Informatika | Informatikai biztonság » Kémszoftver esettanulmány egy felfedezett Poloska programról

K éms zo f tv er SaveAs E s e t ta n u l m á n y egy felfedezett poloska programról Készült: 2002 február 1. A dokumentum a fedőlappal együtt 18 számozott oldalt tartalmaz. Es et ta n ul m á ny - p o l os k a 1. TARTALOMJEGYZÉK ESETTANULMÁNY 1 1. TARTALOMJEGYZÉK 2 2. POLOSKA AVAGY KÉMPROGRAM 3 2.1 Bevezetés és általános vezetői összefoglaló 2.11 Előzmények 2.12 A projekt audit részének kimenetele 2.13 A poloska tulajdonságai 2.14 Végkövetkeztetés 3 3 3 6 7 2.2 A poloska felfedezése 2.21 A véletlen 2.22 Ami nem véletlen 2.23 Az Octopus eredménye 2.24 Az idegen program egyértelműsítése 9 9 9 11 11 2.3 A Poloska analizálása 2.31 A program védelmi mechanizmusa 2.32 A program intelligenciája 2.33 A program kapcsolattartása 13 13 14 16 3. A VÉDELEM 17 4. EGYÉB 18 4.1 Jelen dokumentum közlése 4.11 Az információk minőségéről 18 18 4.2 CopyRight 4.21 Kizárólagos jogok Hasznosítás és többszörözés

Nyilvánossághoz való közvetítés és idézés Oktatás Minden más esetben 18 18 18 18 18 18 SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel / Fax: (1) 2221222 2. oldal, összesen: 18 Es et ta n ul m á ny - p o l os k a 2. 2.1 POLOSKA AVAGY KÉMPROGRAM Bevezetés és általános vezetői összefoglaló 2.11 Előzmények A SaveAs Kft.-t megbízója felkérte, hogy rendszerében több lépcsős biztonságiszint emelést hajtson végre A legfontosabb okok között szerepelt, hogy a megbízó úgy érezte cégből adatok szivárognak ki, melyek üzletmenetét jelentősen befolyásolják. Bizonyítékok ugyan nem támasztották alá, hogy bizonyos tenderek elvesztése ott dolgozó, belső munkatárs vagy idegenkezűség az oka, azonban a saját üzleti körükben visszahallott információk alapján valószínűsíthető volt, hogy létezik az úgynevezett „belső információk közkézen forgása”. A cégvezetés

elsődleges célja nem a nyomozás volt, hanem egy ésszerű biztonsági szint elérése, ahol mindenki rendelkezik a munkájának elvégzéséhez szükséges összes információval, de csak azzal. A 2001 novemberében induló projekt a megbízó informatikai rendszerének átvilágításával, azaz audittal kezdődött. (Ezt követte később az Informatikai Biztonsági Szabályzat (IBSZ) kidolgozása, a megfelelő biztonsági infrastruktúra kiépítése és bevezetése.) 2.12 A projekt audit részének kimenetele Az egyeztetések befejezése után elkezdődött az átvilágítás, az aktuális informatikai rendszerekről biztonsági szempontú pillanatfelvétel készítése. Az audit során a szakemberek egy általuk nem ismert alkalmazásba ütköztek és így derült fény a program létezésére. A projekt egészéből jelen esettanulmány csak és kizárólag az audit során megtalált és kielemzett - a SaveAs által poloska munkanéven elnevezett - szoftverrel foglalkozik.

Ennek valós létezése mutatja, hogy az információk biztonsága egyre fontosabb feladat, mellyel foglalkozni kell. A megtalált szoftver tulajdonképpen nem más, mint egy féreg (worm). Működése tág párhuzamokat vonva – hasonlítható a néhány éve elterjedt Back Orifice (BO) vírushoz, azonban a működése fordított és sokkal intelligensebb. Ennek oka, hogy a program egyedi fejlesztésű, központi adatbázisokban nem megtalálható, ráadásul saját magát képes változtatni, azonban ez még mindig nem a legfontosabb tulajdonságai közé tartozik. SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel / Fax: (1) 2221222 3. oldal, összesen: 18 Es et ta n ul m á ny - p o l os k a A fentebb említésre került BO vírus a megfelelő beállítások elvégzése után az adott gépre eljuttatva képes volt értesíteni telepítőjét e-mailben az installálódás befejeztéről és a támadás megkezdésének

