Termin:Botnet-Fun

Needs to be there, but does not need to be seen by a visitor Yes

Ankündigung

Dieses Wochenende werden wir uns mit ZeuS auseinandersetzen.

"Zeus (…) is a Trojan horse that steals banking information by keystroke logging 
and Form Grabbing.  Zeus is spread mainly through drive-by downloads and phishing schemes. 
First identified in July 2007 when it was used to steal information from the 
United States Department of Transportation, it became more widespread in March 2009. (…)
The various Zeus' botnets are estimated to include millions of compromised computers (…) 
It was still active in 2010. (…) In May, 2011, source code of Zeus has been published as 
public domain."

Wir bieten eine angenehme Atmosphäre, Infrastruktur und die notwendigen Tools um ZeuS zu analysieren.

Internet, VPN-Zugang, VMware Images, Snacks, Getränke, chillige Musik und Beleuchtung sind vorhanden.

Und einen Switch mit Monitoring-Port treiben wir noch auf.

Im Prinzip machen wir da weiter, wo wir beim letzten Botnet-Fun Wochenende aufgehört haben. =)

"Wir machen von Freitag abend bis Sonntag morgen durch, geben aber den Leuten
die nach Hause fahren möchten die Gelegenheit am nächsten Tag wieder einzusteigen.

Samstag Mittag-Nachmittag können wir gemeinsam Brötchen holen und zusammen frühstücken.

Das Thema des Wochenendes lautet "Spass mit Botnetzen" (mit Schwerkpunkt auf ZeuS) und 
findet im Attraktor e.V. Hackerspace, Mexikoring 21 statt. 

Es wird kein Rahmenprogramm und keinen festen Plan geben. Niemand wir also vorn stehen 
und etwas erzählen, es wird eher eine LAN-Party für Nerds und gespielt wird mit Botnetzen."

Wer noch Fragen hat kann uns über die öffentliche Mailingliste, per Mail oder IRCnet #attraktor erreichen.

What happend?

Control Panel

• ZeuS 2.0.8.9 ist auf der nobackup, Volume 2 im Ordner Botnet-Fun II, im lokalen Netz, zu finden. Datei: zeus.rar, Passwort: zeus
• VPN-Konto steht auf dem Zettel an der Wand, Tor.
• ZeuS Tracker

• Control Server aufgesetzt - Updatetimer auf jede Minute
• Client kompiliert und Client Konfig erstellt. - PW: blafa
• Testskripte erstellt:
  • HTTP Injection - Facebook
  • Browser Startpage
  • CMD Execution

Nachbetrachtung

Hallo,

am Wochenende haben wir uns zum spielen mit Botnetzen und dem ZeusBot versammelt. Wie immer war ein Wochenende viel zu kurz und wir haben nur einen Bruchteil von dem geschafft, was drin gewesen wäre.

Beim ZeusBot haben wir den Command & Control-Server lokal aufgesetzt und mal eine VM infiziert. Ein Skript was die Facebookseite manipuliert konnte auch erfolgreich getestet werden. Screenshots konnten wir auf der verseuchten Maschine auch schon abrufen und in den Dateien wühlen war auch problemlos möglich. Der Virus wird noch von fast allen Scannern erkannt. Hier fehlte die Zeit auch noch das zu probieren.

Was besonders erfreulich war, wir konnten die Arbeit des ersten Botnet Funs wieder aufgreifen und merklich vorantreiben.

Sven hat einen Parser erschaffen, der via Google automatisch Kommentare in Quellcode übersetzt. Eine tolle Leistung. Leider stellt Google diesen API-Call bald ein. Aber ein beeindruckendes Stück Proof-of-Concept ist und bleibt es alle mal.

Alles in allem hat es mir und wenn ich es richtig einschätze auch allen anderen Mitspielern gut gefallen. Wir waren recht gemischt was Skills, Interessen und Background angeht. Aber alle haben etwas gefunden womit sie sich beschäftigen konnten. Ich fand es sehr inspirierend und bin froh mal wieder ein paar mehr Leute außerhalb des Regelbetriebs besser kennengelernt zu haben.

Was ich mir wünsche, wäre ein bisschen Feedback. Zum einen von den Teilnehmern... was hat gut gefallen, was müssen wir verbessern. Aber auch ein Feedback von denen die nicht da waren würde mich freuen. Ihr könnt dann sagen was wir noch ändern müssen, damit wir auch euch das nächste mal begrüßen können.