RAT-Trojans. NetCowBoy Security. RAT-Trojans. Udgivelsesdato: august 7, Dokumentet er udarbejdet af: Lenny Hansson, CPSA GPEN (WCNA)

Transkript

1 Udgivelsesdato: august 7, 2011 Dokumentet er udarbejdet af: Lenny Hansson, CPSA GPEN (WCNA) Side 1 af 44

2 Indholdsfortegnelse Indholdsfortegnelse... 2 Målgruppe... 3 Formål... 3 Introduktion... 4 Test opstilling... 7 Testet... 8 DarkComet RAT... 9 Server Build... 9 Trafik mønster FTP upload funktion Administrations interface Commands on Connect LostDoor Server build Trafik Mønster Keylog og password funktioner ApoCalypse RAT Server Build Trafik mønster File binder Clipboard Manager Xtreme RAT Server Build Trafik mønster CyberShark-ZeroEdition Server Build Trafik mønster Anti RAT Porte Firewalls på klienter og server Mail sikkerhed Patch Management Full Packet Capture Rettigheder Port Scanninger Sårbarheds Scanninger Overvågning Øvelser Ressourcer Side 2 af 44

3 Målgruppe IT-Admins og system ansvarlige. Formål Egenteligt startede det lidt som et hygge projekt jeg kunne bruge til min WCNA certificering. Jeg valgte forskellige RATS. Mit mål var at se hvor meget jeg kunne lære ved at kigge efter trafik typer som disse RATS kunne benytte. Så min egentelige øvelse var at bruge værktøjer som Wireshark, T-Shark, Case Pilot, til analysen af trafikken. Jeg håber at jeg viser hvor hurtigt trafik mønster kan laves om sammen med inficeret filer der kan hentes og installeres på en allerede inficeret klient. Det må betragtes som værende som det er. Målet var ikke at fremstille et teknisk flot dokument. Men noget som jeg selv kunne bruge i forbindelse med mit daglige arbejde. Side 3 af 44

4 Introduktion Ofte er det der er mest fokus på forskellige former for botnets som er målrettet banker. Fokus er meget på banking-trojans og denne type crimeware kits som f.eks. ZEUS og SpyEYE. Det er til trods for at RATS har været fremme i årevis. Dette har der været nok mest fordi at bankerne står bag, med de muligheder de nu engang har i form at resourser til at komme ud med information til forbrugerne og risikoen ved disse. Denne type trojans skader bankerne hvis forbrugerne bliver inficeret. Sker der en komprimentering af forbrugerens pc kan banken komme til at tabe penge og forbrugeren kan miste sin privat og fortrolige data. Bankerne er i dag forpligtiget til at dække for de tab som en forbruger lider og derved taber bankerne også penge. En helt anden trussel som ofte er overset, men ofte kan være iblandt de typer værktøjer der bliver brugt i forbindelse med targeted attacks imod virksomheder kan være RAT s (Remote Access Tool). Disse kan og bliver bla. brugt til virksomheds spionage. Disse er enormt kraftfulde, set i lyset af de funktioner de tilbyder. Der findes et utal af forskellige typer RATs og nye kommer til hver dag og ofte er disse ukendt for bla anti-virus og sikkerheds industrien. Jeg kan finde flere RATS derude der slet ikke bliver fundet af de forskellige AV produkter. Typisksk bliver denne for form RAT trojans omskrevet en smule således at de ikke bliver opdaget af forskellige Anti-virus værktøjer. De repræsenterer en alvorlig trussel imod sikkerheden for private og virksomheder, da de kan målrettets og skjules meget og derved holde sig langt under radar. De er gode til at udnytte teknikker som firewall tunneling og evnen til at kunne skjule forbindelser ind og ud af virksomheden er tyisk meget veludviklet. Mange virksomheder benytter forskellige former for WEB-scannere og typisk er det trivielt at få trafikken til at flyde ind og ud af disse typer af scannerer med en RAT. Firewalls og IDS systemer er typisk heller ikke nogen hindring da trafik mønsteret kan omskrives næsten on the fly. Mange virksomheder forsøger sig med forskellige former for DNS blacklisting, hvilket er med begrænset virkning. Dette skyldes at hackerne kan opsætte deres egen DNS server som malwaret kan spørge direkte imod. SpyEYE benytter især denne metode hvor den skjuler sine forbindelser så det ligner normale bruger forbindelser der bliver lavet til google.com. På denne måde kan de få det til at se ud som normal trafik til hvad de ønsker. Kunsten i af kunne finde muligt skadelig traik ligger derfor i hvor meget træning man giver sig selv i at kigge på malware trafik og kende til de teknikker der benyttes til at gemme trafikken eller få den til at se legitim ud. Det kan sammenlignes med netværks trafik er på samme niveau som vi er med Antivirus der skal kende et stykke malware før det kan blokerer for det. Forstået på den måde med at IP adresser, domæne navne, porte, protokoller og indholds data ikke er kendt og ikke før vi ser trafikken kan der ikke laves et filter/signatur der kigger efter det. Derfor vil den bedste beskyttelse imod at blive komprimenteret via Internettet Side 4 af 44

