In diesem Artikel werfe ich ein Licht auf die Beweiskraft von gespeicherten IP-Adressen, die immer wieder gerne als Beweis für den willentlichen Besuch einer Webseite herangezogen werden. Weiterhin demonstriere ich “live”, wie mithilfe eines Trojaners ein fremder Internetzugang gekapert wird.
In diesem Post geht es ausnahmsweise nicht um Geocachen oder PqDL, sondern um eine Thema, mit dem ich mich in letzter Zeit intensiv beschäftigt habe. Die dabei gewonnenen Erkenntnisse sind es wert, veröffentlicht zu werden.
Man hört ja immer wieder Diskussion darüber, ob eine IP-Adresse ein Beweis für eine Straftat ist, wie fälschungssicher sie ist und ob sie den schützenswerten persönlichen Daten zuzurechnen ist. Und ob man sich strafbar macht, wenn man auf seiner Homepage Google Analytics einbindet, und somit die IP-Adresse Google zugänglich macht.
Die Frage, inwiefern man eine IP-Adresse speichern darf, kann und sollte, ist aber gar nicht das Thema dieses Artikels, sondern ein viel interessanteres – was taugen diese IP-Adressen eigentlich als Beweismittel? Und wie lassen sie sich manipulieren? Kann man diesen “Beweis” fälschen?
Hinweis: Das folgende Angriffsszenario ist kein “akademischer Angriff” und kein theoretisches Proof-of-Concept. Der hier dargestellt Angriffsweg wird aktiv ausgenutzt, in der entsprechenden “Szene” sind solche Taktiken zur Verschleierung der eigenen Identität Gang und Gäbe. Die hier dargestellten Programme sind öffentlich verfügbar, und jeder, der sich auch nur oberflächlich mit der Materie auseinandersetzt, wird zwangsläufig darauf stoßen. (auch wenn ich hier natürlich nicht darauf linken werde)
IP-Adressen sind sozusagen Postanschriften für Internetteilnehmer. Jedes Datenpaket enthält Absender- und Empfängeradresse, und beide Kommunikationsteilnehmer erfahren zwangsweise die IP-Adresse der jeweiligen Gegenstellen. Was diese Adressen zu (potentiellen) Beweismitteln macht, ist die Tatsache, dass die meisten Internetprovider sogenannte dynamische IP-Adressen vergeben.
Anstatt jedem Internetteilnehmer (und damit Kunden) eine feste Adresse zuzuteilen, haben die Anbieter einen großen Pool an Adressen, die sie einem Kunden bei der Einwahl zuteilen. Auch wenn die Verbindung nicht getrennt wird, weisen die meisten Anbieter trotzdem nach einem Tag eine neue IP-Adresse zu, indem sie die Verbindung kurz trennen.
Die Beweiskraft hierbei ergibt sich durch die Tatsache, dass die Internetanbieter eine begrenzte Zeit lang speichern, welchem Kunden sie welche Adresse zugeteilt haben und wann. Im Falle eines Verdachts kann ein Richter die Herausgabe der zur IP-Adresse gehörenden Identität anordnen. Hier ergibt sich das erste Problem – die Beweiskraft der IP-Adressen hängt von der Zuverlässigkeit der Logdateien der Anbieter ab, die gar nicht unabhängig überprüft geschweigedenn der Fall ausgeschlossen werden kann, dass bei dieser Zuordnung Fehler auftreten.
Das zweite Problem lässt sich schon erahnen – die technische Zuverlässigkeit und Fälschungssicherheit der Daten. Wer garantiert, dass nicht aufgrund Fehler in der Systemkonstruktion die IP-Adresse anderer Kunden, absichtlich oder nicht, zu eigenen Zwecken missbraucht werden kann? Es gab schon Fälle, in denen es erwiesenermaßen möglich war, fremde IP-Adressen zu kapern.
Was viele nicht wissen, ist, dass dazu gar nicht erst Fehler seitens der DSL-Anbieter nötig sind, und entsprechende Möglichkeiten aktiv von Cyberkriminellen ausgenutzt werden. Demonstration gefällig?
