|
|
(6 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) |
Zeile 44: |
Zeile 44: |
| ==What happend?== | | ==What happend?== |
| | | |
− | *ZeuS 2.0.8.9 ist auf der nobackup, Volume 2 im Ordner Botnet-Fun II zu finden. Datei: zeus.rar, Passwort: zeus | + | [[File:Zeus_panel.png|200px|thumb|Control Panel]] |
− | *VPN-Konto steht auf dem Zettel an der Wand, Tor gibts [http://www.torproject.org hier]. | + | |
| + | *ZeuS 2.0.8.9 ist auf der nobackup, Volume 2 im Ordner Botnet-Fun II, im lokalen Netz, zu finden. Datei: zeus.rar, Passwort: zeus |
| + | *[http://www.perfect-privacy.com VPN-Konto] steht auf dem Zettel an der Wand, [http://www.torproject.org Tor]. |
| + | *[https://zeustracker.abuse.ch/ ZeuS Tracker] |
| + | |
| + | * Control Server aufgesetzt - Updatetimer auf jede Minute |
| + | * Client kompiliert und Client Konfig erstellt. - PW: blafa |
| + | * Testskripte erstellt: |
| + | ** HTTP Injection - Facebook |
| + | ** Browser Startpage |
| + | ** CMD Execution |
| + | |
| + | ==Nachbetrachtung== |
| + | Hallo, |
| + | |
| + | am Wochenende haben wir uns zum spielen mit Botnetzen und dem ZeusBot |
| + | versammelt. Wie immer war ein Wochenende viel zu kurz und wir haben nur |
| + | einen Bruchteil von dem geschafft, was drin gewesen wäre. |
| + | |
| + | Beim ZeusBot haben wir den Command & Control-Server lokal aufgesetzt und |
| + | mal eine VM infiziert. Ein Skript was die Facebookseite manipuliert |
| + | konnte auch erfolgreich getestet werden. Screenshots konnten wir auf der |
| + | verseuchten Maschine auch schon abrufen und in den Dateien wühlen war |
| + | auch problemlos möglich. |
| + | Der Virus wird noch von fast allen Scannern erkannt. Hier fehlte die |
| + | Zeit auch noch das zu probieren. |
| + | |
| + | Was besonders erfreulich war, wir konnten die Arbeit des ersten Botnet |
| + | Funs wieder aufgreifen und merklich vorantreiben. |
| + | |
| + | Sven hat einen Parser erschaffen, der via Google automatisch Kommentare |
| + | in Quellcode übersetzt. Eine tolle Leistung. |
| + | Leider stellt Google diesen API-Call bald ein. Aber ein beeindruckendes |
| + | Stück Proof-of-Concept ist und bleibt es alle mal. |
| + | |
| + | Alles in allem hat es mir und wenn ich es richtig einschätze auch allen |
| + | anderen Mitspielern gut gefallen. |
| + | Wir waren recht gemischt was Skills, Interessen und Background angeht. |
| + | Aber alle haben etwas gefunden womit sie sich beschäftigen konnten. |
| + | Ich fand es sehr inspirierend und bin froh mal wieder ein paar mehr |
| + | Leute außerhalb des Regelbetriebs besser kennengelernt zu haben. |
| + | |
| + | Was ich mir wünsche, wäre ein bisschen Feedback. Zum einen von den |
| + | Teilnehmern... was hat gut gefallen, was müssen wir verbessern. |
| + | Aber auch ein Feedback von denen die nicht da waren würde mich freuen. |
| + | Ihr könnt dann sagen was wir noch ändern müssen, damit wir auch euch das |
| + | nächste mal begrüßen können. |
Aktuelle Version vom 18. Juni 2012, 19:33 Uhr
Botnet-Fun
Beginn: |
24.06.2011 20:00
|
Ende: |
26.06.2011 20:00
|
Needs to be there, but does not need to be seen by a visitor Yes
Ankündigung
Dieses Wochenende werden wir uns mit ZeuS auseinandersetzen.
"Zeus (…) is a Trojan horse that steals banking information by keystroke logging
and Form Grabbing. Zeus is spread mainly through drive-by downloads and phishing schemes.