5 være white list af hvad der er tilladt og ikke som vi gjort det i årevis hvor vi prøver at blackliste os ud af problemerne. Dette vil også beskytte os imod tab af data når vi bliver komprimenteret som nok er det vigtigste idag at forhindre. Det er heller ikke uden grund at topsikre installationer benytter det man kalder for envejs noder. Det er ikke ret sjovt for en hacker hvis han ikke kan stjæle noget fra os som hackeren kan tjene på. Hackerens mål er hele tiden at kunne komprimentere en klienten / server og herefter uploade indholdet til et sted hackeren har kontrol over. Giver vi hackeren lov til det i form af meget åbne firewalls hvor eks HTTP og HTTPS er tilladt til alle hosts ude i verden så har vi ikke beskytte os på nogen måde og en firewall er som et Anti-virus system uden de nyeste signatur filer installeret. Måden hvorpå RATS kan inficere interne klienter er kun begrænset af fantasien, af dem der måtte ønske adgang til infrastrukturen. Dette kunne eks være via indsendte medier som CD,DVD,USB stiks eller som værende embedded ind i forskellige former for dokument typer som Microsoft Office dokumenter eller i PDF filer på forskellige måder der herefter bliver tilsendt endten via eller som links i en til dokumenter der ligger på internettet. En stor forskel mellem RATs og komercielle Crimeware kits som Zeus og ligende er at disse er designet til at køre fra WEB Servere på en IP adresse eller et domæne navn. Antallet af samtidige forbindelser til crime ware kits er langt mere optimeret når de kan køre fra en web server og kan derved håndtere mange forbindelser. Dette er dog ikke tilfældet med RATS som typisk kun kan håndterer et par tusinde hosts. Problemet med RATS er ofte at de behøver at køre direkte oven på et OS hvilket betyder at de skal hostes på en server. Dette er ikke tilfældet SpyEYE og Zeus som kan køre på løsninger hvor shared hosting er i spil. Typisk er ejerforholdet hosted og oprettet med falske oplysninger, men det betyder ikke så meget for hosting provideren så længe de bliver betalt. Så hvis ejerne af hosting selskaberne bliver gjort ansvarlige for at de ikke server denne salgs indhold ville vi nok komme et godt stykke vej. RATS skaber typisk ikke stort postyr som eks. Zeus eller Spyeye., derfor får de ikke samme fokus fra AV producenter og ligende. Det betyder bla at de tit ikke vil indgå i værktøjer som almindelige anti-virus eller Windows MRT Tool, da disse løsninger fokusere meget på den brede skare af kendte typer malware og måske ikke så meget på disse små ret kraftige RATS som kan bruges til meget målrettet angreb. Det der måske skræmmer lidt ved RATS er også at de kan opsættes af internt personale og benyttes internt i et netværk uden denne laver forbindelser ud igennem en firewall hvor muligheder for logning typisk finder sted. Side 5 af 44

6 Navne på som er mest oppe tiden pt. kan udgører, men ikke begrænset til følgende: LostDoor ProSpy RAT CyberGate Poision-Ivy Xtreme RAT SS-RAT 2.0 BlackHole RAT - For MAC OSX ApoCalypse RAT spy-net Cerberus-RAT DarkMoon-RAT Side 6 af 44

7 Test opstilling Selve test opstillingen er ens ved hver test af disse forskellige typer RATS. Server delen af alle RATS køre på en Winddows XP SP3 i et vmware miljø. Testen af host delen bliver testet på en Windows XP SP3 laptop, som forbinder sig ind til serveren ved at der bliver benyttet en sepperat Internet forbindelse eller via en lokal switch endten via kabel eller wireless. Forbindelse mellem Server og hosts er selvfølgelig beskyttet således at forbindelser ikke kommer til at løbe løbsk under testen. Forbindelser over internettet bliver først testet i et lukket miljø I forbindelse med alle tests bliver trafikken til og fra inficeret host sniffet via en TAP boks, således at der kan laves en basal signatur på selve trafikken og for at kontrollere den trafik som de enkelte skaber ikke er skjult som en Rootkit ellers ville kunne gøre det. Da der i sagens natur ikke ummidelbart kan filtreres efter IP adresser i trafikken med mindre man kender ip adressen på en host man har under mistanke for mulig inficering, har jeg valgt ikke at lave et filter hvori IP adresser og porte optræder. Dog vil der blive lavet filter med IP adresser hvis de testet RAT-Trojan viser sig at skabe forfindelser som ikke kan kontrolleres imod externe IP adresser. Signaturen vil derfor bliver svag med mulighed for falske positiver i visse tilfælde hvor IP adresser ikke optræder eller kan benyttes. Derfor er det bedst at kende trafikken fra en mistænkelig og muligt inficeret host. Er først IP adresser og porte identificeret er det ikke noget problem at lave en signatur der bliver meget nøjagtig og derved kan alle indterne inficeret hosts identificeres meget hurtigt. Ved full packet capture giver dette desuden mulighed for at resample indholdet såfremt forbindelsen ikke er krypteret. Dette kunne være log filer eller ligende der bliver uploadet til C&C servers eller drop sites. Dog skal man være opmærksom på at disse filer ofte er krypteret dog er der tilfælde hvor dette ikke sker. Derfor spiller Reverse-engineering af malware koden ind. Dog er dette ikke altid muligt i alle tilfælde. At kunnne dekryptere indholdet af krypteret filer, hvis denne er implementeret korrekt i malwaret, kan dette være meget svært og mange resourcer skal bruges på dette og ofte helt umuligt. Derfor er behavior analysis af et stykke malware, en mere her og nu løsning for at kunne forhindre yderligere spredning af malware og oftest den der er mest benyttet i virksomheder ved virus udbrud og ligende. Det vigtigste er ofte også at begrænse et skykke malware i at kunne levere drop data til en botmaster. Jeg har med vilje valgt ikke at udgive MD5 eller SHA1 sum server og host delen, da disse er forskellige for gang til gang, alt efter hvordan disse buildes. De kan derfor ikke regnes for at være enstydende for identificering. Disse kan dog bruges når en inficering har fundet sted til at beskytte andre klienter i et netværk. Side 7 af 44

