ÜBERWACHUNGS-SOFTWARE Praktisch alle Institutionen und Netzwerke können damit überwacht werden Wird von keiner gängigen Antiviren- oder Firewall-Software erkannt Benutzt keine Schwachstellen und Sicherheitslücken der Systeme Wurde noch nie offen gelegt oder verkauft Für WinXP/Win7/Win8, mit dokumentiertem Source Code und Beratung Jede der Softwarekomponenten kann entsprechend der Kundenbedürfnisse individualisiert und noch weiter ausgebaut (neue Funktionen, weitere OS Unterstützung etc.) werden. Komfortable webbasierte Verwaltung mehrerer gleichzeitiger Überwachungen Komfortable GUI basierte Konfiguration aller Angriffskomponenten Hintergrundinfo zur Software Um was geht es? Wir haben in den vergangenen Jahren umfangreiche Software entwickelt mit der es möglich ist unbemerkt fremde Rechenanlagen zu infiltrieren, dann auf diese zuzugreifen, sie zu überwachen und zu durchsuchen. Wie ist die Software entstanden und warum wurde Sie entwickelt? Die Software wurde privat entwickelt. Zum Teil wurde die Software für Schulungen und Demonstrationen, aber auch für autorisierte Penetration Tests verwendet. Die Software wurde aber nie offengelegt und kam nie illegal zum Einsatz. Sämtliche Rechte an der Software liegen bei uns. Warum verkaufen wir die Software? Die Beschäftigung mit der IT Sicherheit erfordert grosse Verantwortung. Wir haben Freude an den technischen Entwicklungen möchten aber die Verantwortung über unserer Software lieber abgeben um uns wieder vermehrt auf die Technologie konzentrieren zu können. Deshalb möchten wir die Software in sichere Hände verkaufen und das angesammelte Know-How dazu transferieren.
Inside Out Attacken & gezielte Überwachungen Die hier entwickelten Software Komponenten orientieren sich an den drei Phasen einer Inside Out Attacke. Inside Out Attacken wurden ursprünglich entwickelt, um die Kommunikation mit PC s zu ermöglichen, die sich mit einer privaten IP Adresse ohne einen offenen Port hinter einer Firewall befinden. Von aussen (aus dem Internet) können solche Rechner nicht direkt kontaktiert werden. Die Initiale Kontaktaufnahme muss daher der PC selber vornehmen (Inside Out). Die drei Phasen einer solchen Kommunikation sehen wie folgt aus: (1) Software Delivery: Methoden, um die Software einzuschleusen (2) Software Execution: Methoden, die zur erfolgreichen Ausführung beitragen (3) Software Output Delivery: Methoden, die es erlauben, dass gesammelte Daten an den Host zurückgesendet werden. 3 1 2 Entsprechend dieser drei Phasen sind unsere Softwarekomponenten eingeteilt (nicht alle Tools werden hier aufgelistet).
1 SOFTWARE DELIVERY EXE IN JAVA DOWNLOADER (EJD) Thema Ziel Technologie Protokoll Vorraussetzun gen Angriffsszenario Das Tool EJD hat die Aufgabe, ausführbaren Code auf den PC zu bringen. Dieses Tool ermöglicht es, via signiertem Applet sehr einfach jedes beliebige Executable auf einen Webserver zu legen und bspw. in einem Iframe auf der Webseite zu verstecken. Der Benutzer sieht auf der Webseite nur ein Zertifikat, welches er akzeptieren muss. Dannach wird das Exe automatisch innerhalb des Applets von Webserver geladen und beim Client ausgeführt. HTTP oder HTTPS Benötigt einen Webserver, auf welchem die zu kontrollierenden User surfen Link zu Webserver via Skype, Mail oder andere Medien an User versenden. Sobald User auf Webseite das Zertifikat akzeptiert hat, kann die Software nachgeladen werden um die Überwachung zu beginnen. Konfiguration Die Konfiguration erfolgt über ein XML File, welches auf dem Webserver liegt. Das mitgelieferte Zertifikat kann individuell auf eine vertrauenswürdige Institution verweisen. Technische : Windows XP, Windows 7, Windows 8 Mozilla Firefox, Internet Explorer & alle Browser, welche Java installiert haben. Java
TROJAN EXE MACRO BUILDER (TEMB) / BYPASS AV CONTENT FILTER Thema Ziel Technologie Protokoll Vorraussetzungen Angriffsszenario Das Tool TEMB hat die Aufgabe, ausführbaren Code innerhalb eines Microsoft Office Files zu verstecken. Content Filter & Hardening Massnahmen verhindern heute bei manchen Systemen, dass ausführbare Inhalte via Mail auf den PC gelangen. Mit dem TEMB kann man ein bestehendes Binäres Format (bspw. Exe) in ein Office File schreiben (bspw. Word oder Powerpoint), so dass es von keinem Content- oder Virenfilter erkannt wird. Gängige Produkte wie bspw. Mimesweeper können den ausführbaren Inhalt nicht erkennen. In dem automatisch erstellten Word Makro befindet sich reiner ASCII Code. Der Benutzer muss (falls Makros deaktiviert sind) nur noch den Inhalt der Datei aktivieren. Der Inhalt wird dann on the fly wieder kompiliert und automatisch beim Benutzer zur Ausführung gebracht. http, HTTPS, SMTP etc. Benötigt Office 2003 und höher Office File (bspw. Word) via Mail als Attachment versenden. Kann aber auch als Download auf Webserver gelegt werden. Screenshots Das GUI ist sehr einfach zu bedienen: Exe auswählen, dann zu infiltrierendes Office Dokument auswählen, Merge drücken.
Thema Im Word File (Makro) sieht der Code dann wie folgt aus: pro Zeile sieht man die Base64 ASCII Strings, welche am Ende dann wieder zu einem Gesammtblock zusammengefügt werden. Technische : Windows XP, Windows 7, Windows 8 Unterstützt alle Microsoft Office Versionen ab 2003.
CONFIGURABLE TROJAN BUILDER (CTB) Thema Ziel Technologie Angriffsszenario Mittels diesem Tool können beliebige Dateiformate zusammengefügt werden, um sogenannte Trojaner zu bauen. Die dabei verwendete Technologie zielt darauf ab, von keiner Antivirensoftware erkannt zu werden. Die wichtigste Funktion ist aber die GUI basierte Konfiguration aller Tools. So können mit diesem Tool neue Trojaner mit individuellen Settings kompiliert werden, ohne dass man als Betreiber eine Entwicklungsumgebung brauchen würde. Das Tool kann individuelle Profile in einem XML template speichern. Diese template Settings werden innerhalb des EXE s in einen Payload geschrieben. Alle parameter (verwendetes Protokoll, Ziel-IP der Kommandozentrale, zu beschaffende Daten, Schnittstellen zu anderen Programmen, Installationspfade etc.) können hier konfiguriert werden. Screenshots Die folgenden Screenshots zeigen das GUI, mit welchem man die Trojaner erstellen & konfigurieren kann.
Technische : Windows XP, Windows 7, Windows 8 2 EXECUTION & OUTPUT DELIVERY ADVANCED IO KEYLOGGER (AIK) & COMMAND CENTER Thema Ziel Technologie AIK hat die Aufgabe wie auch andere Keylogger die Tastatureingaben des Opfers unsichtbar im Hintergrund zu überwachen und erlaubt es ausserdem interaktiv mit dem System zu kommunizieren bzw. Code nachzuladen. Einige Funktionen machen ihn aber einmalig. Der Keylogger wird weltweit von keiner AV Sofware erkannt (auch keien heuristischen Virenscanner, welche gewisse Methoden erkennen sollten). Der Keylogger ist ein Standalone Exe, welches unter den minimalsten Windows Benutzerrechten läuft. Er muss nur noch über einer der Delivery Methoden (bspw. Word, Java etc.) dem Opfer zugestellt werden. Der Keylogger hat diverse Zusatzloggingmodule bspw. auch die Aufzeichnung der Mauskoordinaten bei jedem Click. So sieht man jede Bildschirm Tastatureingabe mit der Maus. Die wichtigste Funktion liegt in der Übermittlung der Keylogger Daten: diese werden über den Explorer des Opfers in einen Base64 String codiert und an einen mitgelieferten Webserver ins Internet via http POST gesendet. Da der integrierte Browser verwendet wird, können auch allfällige Proxyeinstellungen bzw. Anmeldedaten automatisch mitverwendet werden. Für eine IDS bzw. Firewall ist die Kommunikation nicht von anderen regulären http Anfragen zu unterscheiden. Protokoll Vorraussetzungen Angriffsszenario http & HTTPS sowie MAPI (Exchange) AIK muss auf dem System ausgeführt worden sein (bspw. via Applet, Exploit, Word File etc.). Neben dem AIK client gibt es einen AIK Server (siehe Screenshots unten), welcher für die Remote Kontrolle der PC s eingesetzt wird. Der AIK Webserver kann auf jedem beliebigen IIS Webserver integriert werden. Nachdem AIK auf dem User PC ausgeführt wurde, kann der Angreifer via Web-GUI über einen Reverse http Tunnel mit dem User kommunizieren:
Thema Screenshots AIK wird über die zentrale Webkonsole gesteuert. Nach einem gesicherten Login kann man die gewünschten Funktionen abrufen: Innerhalb der Keylogger Konsole sieht man die verschiedenen Aktivitäten der überwachten PC s. Die Spalten sind nach IP s, Zeitstempel, Applikationsname, Mauskoordinaten & Tastatureingaben aufgeteilt.
