder Computerbild. Erstaunlich, ich habe den Chromium auf meinem Laptop installiert (?!) und keine Infektion vorgefunden, werde aber das ganz genau nochmals überprüfen.

So, nun folgt demnächst Neuinstallation. Du hast mal den Windows Key erwähnt. Es gibt eine Utiluty mit der man den Key saven kann. Genügt das, oder brauchts dazu noch nen Trick? Danke für Feedback.

DomiP

@schumi99

dass der Trojaner direkt von Chip oder der BILD kommt bezweifle ich, da diese ja eigentlich die Top-Techmagazine für Hobby-Computerer sind. Ich denke, dass da mal etwas mitinstalliert wurde, wie ein 'Antivirus' oder sonstige Bloatware, als Du den CHIP-Installer oder BILD-Installer nutztest.

Den Windows-Key erhälst Du beim Kauf einer Lizenz oder auch von beispielsweise einem Schulaccount via Azure. Kostenlos gibts den nicht. Teilweise steht der sogar bei den PCs noch auf den Ettikets, wenn es nicht eine Volumenlizenz ist.

Benötigst Du denn eine neue?

schumi99

den Key konnte ich mit einem Tool auslesen, offenbar ist er sogar im BIOS gespeichert. Die Neu Installation läuft gerade.

Es muss wohl so sein, dass ich irgendwo geklickt, oder nicht geklickt habe, passiert gerne wenn man juflet.

Somit konnte ich nicht ermitteln woher die Infektion kam, mit den Teilerkenntnissen kann man nicht viel anfangen. Ich danke für Deine Hilfe.

Page suivante »