8 TIP! Jeg kan klart anbefale at packet sniffing sker via en TAP-Boks. TAP-Bokse fra NetOptics kan jeg godt anbefale, da jeg selv har god erfaring med disse. Testet DarkComet RAT LostDoor RAT ApoCalypse RAT Xtreme RAT CyberShark-ZeroEdition Det kræver man leder lidt rundt på nettet efter den. Side 8 af 44

9 DarkComet RAT Denne RAT ligner de fleste, men er nok den der idag tilbyder de fleste avanceret funktioner. Denne Trojan bliver i dag genkendt som værende Trojan:Generic.KDV af F-Secure. For Trend Micro er denne stadig ukendt til trods for at denne er uploaded til dem er ingen signatur endu kommet. Server Build Der bliver tilbudt et væld af funktioner til hvordan serveren skal se ud. (Billede 1) Dette er et eksempel på hvor back connect fra host til server vil foregå over TCP port 443 (Samme som HTTPS / SSL) Det vil svare til at en intern pc laver forbindelse ud af et internt netværk på HTTPS porten, hvilket nok 99% af alle virksomheder i dag tillader ud af deres firewall. Billede 1 viser desuden det væld af funktioner som man har når selve serverdelen af dette malware skal laves og buildes. Til trods for at port 443 benyttes så er det altså nemt at spotte noget som køre på 443 som ikke benytter ægte SSL/HTTPS med certifikat udvekslinger osv. Billede 1 - Server Editor - Network Settings Side 9 af 44

10 Trafik mønster Identificering at trafikken er det vigtigste i forbindelse med at kunne rense et netværk for inficeret hosts. Så den vigtigste mulighed som alle virksomheder bør have, er muligheden for at kunne lave Identificering at trafikken. I denne test har jeg valgt at ligge trafikke på HTTPS porten 443. Trafikken i DarkComet ligner slet ikke HTTPS / SSL på nogen måde selvom denne benytter HTTPS porten på TCP port 443. Der er eks. ikke nogen SSLV3 eller certifikat exchange osv. Selve trafik mønsteret er også nemt at få øje på så snart man har fået sniffet trafikken. Man skal være opmærksom på at trafikken er ens uanset hvilken port der bliver benyttet af DarkComet. Selve trafikken mellem host og C&C Server er krypteret og kan derfor ikke umiddelbart aflæses. Trafik mønsteret øges kraftigt ved forbindelser mellem server og host og kan derfor være net at få øje på. Billede 2 - Trafikken set i Wireshark - Denne trafik optræder ca hvert sek. for at opretholde sin live becon til serveren fra hosten. Display filters som kan benyttes for at finde denne trafik i PCAP filer. -> tcp contains "KEEPALIVE" En Ipadresse der kan bruges til at kigge efter er forbindelsen til det lille falg som hentes for at vise hvilket land der bliver forbindet til fra serveren Dette kan tyde på at DarkComet bliver benyttet med stor sansynlighed. Side 10 af 44

11 FTP upload funktion FTP upload fra eks. keylogger funktionen til FTP Server er nok ved at blive en normal funktion som alle RATS efterhånden tilbyder. Bemærk at FTP ikke behøver at ligge på den normale TCP port 21. Men Kan laves om til det der nu er åbent for af trafik ud af virksomheden som typisk er 443 eller port 80. Bemærk beskrivelsen om at log filer vil blive sendt i krypteret form. Dog kan user name og password sniffes i klar tekst til FTP serveren. FTP funktionen behøver ikke at være med i første Server build når eksempelvis en virksomhed angribes. Disse funktioner kan opdateres og implementeres on the fly således at de passer til angrebet. Det er desuden muligt at Port scanne fra en inficeret host således at åbne porte kan identificeres imod internette eller imod interne servere og klienter. Billede 3 - Server Editor - FTP uplad fra Keylogger Side 11 af 44

12 Administrations interface Det er her, hele overvågningen af BOTs der er inficeret overvåges fra. Bot-Masteren kan hele tiden kan overvåge sine inficeret klienter og se hvor mange af dem der har meldt sig ind i systemet. Samme system findes i Zeus og SpyEye og mange andre typer Bots. En interesseant ting er muligheden for at lave ON CONNECT COMMANDS Billede 4 - Administrations interface Side 12 af 44

13 Selve host modulet tilbyder en lang række af muligheder for at kunne kontrollere en inficeret host. Læg mærke til real time overvågning af bla RAM og CPU. Billede 5 Control Side 13 af 44

14 Commands on Connect Der kan opsættes forskellige former for commands en inficeret host skal udføre så snart en bot forbinder sig til bot serveren også betegnet som værende on Connect. Jeg testede en DDOS SYN FLOOD command hvor min inficeret test maskine skulle FLODDE min firewall i 60 sek. Logs fra min firewall viser også at dette virkede efter hensigten. Jeg så en eksplosiv stigning i antallet af reset. Antallet af inficeret hosts der laver denne type angreb behøver ikke være særlig stor før en hacker kan tage hvad som helst ned på Internettet efter behag. Det kræver blot en forbindelse der er hurtigere end den der angribes. Billede 6 - DDOSSYNFLOOD Side 14 af 44

15 En log filer over hver klient viser om de ønsked opgaver er udført. Billede 7 Task finish Side 15 af 44

16 LostDoor LostDoor laver ukontrolerbare internetforbindelser. Funktioner er som de fleste i RATS. Jeg vil i denne gennemgang prøve at fremhæve nogle af disse funktioner. Dog vil jeg sige at LostDoor er yderst nem at få øje på i sniffet trafik, da data flyder i ukrypteret stand. Dog er jeg ret sikker på at hvis man har styr på sin primeter firewall vil denne være nem at finde i listen over blokkeret trafik. Det er måske også derfor at vi sjældent ser angreb hvor den har været benyttet. Server build Selve admin interfacet ligner meget DarkComet med muligheder for at builde en server til at inficere andre med dog med de ekstra funktioner som at få denne her til at virke på samme måde som en WORM med spredning via USB Spred, MSN Spred og P2P spred.- Se billede 7 Der er indbygget anti debug funktioner således at denne eks ikke køre hvis den kan se at den befinder sig i bla vmware. Billede 7 Admin interface / Server Build Side 16 af 44

17 Admin interfacet imellem alle rats minder altid meget om hianden i RATS. Så kan man bruge en, kan man bruge dem alle. Billede 8 Administrations interface Trafik Mønster Trafik mønsteret er godt nok til at få øje på i denne RAT. Alt flyder ukrypteret, og alle inficeret host henter informationer fra /ip2country.hackers.lv ip2country.hackers.lv POST / HTTP/1.1 Content-Type: application/x-www-form-urlencoded Content-Length: 34 Accept: */* User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5) Host: ip2country.hackers.lv Side 17 af 44

18 Connection: Keep-Alive ip_check= &check=check Display filters >http.host == "ip2country.hackers.lv"< >tcp.dstport == 7183< >tcp.dstport == 7183 tcp.srcport==1051< Selvom denne RAT bliver sat til at benytte bestemte porte åbner den alligevel alternative data kanaler på TCP PORT 7183, når forbindelse oprettes. Her vil den fejle bragt, i en velopsat Firewall. For at finde denne forbindelse med wireshark kan dette displayfilter benyttes >tcp.dstport == 7183< eller Billede 9 Alternative porte åbnes ved forbindelser. Billede 10 - Her er et billed over ukrypteret kommunikation. Side 18 af 44

19 Eksempel på en ukontrolerbare forbindelse er bla. deres online streamer. Der henter desktop images ind fra en inficeret server. Billede 11 - Streamer over Port 2170 For at finde denne trafik i wireshark kan dette display filter benyttes. >tcp.port == 2170< Billede 12 - Ukontrolerbare forbindelser Side 19 af 44

20 Keylog og password funktioner Key log funktioner virker næsten altid som de skal, dog er der et problem med at genkende de rigtige keys. Der hvor pilen peger hen skulle der have stået ->12.txt Ellers er keylogger vel keyloggers. Remote adgang til alt hvad der bliver skrevet, fra hvor i verden hackerne nu befinder sig er vel ok, set med en hackers øjne. Billede 13 - Keylogger Side 20 af 44

21 ApoCalypse RAT Denne RAT er yderst velkendt af de forskellige AV producenter. 35 ud af 42 på virustotal genkender denne RAT. Derfor skulle der være god genkendelse af denne fra de forskellige producenter så længe denne ikke bliver lavet om. Det er en RAT som er lidt anderledes i forhold til nogle af de andre, da denne indeholder en File Binder der kan bruges til at binde en en server med andre filer efter behov, således at denne kan gemmes ind i andre filer. Dette kunne være i spil eller programmer som bliver frigivet via Piratebay eller filesharing tjenester eller hvad der nu ønskes. I ligende tilfælde skulle man før benytte teknikker med andre typer af værktøjer for at binde filer ind i hianden. Vitustotal: cae82fc0f Server Build Admin interface ligner de fleste RATS. Dog er der andre funktioner så som File Binder der er lidt anderledes end hvad de fleste tilbyder. Der findes og en teknisk fed funktion som Clipboard Manager, der kan lifte filer eller tekst ud af den inficeret klient fra hukommelsen. Dette er ret uniket for en RAT-Trojan. Billede 14 Admin Interface Side 21 af 44

22 Trafik mønster Trafik mønsteret i denne RAT må for en hackeres sysnspunkt siges at være så perfekt som det kan være. Det er næsten umuligt at komme med et ens tydende filter der kan spotte trafikken fra denne RAT. Sammenlignet med andre RAT er dette klart noeget af det bedste jeg har set. Alt er krypteret, der kommer ikke nogen former for ukontrolerbare forbindelser man kan kigge efter. Det er helt klart at denne Trojan er nem at skjule for Firewalls IDS og IDP systemer, da den kan tilpasses meget hurtigt. Kryptering af trafikken kommer ikke med noget enstydende der gøre at denne kan spottes. I denne test lå trafikken på HTTPS / SSL porten, hvilket jo gør at trafikken i Wireshark vil blive tolket som SSL eller HTTPS trafik men når man ser på trafikken har det ikke noget at gøre med normal SSL eller HTTPS trafik. Det er kun fordi at porten er 443 at man sådan lige ser det. Billede 15 Set i Wireshark Se efter SSL Continuation Data i Info feld Side 22 af 44

23 Billede 16 Normal SSL trafik Med Certificate server key exchange. Det er vigtigt at der med denne her ApoCalypse RAT først findes en inficeret host i et netværk, dette vil klart give bedre kort på hånden. Så snart dette er sket er der rig mulighed for at benytte IP adresser porte osv. Så giver resten sig selv. Dog er der ikke meget mulighed for at søge efter indhold i streams da alt er krypteret. Der kan ikke laves et entydigt filter så længe man ikke kender en drop server ip eller selve host modulet. Derfor kan denne vær svær at se efter da man på forhånd ikke kender nogen forbindelser. Det er derfor vigtigt at whitelist bliver benyttet i firewalls til kun tilladte sites Side 23 af 44

24 Billede 17 Krypteret indhold Et par filters der kan hjælpe med at finde denne RAT er følgende. Kan se forbindelse mellem 2 IP adresser. >ip.addr == 192.xxx.xxx.xxx or ip.addr == 192.xxx.xxx.xxx< Ser på ssl læg mærke til i billede 17 at Secure Socket Layer er ret tomt. >ssl< Billede 18 Secure Socket layer Side 24 af 44

25 Ser på Ethernet protokol TCP SSL - Dette er nok det bedste filter >frame.protocols == "eth:ip:tcp:ssl"< Billede 19 Continuation data i info File binder Denne file binder kan bruges til at joine en trojan ind i andre fil typer. På denne måde kan et uskyldigt ofre snydes til at starte en fil som ellers ser uskyldig ud. Førhen skulle der flere forskellige værktøjer til for at lave denne slags, men dette må nu betragtes som værende en default funktion i nogen. Billede 20 File binder Side 25 af 44

26 Clipboard Manager Dette er en funktion som ikke er set så meget før i andre typer RATS. Hvis en bruger har lavet en copy af et langt password kan dette hentes ud af Clipboard med en simpel indbygget funktion. Billede 16 viser Get Clipboard Text i funktion hvor password 123PasswordFloop er hentet ud. Billede 17 viser Get clipboard File hvor netop omtalte password er hentet ud og downloaded til BOT serveren i en txt fil. Billede 21 Get clipboard text Billede 22 Get Clipboard File Side 26 af 44

27 Xtreme RAT På overfladen virker XtremeRAT måske lidt tynd, med til forskel fra nogel at de andre testet RATS så har XtremeRAT en yderest velfungerende proxy. På en klient der kun benytter Windows firewall, så åbner XtremeRAT firewallen helt op så snart denne proxy aktiveres. Man kan fra C&C serveren kontakte en inficeret host direkte og benytte den denne som en proxy. Dette kune jo vær imod interne systemer i en virksomhed. Trafikken fra den inficeret host løber krypteret til C&C serveren, men fra selve den inficeret host, så foretager denne alle forespørgelser på næsten normal vis dog skjult fra brugeren. Det er også den første RAT jeg ser med indbykket funktioner til at blokkerer for IP adresser der forsøger at forbinde sig til C&C modulet. Der er forholdsvis mange netværks funktioner i denne RAT så der burde være rig mulighed for at finde og spotte forbindelser fra denne RAT, såfremt man følger lidt med i netværks trafikken og funktionerne benyttes. Genkendelse fra de forskellige AV producenter er 35 ud af 42 i default mode. Mange af de typisk drille funktioner finder vi ikke i denne RAT. Jeg vil nok kalde dette for den mest seriøse RAT. Billede 22 admin interface Side 27 af 44

28 Server Build Server build er næsten ens fra gang til gang i de forskellige RATS dog er der nogle muligheder er at builde config filer således at alle inficeret hosts har en nem mulighed for at blive opgraderet over netværket med nye fuktioner. Det betyder at drop sites meget hurtigt kan udskiftes med nye IP adresser og domain navne. Der er ikke nogen form for anti forensic moduler indbygget i denne RAT der kan slås til eller fra. Billede 23 Server Build interface Side 28 af 44

29 I billede 24 viser jeg et lille kig ind i Cerberus RAT hvor der er yderest mange anti forrensic muligheder. Cerberus RAT er helt klart den RAT der tilbyder flest af disse funktioner. Billede 24 Anti forrensic i Cerberus RAT Der er mange muligheder for forskellige former for fjernovertagelse af inficeret hosts med denne RAT. Billede 23 Functions i XtremeRAT Side 29 af 44

