Viele unserer Kunden wollen die vielschichtig etablierte Sicherheit durch Backdoor Tests prüfen lassen. Hierbei wird ein eigens für den Kunden angefertigtes Trojanisches Pferd vorbereitet, welches die gegebenen Sicherheitsmassnahmen umgehen, eine Infektion durchführten und Daten extrahieren können soll.

Ein Beispiel-Screenshot einer unserer gern genutzten Backdoor-Varianten ist nachfolgend abgebildet. Diese setzen wir vorzugsweise bei koordinierten Tests ein, bei denen die Zielpersonen eingeweiht sind. Durch die Darstellung der Funktionsweise ist es dem Kunden möglich, das Vorgehen nachvollziehen zu können.

Diese Arbeit ist sehr interessant, da jeweils die individuellen Gegebenheiten und Schutzvorkehrungen des Kunden berücksichtigt werden müssen. Im Laufe der Zeit haben wir verschiedene Strategien entwickelt, wie die jeweiligen Schutzmechanismen umgangen, kompromittiert oder ausgetrickst werden können. Dazu zählen:

• Proxy-Filter
  • Unerwarteter Dateityp (z.B. MSI, VBS)
  • Eingebettete Objekte (z.B. Word, PDF)
  • Eingebetteter Programmcode (VBA-Makros)
  • Alternative Manipulation (z.B. Ajax, ActiveX oder Java)
  • Gesplittetes Nachladen von Modulen
• Antivirus
  • Individueller Programmcode mit unbekannten Pattern
  • Eigene Packer
  • Polymorphie
• Hostbasierte Firewall
  • Legitime API-Calls emulieren
  • DLL-Injection
  • Windows-Hooks
• Netzwerkbasierte Firewall
  • Tunnelling (z.B. Imitation von HTTP/HTML)
  • Codierung (z.B. Base64 oder simples ROT13)
  • Verschlüsselung (vorzugsweise One-Time-Pad)
  • Legitime Authentisierung mit gesnifften Credentials
• Log-Monitoring
  • Sehr reduzierte Zugriffe
  • Nur legitime Zugriffe
  • Zeitverzögerte Zugriffe
  • Deckende Zugriffe (Decoys)

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)