Thema Im Menüpunkt Command Logger sieht man auf der ersten Übersichtseite die verbundenen PC s. Mit dem Click auf Manage Commands kann man dann direkt interaktiv mit der Shell kommunizieren. Den Output der Kommandos sieht man dann nach wenigen Sekunden dargestellt. Eine weitere Eigenschaft vom Command Logger ist die Möglichkeit, weiteren Code nachzuladen. Dies kann als Binary Format geschehen. Falls aber auch über den http(s) Kanal ausführbare Inhalte im Download geblockt werden kann die Option Encode as Text gewählt werden. Dies ermöglicht die Konvertierung des ausführbaren Inhaltes in einen Textstring. Innerhalb des Command Loggers wird dieser Text String dann wieder in das binäre Format zurückgeführt und kann gestartet werden.
Thema Technische : Windows XP, Windows 7, Windows 8 Zur Kommunikation mit der Kommandozentrale können folgende Parameter gewählt werden: http https DNS (UDP) SMTP Das SMTP Modul verwendet die MAPI Schnittstelle, um Outlook anzusteuern. Dabei werden die vorkonfigurierten Outlook Parameter (inkl. Exchange Anbindung) verwendet, um Daten ins Internet zu versenden. Für den Benutzer geschieht das unsichtbar mit einer API übersteuern wir die Sicherheitswarnungen von Outlook.
MACRO IO TUNNELING TOOL (MITT) & EXE IO TUNNELING TOOL (EITT) Thema Ziel Bei MITT hat man als Angreifer die Möglichkeit, mit dem GUI in ein Word ein Macro zu verstecken, welches bei Ausführung alle RECENT DOCS des Opferrechners auf einen Remote Web Server via http Post sendet. EITT ist auch wie MITT ein Tunneling Tool, welches die Recent Docs (seit PC Installation) herausliest. Im Gegensatz zu MITT ist diese Version aber getarnt als ein Verschlüsselungprogramm (Executable). Technologie MITT ist ein Tool, welches ein beliebiges Word File in ein Inside Out Tool verwandelt. Das Tool wird von keinem Antivirus erkannt. Es kann alle beliebigen Dateien auf dem Opferrechner oder auch Dateien im angeschlossenen Netzwerk hinausschrieben. Alle Dateien werden dazu via Base64 lokal vom Tool in einen ASCII String verwandelt und mittels dem Windows Explorer über einen einfachen http POST request zum Angreifer befördert. Im Webserver werden die ankommenden ASCII Packete wieder decodiert um zum ursprünglichen Format (z.b. XLS, DOC etc.) zusammengefügt. Für die Benutzerfreundlichkeit kann man dann alle Dateien auf einem gesicherten Webserver ansehen bzw. herunterladen. Bei EITT wird dem Benutzer beim Öffnen der Exe vorgetäuscht, dass eine Office Datei entschlüsselt werden muss. Der User muss ein Passphrase eingeben, welches ein beliebiges Officedokument dann entschlüsselt. Nach dem Entschlüsseln werden im Hintergrund die lokalen & im Netzwerk befindlichen Dateien auf den Remote Webserver geschrieben. Protokoll Vorraussetzungen Angriffsszenario http(s) für die Kommunikation zum Server Bei EITT & MITT werden auch wieder eine zentrale Serverkomponente benötigt. Diese Serverkomponente kann auf einem beliebigen IIS Server installiert werden. Bei MITT kann der Angreifer binnen weniger Sekunden ein beliebiges Word File in ein Angriffstool verwandeln. Das Word File kann dann über beliebige Kanäle an den User versendet werden (Mail, Skype etc.). Screenshots Innerhalb des GUI s kann man sehr einfach das Word Dokument wählen, welches in ein Angriffstool umgewandelt werden soll. Dannach hat man noch die Möglichkeit bestimmte Optionen einzustellen (Typ der Daten, die herausgeschrieben werden sollen, maximale Grösse, Remote IP Adresse des Server, welcher die Daten sammelt).
