Verteilte Orchestrierung eines Backdoors

Verteilte Orchestrierung eines Backdoors

Marc Ruef
von Marc Ruef
Lesezeit: 4 Minuten

Klassische Backdoors (Remote Access Tools), wie zum Beispiel BackOrifice oder SubSeven, haben eine Direktverbindung zwischen Client und Server umgesetzt. Da das kompromittierte System den Server auf einen Dienst gebunden und auf dem genutzten Ports eingehende Verbindungen zulassen musste, konnte diese Art der Fernsteuerung einfach erkannt und unterbunden werden (zum Beispiel kein Zulassen eingehender Verbindungen mittels Firewalling).

Im Rahmen unserer Backdoor Tests können wir nicht auf derlei archaische und simple Mechanismen zurückgreifen. Die verschiedenen Sicherheitsmechanismen unserer Kunden sind zu ausgereift und intelligent umgesetzt, so dass wir auf alternative Kommunikationswege ausweichen müssen (einige davon wurden im Labs Post Backdoor Testing optimieren diskutiert).

Wir haben schon verschiedene Implementierungen umgesetzt und die entsprechenden Lösungen in den jeweiligen Projekten nutzen können, um eine Orchestrierung der infizierten Systeme durchführen zu können. Eine exotische Variante bestand darin, die Befehle für die Backdoor sowie die Rückantworten in chiffrierter Weise auf einem öffentlichen Usenet-Server abzulegen (ein ähnliches Prinzip wird mittlerweile auch von kommerziellen Botnets verwendet).

Twitter koordiniert Backdoors

Die grösste Einschränkung dieses Ansatzes ist, dass Firmen oftmals keine Zugriffe über NNTP auf Port tcp/119 zulassen. Das gleiche Prinzip der zentralisierten Kommunikationsschnittstelle lässt sich deshalb am besten in den Webbereich übertragen. So ist es möglich, dass der Datenaustausch über einen populären Webdienst wie Twitter stattfindet. So können Befehle bereitgestellt und die Rückantworten wiederum eingeholt werden; letztere können je nachdem mit base64 codiert werden. Der Zugriff auf Twitter ist dank RSS und der simplen API ohne viel Aufwand möglich. Beispiel einer Mitteilung mit cURL:

curl --basic --user username:password --data status="BACKDOOR_COMMAND
run C:\WINDOWS\system32\notepad.exe" http://twitter.com/statuses/update.xml

Sollten Zugriffe auf einen Dienst blockiert werden, kann in dynamischer Weise auf einen anderen Dienst ausgewichen werden. Hierzu bieten sich soziale Netze wie MySpace oder Anwendungen wie Pastebin an.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv