Linux-Backdoor verschlüsselt Sitzungen

Programm öffnet komplettes Terminal

Der Informatikstudent Amir Alsbih hat eine Demonstration einer Linux-Backdoor veröffentlicht, die als Paket-Sniffer fungiert und dabei nicht auf die Software Tcpdump angewiesen ist. Ferner stellt das Backdoor-Programm ein komplettes Terminal bereit und verschlüsselt die Sessions.

Artikel veröffentlicht am , Julius Stiebert

Der Gedanke hinter der Hintertür war, eine Backdoor nutzen zu können, die keinen Port belegt, wenn kein Client angemeldet ist, so Alsbih gegenüber Golem.de. Dies sei das Manko der meisten verfügbaren Backdoors, womit Programme wie "netstat" diese auch anzeigen. Um nun nicht ständig einen Port geöffnet zu haben, muss die Software den kompletten Netzwerkverkehr mitschneiden, wofür normalerweise die Libcap von Tcpdump verwendet wird.

Stellenmarkt
  1. Senior IT-Projektverantwortung (m/w/d)
    HiScout GmbH, Berlin
  2. Ingenieur / Techniker (w/m/d) für Automatisierungstechnik
    REX Automatisierungstechnik GmbH, verschiedene Standorte
Detailsuche

Laut Alsbih ist diese Bibliothek allerdings fehlerhaft und es sei nicht effizient, ein Programm vorauszusetzen, das unter Umständen nicht vorhanden ist. Daher baute der Entwickler alle nötigen TCP- und IP-Strukturen selbst nach. Erst wenn ein Client die passenden TCP/IP-Flags an den richtigen Port sendet, wertet die Backdoor dies als erfolgreichen Authentifizierungsversuch und öffnet eine Shell, so Alsbih weiter. Dies könne auch eine Connect-Shell sein, bei der also der Server aktiv die Verbindung zum Client aufbaut, um so Firewalls zu umgehen. Ferner sei es ohne Probleme möglich, dass auf dem konfigurierten Port auch ein anderer Dienst laufe. Über die Header-Datei der Software lassen sich die verwendeten IP-Flags dabei selbst festlegen.

Ein weiteres Problem vieler Hintertüren sei, dass - wenn überhaupt - nur eine XOR-Verschlüsselung zum Einsatz komme. Diese sei jedoch zwecklos, da eine XOR-verschlüsselte Session von Forensikern ohne Probleme wiederhergestellt werden könne, erklärt Alsbih. Sein Programm setzt daher auf die GNU-TLS-Bibliothek, um sichere Sitzungen zu erstellen.

Die geöffnete Shell bietet darüber hinaus alle Funktionen eines richtigen Terminals und unterstützt so auch zeichenorientierte Programme wie Vi und Ähnliche.

Das Safebreaker getaufte Programm soll die nächste Generation von Paket-Sniffer-Backdoors demonstrieren, wie sie von Crackern für missbräuchliche Zwecke verwendet werden könnten. Den Quellcode stellt Alsbih auf seiner Homepage zum Download bereit. Der Informatikstudent hatte in der Vergangenheit unter anderem bereits ein Rootkit für den Linux-Kernel 2.6 sowie das passende Gegenmittel und ein Verfahren zum Aufspüren so genannter Honeypots entwickelt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Glasfaser
Berliner Senat blamiert sich mit Gigabitstrategie

Der Berliner Senat ist nach Jahren aus dem Dämmerzustand hochgeschreckt und hat nun eine Gigabitstrategie. Warum haben sie nicht einfach geschwiegen?
Ein IMHO von Achim Sawall

Glasfaser: Berliner Senat blamiert sich mit Gigabitstrategie
Artikel
  1. Gorillas-Chef: Entlassungen sind im Interesse der Community
    Gorillas-Chef
    Entlassungen sind "im Interesse der Community"

    Der Chef des Gorillas-Lieferdienstes rechtfertig die Kündigung eines Arbeiters. Eine Fahrerin mit blauen Flecken am Rücken bewertet das anders.

  2. Coronapandemie: Einige Microsoft-Admins schliefen direkt in Rechenzentren
    Coronapandemie
    Einige Microsoft-Admins schliefen direkt in Rechenzentren

    Um weite Arbeitswege und Verspätungen zu vermeiden, hatten es sich einige Microsoft-Mitarbeiter in den eigenen Rechenzentren bequem gemacht.

  3. Microsoft: Windows-10-Nutzer von neuer Wetter-App genervt
    Microsoft
    Windows-10-Nutzer von neuer Wetter-App genervt

    Ungenaue Vorhersagen und matschige Schrift: Die Wetter-App in Windows 10 stört einige. Gleiches gilt beim News-Feed. Beides ist versteckbar.

eSyp 26. Okt 2006

XOR ist in diesem fall _nicht_ sicher, da aus dem Quellcode der Schlüssel zum...

Der Fabian 24. Okt 2006

Du meinst das unvollständige Impressum?

pilif 24. Okt 2006

Hallöchen man kann software durchaus auch ohne remote shell installieren. Durch...

uch 24. Okt 2006

Genau das kann man aber auch mit der libcap machen...

Cemil- 24. Okt 2006

Leider kann sowas, in Zukunft bald verboten sein. Ich wuerde mich ueber eure...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense 59,99€ • Battlefield 2042 PC 53,99€ • XXL Sale bei Alternate • Rainbow Six Extraction Limited PS5 69,99€ • Sony Pulse 3D-Headset PS5 99,99€ • Snakebyte Gaming Seat Evo 149,99€ • Bethesda E3 Promo bei GP [Werbung]
    •  /