ÜBERWACHUNGS-SOFTWARE



Ähnliche Dokumente
Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Step by Step Webserver unter Windows Server von Christian Bartl

Guide DynDNS und Portforwarding

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Virtual Channel installieren

Leitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0)

IBM Software Demos Tivoli Provisioning Manager for OS Deployment

Tutorial -

MSDE 2000 mit Service Pack 3a

OP-LOG

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

PCC Outlook Integration Installationsleitfaden

Bedienungsanleitung für den SecureCourier

Erste Schritte mit Sharepoint 2013

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Lokale Installation von DotNetNuke 4 ohne IIS

DeltaVision Computer Software Programmierung Internet Beratung Schulung

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Nun klicken Sie im Hauptfenster der -Vewaltung auf den Schriftzug Passwort. Befolgen Sie die entsprechenden Hinweise: 3.

TeamSpeak3 Einrichten

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

COMPUTER MULTIMEDIA SERVICE

Kurzanleitung SEPPmail

Um zu prüfen welche Version auf dem betroffenen Client enthalten ist, gehen Sie bitte wie folgt vor:

ICS-Addin. Benutzerhandbuch. Version: 1.0

Microsoft Office Outlook OMS an SMSCreator anbinden

Daten Sichern mit dem QNAP NetBak Replicator 4.0

Anleitung für den Zugriff auf Mitgliederdateien der AG-KiM

Internet Explorer Version 6

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Firewalls für Lexware Info Service konfigurieren

Version Deutsch In diesem HOWTO wird beschrieben wie Sie Ihren Gästen die Anmeldung über eine SMS ermöglichen.

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

! " # $ " % & Nicki Wruck worldwidewruck

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Herzlich Willkommen bei der nfon GmbH

Wissenswertes über LiveUpdate

Handbuch zum Verschlüsselungsverfahren

Local Control Network Technische Dokumentation

NTR-Support Die neue Fernwartung

INSTALLATION VON INSTANTRAILS 1.7

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-500N/1000N (FW 1.04Bxx).

Installationsanleitung SSL Zertifikat

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Meldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung

Benutzerhandbuch - Anbindung

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

Live Update (Auto Update)

Installation des Zertifikats am Beispiel eines Exchang -Servers. Voraussetzungen. Zertifikate importieren. Outlook-Webaccess

STRATO Mail Einrichtung Microsoft Outlook

Firewalls für Lexware Info Service konfigurieren

Kurzanleitung. Nutzung des Online Office von 1&1. Zusammengestellt:

FTP-Leitfaden RZ. Benutzerleitfaden

ISA Server Exchange RPC over HTTPS mit NTLM-Authentifizierung

Sichern der persönlichen Daten auf einem Windows Computer

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Netzwerk einrichten unter Windows

Umgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten.

Import des persönlichen Zertifikats in Outlook 2003

FrogSure Installation und Konfiguration

TechNote. Produkt: TWINFAX 7.0 (ab CD_24), TWINFAX 6.0 Modul: SMTP, T611, R3 Kurzbeschreibung: Briefpapier- und Mailbodyunterstützung

Outlook Web App 2010 Kurzanleitung

Windows Server 2012 RC2 konfigurieren

Sicherer Datenaustausch zwischen der MPC-Group und anderen Firmen. Möglichkeiten zum Datenaustausch... 2

FTP-Server einrichten mit automatischem Datenupload für

Erste Schritte mit Microsoft Office 365 von Swisscom

FTP Server unter Windows XP einrichten

Diese Anleitung beschreibt das Vorgehen mit dem Browser Internet Explorer. Das Herunterladen des Programms funktioniert in anderen Browsern ähnlich.

Outlook Web Access (OWA) für UKE Mitarbeiter

MSXFORUM - Exchange Server 2003 > Konfiguration NNTP unter Exchange 2003

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27).

