Das Staatstrojaner Toolkit

Wie euch schwer entgangen sein dürfte, analysierte der CCC den Staatstrojaner.
Die Binarys könnt ihr Euch beim CCC oder hier bei mir herunterladen.

Die MD5 Summen lauten
930712416770a8d5e6951f3e38548691 mfc42ul.dll
d6791f5aa6239d143a22b2a15f627e72 winsys32.sys

Es sind immer noch ein paar Funktionalitäten unklar, deshalb entwickelte ich ein Toolkit um recht komfortabel mit dem Trojaner arbeiten zu können.
Das Toolkit besteht aus:

- Patcher um die Trojaner Binarys anzupassen
- Controller um den Trojaner zu steuern und Daten zu empfangen
- streamParser um den Datenstream den der Controller erzeugt auszuwerten (um Screenshots usw. zu extrahieren)

der Patcher:

Folgende Variablen lassen sich mit dem Patcher ändern:

- der Port des C+C Servers
- die IP Adresse des C+C Servers
- den Case Identifier
- die Trojaner Version
- den UNK Index
- den Banner
- das bisher unbekannte Bytearray
- der AES Key

einfach die Werte in der patcher.php Datei anpassen an schon hat man seinen ganz individuellen Staatstrojaner.

Der Patcher erstellt dann eine Datei namens mfc42ul.dll.new.dll

Diese dann in mfc42ul.dll umbenennen und dann ab damit nach C:\WINDOWS\System32, zusammen mit der winsys32.sys.
Im Regeditor unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ unter „AppInit_DLLs“ „C:\WINDOWS\system32\mfc42ul.dll“ hinzufügen.
Das Kernelmodul wird automatisch nach dem Neustart unter HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winsys32 eingetragen.

Der Trojaner läuft ohne Probleme in Virtuellen Maschienen.

der Controller:

Der Controller ist Multiclient fähig, lauscht aber momentan nur an einem Port und kann auch nur mit einem AES Key entschlüsseln.
Das heißt, alle Clients müssen mit dem selben Port, Banner und AES key konfiguriert sein.

Ist ein Client verbunden, kann der Controller in der aktuellen Version:

- die verbundenen Clients auflisten
- die Software und Patchliste des Clients abrufen
- einen Screenshot eines in der Whitelist stehenden Programms empfangen in niedriger und hoher Auflösung, wenn das Programm im Vordergrund ist
- beliebigen Programmcode zum Client schicken und ausführen
- Screenshots in geringer Qualität alle X Sekunden anfertigen
- Rohdaten zum Client schicken, fürs reverse engineering

Um zu erfahren wie ihr alles nutzt, einfach mal den Controller starten und „help“ eintippen.

Der Controller schreibt alle empfangenen Daten in eine Datei.
Diese Streamdatei lässt sich dann auswerten, mit dem

streamParser:

der stream parser extrahiert alle relevanten Daten, in der aktuellen Version:

- die Software und Patch Liste
- die Screenshots

Das Toolkit ist natürlich noch lange nicht fertig und wird momentan ständig weiterentwickelt.
Es sind noch lange nicht alle schon beannten Funktionen implementiert.
Ich stelle es online mit dem Ziel, das auch andere Menschen diesen Trojaner analysieren können
und ein paar einfache Tools zur Verfügung haben um schnell loslegen zu können.

Dieses Toolkit habe ich auf Basis dieses Dokuments erstellt.

Alles ist auf Basis von PHP geschrieben, hier könnt ihr das Kit herunterladen.

HAVE FUN.

Teilen macht Spaß:
  • Facebook
  • Twitter
  • studiVZ meinVZ schülerVZ
  • del.icio.us
  • email
  • Digg
  • HackerNews
  • Identi.ca
  • MisterWong
  • MySpace
  • Tumblr

Google Werbung, immer richtig platziert

Teilen macht Spaß:
  • Facebook
  • Twitter
  • studiVZ meinVZ schülerVZ
  • del.icio.us
  • email
  • Digg
  • HackerNews
  • Identi.ca
  • MisterWong
  • MySpace
  • Tumblr

Ozapftis, Patchday für den Staatstrojaner

Dieser Artikel ist nicht mehr aktuell.
Schaut mal hier nach.

Achtung, diesen Beitrag nur beachten wenn du weißt was du tust!

Siehe auch http://ccc.de/de/updates/2011/staatstrojaner

Die Binärdateien sind hier oder beim CCC zu bekommen.

Die MD5 Summen:
930712416770a8d5e6951f3e38548691 mfc42ul.dll
d6791f5aa6239d143a22b2a15f627e72 winsys32.sys

Der Patcher in PHP (quick and dirty)

Folgende Variablen lassen sich mit dem Patcher ändern:

der Port des C+C Servers
die IP Adresse des C+C Servers
den Case Identifier
die Trojaner Version
den UNK Index
den Banner
und das bisher unbekannte Bytearray

Installation:

mfc42ul.dll.new.dll in mfc42ul.dll umbenennen und dann ab damit nach C:\WINDOWS\System32, zusammen mit der winsys32.sys.
Im Regeditor unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ unter „AppInit_DLLs“ „C:\WINDOWS\system32\mfc42ul.dll“ eintragen.
Das Kernelmodul wird automatisch nach dem Neustart unter HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winsys32 eingetragen

Nun lässt sich mit Wireshark schon so einiges sehen.

Der passende C+C Server ist zu 40% fertig und folgt in den nächsten Tagen…oder jemand von Euch ist schneller :)

Teilen macht Spaß:
  • Facebook
  • Twitter
  • studiVZ meinVZ schülerVZ
  • del.icio.us
  • email
  • Digg
  • HackerNews
  • Identi.ca
  • MisterWong
  • MySpace
  • Tumblr

Hackepeta

Teilen macht Spaß:
  • Facebook
  • Twitter
  • studiVZ meinVZ schülerVZ
  • del.icio.us
  • email
  • Digg
  • HackerNews
  • Identi.ca
  • MisterWong
  • MySpace
  • Tumblr