lehetőségéről. Működése ma már viszonylag egyszerűnek nevezhető, egy hátsó ajtót nyitott a gépen a támadó számára. Workstation (BO) Attacker Internet A BO nem volt annyira intelligens, hogy rendelkezzen azon képességgel, mely lehetővé tenné tűzfallal megfelelően védett rendszerekben is hátsó ajtót nyitását a támadott gépen a nyílt hálózatok felé. A poloska azonban már képes erre A SaveAs szakembereinek a program viselkedése technológiailag nem volt újdonság, inkább ennek gyakorlati létezése és az üzleti szférában való bevetése jelentett nagyobb meglepetést. Működésének elmélete igen egyszerű. A támadott gépre feltelepülve azonnal vagy időzítve kapcsolatot kezdeményez kifelé(!) egy külső hálózaton található számítógéphez. Oda bekopogtatva - beengedése után - a teljes belső gépet (és vele együtt a teljes belső hálózatot) kinyitja a külső számítógépnek, korlátlan hozzáférést biztosítva a

külső számítógép előtt ülő támadó számára. SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel / Fax: (1) 2221222 4. oldal, összesen: 18 Es et ta n ul m á ny - p o l os k a A poloska automatikusan tevékenykedik. Védtelen és védett hálózatokból egyaránt képes kijutni. Olyan helyeken közlekedik, melyek ma már elengedhetetlennek minősülnek a számítógépek napi szintű használata során. Csak egy példa a sok közül: ahol weboldalakat megtekinthetnek a cég munkatársai a számítógépeiken ott a program ebben a forgalomban rejtőzködve már képes kapcsolatot létesíteni a külvilággal. Alábbi rajz egy képzelt vállalati szervezet valóban lehetséges támadási módszerét mutatja be, mellyel gyakorlatilag – a szervezeten belüli elhelyezkedéséből adódóan - az összes kritikus információ megszerzésére alkalmas, teljes rejtőzködéssel. 8 Open proxy 2 Open proxy 3 Open proxy 1 Open

proxy Company SWITCH Firewall Internet Client 1 Client 2 Client 3 Client 4 Company CEO Attacker Assis. Mark. Sales SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel / Fax: (1) 2221222 PM. Devel. HR Finan. 5. oldal, összesen: 18 Es et ta n ul m á ny - p o l os k a 2.13 A poloska tulajdonságai Fertőzhető operációs rendszer: Windows 9x Windows NT alapú operációs rendszerek Bejutás: e-mail web direct mode etc. Rejtőzködés: process hide kód mutálás titkosított kapcsolat Kapcsolati protokoll (backdoor): http https socks 4 socks 5 proxy auth direct connect Kód forrásnyelve: ismeretlen (feltehetően assembly) SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel / Fax: (1) 2221222 6. oldal, összesen: 18 Es et ta n ul m á ny - p o l os k a 2.14 Végkövetkeztetés - A SaveAs szakemberei által felfedezett támadási módszer jelen pillanat szerint

az általánosan ismert védekezési eljárásokkal automatikusan nem elhárítható, de aprólékos munkával felderíthető és megszüntethető. - A poloska felderítése rendkívül nehéz a kimagasló rejtőzködési képességei miatt (automatikus mutálódás, ismert protokollokon való közlekedés és elrejtőzés, titkosított adatfolyam, stb.) - A program bejuttatása és telepítése a támadott hálózatba - fizikai jelenlét nélkül is - viszonylag egyszerűen és észrevehetetlenül megvalósítható. (akár egyetlen e-mail segítségével, egy speciális weboldallal, stb.) - Megfelelően megírt működés esetén a poloska védett rendszerekből(!) is képes kijutni és teljes jogosultságot biztosítani a támadott gépen a behatoló számára. - A támadott gépről minden nehézség nélkül elérhető a belülről már nyilvánvalóan nem annyira védett hálózat. Néhány óra alatt teljes mértékben felügyelet alá vonható az egyébként ismert

módszerekkel (lehallgatás, jelszó feltörés, stb.) a belső hálózat egésze Ugyanez lehet érvényes a belső hálózatból elérhető további hálózatokra is. - A program képes fájlok mozgatására olyan protokollokon keresztül is, melyek egyébként erre alapesetben nem adnak lehetőséget. Ezért a szenzitívnek hitt információk (például titkos dokumentumok, fájlok stb. ) megszerzése sem okoz nehézséget. - Nem hagy maga után értékelhető nyomot. - Felderítése ellenére a támadó kiléte valószínűleg rejtve marad. SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel / Fax: (1) 2221222 7. oldal, összesen: 18 Es et ta n ul m á ny - p o l os k a A program funkcionális képessége és viselkedése a kémfilmekből ismert és hagyományosnak mondható poloskával vetekszik (innen kapta munkanevét is). Ilyen például egy telefon kagylójában elhelyezett mikrofon. Nem tudni hol van, talán nem is

tudni, hogy létezik, nem tudni hogy került oda, nem tudni ki használja az információt, stb. Fontos különbség azonban, hogy a telefon kagylójába mikrofont elhelyezni távolról lehetetlen és az elhelyezett mikrofon sem fog alakot vagy színt változtatni, nem képes átvándorolni magától a szoba másik végében található virágvázába, illetve nem fogja beolvasni automatikusan magnóba az asztalon ott felejtett „Szigorúan Titkos” feliratú dosszié tartalmát. A poloskák - mint a jelen esettanulmányban is bemutatott program - felderítése megfelelő eszközökkel, szakértelemmel és módszerekkel felvértezve viszont nem lehetetlen. SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel / Fax: (1) 2221222 8. oldal, összesen: 18 Es et ta n ul m á ny - p o l os k a 2.2 A poloska felfedezése 2.21 A véletlen A program felfedezése a véletlenen is múlt. Az audit során a kliens gépek is szúrópróba

szerű átvizsgálásra kerültek szoftver licensz és egyéb szempontok miatt. Egyik ilyen számítógépnél a SaveAs szakemberei szembe találkoztak egy ismeretlen programmal, melyről semmilyen információ nem állt rendelkezésre. A második eset után a vizsgálat közel 200 gépre terjedt ki, melyből 11 gépen találtuk meg a poloska programot. Külön érdekesség, hogy a „fertőzött” gépeket szisztematikus rendszerben találtuk. Találtunk egy ilyen gépet a pénzügyi osztályon, kettőt a marketingen, kettőt az értékesítési osztályon, egyet a humán erőforrás osztályon, kettőt az igazgatósági titkárságon és további hármat a vezetőségi notebook-okon. A talált programokat alapos vizsgálatnak vetettük alá, mivel fontos volt, hogy minden kételyt mellőzően bebizonyosodjon, hogy szoftver milyen státuszban fut a gépeken. (A vizsgálat több szempont alapján folyt párhuzamosan, majd a szálak egyre jobban összeértek, és a vizsgálat később

bebizonyította, hogy az érintett szoftver valóban képes a vezetőség által feltételezett információk eltulajdonítására. Sőt valószínűsíthető, hogy eleve ilyen jellegű adatszerzésre tervezték.) 2.22 Ami nem véletlen Az előzetes felmérések alapján világossá vált, hogy a érintett számítógépes infrastruktúrát nem csak rendeltetésszerű feladatokra használják. Több számítógépen is találtunk olyan alkalmazásokat, melyek nem a mindennapos munkához voltak szükségesek. Ezen felül a rendszerben a szoftverek menedzselése nem központilag történt, így számos alkalmazásból eltérő verziók voltak sok helyen telepítve. Ilyen körülmények között a gépek fizikai átnézése nem tudott komoly eredményt hozni. Mivel a számítógépek egyenkénti áttanulmányozása nem vezetett elfogadható eredményhez az alkalmazások biztonsági voltát illetően, így egy alternatív módszert alkalmaztunk az applikációk felkutatásához, valamint

az ismeretlen program tevékenységének analizálásához. SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel / Fax: (1) 2221222 9. oldal, összesen: 18 Es et ta n ul m á ny - p o l os k a Elkészítettünk egy speciális szoftvert, melynek feladata az volt, hogy a teljes vállalati internetes forgalmat monitorozza. A kész szoftvert elhelyeztük a vállalati internetes tűzfal mögé, így a teljes forgalmat átláthattuk. Az általunk tervezett program (Octopus) minden olyan kommunikációt kielemzett, mely a belső hálózatról kezdeményezett új forgalmat egy másik gép felé. Ezt később a poloska miatt tovább szűkítettük az internetes gépek felé. Ebben az esetben azért csak a kimenő forgalmat vizsgáltuk, mivel az Internet felől nem volt kezdeményezhető olyan forgalom amely segítségével el lehet érni a belső hálózat gépeit. Ügyfelünk teljes internetes infrastruktúrája egy olyan DMZ1-ben került