Thema Das Encryption GUI zeigt aus der Userperspektive die Datei, welche für die Ver-und Entschlüsselung zuständig ist. Das GUI kann beliebig angepasst werden. Die Verschlüsselungsfunktionen sind voll funktionstüchtig. Technische : Windows XP, Windows 7 DNS IO EXE (DIE) Thema Ziel Technologie Protokoll Vorraussetzungen Angriffsszenario DIE ist ein Inside Out Tunneling Tool, welches basierend auf DNS Abfragen (UDP) eine vollständige Interaktion mit dem Angreifer durch die Firewall hindurch (NAT) erlaubt. Das Executable (welches von keinem AV erkannt wird und einmal bei einem Opfer ausgeführt werden muss), hat die Möglichkeit für eine vorher definierte Domäne diverse TXT & A-Record Abfragen durchzuführen. Im A-Record ist in einem ASCII Zeichensatz die Kommunikation versteckt (Bspw. die Anfrage lautet bspw: wer ist chhs668vmi.angreifer.com? Aus dem String chhs668vmi wird auf Angreiferseite wieder das Packet dekodiert und in Klartext übersetzt. Der Angreifer kann mehrere DIE Server über eine Webkonsole im Internet steuern. Auf der Webkonsole gibt er jeweils das Kommando (welches an die lokale Shell übertragen wird) ein und erhält in der Webkonsole kurz danach den Output. Somit hat der Angreifer die Möglichkeit versteckt via DNS interkativ auf den jeweiligen Opfer PC s Kommandos auszuführen. In der jetzigen Version ist das Exe als verschlüsseltes File getarnt. Sobald das Opfer den Schlüssel eingibt, wird ein beliebiges Word File geöffnet. Im Hintergrund beginnt das Tool aber damit die Kommunikation nach aussen zu starten. Für die Kommunikation von User zum Angreifer wird DNS (UDP) verwendet. Der Angreifer verwendet http(s) für die Kommunkation zur Webkonsole, welche die DNS Kommandos steuert. Als Kommandozenter dient ein Apache Webserver. Zusätzlich muss auf Serverseite noch ein DNS Server mittels dem von uns entwickelten Tool gestartet werden. Dieser TunnelServer nimmt die DNS Anfragen entgegen und leitet sie an die webkonsole weiter. DIE kann via Word, Internetdowload, Applet, Mail etc. an den User versendet werden. Nach Ausführung versucht DIE über den lokal konfigurierten Forward DNS Server ins Internet mit dem DNS Server des Angreifers in Kontakt zu treten.
Thema Screenshots Aus Usersicht kann DIE auch wieder als getarntes Verschlüsselungsprogramm eingeschleust werden. Nach Eingabe des Passphrases beginnt DIE zu arbeiten: Auf Serverseite nimmt der in der Shell gestartete Tunnelserver die DNS Anfragen entgegen: In der Webkonsole hat der Angreifer nun die Möglichkeit mehrere PC s zu kontrollieren und Kommandos abzusetzen. Den Output der Kommandos sieht er nach einigen Sekunden innerhalb der Webkonsole.
Thema Auf der Userseite können keine Rückschlüsse auf einen momentan stattfindenen Angriff gemacht werden. Im Sniffer sieht man höchstens ein paar beliebige DNS Queries: Technische : Client: Windows XP, Windows 7 Apache Webserver + Tunnel server