Der hier dargestellte Angriff ist der einfachste mögliche Angriff mit öffentlichen Programmen, es sind teilweise noch leistungsfähigere Programme und noch komplexere, schwerer zurückzuverfolgende Angriffe möglich.
Die hier dargestellten Taktiken sind schon lange bekannt, und ich gehe davon aus, dass auf diese Art und Weise durchaus schon Unschuldige zu Schaden gekommen sind.
Die Taktik ist im Prinzip simpel – ein Angreifer schiebt seinem Opfer einen Trojaner unter, der es dem Angreifer ermöglicht, eine Internet-Verbindung mit dessen Computer herzustellen, ohne dass die Zielperson auch nur im Entferntesten damit rechnet oder Verdacht schöpft. Der vor Gericht so gerne erwähnte Schutz des eigenen Computers mittels Antivirus und Firewall kann diese Attacken nicht verhindern und führt höchstens zu einem trügerischen Gefühl der Sicherheit beim Anwender. Die Virenentwickler sind den Antivirenfirmen meistens um die ein bis zwei Wochen voraus, genug Zeit, um eine Attacke erfolgreich abzuschließen, ohne jegliche Spuren zu hinterlassen. Es ist dem Normalanwender praktisch unmöglich, einen solchen Angriff zu verhindern, auch nicht, wenn er nur Dateien aus bekannten Quellen öffnet. Gegen einen zielgerichteten Angriff auf eine Person kann man sich praktisch nicht wehren, sofern man keine tiefgehenderen Informatikkenntnisse sein Eigen nennt. Der Aufwand für einen Normalanwender, sich zuverlässig vor solchen Angriffen zu schützen (was praktisch unmöglich ist), ist nicht zumutbar.
Es ist dringend nötig, über die derzeitigen Praktiken nachzudenken.
Mit dem unten beschriebenen Angriffweg ist es möglich, die Internetverbindung des Angegriffenen zu missbrauchen und Dateien auf seinem Computer abzulegen, ohne irgendeine Spur auf dem Computer zu hinterlassen, die auch nur im Entferntesten zur Entlastung dienen könnte.
Es wäre ohne Weiteres möglich, auf diese Art und Weise einer Zielperson Kinderpornographie unterzuschieben, und diese dann anzuzeigen. Selbst bei einer eingehenden forensischen Untersuchung des Computers können die Spuren vorher so gründlich vernichtet werden, dass der Zugriff praktisch nicht bewiesen werden kann. Der fälschlich Beschuldete wird keinen Beweis zur Hand haben, dass er die Informationen nicht selber untergebracht hat.
Es existieren zwar Möglichkeiten, die Warscheinlichkeit eines erfolgreichen Angriffs deutlich zu verringern (dazu gehören Antivirusprogramm, regelmäßige Updates und Vorsicht und auch die Verwendung eines weniger im Kreuzfeuer stehenden Betriebssystems wie Linux), aber man kann einen Angriff nie ausschließen und die Warscheinlichkeit, dass ein Angriff trotz aller Vorsichtsmaßnahmen gelingt, ist nicht zu unterschätzen. Ein Beispielszenario wäre, dass eine beliebte Internetseite gehackt wird, und dann ein sogenannter Exploit eingesetzt wird, um Besucher dieser Seite anhand einer noch nicht bekannten Sicherheitslücke in ihrem System zu infizieren. Solche sogenannten Zero-Day-Exploits sind in kriminellen Kreisen im Umlauf, und es ist damit zu rechnen, dass jetzt, im Moment, noch nicht bekannte und nicht behobene Sicherheitslücken in Windows von Crackern gefunden und für viel Geld über dem virtuellen Ladentisch gehen.
In Stuxnet waren beispielsweise vier (!!!) solcher Lücken enthalten, die Microsoft zu dem Zeitpunkt weder kannte noch behoben hatte. Wie hoch ist die Warscheinlichkeit, dass diese Lücken nicht nur die Spitze des Eisberges sind?
Gegen einen solchen Angriff kann man wenig tun. In einem solchen Fall wäre der verwendete Trojaner so modifiziert, dass ihn kein Antivirusprogramm erkennen, geschweigedenn entfernen kann. Hierzu nötige Programme werden in entsprechenden Kreisen für zwei- bis dreistellige Summen verkauft. Weiterhin würde der Trojaner ein Rootkit installieren, der den Virus vor den meisten Diagnoseprogrammen und den Blicken des Angreifers versteckt, und die Infektion würde über eine vertrauenswürdige Seite erfolgen. Auch wenn der Benutzer alles richtig macht – Antivirus, Firewall, nur vertrauenswürdige Seiten besuchen, Updates – er hat trotzdem keine Chance. Der Angreifer kann mit seinem Computer belibige Straftaten ausführen und hinterher alle Spuren sauber entfernen, so dass nichts darauf schließen lässt, dass der Besitzer unschuldig ist. Ein solches Szenario ist kein Worst Case, sondern tritt immer wieder auf. Der Aufwand ist meistens noch deutlich geringer, schon einfache Angriffe, wie ich sie hier präsentieren werde, führen meist zum Ziel. Das ist ein Problem. Ich weiß nicht, was die Lösung ist, aber ich kann zumindest das Problem aufzeigen.
Ich rate von Nachahmungen der hier gezeigten Angriffe ab, weil man sich im Zweifel strafbar macht und riskiert, selber einen Trojaner untergeschoben zu bekommen. Die Namen der Programme habe ich natürlich verwischt, die Brisanz des Problems sollte trotzdem zu erkennen sein. Das hier sollte nicht als Anleitung aufgefasst werden (und ist als Anleitung auch nicht zu gebrauchen, da Detailinformationen fehlen und für den realen Einsatz wichtige Punkte ausgespart wurden).
Für einen erfolgreichen Angriff muss man zuerst einen geeigneten Trojaner finden. Dann muss man diesen so verschlüsseln, dass ein Antivirusprogramm ihn nicht mehr erkennt. Wenn diese Hürde überwunden ist, muss als nächstes der Trojaner auf den Zielcomputer gebracht werden. Wenn auch dies gelungen ist, kann man den Zielcomputer für eigene Zwecke missbrauchen und hinterher alle Spuren beseitigen. Die gehackte Webseite, eventuell heruntergeladene Dateien und den Trojaner selber – man kann alles auf eine Art und Weise löschen, dass keine Spuren übrig bleiben, die auf einen Angriff, geschweigedenn den Täter schließen lassen.
Hier die Schritte zum erwünschten Ziel:
Auswahl der benötigten Programme
In diesem Fall benötigen wir einen sogenannten Trojaner bzw. eine Backdoor. Das ist ein Programm, das im Hintergrund eine Verbindung zum Angreifer aufbaut und auf Befehle wartet. In diesem Fall verwende ich ein sogenanntes RAT, das steht für Remote Administration Toolkit. Der harmlose Name soll davon ablenken, dass man damit auch Rechner “administrieren” kann, deren Besitzer damit sicher nicht einverstanden sind. (es gibt übrigens tatsächlich legale Einsatzzwecke für solche Programme, ein echter Systemadministrator kann damit recht effizient Rechner aus der Ferne konfigurieren; manche RATs haben auch die Funktion, explizit auf sich aufmerksam zu machen). Der Haupteinsatzzweck dieser Programme ist trotzdem, da gibt es nichts zu beschönigen, der unautorisierte Zugriff auf fremde Computer.
Ein solches RAT wurde auch in der China-Spionageaffäre verwendet, als die chinesische Regierung Trojaner auf den Rechnern von Regierungen weltweit zu installierte. (übrigens auch das oben beschriebene Szenario, der Angriff fand mittels eines Zero-Day-Exploits für Adobe Reader statt).
Das Programm das ich verwenden werde, ist ein recht unbekannter Vertreter dieser Gattung, der sich – neben Standardfunktionen wie das Überwachen von Bildschirm, Webcam, Tastatur und Mikrofon – eine besondere Funktion mit einigen anderen Trojanern seiner Klasse teilt: er ermöglicht, auf dem entfernten Rechner einen sogenannten Proxy einzurichten, der Internetanfragen entgegennimmt und weiterleitet. Damit kann man die Internetverbindung des infizierten Rechners mitnutzen.