telepítésre, amelyből semmilyen módon nem lehetett eljutni a belső hálózatra. Az Octopus folyamatos használata során egyre jobban beigazolódott a gyanú, hogy a kliens gépeken felfedezett szoftver nem kapcsolódik semmilyen egyéb alkalmazáshoz, a szoftver úgymond önálló életet él, így a figyelem egyre jobban a program viselkedésének kiderítése irányába fordult. Mivel ügyfelünk hálózata nem csak az internet felőli forgalmat szűrte, hanem a kimenő forgalmat is és így csak bizonyos szolgáltatásokat engedélyez az alkalmazottaknak, így kézenfekvő volt, hogy a poloska valamilyen általános szolgáltatáson keresztül közlekedik. (Az ügyfél hálózatából a következő szolgáltatások voltak az Internet felé engedélyezve: www, ftp(passive), https, pop3s, imaps, sqlnet(1521)) 1 DMZ: Demilitarizált Zóna. Azokat a szolgáltatásokat helyezik ebbe az elszeparált zónába, melyek az internetről elérhetőek. SaveAs Információvédelmi

Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel / Fax: (1) 2221222 10. oldal, összesen: 18 Es et ta n ul m á ny - p o l os k a Az Octopus feladata az volt, hogy analizálja a fenti szolgáltatásokon áthaladó forgalmat és szűrje ki ebből azokat, amelyek nem szabványosak. A közel 1 hetes analizálás közben szembesülnünk kellett azzal, hogy a felhasználók gépein sok olyan program van ami ugyan nem ártó szándékú, de valóban sajátosan, esetenként hibásan használja a fenti szolgáltatásokat, így ezek szintén első pillanattól hamis riasztásokat produkáltak. Finomítva az Octopus szabályrendszerét jelentősen csökkenteni tudtuk ezeket a téves riasztásokat. Egy héttel az analizálás után számos gépen azonos tartalmú forgalmat talált az Octopus, melyek a HTTP szolgáltatáson keresztül nem rendeltetésszerű működést tartalmaztak. 2.23 Az Octopus eredménye A nem rendeltetésszerű tartalom abban rejlett, hogy a

program HTTP POST2 metóduson keresztül végzett olvasást, melyhez a HTTP/1.13-es szabvány chunked read algoritmusát alkalmazta. A chunked read lényege, hogy az olvasandó adatot darabokra vágja a webszerver és ezen darabokat olyan formán adja át a böngészőnek, hogy minden egyes szelet előtt átadja a szelet méretét és utána küld egy ENTER karaktert. A hibás forgalmú gépeken viszont a chunk méret után szerepelt egy nulla ascii kodú karakter is. (A ascii 0 - – karakter számos programozási nyelvben a karakterláncok terminálására használatos) Ez a karakter string terminator mivoltánál fogva nem jelent problémát, sem a böngészőknek, sem a proxyknak, és normál hálózati analizálásnál sem feltétlenül tűnhet fel, hiszen „nem látható karakter”. 2.24 Az idegen program egyértelműsítése Megvizsgáltuk a 11 gép naplófájljait és megpróbáltunk azonosságot találni azzal az időponttal amit az Octopus jelzett. Ez nem vezetett

eredményhez Mivel a program látszólag szabványos HTTP kommunikációt végzett, így készítettünk egy újabb programot, amely minden hálózati forgalomhoz hozzárendeli az azt indukáló programot. Feltételeztük, hogy rövidesen újra keletkezni fog forgalom és ilyen módon alkalmunk nyílik majd megfigyelni a viselkedését. Mindeközben egyéb módszerekkel is próbáltuk a gépeken található futtatható állományokat vizsgálni. Tekintve, hogy ekkor még mindig nem bizonyosodott be, 2 A HTTP protokol egyik metódusa, mely arra alkalmas, hogy web-en keresztül adatokat szolgáltasson egy böngésző. Főként kérdőívek (form) kitöltésénél használt 3 A HTTP protokol kiterjesztése a HTTP/1.1, mely számos többletszolgáltatást tartalmaz SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel / Fax: (1) 2221222 11. oldal, összesen: 18 Es et ta n ul m á ny - p o l os k a hogy valóban kémtevékenységet

végző programra bukkantunk, így csak vakon tapogatózhattunk, remélve, hogy az érintett (gyanús) forgalmat valóban a kérdéses a poloska program generálta. Tudtuk, hogyha itt az összes gépen található program teljesen egyforma, akkor azonos funkcionalitású kémprogramról van szó. Így azok futtatható állománya vélhetően szintén azonos lesz. A 11 gépről összeszedtük még azokat a futtatható állományokat is melyek tartalmilag azonosak. A 11 gépen 179 ilyen alkalmazást találtunk. A gépeken ugyan mindenhol azonos operációs rendszer került telepítésre, de az azon futó alkalmazások már eléggé eltérő verzióval települtek. Mivel a talált programok nagy része olyan program volt ami az operációs rendszer részét képezi ezért felinstalláltunk egy tiszta gépre egy azonos operációs rendszert és azzal összehasonlítottuk a programokat, itt azonosnak minősül minden olyan fájl melyek alap installáláskor felkerülnek. Tehát kiderült,

hogy a keresett program nem az operációs rendszer fájljaiba épül be. Ezzel a vizsgálattal 87 fájl esett ki a 179-ből A vizsgálat során még számos applikációt sikerült hasonló módszerrel kiszűrni, mely végén 4 olyan programot találtunk, melyek mind a 11 gépen fent voltak, de nem voltak kapcsolhatóak semmilyen ismert programhoz. A 4 program között 3 olyan program volt amely speciális funkciók elérésére szolgál, ezeket a sysinternals4 (www.sysinternalscom) készítette A programok: pslist.exe, pskillexe, psshutdownexe A programok funkciói: - pslist.exe: a gépen futó alkalmazások listázása konzolra - pskill.exe: egy futó alkalmazás megszakítása - psshutdown.exe: a számítógép újraindítása vagy leállítása konzolról Mivel ezek a programok mind funkcionalitásukban, mind tartalmukban megegyeztek a SysInternals csapat azonos nevű programjaival a további vizsgálat egyetlen olyan programra fókuszálódott, mely vélhetően generálta a

nem rendeltetésszerű HTTP forgalmat. A program visszafejtésekor valóban találtunk benne egy olyan részt, amely HTTP/POST adatfolyamot generál és valóban hibásan állítja össze a chunked read adatfolyamokat. 4 SysInternals: egy programozó csapat, amely a windows operációs rendszerhez készít kiegészítő eszközöket SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel / Fax: (1) 2221222 12. oldal, összesen: 18 Es et ta n ul m á ny - p o l os k a Valószínűsíthető volt, hogy jó helyen keresgélünk, hiszen a ps*.exe programok tipikus behatoláskor használandó programok, melyeket arra használnak, hogy a megtámadott gép bizonyos alkalmazásait manipulálják. A vizsgálat a talált program tanulmányozásával folytatódott. 2.3 A Poloska analizálása 2.31 A program védelmi mechanizmusa A program vizsgálata egy közel 2 hetes folyamat volt, mivel a program készítői többszintű forráskód

védelemmel látták azt el. Ilyen védelem volt, hogy a programban egyetlen string – szöveg - sem volt megtalálható eredeti formájában, minden string DES5 algoritmussal került már eredetileg tárolásra és csak a string felhasználásakor került át egy des decoder() függvényen. A dekódoláshoz használt kulcs, sem volt normál módon letárolva, hanem olyan módon keletkezett, hogy egy látszólag véletlen karaktertömbön készített a program egy kivonatot (HASH, SHA16), és ez a kivonat volt a DES visszafejtésének kulcsa. A véletlen karaktertömb minden indításkor újra generálódott, így nem igazán volt triviális, hogy egy SHA1 miként tud véletlen adathalmazból mindig ugyanolyan kulcsot generálni – hiszen csak ilyekor lehet a DES titkosítást elérni. Kiderült, hogy ha egy valóban SHA1 HASH generáló kódot futtatunk le a véletlen tartalmú tömbön, akkor valóban nem lesz azonos a kivonat. Így alaposabb tanulmányozás után kiderült, hogy

sem a véletlen szám generátor, sem az SHA1 HASH képző nem volt szabványos, volt bennük egy szándékos hiba, ami miatt a keletkező kulcs mindig ugyanazt az értéket adta. A programban számos további érdekességet találtunk, pl. az egyes funkciókat nem direkt hívta meg, hanem lényegében egyetlen nagy funkciót tartalmazott, melynek volt egy leíró táblázta és ez tartalmazta az egyes funkciók belépési pontját. A funkciók a paramétereket így nem a szokásos stack-en (vermen) adták át és a visszatérési értéket sem a stacken tárolták. Ezzel a módszerrel a program szinte egyáltalán nem használt stacket, ami miatt a visszafejtése jelentősen megnehezedett. A másik nagyon fontos érdekesség volt, hogy a program képes volt saját magát mutálni. Mivel nem voltak elkülönülő funkciók és központosított kód vezérelte a paraméter átadásokat és visszatéréseket, ezért a 5 DES: titkosítási algoritmus 6 SHA1: 32 bites kivonatképzése

(HASH) algoritmus. Célja egy tetszőleges méretű adatról olyan 32 bites kivonat képzése mely alapján egyértelműen újragenerálható és összehasonlítva meghatározható, hogy valóban ugyanarról a két szövegről van-e szó. A digitális aláírás alapja SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel / Fax: (1) 2221222 13. oldal, összesen: 18 Es et ta n ul m á ny - p o l os k a program képes volt saját magát mutálni. Találtunk egy olyan rutint, ami a nulláról újra építi az .exe file-t olyan formán hogy a korábbi exe fájlt használja fel, de átvariálja a funkció táblát. Ilyen szintű védelmet akármilyen polimorf vírus7 megirigyelhetne. Mikor már minden általunk felfedezett kódvédelmi trükköt sikerült kijátszanunk következhetett a program funkcionalitásának felfedezése. A program tulajdonképpen nem más, mint egy féreg. A szerepe, hogy bármilyen hálózatban elhelyezve azt,

onnan megpróbáljon kijutni és azon az úton ahol kijutott bejáratot nyisson idegenek számára. 2.32 A program intelligenciája A program számos speciális hálózatra lett felkészítve. A következő algoritmusokat találtuk benne, melyek révén megpróbál kijutni egy hálózatból: - A gépre telepített böngésző alkalmazások registry beállításai alapján kikeresi a használt proxy-kat; melyekből a következő proxy beállításokat veszi ki: http, https, socks; Képes kezelni a proxy.pak fájlt is, és ha a böngészőben automatikus proxy felderítés opció van bekapcsolva, akkor azt meghívva megkísérli azon keresztül megkeresni a proxy szervert. - Ha ki tud kapcsolódni HTTPS protokollon keresztül, akkor CONNECT metódus segítségével kapcsolódik a célgépre és ezt használva nyújt két utas adatfolyamot melyen keresztül reverse telnet (fordított telnet) módon tud kommunikálni a támadó. - Ha HTTPS-en vagy HTTPS proxy-n keresztül nem tud

kapcsolódni, és talált SOCKS proxy beállítást, akkor megkísérel arra felkapcsolódni, a program támogatja mind a SOCKSv4, mint a SOCKSv5 proxy protokolokat is. Ha ezen keresztül ki tud kapcsolódni, akkor a HTTPS-hez hasonló módon reverse telnetként funkcionál a támadó részére. - Ha sem a HTTPS sem a SOCKS nem vezet eredményhez, akkor HTTP-n vagy HTTP proxy-n keresztül nyit először egy GET kapcsolatot, majd ezt után megkísérelni nyitni párhuzamosan egy POST kapcsolatot is. Ha ez sikerül neki, akkor két kapcsolatra bontott reverse proxyként funkcionál. (minden kimenő forgalmat a POST metóduson kezdeményez és minden bejövő forgalmat a GET socketen kap) Ha a proxy-ban tiltva lenne a POST metódus, akkor minden egyes kimenő adatcsomagot GET-ben küld el, ilyenkor a kimenő csomagokat GET paraméterként adja át; ha a PROXY támogatja a HTTP/1.1 protokollt, akkor azt kihasználva lényegi időveszteség nélkül képes kommunikálni a távoli 7

