Hi F-H,

Ich suche gerade verschiedene Wege, um gezielt eine Person zu infizieren.
Wo ist die Erfolgsquote am höchsten und wie würdet ihr es technisch machen?

Folgende Möglichkeiten hab ich:

E-Mail
Post
Vor Ort "was fallen lassen"


Das ganze soll/muss extrem Opsec sein.

Die speziell entwickelte Malware dahinter hab ich schon entwickelt, jetzt gehts ums pwnen^^

Ich freu mich über eure Ideen! :)

So long,
Brazomatico

Meine Ideen wärn:

- USB Stick "verlieren" in direkter Nähe zur Zielperson (vor ihrem Haus oder sowas in der Richtung)
- USB Stick als Werbegeschenk verschicken per Post ("Hey, kauf unsere Produkte! Als Dankeschön schicken wir dir hier ein USB Stick mit :)!")
- Webseite mit Exploit befüllen und dann auf einem der Wege die dir zur Verfügung stehen zukommen lassen

Über Email jemanden dazu zu bringen ne Binary oder so auszuführen ist glaub ist jetzt schwerer als jemandem nen USB Stick zu "schenken" (Neugier+Kostenlos=Gier frisst Hirn)..
Ansonsten könntest du auch versuchen einen Brief zu faken (z.b "Hey hier is deine Bank du Doofie, ruf bitte den Link auf um Wichtige Änderungen unserer Regeln zu erfahren!" -> Exploits) amit derjenige dann denkt der Brief käme von Offizieller Seite und dann vllt eher den Link darin aufruft. Ansonsten könntest du auch versuchen rauszubekommen was für PC Spezifikationen er hat und dann versuchen anhand dessen + weiteren Infos ihn bewusst über Malware Werbung zu infecten.. manche Werbedienstleister wie Facebook lassen da sehr gut das Targeting von bestimmten Personengruppen zu.. so könntest du vllt denjenigem ne Werbung unterschieben die er dann vllt anklickt. Ansonsten fiele mir jetzt aber auch nix gescheites mehr ein wo jetzt jeder direkt machen würde ohne extrem Vorsichtig zu sein^^ Grad Phishing usw ist ja jetzt nix mehr neues und die meisten achten da drauf - zumindestens denke ich mal das kaum noch jemand Email Anhänge aufmacht von Absendern die er nicht kennt oder vertraut. Da ist glaub der USB Stick die effektivere Möglichkeit^^ Sofern du natürlich Vor ort irgendwie hinkommst (vorallem unendeckt).

grüße

Wenn es per Post/Email kommt sollte es Bezug auf die Person haben. Also wenn nötig erstmal Doxing betreiben - Vielleicht hat die Person bald Geburztag? - Welche Hobbies etc.?
Was auch gut funktioniert ist einen USB Stick OHNE irgendwas in den Briefkasten zu schmeißen. Da spielt dann die Neugierde eine entscheidende Rolle. :D
Versuche in ihr Facebook zu kommen und dort auf geschriebenes einzugehen. Oder wende SE an und spiel im MITM ( zb. mit Fluxion) und leite sie auf deine Malware um.

USB Stick "verlieren" in direkter Nähe zur Zielperson (vor ihrem Haus oder sowas in der Richtung)

Müsste vor der Arbeitsstelle passieren, der private Rechner ist mir schnuppe.
Gefahr: Jemand anders nimmt den Stick mit (zB. Kollege)


USB Stick als Werbegeschenk verschicken per Post ("Hey, kauf unsere Produkte! Als Dankeschön schicken wir dir hier ein USB Stick mit :)!")
So in etwa habe ich mir das auch vorgestellt.

Zum Thema USB-Stick:
Wie würdet ihr den Stick gestalten?
Rubberducky fällt auf, zuviel Action aufm Screen.



Webseite mit Exploit befüllen und dann auf einem der Wege die dir zur Verfügung stehen zukommen lassen
Puh einfacher gesagt, als getan.
Welchen Exploit würdest du dir vorstellen?
0-days sind rar und die anderen fast alle gepatcht, tot.
Erfolgsquote sehe ich hier gering


Über Email jemanden dazu zu bringen ne Binary oder so auszuführen ist glaub ist jetzt schwerer als jemandem nen USB Stick zu "schenken" (Neugier+Kostenlos=Gier frisst Hirn)..

true dat.