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren

FastViewer Remote Edition 2.X

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Persönliches Adressbuch

Clientkonfiguration für Hosted Exchange 2010

GEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY

Internet online Update (Internet Explorer)

NTCS Synchronisation mit Exchange

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

Thomas Wagner 2009 (im Rahmen der TA) Installation von MySQL 5.0 und Tomcat 5.5

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

Step by Step Remotedesktopfreigabe unter Windows Server von Christian Bartl

Tevalo Handbuch v 1.1 vom

Clients in einer Windows Domäne für WSUS konfigurieren

Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista

Über die Internetseite Hier werden unter Download/aktuelle Versionen die verschiedenen Module als zip-dateien bereitgestellt.

etermin Einbindung in Outlook

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

:: Anleitung Hosting Server 1cloud.ch ::

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH

Outlook Express: Einrichtung Account

System-Update Addendum

Transkript:

ÜBERWACHUNGS-SOFTWARE Praktisch alle Institutionen und Netzwerke können damit überwacht werden Wird von keiner gängigen Antiviren- oder Firewall-Software erkannt Benutzt keine Schwachstellen und Sicherheitslücken der Systeme Wurde noch nie offen gelegt oder verkauft Für WinXP/Win7/Win8, mit dokumentiertem Source Code und Beratung Jede der Softwarekomponenten kann entsprechend der Kundenbedürfnisse individualisiert und noch weiter ausgebaut (neue Funktionen, weitere OS Unterstützung etc.) werden. Komfortable webbasierte Verwaltung mehrerer gleichzeitiger Überwachungen Komfortable GUI basierte Konfiguration aller Angriffskomponenten Hintergrundinfo zur Software Um was geht es? Wir haben in den vergangenen Jahren umfangreiche Software entwickelt mit der es möglich ist unbemerkt fremde Rechenanlagen zu infiltrieren, dann auf diese zuzugreifen, sie zu überwachen und zu durchsuchen. Wie ist die Software entstanden und warum wurde Sie entwickelt? Die Software wurde privat entwickelt. Zum Teil wurde die Software für Schulungen und Demonstrationen, aber auch für autorisierte Penetration Tests verwendet. Die Software wurde aber nie offengelegt und kam nie illegal zum Einsatz. Sämtliche Rechte an der Software liegen bei uns. Warum verkaufen wir die Software? Die Beschäftigung mit der IT Sicherheit erfordert grosse Verantwortung. Wir haben Freude an den technischen Entwicklungen möchten aber die Verantwortung über unserer Software lieber abgeben um uns wieder vermehrt auf die Technologie konzentrieren zu können. Deshalb möchten wir die Software in sichere Hände verkaufen und das angesammelte Know-How dazu transferieren.

Inside Out Attacken & gezielte Überwachungen Die hier entwickelten Software Komponenten orientieren sich an den drei Phasen einer Inside Out Attacke. Inside Out Attacken wurden ursprünglich entwickelt, um die Kommunikation mit PC s zu ermöglichen, die sich mit einer privaten IP Adresse ohne einen offenen Port hinter einer Firewall befinden. Von aussen (aus dem Internet) können solche Rechner nicht direkt kontaktiert werden. Die Initiale Kontaktaufnahme muss daher der PC selber vornehmen (Inside Out). Die drei Phasen einer solchen Kommunikation sehen wie folgt aus: (1) Software Delivery: Methoden, um die Software einzuschleusen (2) Software Execution: Methoden, die zur erfolgreichen Ausführung beitragen (3) Software Output Delivery: Methoden, die es erlauben, dass gesammelte Daten an den Host zurückgesendet werden. 3 1 2 Entsprechend dieser drei Phasen sind unsere Softwarekomponenten eingeteilt (nicht alle Tools werden hier aufgelistet).

1 SOFTWARE DELIVERY EXE IN JAVA DOWNLOADER (EJD) Thema Ziel Technologie Protokoll Vorraussetzun gen Angriffsszenario Das Tool EJD hat die Aufgabe, ausführbaren Code auf den PC zu bringen. Dieses Tool ermöglicht es, via signiertem Applet sehr einfach jedes beliebige Executable auf einen Webserver zu legen und bspw. in einem Iframe auf der Webseite zu verstecken. Der Benutzer sieht auf der Webseite nur ein Zertifikat, welches er akzeptieren muss. Dannach wird das Exe automatisch innerhalb des Applets von Webserver geladen und beim Client ausgeführt. HTTP oder HTTPS Benötigt einen Webserver, auf welchem die zu kontrollierenden User surfen Link zu Webserver via Skype, Mail oder andere Medien an User versenden. Sobald User auf Webseite das Zertifikat akzeptiert hat, kann die Software nachgeladen werden um die Überwachung zu beginnen. Konfiguration Die Konfiguration erfolgt über ein XML File, welches auf dem Webserver liegt. Das mitgelieferte Zertifikat kann individuell auf eine vertrauenswürdige Institution verweisen. Technische : Windows XP, Windows 7, Windows 8 Mozilla Firefox, Internet Explorer & alle Browser, welche Java installiert haben. Java

TROJAN EXE MACRO BUILDER (TEMB) / BYPASS AV CONTENT FILTER Thema Ziel Technologie Protokoll Vorraussetzungen Angriffsszenario Das Tool TEMB hat die Aufgabe, ausführbaren Code innerhalb eines Microsoft Office Files zu verstecken. Content Filter & Hardening Massnahmen verhindern heute bei manchen Systemen, dass ausführbare Inhalte via Mail auf den PC gelangen. Mit dem TEMB kann man ein bestehendes Binäres Format (bspw. Exe) in ein Office File schreiben (bspw. Word oder Powerpoint), so dass es von keinem Content- oder Virenfilter erkannt wird. Gängige Produkte wie bspw. Mimesweeper können den ausführbaren Inhalt nicht erkennen. In dem automatisch erstellten Word Makro befindet sich reiner ASCII Code. Der Benutzer muss (falls Makros deaktiviert sind) nur noch den Inhalt der Datei aktivieren. Der Inhalt wird dann on the fly wieder kompiliert und automatisch beim Benutzer zur Ausführung gebracht. http, HTTPS, SMTP etc. Benötigt Office 2003 und höher Office File (bspw. Word) via Mail als Attachment versenden. Kann aber auch als Download auf Webserver gelegt werden. Screenshots Das GUI ist sehr einfach zu bedienen: Exe auswählen, dann zu infiltrierendes Office Dokument auswählen, Merge drücken.

Thema Im Word File (Makro) sieht der Code dann wie folgt aus: pro Zeile sieht man die Base64 ASCII Strings, welche am Ende dann wieder zu einem Gesammtblock zusammengefügt werden. Technische : Windows XP, Windows 7, Windows 8 Unterstützt alle Microsoft Office Versionen ab 2003.

CONFIGURABLE TROJAN BUILDER (CTB) Thema Ziel Technologie Angriffsszenario Mittels diesem Tool können beliebige Dateiformate zusammengefügt werden, um sogenannte Trojaner zu bauen. Die dabei verwendete Technologie zielt darauf ab, von keiner Antivirensoftware erkannt zu werden. Die wichtigste Funktion ist aber die GUI basierte Konfiguration aller Tools. So können mit diesem Tool neue Trojaner mit individuellen Settings kompiliert werden, ohne dass man als Betreiber eine Entwicklungsumgebung brauchen würde. Das Tool kann individuelle Profile in einem XML template speichern. Diese template Settings werden innerhalb des EXE s in einen Payload geschrieben. Alle parameter (verwendetes Protokoll, Ziel-IP der Kommandozentrale, zu beschaffende Daten, Schnittstellen zu anderen Programmen, Installationspfade etc.) können hier konfiguriert werden. Screenshots Die folgenden Screenshots zeigen das GUI, mit welchem man die Trojaner erstellen & konfigurieren kann.

Technische : Windows XP, Windows 7, Windows 8 2 EXECUTION & OUTPUT DELIVERY ADVANCED IO KEYLOGGER (AIK) & COMMAND CENTER Thema Ziel Technologie AIK hat die Aufgabe wie auch andere Keylogger die Tastatureingaben des Opfers unsichtbar im Hintergrund zu überwachen und erlaubt es ausserdem interaktiv mit dem System zu kommunizieren bzw. Code nachzuladen. Einige Funktionen machen ihn aber einmalig. Der Keylogger wird weltweit von keiner AV Sofware erkannt (auch keien heuristischen Virenscanner, welche gewisse Methoden erkennen sollten). Der Keylogger ist ein Standalone Exe, welches unter den minimalsten Windows Benutzerrechten läuft. Er muss nur noch über einer der Delivery Methoden (bspw. Word, Java etc.) dem Opfer zugestellt werden. Der Keylogger hat diverse Zusatzloggingmodule bspw. auch die Aufzeichnung der Mauskoordinaten bei jedem Click. So sieht man jede Bildschirm Tastatureingabe mit der Maus. Die wichtigste Funktion liegt in der Übermittlung der Keylogger Daten: diese werden über den Explorer des Opfers in einen Base64 String codiert und an einen mitgelieferten Webserver ins Internet via http POST gesendet. Da der integrierte Browser verwendet wird, können auch allfällige Proxyeinstellungen bzw. Anmeldedaten automatisch mitverwendet werden. Für eine IDS bzw. Firewall ist die Kommunikation nicht von anderen regulären http Anfragen zu unterscheiden. Protokoll Vorraussetzungen Angriffsszenario http & HTTPS sowie MAPI (Exchange) AIK muss auf dem System ausgeführt worden sein (bspw. via Applet, Exploit, Word File etc.). Neben dem AIK client gibt es einen AIK Server (siehe Screenshots unten), welcher für die Remote Kontrolle der PC s eingesetzt wird. Der AIK Webserver kann auf jedem beliebigen IIS Webserver integriert werden. Nachdem AIK auf dem User PC ausgeführt wurde, kann der Angreifer via Web-GUI über einen Reverse http Tunnel mit dem User kommunizieren:

Thema Screenshots AIK wird über die zentrale Webkonsole gesteuert. Nach einem gesicherten Login kann man die gewünschten Funktionen abrufen: Innerhalb der Keylogger Konsole sieht man die verschiedenen Aktivitäten der überwachten PC s. Die Spalten sind nach IP s, Zeitstempel, Applikationsname, Mauskoordinaten & Tastatureingaben aufgeteilt.

Thema Im Menüpunkt Command Logger sieht man auf der ersten Übersichtseite die verbundenen PC s. Mit dem Click auf Manage Commands kann man dann direkt interaktiv mit der Shell kommunizieren. Den Output der Kommandos sieht man dann nach wenigen Sekunden dargestellt. Eine weitere Eigenschaft vom Command Logger ist die Möglichkeit, weiteren Code nachzuladen. Dies kann als Binary Format geschehen. Falls aber auch über den http(s) Kanal ausführbare Inhalte im Download geblockt werden kann die Option Encode as Text gewählt werden. Dies ermöglicht die Konvertierung des ausführbaren Inhaltes in einen Textstring. Innerhalb des Command Loggers wird dieser Text String dann wieder in das binäre Format zurückgeführt und kann gestartet werden.

Thema Technische : Windows XP, Windows 7, Windows 8 Zur Kommunikation mit der Kommandozentrale können folgende Parameter gewählt werden: http https DNS (UDP) SMTP Das SMTP Modul verwendet die MAPI Schnittstelle, um Outlook anzusteuern. Dabei werden die vorkonfigurierten Outlook Parameter (inkl. Exchange Anbindung) verwendet, um Daten ins Internet zu versenden. Für den Benutzer geschieht das unsichtbar mit einer API übersteuern wir die Sicherheitswarnungen von Outlook.

MACRO IO TUNNELING TOOL (MITT) & EXE IO TUNNELING TOOL (EITT) Thema Ziel Bei MITT hat man als Angreifer die Möglichkeit, mit dem GUI in ein Word ein Macro zu verstecken, welches bei Ausführung alle RECENT DOCS des Opferrechners auf einen Remote Web Server via http Post sendet. EITT ist auch wie MITT ein Tunneling Tool, welches die Recent Docs (seit PC Installation) herausliest. Im Gegensatz zu MITT ist diese Version aber getarnt als ein Verschlüsselungprogramm (Executable). Technologie MITT ist ein Tool, welches ein beliebiges Word File in ein Inside Out Tool verwandelt. Das Tool wird von keinem Antivirus erkannt. Es kann alle beliebigen Dateien auf dem Opferrechner oder auch Dateien im angeschlossenen Netzwerk hinausschrieben. Alle Dateien werden dazu via Base64 lokal vom Tool in einen ASCII String verwandelt und mittels dem Windows Explorer über einen einfachen http POST request zum Angreifer befördert. Im Webserver werden die ankommenden ASCII Packete wieder decodiert um zum ursprünglichen Format (z.b. XLS, DOC etc.) zusammengefügt. Für die Benutzerfreundlichkeit kann man dann alle Dateien auf einem gesicherten Webserver ansehen bzw. herunterladen. Bei EITT wird dem Benutzer beim Öffnen der Exe vorgetäuscht, dass eine Office Datei entschlüsselt werden muss. Der User muss ein Passphrase eingeben, welches ein beliebiges Officedokument dann entschlüsselt. Nach dem Entschlüsseln werden im Hintergrund die lokalen & im Netzwerk befindlichen Dateien auf den Remote Webserver geschrieben. Protokoll Vorraussetzungen Angriffsszenario http(s) für die Kommunikation zum Server Bei EITT & MITT werden auch wieder eine zentrale Serverkomponente benötigt. Diese Serverkomponente kann auf einem beliebigen IIS Server installiert werden. Bei MITT kann der Angreifer binnen weniger Sekunden ein beliebiges Word File in ein Angriffstool verwandeln. Das Word File kann dann über beliebige Kanäle an den User versendet werden (Mail, Skype etc.). Screenshots Innerhalb des GUI s kann man sehr einfach das Word Dokument wählen, welches in ein Angriffstool umgewandelt werden soll. Dannach hat man noch die Möglichkeit bestimmte Optionen einzustellen (Typ der Daten, die herausgeschrieben werden sollen, maximale Grösse, Remote IP Adresse des Server, welcher die Daten sammelt).

