Soso, die Briten haben auf die billige chinesische Hardware von Huawei umgestellt und merken jetzt, dass China da Zugriff auf Hardware und Firmware hat und ihnen möglicherweise kritische Infrastruktur abschießen kann. Die USA haben das schon vor einem ganzen Jahr gemerkt. Wir kennen das ja bereits von EC-Kartenterminals die für Tetris missbraucht werden. Es sollen sogar schon Kartenterminals aufgetaucht sein, die von Einbrechern oder direkt vom Hersteller in China modifiziert wurden, um PINs und Kartendaten abzugreifen.
Es gibt also nichts neues zu sehen. Bitte gehen sie weiter.
Ich habe aus gegebenem Anlass heute die Übersichtsseite Hackingtools ein wenig erweitert. Zwar steht immer noch lange nicht so viel drin, wie ich gerne hätte aber so ganz langsam dürfte das was werden. Für Tipps, Ideen und Programme bin ich immer aufgeschlossen.
Mir ist aufgefallen, dass es immer mal wieder Exploits z.B. auf Securityfocus oder Milw0rm gibt, die als Metasploit Modul geschrieben sind. Sowohl alte Perl Module, z.B.
Nur scheint es weder ein zentrales Repository für die diversen Module zu geben, noch werden sie bei Metasploit aufgeführt. Oder sehe ich das falsch?
Kennt jemand ein Verzeichnis der diversen von dritten erstellen Metasploit Module? Wenn nicht, würde ich eines anlegen und pflegen, wenn mich auch ein paar andere mit Links zu Module versorgen würden.
Außerdem gibt es von Dennis Jlussi, der den Eicar-Beitrag geschrieben hat noch ein paar Präsentationen zum Thema. Mehr habe ich bisher nicht gefunden. Kennt noch jemand ein paar Diplomarbeiten von angehenden Rechtsverdrehern oder so, die sich ebenfalls kompetent mit dem Thema beschäftigen?
Die Live-Show, die nicht aus der Präsentation erkennbar ist, umfasste eigentlich nur ein paar Kleinigkeiten, die Show-Wirkung ist aber nicht zu unterschätzen.
Der erste Teilbereich handelt von Ideen, ein Schadprogramm auf den Rechner zu schleusen.
Vorführen eines einfachen Keyloggers
Vorführung wie ein Backdoor-Programm wie z.B. Netbus funktioniert
Basteln eines einfachen Trojaners mittels Elitewrap aus Netbus und einem harmlosen Flashfilm
Einstecken einer CD oder eines USB-Sticks mit Autorun um automatischen Programmstart zu demonstrieren
Hochladen dieses Trojaners bei Virustotal
Hier gibt es dann immer den ersten lustigen Aha-Effekt, weil ausgerechnet Symantec Norton und Trend Micro den Trojaner nicht erkennen.
Der zweite Teilbereich behandelt das Verstecken von Dateien
Ein erkanntes Schadprogramm kann mit Winzip in der BZIP2-Kompression verpackt werden und wird dann von der Hälfte der Virenscanner auf Virustotal nicht mehr erkannt
In NTFS kann man Dateien in Alternate Data Streams (ADS) verstecken und wieder starten
Mit ADS Spy oder vergleichbaren Tools lassen sich die Dateien wieder anzeigen
Konfiguration und Anwendung von Winrootkit (geht nicht mit XP SP2) um Dateien zu verstecken
Rootkit Revealer, um die versteckten Dateien wieder aufzuspüren
Das sind Möglichkeiten, die nicht nur von Schadprogrammen sondern auch von regulären Programmen genutzt werden.
Im dritten und letzten Block geht es dann um die fortschreitende Kommerzialisierung. Besonders faszinierend ist kommerziell angebotene Spyware, die man direkt per Kreditkarte kaufen kann.
Demo des Hacker Defender Rootkits (ehemals kommerziell)
Demo des Refog Employee Monitor
Verweis auf einschlägige Webseiten wie VX Heaven
Die komplette Show dauert etwa 1,5 Stunden, in Neuss hatte ich leider nur rund 45 Minuten und musste daher ein paar Sachen weglassen. Aber bereits der erste Block und vielleicht noch der Hinweis auf die Refog-Webseite reicht in der Regel, um den einen oder anderen nervös werden zu lassen.
Ach ja, die Show kann gerne auch bei mir gebucht werden 🙂
Wenn ich das nächste mal Ike-Scan verwende, einfach im RFC 2409 und der IPSec-Registry der IANA nachkucken, welche Transforms welche Bedeutung haben. Dann versteht man auch
–trans=(1=7,14=128,2=2,3=1,4=5)
🙂
Gibt es eigentlich außer der Liste von NTA-Monitor noch eine weitere Vendor-ID Datenbank?
Windows 2000 SP4, aktuelle Service Packs. Nessus (aktuelle Version 3.2.1.1, aktueller Commercial Feed) hat mir folgendes ausgespuckt:
SMB Registry : Autologon
Synopsis :
Anyone can logon to the remote system.
Description :
This script determines whether the autologon feature is enabled. This feature allows an intruder to log into the remote host as DefaultUserName with the password DefaultPassword.
Solution :
Delete the keys AutoAdminLogon and DefaultPassword under
HKLM\SOFTWARE\Microsoft\Window NT\CurrentVersion\Winlogon
Risk factor :
High / CVSS Base Score : 7.2
(CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C)
Hat zufällig einer der Mitleser eine Idee, wie man das aus der Ferne ausnutzen kann? Der Server steht im gleichen LAN in dem ich mich auch befinde. Es gibt keine Firewall dazwischen. Der Zugriff auf Shares ist prinzipiell möglich, scheitert aber an Rechten.
Immer wieder interessant, wie anglozentristisch die IT-Welt ist. Wenn mal ein Franzose was entdeckt, geht das völlig unter. Der Aufbau der ScreenOS Passwort-Hashes ist seit mindestens 23. Juni 2008 allgemein bekannt. Samuel Monux hat an diesem Tag ein Python-Script veröffentlicht, das nach Eingabe von Login und Passwort einen korrekten ScreenOS-Hash erzeugt. Außerdem hat er gleich noch einen Patch für John the Ripper mitgeliefert.
Wichtig, das John the Ripper übergebene Passwort-File muss genau folgendes Format haben:
<username>:<username>$<cryptedpass>
sonst tut es nicht. Der Username wird bei ScreenOS als Salt verwendet, darum taucht er hier ein zweites Mal auf.
Vorsichtshalber lege ich mal Kopien auf meinen Server. Man weiß ja nie, wann die Tools wieder aus dem Internet verschwinden.
Chris Paget just did you a service by hacking your passport and stealing your identity. Using a $250 Motorola RFID reader and antenna connected to his laptop, Chris recently drove around San Francisco reading RFID tags from passports, driver licenses, and other identity documents. In just 20 minutes, he found and cloned the passports of two very unaware US citizens.