Ansonsten könntest du auch versuchen einen Brief zu faken (z.b "Hey hier is deine Bank du Doofie, ruf bitte den Link auf um Wichtige Änderungen unserer Regeln zu erfahren!" -> Exploits) amit derjenige dann denkt der Brief käme von Offizieller Seite und dann vllt eher den Link darin aufruft. Ansonsten könntest du auch versuchen rauszubekommen was für PC Spezifikationen er hat und dann versuchen anhand dessen + weiteren Infos ihn bewusst über Malware Werbung zu infecten.. manche Werbedienstleister wie Facebook lassen da sehr gut das Targeting von bestimmten Personengruppen zu.. so könntest du vllt denjenigem ne Werbung unterschieben die er dann vllt anklickt. Ansonsten fiele mir jetzt aber auch nix gescheites mehr ein wo jetzt jeder direkt machen würde ohne extrem Vorsichtig zu sein^^ Grad Phishing usw ist ja jetzt nix mehr neues und die meisten achten da drauf - zumindestens denke ich mal das kaum noch jemand Email Anhänge aufmacht von Absendern die er nicht kennt oder vertraut. Da ist glaub der USB Stick die effektivere Möglichkeit^^ Sofern du natürlich Vor ort irgendwie hinkommst (vorallem unendeckt).

grüße

Hier ist wieder der Punkt, dass ich dann evtl auf seinen privaten Client schieße, was ich nicht will.

Danke Danke für die Hilfe, ich seh schon:
Spannendes Thema.

VG,
Braz

Es kommt drauf an wie groß du es aufziehen möchtest. Mit einem USB-Stick oder einem Anruf bekommt man die meisten kleinen/mittelständischen Unternehmen komplett infiziert. Wenn man dann nur eine Person haben möchte, ist das eigentlich ein Kinderspiel. Ich würde das ganze auch per USB-Stick machen. Wer am Ende den in seinen Rechner steckt, kann dir doch egal sein. Wenn du einmal im Netzwerk bist hast du doch eh schon gewonnen. Wenn es ein Arbeitskollege ist der den USB-Stick im Rechner hat, dann schreibst du halt von seinem E-Mail Account eine E-Mail an dein gewolltes Opfer.

Wenn du wirklich nur ihn persönlich angreifen willst, dann geht das immer verdammt gut über Telefon. Ich habe leider zu wenig Informationen über das Opfer bzw. das Unternehmen um dir hier einen guten Ratschlag geben zu können was man am Telefon sagen könnte um ihn um den Finger zu wickeln. Bei mir klappt das zu 90% wenn ich mich als Personalarbeiter ausgebe und Fehler im Lastschriftverfahren feststelle. "Da meine Vorgänger vergessen haben eine Unterschrift einzuholen zwecks der neuen IBAN, war ich eigentlich nie berechtigt eine Transaktion auf ihr Konto vorzunehmen. Das müssten wir also dringen Nachsteuern... blabla.."

Wenn Du Dir Telefon nicht zutraust, dann würde es auch gehen wenn du vielleicht an wichtige Dokumente von ihm kommst bzw. an Dokumente die so Tief in seinen Arbeitsbereich eindringen, dass er gar nicht auf die Idee kommt das die E-Mail ein Fake sein könnte. Oft findet man solche Dokumente wenn man mal den Inhalt der Papiertonne mitgehen lässt. Wegschmeißen ist heute immer noch einfacher als Schreddern.

Viele Wege führen nach Rom, wenn du mehr Informationen raus geben kannst, könnte man das alles spezialisieren.

Ich hab keine große Erfahrung im SE Bereich dennoch möchte ich meine Gedanken dazu äussern.
Das Szenario ist glaub ich schwer zu Interpretieren da wir die nicht die genaue Rahmenbedingungen kennen.
Wie ich aus deinen Post gelesen habe geht es dir darum eine bestimmte Person am ARBEITSPLATZ zu infizieren und die anderen Personen außen vor zu lassen.
Die Idee mit dem USB Stick erscheint mir als sinnvollste Lösung. Die Gründe wurden ja schon mehrfach genannt auch von dir.

Meine Idee wäre folgende :
USB Stick bedrucken lassen mit den CID (Corporate Identity Logos / Farben / Slogan) und einem beigefügten Brief. Falls du weißt wie die Kollegen heißen inklusive Opfer würde ich
mehrere USB Sticks anfertigen lassen und jedem einen personalisierten Couvert mit z.H. Herr / Frau Müller ... zukommen lassen. Im Brief kann stehen das es sich hier um eine neue Software handelt die
individuell auf den jeweiligen Benutzer angepasst wurde. Dies würde gut in großen Unternehmen klappen in der ein Admin nicht greifbar ist.

Die schadsoftware befindet sich halt nur im Umschlag des Opfers und die Kollegen bekommen eine simple Exe mit Fehlercodes.