Polimorf vírus: önmagát változtatni, mutálódni képes vírus. SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel / Fax: (1) 2221222 14. oldal, összesen: 18 Es et ta n ul m á ny - p o l os k a géppel. Ha nem támogatja a proxy a HTTP/11-et, akkor minden egyes GET csomagot külön kezdeményez, ez jelentősen lassabb mint a többi interaktív kapcsolat. - Ha ilyen módon sem tud kijutni, akkor megpróbál kijutni direkt kapcsolaton keresztül. Itt számos olyan porton keresztül próbál kijutni, amiket rendszerint ki szoktak NAT-olni a belső hálózatokról. - Ha ez a módszer sem vezet eredményhez, akkor az alapértelmezett levelező kliens segítségével küld egy levelet, melyben értesít a sikertelenségről. Tekintve azt a tényt, hogy megbízónk hálózatában szinte minden gépen volt legalább web elérés, mely eléréshez egy proxyt használtak, így a program mind a 11 támadott gépről ki tudott jutni. A

funkciója az volt, hogy miután kijut egy tetszőleges helyről, akkor egy távoli gépen keresztül hozzáférést nyújtson az adott gép erőforrásaihoz. Ezt olyan formán tette, hogy egy Command Prompt-ot (cmd.exe) nyitott meg és annak kimenetét irányította át a megnyitott adatfolyamba. Így a távoli gépről egy konzolként lehetett kommunikálni a megfertőzött géppel. Mivel egy command prompt nem feltétlenül alkalmas minden olyan folyamatra, amely lehetővé tesz egy komoly hálózatban adatok keresésére és eltulajdonítására, ezért a fejlesztők számos extra funkcióval készítették fel a programot. Néhány megtalált „kényelmi” funkció: - egy gépnek, vagy egy tartománynak az átvizsgálása ICMP/PING módszerrel. (megkeresi a működő gépeket) - egy gépen, vagy egy tartományban nyitott portok keresése (portscan), a programnak pontosan meghatározható, hogy milyen gépeken milyen portokat keressen. A keresést normál connection scan alapján

végzi, így a halfscan (stealth scan) detektorok nem veszik észre - egy gépnek vagy egy tartománynak az átvizsgálása és NETBIOS nevének lekérdezése. Ennek segítségével meg lehet állapítani, hogy bizonyos gépeknek mi a NETBIOS neve így már a windows domainből, vagy workgroupból is elérhetővé válhatott - Egy NETBIOS névvel meghatározott gépről információk lekérdezése (kiajánlások, felhasználók, statisztikai adatok, stb. attól függően, hogy mennyire komoly a Windows biztonsági politika) - Egy adott fájl letöltése a kommunikációs kapcsolaton keresztül. - a program rendelkezett beépített sniffer modullal is, mely teljesen automatikusan futott a program futási ideje alatt. A program képes volt a telnet, SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel / Fax: (1) 2221222 15. oldal, összesen: 18 Es et ta n ul m á ny - p o l os k a ftp, pop3, imap, proxyauth, socks5auth protokolokból

kiszedni a felhasználói neveket, jelszavakat. Számos olyan további kémkedést elősegítő funkciót találtunk még, amelyeket itt nem mutatunk be, mivel a dokumentáció nem ezek bemutatását célozta meg. 2.33 A program kapcsolattartása Sokkal érdekesebb volt az a módszer amivel a program felvette a kapcsolatot az interneten található másik számítógéppel. Mivel a kapcsolatot a program kezdeményezte így a programban pontosan megtaláltuk azt az internetes címet ahova kapcsolódott. Így pontosan tudtuk, hogy hol kell keresni a támadókat Mivel a megbízónk felkért, hogy folytassunk vizsgálatot ebben az irányban is, felvettük a kapcsolatot a célpont hálózat internet szolgáltatójával, majd a gép tulajdonosával. Kiderült, hogy a gépen socksv4-es proxy fut, mely egy nyitott proxy, így bárki távolról rá tudott jelentkezni és azon socksv4/BIND protokollon keresztül szolgáltatást tudott magának kezdeményezni. Ezután csak arra kellett neki

