The last weeks were quite intensive. In theorie it looked plausible and logical but while putting the plan into practise some obstacles had to be overcome, namely getting back into libpcap, ARP man in the middle and TCP stream reassembly. I’m on track and the deadline (between 15. and 18. December) is still realistic …

Here in advance some screenshots

The last week I dedicated my time to the ARP MITM engine and after some hours in trouble getting back control over the existing code tweaking and fixing things here and there it’s working like a charm. One of the cruxes is done on the other one i’ll start working tomorrow.
To make the tool extendible without putting permanently my fingers on the core system and let other people create their own customised plugins a central plugin system is required. I have already a prototype of such a system but have to integrate it in the current solution. Actually I have to recode the whole thing again :/

What can you expect

• Probably a pile of C# code snippets
• Maybe some C code snippets
• Eventually a nice POC tool to put theory into practice

If you have questions drop a mail …

The second project is about a network sniffing/poisoning/information gathering/highjacking tool. I’ll start working on it on October or so …

First of all, MP had his 2nd anniversary on the 10th of February. At this point I want to thank you again for your visits, comments, opinions, support and I hope it can go on like this in year 3. You probably noticed that I’ve found sponsors who financially support the web page. In return I put their back links in the appropriate place. You don’t make the big money this way but at least the costs for the hosting and domain are covered. But I think you are fine with this as the content is and stays there for free.

I Also started publishing links and content to interesting news from the technology and security domain or news that is worth spreading it. I am still trying to optimize this process.

Also for the coming year my intention is to publish tools, sources and snippets as often as I can. The (excuse this ugly word) pipe line is full and many ideas accumulated the last weeks. Find out for yourself what these sources and projects are about and check MP every now and then if you feel like.

The news is based on a study released by University of California, San Diego researchers who found that a number of sites were “sniffing” the browsing history of visitors to record where they’d been.

This reconnaissance works because browsers display links to sites you’ve visited differently than ones you haven’t: By default, visited links are purple and unvisited links are blue. History-sniffing code running on a Web page simply checks to see if your browser displays links to specific URLs as purple or blue.

Read more here.

G’morning.

I’ll spend my time this week on a new tool for MITM attack on HTTP layer. This asks for (Win)Pcap skills which I still don’t really posses even after some days of black belt ninja Pcap-Training. Maybe the basics to build a sniffer and parse the packet data are there but it’s not enough yet to digg deeper.

And to conclude this post … In case you havn’t notice : today is the 6. December. As an advice from a traumatised, santa damaged adult :
If you see this guy wandering around don’t hesitate. Steal his peach!

Have a good week …

Der Hacker surft mit

Ruben Unteregger wird morgen den Quellcode zu MioStar veröffentlichen.

Innerhalb von acht Tagen programmierte der Bündner Software-Ingenieur Ruben Unteregger ein Tool, mit dem sich Programme wie etwa Firefox, Windows Live oder Thunderbird auf Windows-7-Rechner komplett überwachen lassen. Dabei fängt MioStar nicht nur Passwörter ab, sondern zeichnet auch die Tastaturanschläge auf und leitet auf Wunsch den gesamten Internet-Verkehr auf den Rechner des Angreifers um. Zurzeit beschränkt sich dies noch auf die überwachte Anwendung. Die Funktion soll in den kommenden Wochen noch entsprechend ausgebaut werden.

Dadurch ermöglicht das Tool grundsätzlich das Mitschneiden aller Datenflüsse, so auch beim E-Banking. «Allerdings kommt dabei im Gegensatz zum Zugriff auf einen E-Mail-Account ein One-Time-Password zum Einsatz. Informationen zum Kontostand und dergleichen lassen sich trotzdem auslesen» erklärt Unteregger. Ein nachträgliches Einloggen ist allerdings nicht möglich.

Kriminelle Hacker fangen schon lange Passwörter mit Hilfe sogenannter Netzwerk-Sniffer ab. Sie versagen jedoch bei verschlüsselten Verbindungen. Untereggers Tool greift nicht auf Ebene der Netzwerkverbindung an, sondern platziert sich zwischen Browser und Betriebssystem und zapft den Datenfluss an. Ihn treiben keine kriminellen Absichten an. «Meine Motivation ist es, herauszufinden, ob sich gewollte Features in einem relativ sicheren Betriebssystem wie Windows 7 ausnutzen lassen. Die Arbeit ist für mich sehr spannend und lehrreich. Zu einem späteren Zeitpunkt plane ich eine Softwarelösung zur Verfügung zu stellen, die Rechner vor Tools wie MioStar schützt.» MioStar funktioniert aktuell nur auf Windows 7. Der Software-Ingenieur hat auch keine Pläne, es auf Vorgängerversionen des aktuellen Microsoft-Betriebssystems zum Laufen zu bringen.

Ab Mittwoch offen für jeden

Unteregger ist sich sicher, dass er nicht der Einzige ist, der ein solches Programm geschrieben hat. Im Gegensatz zu anderen wird er es jedoch nicht einsetzen. Vielmehr geht es ihm darum, PC-User darauf aufmerksam zu machen, dass sie sich teilweise in einer falschen Sicherheit wägen. Deshalb will er morgen um 13.00 Uhr auf seiner Webseite den Quellcode zu MioStar veröffentlichen. «Es war nie die Absicht, eine komplette Lösung anzubieten, die sich in einen Trojaner einbauen lässt. Es entsteht auch keine neue Bedrohung dadurch, da die angewandten Methoden nicht neu sind und bereits von Kriminellen eingesetzt wurden», erklärt er.

Kein Unbekannter

Bekanntheit erreichte er schon 2008 mit der Veröffentlichung des Quellcodes für den sogenannten Bundestrojaner. Dabei handelt es sich um eine Abhörsoftware für Skype. Sein ehemaliger Arbeitgeber, die Firma ERA IT, wurde von der «SonntagsZeitung» mit dem Trojan Federal (der Schweizer Bundestrojaner) in Verbindung gebracht, worauf ERA IT dies bestätigte.

Deutsch

Während den letzten zwei Wochen habe ich an einem neuen Tool gearbeitet, welches auf den Methoden des SkypeTrojaners aufbaut. Es sollen Programme überwacht und aus ihnen sensitive Daten extrahiert werden. Dazu müssen zwischen der laufenden Anwendung und dem Betriebssystem Zwischenfunktionen eingefügt, ge-hookt, werden. Bis ich die richtigen Funktionen gefunden hatte, hat zwar ein wenig Zeit gebraucht aber das Resultat ist zufriedenstellend und ich denke, dass ich auf dem richtigen Weg bin. Momentan lassen sich Passwörter aus Google Chrome, Apple Safari, Windows Live (Instant Messenger + Mail), GoogleTalk, FireFirefox und Thunderbird extrahieren. Zwar sind noch nicht alle Schwachpunkte optimal anfokusiert und der Datenabgriff könnte an treffsichereren stellen stattfinden, aber mit ein wenig mehr Zeit wird die Trefferquote, Zuverlässigkeit und der Umfang an abzuhörenden Programmen erweitert.

Am 3. November um 13.00 (Schweizerzeit) wird der Quellcode für MioStar 0.1 veröffentlicht. Interessierte dürfen gerne den Code herunterladen, durchschauen und Kritik anbringen.
In der selben Zeit habe ich den SkypeTrojaner für GoogleTalk umgeschrieben. Die Audiodaten werden mitgeschnitten, nach MP3 konvertiert und gespeichert. Dieser Quellcode folgt nächste oder übernächste Woche.

English

Hello,

The last 2 weeks I have been working on a new tool, which is based on the methods of the Skype trojan. The objective is to surveil programs and extract sensible data from them. In order to do so you have to plant function hooks between the running program and the operating system. It took a while until i found the correct functions, but the result is satisfying and i think that I am on the right track. At the moment it is possible to extract passwords from Google Chrome, Apple Safari, Windows Live (Instant Messenger + Mail), GoogleTalk, FireFirefox and Thunderbird . For some programs there are better ways of attacking them, but with a little more time the procedures can be optimized.
On the 3rd of November (1pm Swiss time) the MioStar source code will be relased. Those who are interested are welcome to download, explore, review and critizise it.
Within the same time I have rewritten the SkypeTrojan code that way it can intercept GoogleTalk conversations. The audio data gets intercepted, converted to MP3 and saved. This source code will be released in the coming weeks.