Interessant wäre:
1. Wer das "Opfer" ist (typischer Benutzer, versierter Benutzer, Admin, "DAU", "Nerd")? Das beeinflusst die "Grundabsicherung" des Rechners (Betriebssysstempreferenzen, Grundwissen über "Sicherheit im Netz" usw.)
2. Wo sich der Zielrechner befindet (bzw. ist es ein Privatrechner zu Hause, ein Firmenrechner in der Firma (also im Firmennetzwerk))?
3. Wie "gut" der Angreifer sein soll.
--------------------------------
Ein "klassischer" Angriff wäre z.B:
Es wird eine Email mit einem Trojaner im Anhang gesendet, der als "wichtige Rechnung.pdf ---viele Leerzeichen, die die tatsächliche Endung verscheiern sollen ---.exe" oder "heiße Girls.jpg --- viele Leerzeichen --- .exe" gesendet und vom "Opfer" geöffnet. Die Masche ist sehr alt, dürfte in der "Realität" bei halbwegs modernen Systemen und Benutzern die Alarmglocken/Warnmedlungen läuten lassen, klappt aber angeblich immer noch ab und zu.
--------------------------------
--------------------------------
Bisschen realistischer mit Details:
Mindestanforderungen an den Angreifer: kennt die üblichen "Szeneseiten" aka "Undergroundboards", kann Programme ausführen, hat zumindest Ansatzweise eine Ahnung, was diese bewirken, hat 10 bis 50 Euro übrig.
"Opfer": "Dau" bis mittel-fortgeschrittener Nutzer. Privatrechner/Notebook (unter Umständen auch Firmenrechner - kommt auf die Sicherheitsrichtlinien, Benutzung des Rechner usw. an) mit Windows.
--------------------------------
Voraussetzungen:
--------------------------------
Es gibt sogenannte "Undergroundboards" ("Unique Crew", "Zion Board", "hackz0ne", "1337 Crew" - der Name sollte für das Buch eher frei erfunden werden
). Da kommt meist jeder rein, der die Adresse kennt. Nur bei wenigen, die sich elitär geben möchten, kommt man nur auf eine Einladung rein (Inhaltlich unterscheiden sich diese aber nicht wirklich von den anderen
).
Gibt auch meist Seiten mit ganzen Linksammlungen "aktueller" Boards. Auf diese Foren oder zumindest Sammelseiten kommt man wiederum entweder über Googlesuche, oder Boards, die bei der Googlesuche gelistet werden (z.B Free-Hack) oder über "Projektvorstellungen" in den Boards. Hat man also erstmal ein Board gefunden, wird man relativ schnell an die Adressen der anderen kommen.
Auf diesen Boards wird mit Kreditkartendaten, "Opferrechnern" sowie Werkzeugen (aka Tools) gehandelt - Bots, Trojaner, Stealer und Crypter, sowie ab und zu die aktuellesten Links zu
Metasploit und Sicherheitsmeldungen bei Heise.de/Golem gepostet. Zusätzlich gibt es regelmäßig "Szenetool-CD/DVD" mit mehr oder weniger verbreiteten Trojanern, Cryptern, Floodern und anderem Krams sowie irgendeine "Toolbase" zum Herunterladen von diesen (veraltete oder gecrackte Version).
Unser fiktiver, fortgeschrittener Angreifer braucht für ein "übliches" Opfer einen Crypter, einen Trojaner oder Stealer, am besten einen anonymen "szene" VPN/SocksProxy und eine Möglichkeit, das Zeug auf den Rechner zu bringen. Das bekommt er auf einem solchen Board.
------------------------------
Begriffe:
------------------------------
"szene" VPN/Socksproxy: quasi ein Zwischenrechner, den man mietet/kauft und der (idealerweise) keinerlei Verbindungsprotokolle führt. Es lassen sich auch mehrere solcher Rechner hintereinander schalten.
Üblicherweise sind es mit Bots infizierte Otto-Normal-PC-Nutzer. Bei dem Versuch, einen "Angriff" (meist Kreditkartenbetrug & Co) zurückzuverfolgen landet der "Verfolger" bei diesem Punkt, kommt nicht weiter (weil keinerlei Protokolle existieren) und der unwissende PC-Nutzer hat mit etwas Pech einigen Ärger am Hals
Ein Crypter ist ein Programm, das Schadprogramme so umgestaltet/umverpackt, dass sie für Anti-Virensoftware nicht mehr erkennbar sind. Die Dinger kosten nicht viel und man jeder kann sie erwerben (also nichts über gaanz dunkle "Scenebekannschaften" oder Ähnliches). In diesem Posting wurde das etwas ausführlicher erklärt sowie die "Werbung" samt Preisen zitiert:
http://www.hackerboard.de/die-problemzone/42586-malware-geloescht-wieder-sicher.html#post318181
Damit wird also ein durchschnittliches AV Programm ausgetrickst *warte auf xrayn mit dem Einwand "Kaspersky aber nicht!"
*, wenn auch üblicherweise nur für ein paar Tage/Wochen. Danach braucht man eine neue, für Anti-Virus Programmen "unbekannte", Version.
Ein Trojaner kann entweder gekauft werden (BlackShadows, wenn das Projekt noch betreut wird) oder ist in der üblichen "Tool-Base" zu finden (DarkComet, CypberGate, PoisonIvy wären bekannte Namen).
Je nach Funktionalität, die man braucht, lässt sich das auch relativ schnell selber schreiben.
Evetuell ist für "Deinen" Angreifer auch ein Stealer interessant.
Das ist ein Tool, welches die gespeicherten Webseiten-Passwörter von Firefox, Chrome, Internetexplorer sowie der üblichen IRC/Instantmessagetools ausliest, sendet und sich selbst löscht oder zumindest nicht mehr aktiv ist.
Das Senden funktioniert über Email (die Versendefunktion ist im Stealer implementiert, es wird also kein Emailprogramm aufgerufen), direkt über Netzwerk, durch Aufruf einer URL im Browser, etwas "outdated" wäre das hochladen auf einen FTP-Server).
"Bekannte", wenn auch relativ alte wären: iStealer, Hackhoundstealer, Stupid Stealer.
Schutz: keine Passwörter im Browser speichern oder
"Masterpasswort" Funktion des Browsers nutzen.
------------------------------
Vorgehen
------------------------------
Der Angreifer besucht eine Tankstelle und kauft sich eine
http://de.wikipedia.org/wiki/Paysafecard oder hat PayPal/andere Web-Bezahlmöglichkeiten.
Nun besucht er so ein Board, sucht ein entsprechendes Angebot (das ist meist ein Bereich im "Blackmarket" oder "Tools => Crypter" Anzeigen), kontaktiert einen Crypter-Programmierer (angegebene email, icq, skype nummer, Privatnachricht im Board) und kauft eine aktuelle Version der Software. Je nach dem, ob die beiden Stammgäste auf dem Board sind und sich kennen: direktkauf oder über "Treuhand"-Händler (ein Moderator, andere Person, der die beiden vertrauen - "Kunde" überweist Geld/PSC Nummer an Treuhand, "Verkäufer" schickt die Software an diesen, Treuhandhändler prüft kurz und leitet die Sachen weiter)
Das gleiche mit dem Trojaner/Stealer und VPN/Sockproxy (oder der Angreifer besitzt diese schon - da Trojaner/Stealer mit dem "Crypter" modifiziert werden, müssen sie nicht zwangsläufig der Anti-Virus Software unbekannt sein. Nur der "Crypter" muss "frisch" sein).
Der Trojaner/Stealer wird nun vom Angreifer konfiguriert:
Kontaktadresse (email) oder IP/(DynDns) Adresse des VPN/"reverse" Sockproxys eintragen. Icon ändern und andere Einstellungen treffen (z.B bei einem Stealer: Selbstlöschung nach dem Versenden).
Mit dem "Crypter" manipuliert aka "gecryptet".
Jetzt sollten die üblichen (oder fast alle, sofern sie nicht im "Paranoia-Modus" laufen) Antivirus-Programme diesen Trojaner nicht mehr erkennen.
