© Umbra - Umbra2000@gmx.de
ShadowHackers:
http://www.shadowhackers.de.vu/
NACKTER AFFE ist ein Trojanisches
Pferd, das sich per E-Mail steuern lässt und die IP-Adresse des Opfers
selbstständig übermittelt !
Nackter Affe besteht aus mehreren Teilprogrammen:
NackterAffe.exe stellt den eigentlichen
Trojaner in seiner unkonfigurierten Form dar
Schaerfen.exe wird zur Konfiguration von NackterAffe.exe
verwendet und erstellt einen einsetzbaren, konfigurierten Trojaner
Commando.exe stellt die Befehlszentrale dar,
von der aus die Anweisungen für den konfigurierten Trojaner erteilt werden
Uninst.exe stellt ein Desinfektionstool für
infizierte Systeme dar
Das Prinzip: Man konfiguriert die EXE-Datei des Trojaners (NackterAffe.exe) mit Hilfe des Konfigurationsprogramms Schaerfen.exe und schiebt die erstellte Programmdatei dem Opfer unter (z.B. per E-Mail). Wenn dieses das Programm zum ersten mal starten will, erscheint eine Fehlermeldung und das System wird heimlich infiziert. Jetzt wird sich der aktive Trojaner regelmäßig per E-Mail melden und die IP-Adresse des Opfers übermitteln. Über das Programm Commando.exe werden dem Trojaner per E-Mail Aufträge erteilt, die dieser dann ausführen wird.
Im
folgenden Beispiel wird davon ausgegangen, dass wir zwei E-Mail Accounts
„Angreifer@gmx.de“ und „Opfer@gmx.de“
erstellt haben !
Beide
verwenden den POP-Server pop.gmx.de und den SMTP-Server mail.gmx.de. Das
Kennwort von „Opfer@gmx.de“ sei
„strenggeheim“ und das von „Angreifer@gmx.de“ sei „paranoid“.
Schaerfen
Man öffnet mit "Unkonfigurierte EXE" die beiliegende Datei "NackterAffe.EXE".
Nun stellt man folgendes ein:
- eine E-Mail Adresse, von der allein die Befehle erteilt werden können
- einen POP-Server mit zugehörigem Benutzernamen und Kennwort, an den die Befehle geschickt werden
- einen SMTP-server mit zugehöriger Absende-Adresse über den Antworten verschickt werden sollen
- eine Empfangsadresse, die die Rückmeldungen (und IP-Adressen) erhalten soll
In unserem Beispiel bedeutet das:
Es werden nur Befehle von folgender Adresse verarbeitet:
Angreifer@gmx.de
POP-SERVER:
pop.gmx.de
POP-Kennwort:
strenggeheim
POP-Benutzername:
Opfer@gmx.de
SMTP-Server:
mail.gmx.de
Rückmeldung schicken an:
Angreifer@gmx.de
Absende-Adresse:
Opfer@gmx.de
Es handelt sich hier immer um POP-after-SMTP Zugänge ! Gegebenenfalls muss man seine E-Mail Accounts entsprechend einstellen.
Danach betätigt man "EXE-Datei konfigurieren" - eine neue Datei namens "Attacke.EXE" wird erstellt.
In diese wurden die angegebenen Daten verschlüsselt gespeichert.
Commando
Legen Sie
hier zuerst die Einstellungen für den Versand von Aufträgen fest ! Diese können
auch gespeichert und geladen werden.
In unserem Beispiel bedeutet das:
SMTP-Server:
mail.gmx.de
Absender:
Angreifer@gmx.de
Empfänger:
Opfer@gmx.de
(bei GMX
gilt: SMTP-after-POP)
Kennwort:
paranoid
Benutzername:
Angreifer@gmx.de
Die bei der Konfiguration erstellte Datei Attacke.exe wird glaubhaft umbenannt und dem Opfer untergeschoben. Wird die Datei ausgeführt, erscheint eine unverständliche Fehlermeldung. Im Hintergrund wurde das System aber bereits heimlich infiziert.
Nach dem nächsten Bootvorgang ist der Trojaner aktiv.
Er testet jetzt alle 3 Minuten, ob eine Online-Verbindung steht. Sollte dies der Fall sein, so meldet er alle halbe Stunde per E-Mail die IP-Adresse des Opfers. Dadurch werden andere Angriffe möglich.
Unabhängig davon, prüft der
Trojaner alle 3 Minuten während einer Online-Sitzung den E-Mail Account „Opfer@gmx.de“ (im Beispiel) ob
neue Aufträge vorliegen. Sollte dies der Fall sein, wird eine Bestätigung über
den Erhalt an den anderen Account „Angreifer@gmx.de“ (im Beispiel) geschickt
und der Auftrag durchgeführt.
Der Trojaner besitzt eine selbstständige Fehlerkontrolle – sollte z.B. bei einer sehr geringen Bandbreite Probleme auftreten, kann es vorkommen, dass der Trojaner erst nach dem nächsten Booten wieder aktiv wird, um nicht durch Fehlermeldungen oder Systemabstürze Hinweise auf seine Existenz zu geben. Aufträge werden dann erst bei der nächsten Möglichkeit empfangen und ausgeführt.
Alle Befehle können jederzeit über Commando.exe vergeben werden.
Je nach Online-Verhalten des Opfers wird sich die Ausführung verzögern.
Die Bestätigungen bzw. Meldungen des Trojaners können auf herkömmliche Weise als E-Mails vom Account „Angreifer@gmx.de“ (im Beispiel) abgerufen werden.
Alle Befehle werden wie bereits erwähnt über Commando.exe erteilt.
Ein herausragender Befehl ist die Möglichkeit der Selbstzerstörung. Auf diese Anweisung hin wird sich der Trojaner selbst deaktivieren und sich mitsamt der Programm-Datei löschen. Es werden jegliche Spuren beseitigt !
Eine weitere sehr mächtige Funktion ist die NetBios-Freigabe. Dieser Befehl schafft nach dem nächsten Booten eine NetBios-Freigabe der Festplatte. Somit ist mit Hilfe der IP-Adresse der Zugriff auf Daten möglich über das Internet möglich.
Viele Aufträge sind nur in Verbindung mit NetBios-Zugriff sinnvoll. So kann eine upgeloadete WAV-Datei abgespielt oder ein beliebiger Text aus einer Upgeloadeten Datei mit Programm ausführen angezeigt werden (z.B. "Notepad c:\windows\erschrecken.txt").
Programm ausführen bietet weiterhin die Möglichkeit durch eigene Programme Erweiterungen vorzunehmen (wenn man diese uploaded und dann ausführt).
Alle anderen Befehle sind selbsterklärend.
Das beiliegende Programm Unist.exe kann auf jedem lokalen System den Trojaner mit allen Starteinträgen löschen. Zusätzlich sollten Sie beachten ob evtl. ungewollte Netzwerkfreigaben stattgefunden haben.
Nackter Affe wurde für Windows9x konzipiert.
Ich halte es für sehr wichtig, vor dem Ernstfall, den Einsatz sowie die Konfigurationen zu erst einmal am eigenen PC zu testen. (Einfach infizieren, booten und wie gewohnt Befehle erteilen --> später mit Unist.exe desinfizieren !).
Dieser Trojaner bietet folgende Vorteile gegenüber einem herkömmlichen:
- wird von Virenscanner nicht erkannt (ist eben zu unbekannt !)
- Man kann ihn zeitverzögert steuern (spart Online-Gebühren und muss nicht gleichzeitig mit dem "Opfer" Online sein)
- somit braucht man keine direkte Verbindung, die sich leicht von jeder Firewall zurückverfolgen lässt
- Die E-Mail Ports werden bei schlecht konfigurierten Firewalls/Netzwerken nicht ausreichend abgeschirmt
- Der Trojaner meldet sich von innen her selbstständig, so dass man das Opfer ohne langes Suchen anhand der IP-Adresse schnell wieder finden kann
Wichtig:
- jeder E-Mail-Server speichert Eure IP !
- Eine richtig eingestellte Firewall blockt auch diesen Trojaner !
- Die Konfigurations-Daten (z.B. E-Mail Adresse) werden zwar verschlüsselt gespeichert, lassen sich jedoch mit entsprechendem Wissen entschlüsseln
- ausgehend von der Log-Datei des E-Mail-Servers über evtl. die von Proxies bis zu Eurem Internet-Provider seid Ihr immer zurückverfolgbar !
à Also seid Euch der Gefahr bewusst, wenn Ihr dieses trojanische Pferd einsetzt - es ist zwar aufwendig, aber man kann den PC über den Ihr Befehle erteilt habt finden - wie bei jedem Trojaner ! Der Vorteil in diesem Fall ist wohl, dass nie eine direkte Verbindung zwischen Eurem PC und dem des Opfers besteht und so eine Verfolgung erschwert wird.
Die Paranoiden unter Euch können Commando.exe über ein entsprechendes Tool über mehrere Proxies betreiben.
Besucht die Homepage von ShadowHackers: http://www.shadowhackers.de.vu
Unterstützt bitte The-Phoenix-Network: www.the-phoenix-network.com !
Dieses Programm ist sicher noch nicht perfekt ! - Deshalb würde ich mich über jegliche E-Mail (also Anregungen, Fragen, Kritik, Bug-Report,etc.) freuen: Umbra2000@gmx.de
Version: 1.2 – 8.2001
© Umbra
Der Autor übernimmt für den Gebrauch sowie Schäden durch das Tools keinerlei Haftung ! Dieses Programm dient nur zu Demonstrationzwecken und darf niemals zum illegalen Einsatz verwendet werden. Der Autor distanziert sich von jedem illegalen Gebrauch und übernimmt hierfür keinerlei Verantwortung. Ich gebe der Menschheit nur ein Werkzeug, was diese damit dann macht, ist ihre Sache - und nicht mehr meine !