Thema Das Encryption GUI zeigt aus der Userperspektive die Datei, welche für die Ver-und Entschlüsselung zuständig ist. Das GUI kann beliebig angepasst werden. Die Verschlüsselungsfunktionen sind voll funktionstüchtig. Technische : Windows XP, Windows 7 DNS IO EXE (DIE) Thema Ziel Technologie Protokoll Vorraussetzungen Angriffsszenario DIE ist ein Inside Out Tunneling Tool, welches basierend auf DNS Abfragen (UDP) eine vollständige Interaktion mit dem Angreifer durch die Firewall hindurch (NAT) erlaubt. Das Executable (welches von keinem AV erkannt wird und einmal bei einem Opfer ausgeführt werden muss), hat die Möglichkeit für eine vorher definierte Domäne diverse TXT & A-Record Abfragen durchzuführen. Im A-Record ist in einem ASCII Zeichensatz die Kommunikation versteckt (Bspw. die Anfrage lautet bspw: wer ist chhs668vmi.angreifer.com? Aus dem String chhs668vmi wird auf Angreiferseite wieder das Packet dekodiert und in Klartext übersetzt. Der Angreifer kann mehrere DIE Server über eine Webkonsole im Internet steuern. Auf der Webkonsole gibt er jeweils das Kommando (welches an die lokale Shell übertragen wird) ein und erhält in der Webkonsole kurz danach den Output. Somit hat der Angreifer die Möglichkeit versteckt via DNS interkativ auf den jeweiligen Opfer PC s Kommandos auszuführen. In der jetzigen Version ist das Exe als verschlüsseltes File getarnt. Sobald das Opfer den Schlüssel eingibt, wird ein beliebiges Word File geöffnet. Im Hintergrund beginnt das Tool aber damit die Kommunikation nach aussen zu starten. Für die Kommunikation von User zum Angreifer wird DNS (UDP) verwendet. Der Angreifer verwendet http(s) für die Kommunkation zur Webkonsole, welche die DNS Kommandos steuert. Als Kommandozenter dient ein Apache Webserver. Zusätzlich muss auf Serverseite noch ein DNS Server mittels dem von uns entwickelten Tool gestartet werden. Dieser TunnelServer nimmt die DNS Anfragen entgegen und leitet sie an die webkonsole weiter. DIE kann via Word, Internetdowload, Applet, Mail etc. an den User versendet werden. Nach Ausführung versucht DIE über den lokal konfigurierten Forward DNS Server ins Internet mit dem DNS Server des Angreifers in Kontakt zu treten.

Thema Screenshots Aus Usersicht kann DIE auch wieder als getarntes Verschlüsselungsprogramm eingeschleust werden. Nach Eingabe des Passphrases beginnt DIE zu arbeiten: Auf Serverseite nimmt der in der Shell gestartete Tunnelserver die DNS Anfragen entgegen: In der Webkonsole hat der Angreifer nun die Möglichkeit mehrere PC s zu kontrollieren und Kommandos abzusetzen. Den Output der Kommandos sieht er nach einigen Sekunden innerhalb der Webkonsole.

Thema Auf der Userseite können keine Rückschlüsse auf einen momentan stattfindenen Angriff gemacht werden. Im Sniffer sieht man höchstens ein paar beliebige DNS Queries: Technische : Client: Windows XP, Windows 7 Apache Webserver + Tunnel server

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback