Feuerleiter 2.0
© Umbra
German Security Crew
Feuerleiter ist ein trojanisches Pferd, das über den Internet-Explorer mit einem Perl-Script kommuniziert und somit fast jede Firewall tunnel kann.
Benötigt:
- Perl fähigen Webspace
- installierten Internet-Explorer auf dem Zielsystem
Zur Funktionsweise:
1) Besorgen Sie sich Perl-fähigen Webspace im Internet (mit installiertem CGI.pm von Lincoln D. Stein – sonst müssen Sie das Perl-Script umschreiben) und laden Sie das Script feuer.pl auf den Server. Testen sie nun, ob das Script funktioniert, indem Sie feuer.pl?ant=test auf dem Server ausführen und überprüfen, ob eine Antwort-Datei (answer.txt) erstellt wurde.
2) Das enthaltene Server-Programm Feuerleiter.exe ist noch unkonfiguriert. Öffnen Sie zur Konfiguration Kommando.exe und geben Sie die URL des upgeloadeten Per-Scripts sowie das Intervall, in dem das Server-Programm auf neue Befehle prüfen soll (ich empfehle Werte über 60 Sekunden) an. Über den Schalter Trojaner konfigurieren können Sie eine Ziel-Datei angeben. Jetzt wird der Feuerleiter.exe modifiziert in die neue Datei gespeichert (Feuerleiter.exe muss sich für diesen Vorgang im gleichen Ordner befinden). Diese neue EXE-Datei stellt das fertige Server-Programm dar und kann beliebig umbenannt werden. Sie müssen dann das Server-Programm auf dem Ziel-System ausführen, um dieses zu infizieren.
3) Über das Programm Kommando.exe können Sie Aufträge für das Server-Programm definieren und damit eine Befehls-Datei erstellen (order.txt). Diese müssen Sie in das gleiche Verzeichnis wie das Perl-Script uploaden. Bei einer Anfrage des Server-Programms an das Perl-Script übermittelt dieses die Befehle aus der Befehls-Datei und das server-Programm führt diese dann aus. Eine Antwort wird wiederum an das Perl-Script übergeben und auf dem Server in der Antwort-Datei gespeichert.
4) Laden Sie die Antwort-Datei vom Server und öffnen Sie diese in Kommando.exe. Nun können Sie die Resultate der letzten Aktionen sehen. Die Antwort-Datei kann jederzeit vom Server gelöscht werden.
5) Sollten Sie einen falschen Befehl upgeloadet haben, können Sie die Befehls-Datei einfach vom Server löschen.
6) Wenn Sie den Trojaner von einem infizierten System löschen wollen, steht Ihnen eine entsprechende Funktion in Kommando.exe zur Verfügung.
Das Prinzip ist zwar recht kompliziert (und sollte vor der Benutzung erst einmal verstanden werden !) bietet aber gewaltige Vorteile:
- der Trojaner tunnelt jede Firewall, die dem Internet-Explorer Rechte zugeteilt hat
- man kann den Trojaner zeitversetzt steuern (spart Online-Gebühren und muss nicht gleichzeitig mit dem "Opfer" Online sein)
- man beötigt die IP-Adresse des Opfers nicht
- man kann die Befehle sehr einfach auch aus Internet-Cafes oder mittels Anonymizer erteilen (muss nur Dateien uploaden/downloaden)
- der Verbindungstyp des Opfers ist nahezu gleichgültig
- wird von vielen Virenscannern noch nicht erkannt
Nachteile/Gefahren:
- es können keine Daten vom Zielsystem zu Ihnen hochgeladen werden
- einen automatische DFÜ-Abfrage bei jedem Wahlversuch des Internet-Explorer kann Probleme bereiten
- die Download-Funktion kann nur beim deutschen Internet-Explorer durchgeführt werden
- Eine Firewall/Sniffer/Verlauf zeigt evtl. die Adresse Ihres Webspace
- Benötigt installierten Internet-Explorer (aber wozu sind Monopole schließlich gut ;-)
Da
Feuerleiter nicht die Möglichkeit besitzt Daten upzuloaden, stellt es
Funktionen bereit um eine Firewall auszuschalten (Tasks auflisten,
Eigenschaften eines Tasks anzeigen, Tasks killen). In Verbindung mit der
Download-Funktion und der Möglichkeit Programme auf dem Zielsystem ausführen zu
können, ist es möglich einen weiteren Trojaner durch die Firewall hindurch zu
plazieren und zu aktivieren. Wurde die Firewall erfolgreich deaktiviert, ist
somit auch ein Datei-Zugriff möglich.
Feuerleiter wurde für Windows9x konzipiert sollte aber auch
unter anderen Microsoft Betriebssystemen funktionieren. In der Entwicklung
wurde die Version 5.5 des Internet-Explorers verwendet – die Kommunikation
setzt auf OLE auf, daher sollten auch viele andere Versionen kompatibel sein.
Ich halte es für sehr wichtig, vor dem Ernstfall, den Einsatz sowie die Konfigurationen zu erst einmal am eigenen PC zu testen.
Wichtige Hinweise:
- jeder Webspace-Server speichert Ihre IP !
- ausgehend von der Log-Datei des Webspace-Servers über
evtl. die von Proxies bis zu Ihrem Internet-Provider sind Sie immer
zurückverfolgbar !
à Also seid Euch der Gefahr bewusst, wenn Ihr dieses trojanische Pferd einsetzt - es ist zwar aufwendig, aber man kann den PC über den Ihr Befehle erteilt habt finden - wie bei jedem Trojaner ! Der Vorteil in diesem Fall ist wohl, dass nie eine direkte Verbindung zwischen Eurem PC und dem des Opfers besteht und so eine Verfolgung erschwert wird.
Es sollte möglich sein, das konfigurierte Server-Programm mit Tools wie AsProtect, AsPack, etc zu überschlüsseln – dies wäre evtl. eine Möglichkeit, um Feuerleiter auch vor heuristischen Suchen von Anti-Virus-Programmen zu verstecken !
Besucht die Homepage von German Security Crew: http://www.gs-crew.de.vu
Dieses Programm ist sicher noch nicht perfekt ! - Deshalb
würde ich mich über jegliche E-Mail (also Anregungen, Fragen, Kritik, Bug-Report,etc.)
freuen: Umbra2000@gmx.de
Version: 2.0 – 3.2002
© Umbra
Der Autor übernimmt für den Gebrauch sowie Schäden durch das Tools keinerlei Haftung ! Dieses Programm dient nur zu Demonstrationzwecken und darf niemals zum illegalen Einsatz verwendet werden. Der Autor distanziert sich von jedem illegalen Gebrauch und übernimmt hierfür keinerlei Verantwortung. Ich gebe der Menschheit nur ein Werkzeug, was diese damit dann macht, ist ihre Sache - und nicht mehr meine ! Allerdings bin ich gegen sinnloses „Datengemülle“ – nutzt den Trojaner sinnvoll, z.B. im Kampf gegen Nazi-Propaganda und Kinderpronographie. Sollte das Programm irgendwelche Urheberrechte oder Marken verletzen, teilen Sie mir dies bitte mit, ich werde dann entsprechende Änderungen vornehmen. Es liegen alle Rechte beim Autor – wollen Sie das Programm kommerziell veröffentlichen, benötigen Sie meine Zustimmung. Für nicht kommerzielle Zwecke ist die Vervielfältigung gestattet und erwünscht.