Heute war wieder ArchITecture, die Hausmesse von Ingram Micro und wie die letzten Jahre habe ich den Live Hacking Vortrag am Morgen gehalten.
Dieses Jahr habe ich über Viren und Schadprogramme referiert.
Die Live-Show, die nicht aus der Präsentation erkennbar ist, umfasste eigentlich nur ein paar Kleinigkeiten, die Show-Wirkung ist aber nicht zu unterschätzen.
Der erste Teilbereich handelt von Ideen, ein Schadprogramm auf den Rechner zu schleusen.
- Vorführen eines einfachen Keyloggers
- Vorführung wie ein Backdoor-Programm wie z.B. Netbus funktioniert
- Basteln eines einfachen Trojaners mittels Elitewrap aus Netbus und einem harmlosen Flashfilm
- Einstecken einer CD oder eines USB-Sticks mit Autorun um automatischen Programmstart zu demonstrieren
- Hochladen dieses Trojaners bei Virustotal
Hier gibt es dann immer den ersten lustigen Aha-Effekt, weil ausgerechnet Symantec Norton und Trend Micro den Trojaner nicht erkennen.
Der zweite Teilbereich behandelt das Verstecken von Dateien
- Ein erkanntes Schadprogramm kann mit Winzip in der BZIP2-Kompression verpackt werden und wird dann von der Hälfte der Virenscanner auf Virustotal nicht mehr erkannt
- In NTFS kann man Dateien in Alternate Data Streams (ADS) verstecken und wieder starten
- Mit ADS Spy oder vergleichbaren Tools lassen sich die Dateien wieder anzeigen
- Konfiguration und Anwendung von Winrootkit (geht nicht mit XP SP2) um Dateien zu verstecken
- Rootkit Revealer, um die versteckten Dateien wieder aufzuspüren
Das sind Möglichkeiten, die nicht nur von Schadprogrammen sondern auch von regulären Programmen genutzt werden.
Im dritten und letzten Block geht es dann um die fortschreitende Kommerzialisierung. Besonders faszinierend ist kommerziell angebotene Spyware, die man direkt per Kreditkarte kaufen kann.
- Demo des Hacker Defender Rootkits (ehemals kommerziell)
- Demo des Refog Employee Monitor
- Verweis auf einschlägige Webseiten wie VX Heaven
Die komplette Show dauert etwa 1,5 Stunden, in Neuss hatte ich leider nur rund 45 Minuten und musste daher ein paar Sachen weglassen. Aber bereits der erste Block und vielleicht noch der Hinweis auf die Refog-Webseite reicht in der Regel, um den einen oder anderen nervös werden zu lassen.
Ach ja, die Show kann gerne auch bei mir gebucht werden 🙂