Computerbeveiliging - Hoe je bad guys buiten de deur houdt

VirusTotal begrijpen, DOSBox

06-12-2021, 12:29 door Anoniem, 8 reacties
https://www.virustotal.com/gui/file/a9e270217d12867c2609d9423d1b2ed83fcf7cd08aeeee3ab09a4afdf9e9418e/behavior/Microsoft%20Sysinternals

Hallo,

Ik wil weer eens oude games spelen met kerst en ben van het weekend DOSBox 0.74-3 gaan downloaden voor Windows 10. Deze heb ik ook door VirusTotal gegooid.

Ik denk dat de bovenstaande .exe wel betrouwbaar is, maar ik kan niet plaatsen waarom deze verbinding wil maken met het internet. VirusTotal noemt:

a83f:8110:0:0:100:0:1800:0:53 (UDP)
192.168.0.1:137 (UDP)
192.168.0.53:137 (UDP)
a83f:8110:0:0:8502:0:0:0:53 (UDP)
a83f:8110:0:0:42:504:0:0:53 (UDP)
a83f:8110:7900:eee4:f8ff:ffff:10f3:7000:53 (UDP)
13.107.4.50:80 (TCP)
a83f:8110:0:0:1400:1400:2800:3800:53 (UDP)

De 192.168. adressen zijn lokale adressen. Dus om te kijken of er een lokaal netwerk is. De IPv6 adressen zijn om te kijken of er IPv6 ondersteuning is. Beiden lijken mij niet nodig voor een applicatie als DOXBox. Maar 13.107.4.50:80 vind ik helemaal dubieus. Het is iets van Microsoft zegt VirusTotal. Telemetrie?

Wat moet ik hiervan denken, is de executable veilig? Is het IP adres van Microsoft iets wat in een standaard library zit die in DOSBox wordt aangeroepen? Ik zou DOSBox het liefst helemaal van internet afsluiten in Windows 10 maar ik weet niet hoe dat moet met de standaard firewall zodat dit van het begin af aan zo is.

Ik ben ook niet handig met Virtual Machines. Misschien kan ik een oude machine optuigen waarvan ik de internet kabel eruit haal voor oude MS-DOS games. Dit zijn allemaal games van voor internet (en als ze internet hadden dan wil je er niet mee het internet opgaan omdat die dan binnen een paar minuten geowned kunnen zijn).

De .exe komt overigens van sourceforge. Er was ook een OS X versie van DOSBox op sourceforge die dubbel zo groot was als de Windows 10 versie en waar volgens VirusTotal Adobe Acrobat DC in leek te zitten (wat niet nodig is onder OS X omdat die zelf prima .pdf ondersteuning heeft in het OS zelf).
Reacties (8)
07-12-2021, 09:11 door Anoniem
Ik ben op de site van DOSBox gaan zoeken, en er zijn tenminste drie builds van DOSBox die Ethernet ondersteunen: https://www.vogons.org/viewtopic.php?f=61&t=61823 (augustus 2018).

mTCP how to make it working + info:
- Dosbox only steps - for Gulikoza (2009) and Ykhwong Daum SVN builds (2015).. HAL9000 build (2010) (thx mbbrutman)
- you need to install WinPcap utility (on Windows) to handle part of networking, i can say anything about MacOS and Linux, but there are probably some solutions too
- edit Dosbox.conf:

# Enable networking
ne2000=true
nicbase=300
#NIC IRQ, Dosbox default is 3, but i was more successfull with IRQ9
nicirq=9
# Mac address should be unique for every machine at least in you network, you can use every value from 0-F, at every place of address..
macaddr=AC:DE:48:88:99:AA
#For First run realni=list add value list check Dosbox info windows output for number for your NICs and select physical nic used for internet networking
#realnic=list
# Assign you nic number
realnic=6

-- end of Dosbox only steps--
- Find your network card name, after that its Dos packet driver, if exist.. If doesnt you can try driver for other card of from same manufacturer, or ODI driver + ODI shim - details are above..
- start it, there is usually some parameter for IRQ, try IRQ 3 or 9, usually is parameter for it 0x60 (IRQ3) and 0x61 (IRQ9)
- For Dosbox use NE2000.com driver.
- set nework variables
- they are defined by MTCPCFG variable - which is path to configuration file (ie set MTCPCFG=C:\1Utils\mTcp\config.cfg ), for basic networking you need to set only setup variable at the end of file, starting IPADDR line, at the top is hostname line - it should be also unique in your network for every machine.
- your can add MTCPCFG to Autoexec.bat, or create some standalone bat to start Network, when is needed, example of such file:
- after that you run packet driver + mTCP dphc,exe and that is all:

REM ne2000 (Dosbox NIC) packet driver example, has to be in same directory or in path
REM 0x60 - IRQ3 - IRQ9- 0x61
ne2000 0x60
REM network details variable
set MTCPCFG=C:\1Utils\mTcp\config.cfg
REM DPHC line need MCT.. variable
REM start DHCP, mTCP directory has to be in PATH variable
dhcp
REM If it print good news.. network ping / Arachne browser would work..

- optimal setup - is assign static ip address for you network card, in you router management
- try ping google.com or similar, you get response time, no time, its working for you. Start ftp client / internet browsers etc..

Ik vind het een verschrikkelijk slecht idee om een DOSBox virtualisatie internet te geven, maar omdat DOSBox open source is, zal er uiteindelijk wel iemand zijn die het werkend krijgt in de officiële versie van DOSBox. Ik heb al gelezen op het DOSBox forum dat mensen bezig zijn met Windows 9x te installeren op DOSBox. Zelf heb ik Windows 3.1 erop draaiend gekregen, met Mosaic, maar dan zonder internet (hoop ik). Het moeilijkst is om de juiste drivers te vinden die werken onder DOSBox. Dat was jaren terug voor mij dus die drivers zullen nu wel nog moeilijker te vinden zijn.

MS-DOS is nooit ontworpen om veilig op internet te kunnen gaan. DOSBox kan dat dus ook niet zijn.

TS
07-12-2021, 11:23 door Anoniem
De file is niet gesigneerd en dus a priori onveilig.
luntrus
07-12-2021, 12:12 door Anoniem
13.107.4.50 is onder andere voor Windows update services.
Je installeert een applicatie Windows ziet dat zegt hey een nieuwe applicatie is deze in beheer bij MS ? Checked vervolgens de exectuable komt tot conclussie dat het niet via hun draait en verbreekt weer connectie.

Je kan de applicatie in geavanceerde firewall instellingen opnemen
https://www.howtogeek.com/227093/how-to-block-an-application-from-accessing-the-internet-with-windows-firewall/

En hier de best practices volgens MS:
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-firewall/best-practices-configuring

Doe dit enkel voor thirdparty software. Tenzij je kennis hebt van hoe Windows in elkaar zit doe je er het best aan *niet* aan de instellingen van de ingebouwde software en services te gaan rommelen als het op internet toegang aan gaat.


Is het veilig? Tja die garantie kan niemand je geven lijkt het veilig ja.
Als je echt twijfelt erover dan redt je het niet met VirusTotal en is het vele malen effectiever om gebruik te maken van deep malware analyse tooling zoals joesandbox, Trend Micro Deep Discovery en nog overvloed aan concurrenten.

Hier even een voorbeeld rapport ter vergelijking met wat VirusTotal doet. https://www.joesandbox.com/analysis/493427/0/html

Dit vergt wel wat kennis over wat er gezegd wordt met de signatures maar het is ook weer geen rocket science.
Let wel erop dat als je niet betaald voor hun dienst je rapport publiekelijk staat. Dus aan ieder dit *niet* in gratis variant ooit gebruiken voor je klant, werkgever, bedrijf of je roept ellende over jezelf uit. Dit geldt ook voor VirusTotal en zowat elk ander alternatief. Lees die disclaimers...

Ik denk zelf echter dat het allemaal enige overkill is als het over DOSBox zelf gaat wat ik wel zou scannen zijn enige games tenzij je deze fysiek in je bezit hebt op diskette of CD direct gekocht in verleden.

Hoe dan ook veel plezier ermee en mocht je ze nog niet hebben even een tip probeer wat demo-disks op de kop te tikken. Zaten altijd wat pareltjes qua weird game design tussen.
07-12-2021, 13:27 door Anoniem
Je zou hem kunnen blokkeren op je router. Geen enkel uitgaand verkeer van die VM/Dosbox toestaan.
07-12-2021, 19:02 door Anoniem
Door Anoniem: 13.107.4.50 is onder andere voor Windows update services.
Je installeert een applicatie Windows ziet dat zegt hey een nieuwe applicatie is deze in beheer bij MS ? Checked vervolgens de exectuable komt tot conclussie dat het niet via hun draait en verbreekt weer connectie.

Misschien is het nog wel slimmer als dat. Het is normaal dat een Windows computer verbinding maakt met Windows Update dus dan valt het niet op tenzij 'de aanvaller' weet waarnaar hij moet kijken. Als tweede punt zal Microsoft altijd blijven bestaan en dit IP adres dus ook. Als DOSBox hier een TCP verbinding mee kan maken dan zit de computer op internet. Dan is de vraag nog steeds: Maakt dat uit voor deze software?

Je kan de applicatie in geavanceerde firewall instellingen opnemen
https://www.howtogeek.com/227093/how-to-block-an-application-from-accessing-the-internet-with-windows-firewall/

En hier de best practices volgens MS:
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-firewall/best-practices-configuring

Doe dit enkel voor thirdparty software. Tenzij je kennis hebt van hoe Windows in elkaar zit doe je er het best aan *niet* aan de instellingen van de ingebouwde software en services te gaan rommelen als het op internet toegang aan gaat.

Ik kan wel een regel maken in de firewall van Windows voor de installer. Maar daar worden weer nieuwe exe's uit vandaan getoverd en voor mijn gevoel ben ik dan altijd een stap te laat. Wel kan ik de ethernet kabel natuurlijk uit mijn computer halen. Tijdelijk. Maar dan werkt de bescherming van Microsoft Defender weer minder.

Ik denk zelf echter dat het allemaal enige overkill is als het over DOSBox zelf gaat wat ik wel zou scannen zijn enige games tenzij je deze fysiek in je bezit hebt op diskette of CD direct gekocht in verleden.

Hoe dan ook veel plezier ermee en mocht je ze nog niet hebben even een tip probeer wat demo-disks op de kop te tikken. Zaten altijd wat pareltjes qua weird game design tussen.

Ik heb een flinke collectie MS-DOS en Windows 9x games. Bijvoorbeeld Master of Orion 2 is een favoriet van mij (MS-DOS). Maar wat ik eigenlijk weer eens wil spelen is Startrek onder Basic. Durf alleen niet goed DOSBox te installeren op mijn maagdelijke malwarevrije systeem. Ik ga er vanuit dat software van voor 2002 niet weet hoe ze uit de DOXBox omgeving moeten breken. En ik heb de laatste F-Prot voor MS-DOS van hun FTP server gehaald toen die gratis versie nog bestond.

@luntrus: Ik heb de installer voor DOSBox gedownload door de links vanaf de officiële site te volgen. En die sites hebben wel een digitale handtekening. Nu is sourceforge natuurlijk problematisch geweest in het verleden. Wat je ziet aan de OS X versie met Adobe Acrobat Reader DC erin gebundeld. Daar bedank ik dus voor.

TS
09-12-2021, 22:00 door Anoniem
Ik ben er een avondje ingedoken, en misschien beantwoord dit mijn vraag: https://nsis.sourceforge.io/CheckIP_function

Het is een soort assembly, maar dan abstracter. Van de installatie sofware nsis van nullsoft.
; Function CheckIP
; input: IP-address on stack
; output: additional entry on stack
; 1 - LoopBack IP (localhost, indicates no connection to a LAN or to the internet).
; 2 - Automatic Private IP Address (no DHCP server).
; 3 - Network IP.
; 4 - Internet IP.
; Eg:
; Push '192.168.0.100'
; Call CheckIP
; Pop $0 ; Contains '3'
; Pop $1 ; Contains '192.168.0.100'

Het hoeft dus niet code van DOSBox te zijn, maar van de installer van NSIS of zelfs van de compiler waarmee NSIS is gebouwd.

Verder vind ik wat ik lees op Vogons heel geruststellend. Misschien ga ik deze kerst weer eens gamen. Ik zag trouwens dat mijn favoriete spel Master of Orion 2 op Steam stond, maar ik heb het origineel op CD-ROM met duimdikke manual. Dat is veel leuker om te spelen en bovendien hoef ik dan niet steeds in te loggen bij Steam om mijn account te laten verifiëren. Daar heb ik namelijk een bloedhekel aan en dat is de reden dat ik de laatste jaren niet meer game.

TS
10-12-2021, 10:47 door Anoniem
https://whois.domaintools.com/13.107.4.50
10-12-2021, 20:09 door Anoniem
Door Anoniem: https://whois.domaintools.com/13.107.4.50

Het is de Azure cloud van Microsoft:
"Issuer: C=US CN=Microsoft Azure TLS Issuing CA 06 O=Microsoft Corporation"

Van https://www.virustotal.com/gui/ip-address/13.107.4.50/details

Ik kon niet in de broncode van DOSBox vinden dat ze hier expres verbinding mee maken, dus het zal van de compiler van NSIS komen of van NSIS zelf.

Het is overigens niet slim om de Azure cloud te blokkeren als je Windows 10 draait (wat je doet als je deze versie van DOSBox gebruikt, oudere versie hebben geen security patches meer). Maar een IP blokkeren kan vast geen kwaad. Of het helpt is ook niet zeker want dan wordt een ander IP adres geprobeerd waarschijnlijk.

TS
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.