30 Trafik mønster Trafikken i XtremeRAT får man kun øje på hvis man i forvejen har en mistanke om at hosten er inficeret. Det vigtigste med denne RAT er af få identificeret IP adresser og domains. Måden denne RAT kan styre på et netværk som har en inficeret klient er set med tekniske øjne yderst sej. Muligheden for Island hopping internt i et netværk er yderst nemt med denne RAT og slet ikke noget problem. Måden at sikre at ingen får adgang til server modulet kan sikres via en IP block list. På denne måde kan sikkerheds folk holdes på afstand ved scanninger. Billede 24 - IP Blocklist Side 30 af 44

31 Bliver keylogger funktionen benyttet sammen med FTP upload funktionen, kan denne FTP forbindelse nemt findes da porten ikke kan flyttes til en anden port Billede 25 FTP upload mulighed fra keylogger funktionen. Side 31 af 44

32 Når der bruges remote proxy kan man få denne RAT til at tilføje firrewall regler ind i windows firewallen. Dette kan dog forhindres ved at man endten bruger andet end windows firewall eller lukker alle firewall politikker via GPO er eller local security policys. Billede 26 XtremeRAT Proxy tilføjet i windows XP firewall. Side 32 af 44

33 Trafkken på de porte der nu bliver konfigureret mellem Server og host er krypteret og kan ikke og er krypteret. Trafikmønsteret kender man først når der er identificeret en inficeret host i et netværk. Porte kan være alt og remote IP og DNS navne kan skiftet on the fly af botmasteren. Se billede Det er stort set det samme. Ved at benytte dette filter kan proxy funktionen findes med Wireshark. Man kan desuden scanne med nmap efter åbne proxy porte på klienter >tcp.srcport == 8080< Billede 27 Typisk proxy trafik Side 33 af 44

34 CyberShark-ZeroEdition Cyber Shark er ikke en RAT med en Trojan Keylogger som er den første jeg har set der kan benytte pastebin.com som et sted at droppe sine data. Jeg tog denne med da det er blevet ret hip at hackerne smider eller publiceret komprimenteret data via pastebin.com. Denne trojan bliver kun fundet af 6 ud af 43 av producenter. 6d Server Build Min søn på 11 år kunne builde denne Keylogger-Trojan. Der er 3 simple steps man skal igennem. Så har man en færdig trojan der dropper sine data direkte på pastebin.com Billede 27 Server build Side 34 af 44

35 Password stealers kan stjæle passwords fra en række programmer som man typisk finder på en windows maskine. Billede 28 Passwod Stealers Side 35 af 44

36 Læg mærke til pastebin eller . Denne kan også uploade til Hotmail eller gamail Hvor den logger ind som en normal bruger ville gøre det. Så er det du skal spørge dig selv må dine brugerer benytte deres private web-mail hos hotmail eller gmail? For det er helt sikkert det liger normal bruger trafik. Billede 29 Build Side 36 af 44

37 Trafik mønster Det er ikke til af få øje på om trafikke fra denne trojan er skadelig. Den kan bruges til gmail eller hotmail eller via trafik til pastebin.com Der bliver benyttet ren HTTP i klar tekst imod pastebin.com Der bliver lavet mange opslag til Har man mange af disse forespørgelser bør man nok se hvem der laver disse. Dog lader funktionen til at forespørge forkert. Så det ser us som om at det virker helt efter hensigten. Blok for pastebin.com og trafik til og fra IP Inholdet er forskelligt fra inficeret maskine til inficeret maskine alt efter hvor mange passwords der bliver stjålet. Billede 30 Upload i klar tekst via HTTP Side 37 af 44