Auf den Zielrechner bringen: Email senden oder auf eine Webseite locken. Dazu kann
"social engineering" betrieben werden - z.B über Facebook, Profilseiten, Foren, Blog des Opfers. Bsp:
Blog/Homepage/Stammforum/Twitter/Facebookprofil des Opfers - als Kommentar auf seinen Eintrag: "aber das habe ich schon hier(link zur Webseite) gesehen!". Muss ja nicht gleich die klischeehafte "hot girls live!" Masche sein
Die Webseite ist entsprechend präpariert - entweder "professionelle" Attack-Toolkits (uralt: Mpack, rel. neu:
Phoenix Exploit Kit, Black Hole Exploit Kit. Zweck: Probiert bekannte und/oder
Zero-Day Lücken des Browsers und vora llem dazugehöriger Plugins (Java, PDF, Flash) automatisch aus und lässt den Browser Malware ("bösen" Inhalt) herunterladen). Aktuelle Kits sind aber schwerer zu beschaffen und ziemlich teuer (
paar tausend Euro müssten es sein)
Der fiktive, fortgeschrittene Angreifer könnte stattdessen auch selber eine aktuelle, bekannte, aber noch nicht vom Hersteller gefixte Lücke nutzen: Links zu den letzeren Heise.de Meldungen
präparierte PDF, Flash oder
Java-Applet (es werden also schon rel. häufig/regelmäßig "schlimme" Lücken gefunden)
bzw als Erklärung/Themenseite dazu:
Vulkanausbruch auf Java | heise Security
Exploit | heise online
Sofern die Lücke öffentlich bekannt ist, noch nicht oder gerade vom Hersteller gefixt wurde (die wenigsten Nutzer halten ihr System wirklich auf dem neusten Stand), geistern in den oben genannten Boards meist auch Anleitungen und/oder vorgefertigte Tools zum ausnutzen. Oder diese sind direkt im Web zu finden, wenn auch meist in "beschnittener" Form.
Oder: es wird einfach die Unkenntniss/Unaufmerksamkeit des Anwenders ausgenutzt. Lange Zeit geisterte eine Anleitung zum Einbinden von einem Java-Applet, welches dann den eigentlichen Trojaner herunterladen musste. Ganz ohne "Lücken" - der Benutzer bekam zwar die Meldung zu sehen und musste sie bestätigen - die Kunst bestand darin, den Nutzer durch den Aufbau der Seite, Appletnamen (oder sonstigem, k.A mehr) zum "Abnicken" zu bringen.
Wie gesagt: seriös aussehende Seite mit irgendeinem Beitrag und "um dieses Bild/Video/Dokument zu sehen, müssen sie die aktuelleste Version des XYZ Plugins herunterladen, klicken Sie hier".
Das Opfer wird also dazu gebracht, die Webseite zu besuchen. Im Falle eines veralteten Browsers oder einer der Komponenten (Java, Adobe Acrobat Reader aka "PDF", ActiveX) wird der Trojaner ohne Benutzerinteraktion heruntergeladen und ausgeführt. Eventuell gibt es einen "Hinweise" durch ein kurz aufploppendes PDF Dokument oder aufheulenden Lüfter
.
Ist der Torjaner auf dem Rechner erstmal gestartet, verbindet sich dieser mit der eingetragenen "Meister" Adresse. Also entweder eingetragenem "VPN"/Socksproxy oder dem "Hacker"-Rechner selbst. Der "Hacker" muss nur online sein und mit dem VPN/Sockproxy verbunden. Dann kann er den Rechner ganz normal fernsteuern.
Bei einem Stealer werden eben die Passwort-Daten ausgelesen und an eine vorgegebene Adresse(email oder Web-Url) gesendet.
Vielleicht lässt sich damit schon etwas zusammenstricken.
PS: einige Fachbegriffe ("reverse Socksproxy"/VPN/"Server" bei einem Trojaner) haben in der sogenannten "Szene" eine von der "offiziellen" abweichende Bedeutung/Definition.
![[HaBo]](/styles/default/logoklein.png){kind=small}