Da die meisten Rechner heute nicht direkt mit dem Internet verbunden, sondern hinter einem Router abgeschirmt sind, kann der Trojaner von seiner Seite aus eine Verbindung direkt zum Angreifer herstellen. Dadurch entfällt die Notwendigkeit, auf den Rechner vom Internet aus zuzugreifen. Im Übrigen sind einige Trojaner, so auch der von mit hier eingesetzte, in der Lage, auf diese Art und Weise auf Netzwerkdienste auf dem Rechner zuzugreifen. Das funktioniert natürlich auch für den Proxyserver, was es mir als Angreifer ermöglicht, die fremde Verbindung bequem mit meinem eigenen Browser zu verwenden.
Soll heißen: diese neue Gattung von sogenannten Reverse-Connection-Trojanern funktioniert auch hinter fetten (Corporate-)Firewalls (auch wenn die professionellen Systeme die meisten simplen Angriffsversuche blockieren).
Des weiteren brauchen wir einen Crypter. Nahezu alle bekannten Trojanerbaukästen werden von den großen Antivirusprogrammen wir Nod32 und Kaspersky erkannt. Aufgrund der hohen Verbreitung von Antivirenlösungen kann man solche öffentlichen Trojaner nicht direkt verwenden.
Allerdings stellen die Antivirenprogramme die “bad boys” nicht wirklich vor Probleme: die Szene hat das Problem effektiv mit sogenannten Cryptern behoben. Das sind kleine Programme, die einen Trojaner verschlüsseln. Die Crypter selber werden sehr oft verändert, um zu verhindern, dass sie von Antivirenprogrammen erkannt werden. Es gibt Hunderte Crypter auf dem Markt, die manchmal täglich Updates bekommen. Aufgrund der schieren Menge und der Tatsache, dass der Großteil der Crypter teils für hohe Summen und nur in geschlossenen Kreises verkauft wird, ist es für die Antivirenfirmen sehr schwer, Schritt zu halten. Die durchschnittliche Zeitspanne zwischen dem Erscheinen einer neuen Version des Crypters und dem Erkennen durch Antivirenprogrammen beträgt, wie schon erwähnt, circa zwei Wochen. Das ist viel Zeit, vor allem, da man ja den Trojaner “im Betrieb” updaten kann, um diese Zeitspanne zu verlängern.
Aus diesem Grund sind Antivirenprogramme praktisch nutzlos. Auch die verhaltensbasierte Erkennung wird von den Malwareprogrammieren routinemäßig umgangen.
Die meisten Trojaner und Crypter verwenden eine Technik namens Runtime-Injection. Das bedeutet, dass der Virus nach dem Entschlüsseln nirgendwo gespeichert wird, und auch die Echtzeitscanner der Antivirenprogramme nichts finden können. Der dabei verwendete Trick ist so simpel wie genial. Man kann in andere Prozesse in Windows Module einschleusen und in deren Kontext ausführen. Diese Technik wird von sehr vielen Anwendungen verwendet, selbst von den Antivirenprogrammen selber. Crypter auf dem heutigen Stand der Technik schleusen den entschlüsselten Virus direkt in ein anderes Programm ihrer Wahl ein, meistens den Standardbrowser. Das bedeutet, dass die Viren nicht in der Prozessliste erscheinen - und vor allem, dass sie im Kontext des gekaperten Prozesses ausgeführt werden. Das bedeutet, dass Trojaner dann zum Beispiel Firefox missbrauchen, um ihre Verbindungen zu tarnen. Für den Benutzer und für die Firewall sieht es so aus, als wenn die Verbindungen vom Firefox ausgingen. Und wer würde schon seinem Browser den Zugang zum Internet verwehren oder misstrauisch werden, wenn dieser sich zum Internet verbindet?
Aus diesem Grund sind auch Firewalls praktisch nutzlos. Die wenigen Firewall-Lösungen, die unter Umständen diese Technik erkennen, sind für den Normalbenutzer nicht brauchbar, da sie für fast jede Aktion auf dem System Bestätigung einholen. Aber selbst diese Firewalls sind leicht zu umgehen, entsprechende Funktionen sind ebenfalls Standardausrüstung.