38 Billede 31 - En upload til pastebin.com Side 38 af 44

39 Anti RAT Ofte kan det være svært at komme med endegyldige foranstaltinger imod angreb. Angreb kan være meget forskelligartet. Man vil altid være ramt af begrebet you build we study på alle sikkerheds produkter og infrastruktur som findes i en virksomhed. Hackeren har mange muligheder for at studere sit mål, inden hackeren vælger en angrebsmetode. Jeg har samlet nogle punkter som hver især kan være omfattende og meget tekniske uden at jeg forsøger at gøre dem tekniske, men kun benævner disse. Så lad det kun være en mini guide i hvad du altid bør have styr på i forhold til disse omtalte RATS. Jeg er udemærket klar over at der findes sikkerheds punkter som jeg ikke har nævnt her. Men som skrevet er det kun i forhold til RATS. Porte Det er meget klart at de farligste porte altid vil være HTTP port 80 og HTTPS port 443 da de stort set altid er åbne for udgående forbindelser fra alle PC er i en virksomhed eller fra en gateway proxy scanner, derfor bør scanning af denne trafik være nøje overvåget. Dog er trafikken med de 2 farlige åbne porte ikke kun begrænset til ovennævnte. Der findes som sagt porte. En anden typisk port der bliver udnyttet TCP/UDP 53 DNS. Firewalls på klienter og server Brugen af firewalls på klienter og servere er vigtig og er klart der jeg ser man får mest for sine penge i sine sikkerheds produkter. Et HIPS system med AV og Firewalls og alt havd der nu er indbygget i fulde HIPS systemer kan klart anbefales. Det skal være firewalls som kan håndtere både ind og udgående trafik. Jeg har alt for ofte set XP firewalls benyttet med mange og helt åbne porte tilladt fra ANY. En simpel ting er bla. at mange tillader UDP på alle porte ud igennem deres firewall til Any. I brugen af firewalls bør disse arlamere hvis disse forsøger at lave forbindelser til ikke tilladte endpoints. Det er eksempelvis vigtigt af få endpoints til at virke og fungere som en stor samling honypots i ens netværk. Dette vil kunne afsløre andre i ens netværk som kan være inficeret eller som ikke opfører sig efter hensigten. Eksempler man bør overveje meget kraftigt - Er det vigtigt at en produktions medarbejder skal kunne surfe alle internet sider? - Eller er det vigtigs at der eksempelvis kun kan surfes interne sider i virksomheden eller virksomheds relateret sider? Er det vigtigt at alle kan lave forbindelser til ikke godkendte HTTPS sider med ugyldige certifikater? - Hvad med at lade brugeren få lov til at surfe hele internettet fra en dertil indrettet klient via en terminal adgang og blokere for Internet adgang fra ALLE interne pc er? Side 39 af 44

40 - Kan du ikke reinstallere din terminal adgang hver dag via et vmware snapshot enda helt automatisk? - Hvorfor skal alle have lov til at benytte Java i deres browser? - Hvorfor skal alle have lov til at foretage DNS forespørgelser til alle DNS servere rundt om i verden? - Skal man have lov til at tilgå Facebook og andre social medier? - Hvorfor tillader mange at det er muligt at MS-RPC er tilladt til alle klienter og servere i en virksomhed? - Hvorfor er RDP tilladt til alle servere og klienter? - Hvorfor bruger man ikke et gateway proxy system til fjern overtagelse at servere og klienter fra IT afdelingen? - Er det svært kun at tillade virksomheds relateret domæner og IP adresser? - Hvorfor tillader du trafik ud på porte imod ting du ikke kender? - Kan du på 2 min lukke for trafikken til en C&C server? - Har du en test internetforbindelse der ikke er begrænset så der kan testes skadelig kode og andet skrammel og kan du skjule hvem der egenteligt kontakter den server der server skadelig kode? - Hvis du har et AS nummer ved du så hvad shadowdata er for noget? Mail sikkerhed En efterhånden overset sikkerhed er ofte mail-sikkerhed. Der er mange der ikke tester deres sikkerhed men overlader dette til externe mail leverandører. Hvilket bestemt ikke er en fordel. Tit er de mangelfulde i form af sikkerheds funktioner og muligheder. - Hvad er sikkerheds politikken på dit mail system og er det intigreret med patch management sikkerheds politikken? - Hvor tit tester du hvad dine brugere kan modtage via ? - Bruger du Black listining eller white listing til blokering af tilladte filtyper og hvad er best at bruge? - Kan du scanne indholdet af ARC filtyper? - Kan du stoppe indhold i DOCX fil typer? - Er det godt at bruge MIME type genkendelse? - Kan man skjule data ind og ud af mail systemet i andre formater? - Hvor tit tester du din leverandør? - Tillader du at dine brugere får adgang til blokkeret SPAM? Er det godt eller ej? - Kan man spoofe mails ind i din virksomhed? Hvad kan være med til forhindre det? - Router din leverandør din ud af Danmark til udlandet og tilbage igen? Hvad kan der ske ved det? - Kan man skjule en RAT ind i din virksomhed via ? - Hvis der opstår en kritisk sårbarhed i DOC må du så gerne lukke for modtagelse af DOC indtil en rettelse kommer fra producenten? Side 40 af 44

