Infection Proxy?! dafuuq? Philipp Promeuschel 17. November 2012
Inhalt 1 What the Hell? 2 3
Was ist ein Infection-Proxy? Transparent Manipuliert Daten (um das Opfer zu Infizieren) Infektion mit Malware im großen Stil sehr unaufällig Verhältnismässig geringer Aufwand
Who??? Regierungen Cyber-Kriminelle /Black-Hats
Facts Die Firma Gamma ist Hersteller der FinFisher-Suite Gamma beliefert ausschliesslich Regierungen In der Suite sind unter anderem FinSpy und FinFly enthalten FinFly wird als ISP-Scale Infection Proxy beworben Kunden sind unter anderem das BKA, Syrien und Ägypten (Mubarak)
Wie funktioniert es? Verbindung zum Netzwerk herstellen Client fordert Seite an (HTTP-GET) Proxy leitet HTTP-Request an Ziel weiter Proxy analysiert und manipuliert die Antwort (aka DPI) Client erhält manipulierte Seite
Mittel der Wahl: ARP-Spoofing/ARP-Poisoning ARP: ARP = Address Resolution Protocol ARP-Messages teilen allen Endgeraeten im Netz mit welche IP-Addresse welcher MAC-Addresse zugeordnet wird Keinerlei Sicherheitsmechanismen (IPv4)
ARP-Spoofing: Es werden ARP-Messsages (an einen oder alle Clients im Netz) gesendet, die in unserem Fall den Opfern mitteilt das wir von nun an der Gateway sind Nun geht der komplette Verkehr des Netzes/des Clients über den Proxy
Port-Forwarding: Mittels IPTables/NetFilter werden alle Anfragen auf Port 80 zum host:port des Proxy umgeleitet IP-Forwarding muss aktiviert sein
Fallstricke SSL User erhält Warnung das Zertifikat ungültig ist 2 Wege das zu umgehen: SSL-Strip Root-Certificate (Kein Problem für Regierungen, eigene CA)
Proxy verarbeitet HTTP-Pakete 3 Möglichkeiten (mindestens): Austauschen von Links z.b. icq.com/update.exe durch mycq.com/boese.exe Drive-By-Exploitation Drive-By Exploits werden in die Seite injeziert On-the-Fly Binary Patching
Austauschen von Links/Bildern/Text
Austauschen von Links/Bildern/Text Abbildung: Statt Links lassen sich auch Texte austauschen
Einbinden von Drive-By-Exploits Abbildung: Drive-By Exploitation mit Metasploit
On-the-Fly Binary Patching (Simple) Der Original-Download (z.b. icq.com/update.exe) wird waehrend des Downloads gepatched Wie geht das? Client fordert Download an (GET /update.exe HTTP/1.1...) Proxy erkennt das, fordert Originaldatei vom Server an Proxy fuegt vor Originaldatei Loader an Nach Originaldatei wird zb. ein Trojaner (evil.exe) angehangen Damit der Loader die einzelnen Elemente des manipulierten Downloads auch wieder nacheinander ausfuehren kann kommen Trennzeichen zwischen die Dateien
On-the-Fly Binary Patching (Simple)
Noch Fragen? Live-Demo SSL-Strip Austauschen von Links Drive-By-Exploitation