Manche Crypter sind gleichzeitig auch noch ein Binder: mit diesem kann man den Trojaner an ein echtes Programm binden. Das bedeutet, dass man ein Programm “klonen” kann, mit dem Effekt, dass es aussieht wie das Original, und das Gleiche macht wie das Original, mit dem Unterschied, dass es zusätzlich noch den Standardbrowser um ein (bösartiges) Modul erweitert.
Manche Binder sind inzwischen so ausgeklügelt, dass sie erkennen, wenn man sie in einem Analysesystem wie VirtualBox, VMWare, Sandboxie oder Onlinediensten wie Anubis oder ThreadFire ausführt. Diese Dienste sollen eigentlich vor genau diesem Angriff schützen, indem sie analysieren, was genau das Programm macht.
In einer solchen Sandbox könnte man auch den Versuch der Browsermanipulation entdecken – wenn die Malwareentwickler nicht auf die Idee gekommen wären, nur das echte Programm auszuführen, wenn man versucht, die kombinierte Datei zu untersuchen. Der Trojaner wird nur dann gestartet, wenn der Binder sich sicher ist, mit keinen Analyseversuchen rechnen zu müssen. Mit dieser Technik werden auch erfahrene Benutzer oft hinters Licht geführt, ich selber bin solchen Techniken auch schon zum Opfer gefallen.
Der Kostenpunkt für einen Crypter/Binder liegt zwischen 50$-100$, das Angebot ist riesig, wenn man weiß, wo man suchen muss.
Wenn ich jetzt noch verhindern will, entdeckt zu werden, besorge ich mir einen Forwarding Proxy. Das ist ein (meistens in Ländern wie Russland stationierter) Server, der Anfragen entgegennimmt und an den Hacker weiterleitet. Im Falle einer Entdeckung des Angriffs müssten die Ermittlungsbehörden erst den Anbieter des Proxys dazu zwingen, die Adresse des Angreifers herauszurücken. Die Chancen auf Erfolg sind aber sehr gering, weil die Anbieter meistens nicht kooperieren da sie anonym agieren und so keine Verfolgung befürchten müssen. Die meisten Proxyanbieter speichern die Adressen ihrer Kunden sowieso nicht, um diese im Falle einer Beschlagnahmung trotzdem geheim zu halten. Aus diesem Grund ist auch ein Zurüclverfolgen der Angreifer meist zwecklos, erst recht, wenn diese mehrere Proxys hintereinander verwenden. (übrigens nicht zu verwechseln mit normalen Proxys, die ausgehende Verbindungen verschleiern, der hier besprochene Typ verschleiert Verbindungen zum Angreifer).
Damit wäre die Ausrüstung komplett, die Demonstration kann beginnen!
Konfiguration der Programme
Zuerst muss das RAT konfiguriert werden. Für den Test verwende ich eine virtuelle Maschine, die mit dem gleichen Netzwerk wie mein Rechner verbunden ist. Mein Computer hat die IP-Adresse 192.168.2.1 und die VM 192.168.3.229.
In meinem RAT muss ich jetzt den sogenannten Server erstellen. Das ist das Programm, das auf den Zielrechner geschmuggelt wird, und welches dann eine Verbindung zu mir herstellt. Ich teste hier zwar im lokalen Netzwerk, die Vorgehensweise lässt sich aber unverändert auf das Internet übertragen, nur dass noch Maßnahmen getroffen werden müssen, um die Verbindung auf meinen Rechner zu leiten.
In diesem Dialog stelle ich die Adresse ein, zu der sich der Server verbinden soll:
Als nächstes wird eingestellt, wie und ob sich der Server auf dem Rechner einnistet. In diesem Fall habe ich alle Optionen deaktiviert, bis auf die Injection-Funktion, die den Server in den Standardbrowser schmuggelt.
Ich könnte noch Optionen aktivieren, die dafür sorgen, dass der Server einen Rechnerneustart überlebt, aber genau das ist unerwünscht, weil es mehr Spuren hinterlassen würde.