First identified in July 2007 when it was used to steal information from the
United States Department of Transportation, it became more widespread in March 2009. (…)
The various Zeus' botnets are estimated to include millions of compromised computers (…)
It was still active in 2010. (…) In May, 2011, source code of Zeus has been published as
public domain."
Wir bieten eine angenehme Atmosphäre, Infrastruktur und die notwendigen Tools um ZeuS zu analysieren.
Internet, VPN-Zugang, VMware Images, Snacks, Getränke, chillige Musik und Beleuchtung sind vorhanden.
Und einen Switch mit Monitoring-Port treiben wir noch auf.
Im Prinzip machen wir da weiter, wo wir beim letzten Botnet-Fun Wochenende aufgehört haben. =)
"Wir machen von Freitag abend bis Sonntag morgen durch, geben aber den Leuten
die nach Hause fahren möchten die Gelegenheit am nächsten Tag wieder einzusteigen.
Samstag Mittag-Nachmittag können wir gemeinsam Brötchen holen und zusammen frühstücken.
Das Thema des Wochenendes lautet "Spass mit Botnetzen" (mit Schwerkpunkt auf ZeuS) und
findet im Attraktor e.V. Hackerspace, Mexikoring 21 statt.
Es wird kein Rahmenprogramm und keinen festen Plan geben. Niemand wir also vorn stehen
und etwas erzählen, es wird eher eine LAN-Party für Nerds und gespielt wird mit Botnetzen."
Wer noch Fragen hat kann uns über die öffentliche Mailingliste, per Mail oder IRCnet #attraktor erreichen.
What happend?
- ZeuS 2.0.8.9 ist auf der nobackup, Volume 2 im Ordner Botnet-Fun II, im lokalen Netz, zu finden. Datei: zeus.rar, Passwort: zeus
- VPN-Konto steht auf dem Zettel an der Wand, Tor.
- ZeuS Tracker
- Control Server aufgesetzt - Updatetimer auf jede Minute
- Client kompiliert und Client Konfig erstellt. - PW: blafa
- Testskripte erstellt:
- HTTP Injection - Facebook
- Browser Startpage
- CMD Execution
Nachbetrachtung
Hallo,
am Wochenende haben wir uns zum spielen mit Botnetzen und dem ZeusBot
versammelt. Wie immer war ein Wochenende viel zu kurz und wir haben nur
einen Bruchteil von dem geschafft, was drin gewesen wäre.
Beim ZeusBot haben wir den Command & Control-Server lokal aufgesetzt und
mal eine VM infiziert. Ein Skript was die Facebookseite manipuliert
konnte auch erfolgreich getestet werden. Screenshots konnten wir auf der
verseuchten Maschine auch schon abrufen und in den Dateien wühlen war
auch problemlos möglich.
Der Virus wird noch von fast allen Scannern erkannt. Hier fehlte die
Zeit auch noch das zu probieren.
Was besonders erfreulich war, wir konnten die Arbeit des ersten Botnet
Funs wieder aufgreifen und merklich vorantreiben.
Sven hat einen Parser erschaffen, der via Google automatisch Kommentare
in Quellcode übersetzt. Eine tolle Leistung.
Leider stellt Google diesen API-Call bald ein. Aber ein beeindruckendes
Stück Proof-of-Concept ist und bleibt es alle mal.
Alles in allem hat es mir und wenn ich es richtig einschätze auch allen
anderen Mitspielern gut gefallen.
Wir waren recht gemischt was Skills, Interessen und Background angeht.
Aber alle haben etwas gefunden womit sie sich beschäftigen konnten.
Ich fand es sehr inspirierend und bin froh mal wieder ein paar mehr
Leute außerhalb des Regelbetriebs besser kennengelernt zu haben.
Was ich mir wünsche, wäre ein bisschen Feedback. Zum einen von den
Teilnehmern... was hat gut gefallen, was müssen wir verbessern.
Aber auch ein Feedback von denen die nicht da waren würde mich freuen.
Ihr könnt dann sagen was wir noch ändern müssen, damit wir auch euch das
nächste mal begrüßen können.