várnia, hogy a megbízónknál található programok felkapcsolódjanak ezekre a nyitott szolgáltatásokra és azon keresztül kommunikálni lehessen azokkal. Szerencsére a rendszergazda készséges volt és a naplófájlok alapján meghatározta, hogy honnan érkezett a kapcsolatkérés az ő nyitott proxyjára. Az adatok alapján a vizsgálat tárgya egy másik földrész szervere felé mutatott. Ekkor már eleve megnéztük, hogy a gép nem nyitott proxy-val rendelkezik-e és a gépen valóban találtunk egy socksv5-ös openproxy-t. Hosszas kommunikálás után a gépet üzemeltető szakember belátta, hogy valóban jelentős problémával állunk szemben és készségesen segített, hogy tovább folytathassuk a vizsgálatot. A következő láncszem egy újabb másik országbeli szerverre mutatott, amiről már azonnal kiderült, hogy szintén egy nyitott proxy. Ekkor a megbízónkkal közösen úgy döntöttünk, hogy nem folytatjuk tovább a keresést, mivel a lánc hossza nem

megállapítható és az erre fordítandó idő szintén nem meghatározható, hiszen nem tudhatjuk, hogy az egyes pontokon mennyi idő alatt tudunk tovább jutni. A program érdekessége volt, hogy képes lett volna párhuzamosan több nyitott proxy szerverrel kapcsolatot létesíteni, így gyakorlatilag a támadó kilétének visszafejtése egy végtelen ágú fában való totális elveszést jelentett volna. SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel / Fax: (1) 2221222 16. oldal, összesen: 18 Es et ta n ul m á ny - p o l os k a 3. A VÉDELEM Ügyfelünk számára tartott konzultáción rámutattunk, hogy a megtalált program valóban egy olyan program mely alkalmas lehetett arra, hogy azon keresztül belső információk szivároghassanak ki. Tekintve, hogy a program minden nyomot megpróbált maga után eltüntetni így nem találtunk arra sem közvetlen, sem közvetett bizonyítékot, hogy valaha is ezen keresztül

adat kiszivárgás valósan történt-e. Mindenesetre a talált programok szervezeten belüli elhelyezkedése és a program működése egyértelműen rámutat arra, hogy milyen célzattal került telepítésre. A naplófájlok átböngészése során megtaláltuk, hogy a programok közel fél éve már egyértelműen futnak némelyik gépen. A konzultáció kiterjedt arra is, hogy miként tudna ügyfelünk a jövőben védekezni az ilyen jellegű támadások ellen. Mi egy komplex megoldást ajánlottunk, mely kiterjed minden olyan hiányosságra, mely elvezetett a végeredményhez. A komplex megoldás részei: - Megfelelő Informatikai Biztonsági Szabályzat elkészítése - Szigorúbb és egyben optimalizáltabb tűzfal szabályok bevezetése - IDS telepítése - Az Octopus szoftver további üzemeltetése és felügyelete SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel / Fax: (1) 2221222 17. oldal, összesen: 18 Es et ta n ul

m á ny - p o l os k a 4. 4.1 EGYÉB Jelen dokumentum közlése 4.11 Az információk minőségéről Jelen dokumentum a publicitása miatt - és mert nem célja, hogy informatikai hálózatok támadásához ötletekkel szolgáljon - nem tartalmaz mindenre kiterjedő részletes információkat. A felderítési megoldásoknak is egy része a SaveAs Kft saját know-howja, fejlesztése, stb., így ezen információkat a SaveAs Kft bizalmasnak tekinti és ezek közlésére nem ad módot. 4.2 CopyRight 4.21 Kizárólagos jogok Jelen dokumentáció a SaveAs Kft. szellemi terméke és kizárólagos tulajdona Hasznosítás és többszörözés Jelen dokumentációt az olvasó üzletszerzésre nem hasznosíthatja. A dokumentum nem módosítható, azonban változtatás nélkül szabadon terjeszthető. Nyilvánossághoz való közvetítés és idézés Jelen dokumentáció egészének vagy részeinek médiában vagy bárhol máshol való felhasználása kizárólag a SaveAs Kft. nevének

megemlítésével tehető az alábbi módokon: Televízió és rádió: a SaveAs Kft. nevének megemlítésével és/vagy – televízió esetén - kiírásával. Újság: a SaveAs Kft. nevének és weblapjának elérhetőségének kiírásával (http://www.saveashu) Digitális média: a SaveAs Kft. nevének és weblapjának elérhetőségének kiírásával (http://www.saveashu) és utóbbinak kattintható belinkelésével Oktatás Oktatási célra a dokumentáció szabadon felhasználható. Minden más esetben a SaveAs Kft. írásbeli engedélye szükséges SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel / Fax: (1) 2221222 18. oldal, összesen: 18