Die weiteren Optionen sind nicht relevant. Am Ende des Prozesses hier bekomme ich eine Server.exe, die, wenn ausgeführt, eine Verbindung zu meinem Rechner herstellt.
Der so entstandene Server wird natürlich von den meisten Antivirenprogrammen erkannt, ist also unbrauchbar in der Praxis. Es gibt spezielle Internetseiten wie VirusTotal, die eine Datei mit mehreren Dutzend aktuellen Virenscannern untersuchen. VirusTotal leitet allerdings alle gescannten Dateien an die Antivirenhersteller weiter, eignet sich also nicht für Hacker, die überprüfen wollen, ob ihre Dateien erkannt werden oder nicht.
Aber auch diese Marktlücke hat sich geschlossen, und es gibt mehrere Internetseiten die (gegen Bezahlung) den gleichen Dienst anbieten, aber ohne die Dateien an die Antivirenhersteller weiterzuleiten. Schlecht für uns White Hats, gut für die bösen Buben.
Wir wollen unser Szenario ja so echt wie möglich gestalten, darum habe ich meinen “rohen ” Server gleich mal gescannt.
Das Ergebnis überrascht wenig, 28 von 33 Scannern haben Verdacht geschöpft. (zum Vergrößern das Bild anklicken!)
Jetzt umgehen wir dieses Problem mit dem schon erwähnten Crypter, und bei der Gelegenheit binden wir die Datei gleich mit einem echten Programm.
Hier sieht man die beiden zusammengebundenen Dateien. Die erste ist das Installationsprogramm des freien Unzippers 7-Zip, das zweite ist unser Trojaner. Hier kommt wieder Injection ins Spiel: beide Dateien werden später in die selber Datei geladen, dadurch wirkt es so, als wenn gar nicht zwei, sondern nur eine Datei gestartet würde. Da man 7-Zip nicht verschlüsseln muss, wird es nur komprimiert, der Trojaner dagegen wird verschlüsselt.
“Startup” ist wieder eine Funktion, die das Festsetzen im System ermöglichen würde, was ja kontraproduktiv wäre. Die Antis letztendlich bestimmen, welche Programme im Falle eines Analyseversuchs gestartet werden. In diesem Fall startet dann nur 7-Zip, der Trojaner tritt nicht in Aktion, um nicht entdeckt zu werden.
Letzendlich weise ich das Programm noch an, die Dateieigenschaften (inklusive dem Icon) der 7-Zip-Datei zu kopieren. Das Resultat sieht dann genauso aus wie das Original, und wird auf Windows 7 sogar Administratorrechte einfordern, wie man es von einer Installation erwarten würde. Nur, dass nicht nur 7-Zip, sondern auch der Trojaner – mit vollen Rechten! – gestartet wird.
Der Benutzer schöpft bei alledem keinen Verdacht, schließlich startet 7-Zip ja und installiert sich ganz normal. Er wird also im Normalfall überhaupt nicht mit einer Vireninfektion rechnen. Heutige Viren sind nicht mehr auf Zerstörung ausgelegt, im Gegenteil, sie sind so unauffällig wie möglich, um ja keinen Verdacht aufkommen zu lassen.
Das ist unser Resultat, eine Datei, die genauso aussieht wie die echte Installation:
Diese Datei überprüfe ich wieder auf Viren. Siehe da, kein einziges Antivirusprogramm schlägt Alarm:
Wer ist jetzt immer noch der Meinung, Antivirenprogramme wären ein adäquates Mittel, um Cyberattacken zu verhindern? Niemand? Na sowas.
Die Firewall wird übrigens dadurch ausgetrickst, dass der Trojaner den Standardbrowser kapert, dem der Zugriff aufs Internet üblicherweise gestattet ist.
Action!
Jetzt kopiere ich meine Datei in die virtuelle Maschine und starte sie. Für einen echten Angriff müsste man natürlich noch einen Weg finden, die Zielperson vom Ausführen der Datei zu überzeugen, oder die Datei mithilfe einer Sicherheitslücke auf die Zielgerade zu befördern. Die zahlreichen Möglichkeiten, wie das vonstatten gehen könnten, sind der Fantasie des Lesers überlassen.
Ich starte meine Datei. Zwei Dinge passieren.
Erstens: die 7-Zip-Installation startet.
Zweitens: in meinem RAT auf meinem Kontrollrechner erscheint eine neue Verbindung:
Ich kann jetzt mit meiner VM alles Mögliche anstellen. Fernsteuern, Mikro abhören, Dateien hoch- und herunterladen, eine eventuelle Webcam anzapfen, Prozesse abschießen, die Registry verändern, mit dem Benutzer an der VM chatten (was in dem Fall etwas zwecklos wäre), Töne abspielen, den Rechner herunterfahren, neue Trojaner hochladen, und viel mehr. Auf diese Funktionen muss ich nicht mehr weiter eingehen, man kann schließlich praktisch alles tun, was auch ein Programm auf dem Computer tun könnte.
Eine Funktion ist jedoch sehr interessant:
Mit diesen zwei Dialogfenstern starte ich zunächst eine SOCKS5-Server in der VM. Ein solcher Server ist ein Art TCP-Repeater, mit dem ich beliebige Verbindungen umleiten kann. Da ich von dem Fall ausgehe, dass der Zielrechner hinter einer Firewall sitzt, muss ich aber noch etwas tun. Ein SOCKS5-Server auf einem Rechner, den ich gar nicht erreichen kann, bringt mir herzlich wenig. Darum gibt es noch eine zweite nette Funktion. Mit dieser kann ich einen lokalen Port (hier 1234) auf einen Port auf dem Zielrechner weiterleiten (8080, der Port vom Proxy!). Wenn ich jetzt also in meinem Browser 127.0.0.1:1234 als Proxy eingebe, wird die Anfrage auf den Proxy auf dem Zielrechner weitergeleitet.
Ziel erreicht! Ich kann jetzt in Firefox den Proxyserver konfigurieren:
Und, kurzer Test, ich bin online:
Nochmal zur Erinnerung: eine solche Attacke ist bei den “Bad Boys” Usus. Das ist keine hypothetische Situation, so etwas wird ständig verwendet!
Aufräumen
Nach getaner Arbeit würde ein echter Cracker hinter sich wieder aufräumen. Die meisten RATs bringen eine Funktion mit, mit der man Dateien sicher löschen kann.
Zuerst würde man die Datei löschen, mit der die Infektion stattgefunden hat:
Als nächstes würde man die Datei offline nehmen. Somit gäbe es dann keinen Beweis mehr, dass je eine manipulierte 7-Zip-Installationsdatei existiert hat.
Der Server wurde nie auf der Festplatte gespeichert, sondern er war nur im Arbeitsspeicher als Browser-Parasit aktiv.
Indem man ihn beendet, ist auch diese Spur verschwunden:
Fazit
Mit dem letzten Schritt sind alle Spuren verschwunden, die je auf eine Manipulation des Rechners hingewiesen hätten.
Das Gefährliche an der Sache: was ich in diesem Artikel beschreibe, ist kein Geheimwissen, sondern in der Szene weit verbreitet, da es unverantwortliche Menschen gibt, die detaillierte Schritt-für-Schritt-Anleitungen veröffentlichen (ohne verwischte Fensternamen und mit detaillierten Beschreibungen der Firewallkonfiguration am Heimrouter) die selbst Kinder problemlos nachverfolgen können, um manipulierte Dateien zu erstellen. Inklusive Downloadlink und Paypal-Button, um die restliche Software zu kaufen. Eine Schande für das gesamte Feld der Computersicherheit!
Diese Möglichkeit und deren aktive Ausnutzung kann nicht weiter einfach so ignoriert werden. Es sind Tatsachen, die ich aufgelistet habe, die ich auf Anfrage gerne noch detaillierter beweise.
Wie kann unter diesen Umständen eine IP-Adresse noch als Indiz oder gar Beweismittel dienen?
eine unübliche sichtweise. vor allem nicht der allgemeine einheitsbrei, wie ich finde.