41 Patch Management Firewalls og antivirus gør det bestemt ikke alene. Patch Management er en lige så vigtig del, især på lsær på alt hvad der hooker ind i en browser. Dog i forhold til Rat- Trojans er patch management ikke en væsentelig faktor, da RATs normalt ikke benytter sig af exploits for at blive installeret. Derfor skal man bestemt ikke undlade det. Secunia og Patch link er udmærket produkter. Det er sjældent jeg har set angreb hvor en eller anden sårbarhed ikke har været benyttet. Dette kan være i form af exploits eller bare default usikre opsætninger. Full Packet Capture Mulighenden for at lave full packet capture af servere og klienter skal kunne blive lavet foran og bagved primeter firewalls, samt i forskellige centrale switces. Vigtigheden i at kunne se hvilke interne klienter der fortager forespørgelser ud imod internettet er vigtig og tit afgørende for at kunne identificere angreb eller brud på sikkerheden. Jeg ser alt for ofte at især virksomheder totalt overser denne mulighed. Muligheden for at kunne spole tilbage i tiden i sniffit trafik er meget hjælpsom når inficeret hosts skal identificeres eller hvorfra et angreb blev startet. Derfor er en general mulighed for at kunne back trace forbindelser lavet af klienter ud imod Internettet, betragtet som værende meget vigtig og hjælpsom. Hvis muligheden for at kunne capture alt trafik skal der typisk dyre løsninger til, men de giver klart det bedste overblik. I mange tildfælde kan det vise sig samtidigt at være det bedste log system man har i sin virksomhed, da centrale log systemer tit er en mangelvare i mange virksomheder. Dog kan man bruge forskellige gratis værktøjer som bliver installeret på alle klienter eller serveres, der giver mulighed for Remote full packet capture. Switch porte kan benyttes i monitor mode hvor man kan hoppe på hvis det ønskes. Dette giver dog langt fra det perfekte overblik, men det kan give oveblik og muligheder når uheldet er ude. Personale der er trænet i at kunne kigge i netværks trafik er ofte en kæmpe overset vare i mange virksomheder. Rettigheder Administrative rettigheder på klienter i denne forbindelse bør ikke forekomme. Alt efter hvordan en hacker ønsker at inficere en klient, så er det ikke sikkert at administrative rettigheder betyder noget. Hvis der benyttes sårbarheder i form af forskellige former for exploits, så er almindelige user rettighder tit ligemeget. Der vil under alle omstændigheder altid være en eller anden form for impact, også selvom man kun blev ramt med bruges af laveste rettighederr. En bruger vil altid vil have adgang til systemer hvor kritisk data kan befinde sig. Dette kan være passwords lokalt i filer eller netop rettigheder nok til at gå på et udviklings share eller interne Side 41 af 44

42 web sider, det kan give en høj impact alligevel. Netop exloits kan tit lade sig gøre fordi brugeren mere eller mindre kan tilgå alt på internettet. Dog er brugen af rettigheder vigtig så en interne medarbejder ikke ummidelbart kan opsætte en RAT HOST. Port Scanninger Jævnlig scanning efter hosts som er faldet ud af AV systemer og ligende er vigtig, da disse tit kan være inficeret hosts. Dette kan i store netværk tit være en stor opgave i sig selv. Jeg anbefaler dog der benyttes en port scanner som nmap. Lav scanningen så begrænset som mulig da scanningerne derved kan gøres meget hurtigt. Scan efter porte som dit AV system benytter. Sammenhold det med status fra admin interfacet fra dit AV system. Finder du en RAT bør du scanne efter de identificeret porte som en eventuel RAT benytter. Derfor bør man altid foretage en port scanning af en inficeret host eller på anden måde identificeret åbne porte. Sårbarheds Scanninger Scanning efter sårbarheder bør være en helt normal ting i alle netværk. Simple scanninger vil fange rigtig mange sårbarheder. Husk når der laves sårbarheds scanninger så er det vigtigt at loged in scanninger også foretages. Dette kan fange miskonfigurationer der i kampen imod RATs nok er den vigtigste. Scannere som Nessus kan desuden foretage passiv sårbarheds scanning på ens netværk hvilket er en af de få der kan dette. Lad være med at lave scanninger i blinde, men lad det være en motivation til at få tilrette prosedurer således at dinne hosts bliver så stærke som muligt allerede når disse når brugeren. Tag aldrig en server i brug før at en sårbarheds scanning har været foretaget. Mange tager fejl når de tror de kan bestille en pentest uden at normale sårbarheds scannniger ikke allerede er en fast del af den sikkerheds overvågning man foretager sig. Der vil være 100% garanti for at denne pentest lykkedes. Overvågning Få sat ovevågning op på alle jeres servere. Husk at tjek om jeres sikkerheds produkter køre på jeres servere. Det første der altid bliver slået ned af malware og hackere er sikkerheds produkter som AV. Så lad det være at vigtig faktor at overvåge. Jeg oplever ind imellem at virksomheder ikke har styr på havd de rent faktisk har af servere og udstyr på deres eget netværk. Få det nu dokumenteret...det er sku ikke svært. Man kan bruge overvågning som dokumentation der sågar blinker rødt hvis noget er galt. Dog kan det være en udfordring i meget store netværk hvor tingene skifter meget hurtigt og sikkerhed ikke er øverst på listen. Side 42 af 44

43 Øvelser På samme måde som man træner i militæret, så kan det anbefales at man jævnligt holder øvelser i at kunne mestre metoder til at identificere skadelig trafik. Har man en sikkerhedspolitik så træn i den. Det hjælper ikke meget at man først skal til at hive politikken op af skuffen for at læse den igennem når uheldet er ude. Det hjælper heller ikke noget at man først lige skal lære alle sine værktøjer at kende der kan identificere trafikken når uheldet er ude. Det skal bare køre på skinner inden uheldt sker. Jeg kan anbefale at der bliver holdt øvelse min 4 gange årligt. Alle ITmedarbejdere bør lære deres plads at kende i kritisk situationer. Tit har jeg set medarbejderer både teknikkerer og lederer som prøver at gemme sig når det hele er ved at ramle og de skal pludselig tideligt hjem, så håber de på magisk vis det hele er gået over til dagen efter. Side 43 af 44

44 Ressourcer Wireshark Open.SC Hack Forum Microsoft MRT Tool (removal tool) Poison Ivy Nuclear Winter Crew Network Tap Metasploit DarkComet RAT LostDoor NetOptics TAP-Bokse Side 44 af 44