... also Fehlercodes würden mich schon wieder skeptisch stimmen.

Vorallem wenn ich einen offiziell/seriös aussehenden Brief dazu erhalten habe.

... also Fehlercodes würden mich schon wieder skeptisch stimmen.

Stimme ich voll und ganz zu.
Ich glaube der großteil der Malware die ich jemals zu Gesicht bekam haben versucht mit Fehlermeldungen ein nicht funktionieren vorzutäuschen um den User glauben zu lassen das die Software die er da eigendlich wollte nicht funktioniert. Leider hatte dies dann eher zu Folge das der User dem die Fehlermeldung untergeschoben wurde in Foren nachfragte, Antiviren Software laufen ließ, den PC neuaufsetzte oder oder oder.. Der User (ich auch) wurden dadurch quasi erst extrem Misstrauisch und fingen an sich damit näher zu befassen.

Da würde ich wenn, eher ne Art Fake GUI zusammentackern die so tut als würde sie funktionieren, oder gleich mit nem Binder ne funktionierende Software dazupacken.

grüße

Da würde ich wenn, eher ne Art Fake GUI zusammentackern die so tut als würde sie funktionieren, oder gleich mit nem Binder ne funktionierende Software dazupacken.


Klar, das wäre natürlich eine bessere Lösung. Da stimme ich dir voll und ganz zu.

Wie sieht es eigentlich mit .pdf files aus?
Sind damit keine Drive-By/Injections möglich? Glaube damals des öfteren was von Sicherheitslücken im Adobe Reader gelesen zu haben.

.pdfs öffnet man ja meist ohne sich großartig Gedanken über eventuellen Schadcode zu machen...

Hab mir vorhin auch mal so meine Gedanken zu dem Thema hier gemacht (theoretisch), wie es praktisch aussieht kann ich leider nicht beurteilen.

Hi sorry, war die letzten Tage etwas beschäftigt,

Vielen Dank für eure Ideen.

//Edit:
Morgen.

VG,
Braz

Sind damit keine Drive-By/Injections möglich? Glaube damals des öfteren was von Sicherheitslücken im Adobe Reader gelesen zu haben.

Es gibt immer mal wieder Lücken, die sind meistens aber relativ schnell wieder fixed ODER halt in solchen Exploit Kits vorhanden wo du dir erstmal Zugang erkaufen musst. So Public Exploits für PDF sind eher selten geworden hab ich den Eindruck - eben weil sich damit Geld verdienen lässt wenn mans richtig anstellt.



.pdfs öffnet man ja meist ohne sich großartig Gedanken über eventuellen Schadcode zu machen...


Also ich weiß ja nicht aber.. Ich öffne keine fremden PDF's mehr nach all diesen zig Exploits und Malware Attacken die ganzen Jahre über die meist per PDF, Word Dokumente usw verteilt wurden. Grade PDF's lassen bei mir die Alarmglocken schrillen wenn ich den Urheber nicht kenne.. eben WEIL es soviele Attacken darüber gibt.
Und da geht es sogar meinen Eltern die kaum Ahnung von Computern haben genauso.. und auch andern Leuten in meinem Umfeld. Ich kenne eigendlich keine Person (nichtmal DAU's anymore) die PDF's oder Word Dokumente usw bedenkenlos öffnen ohne mich vorher zu fragen ob das jetzt vllt en Virus sein könnte oder nicht.
Ich denke die Leute sind im Laufe der Jahre was PDF's angeht vorsichtiger geworden - zumindestens erlebe ich das so in meinem Umfeld^^

grüße

Ich komme mal ein bisschen "spät" hier um die Ecke.
Die "standard" Varianten wurden ja bereits vorgestellt. USB Stick hat imho die weit höchste Erfolgsquote von den genannten. Das beantwortet aber nur, wie dein Vic an die Binary kommt. Nicht, warum sie sie ausführen sollte.
Außerdem ist es in jedem Fall sinnvoll, beim spearphishing tatsächlich nur das gewünschte Vic zu infizieren. Heutzutage hat selbst ein Mittelständler oft ein IPS oder wenigstens IDS, das CnC traffic markiert und alarmiert. Kleine Unternehmen eher weniger.
Interessant ist, dass meist die Chefs die sind, die bedenkenlos jeden Mist ausführen. Zum klaren Denken haben diese scheinbar keine Zeit.

Also warum sollte dein Vic die Binary ausführen? Hier kommt es darauf an, mit welchem vic du es zu tun hast. Ein wenig Details herauszufinden, macht hier definitiv Sinn. Je enger die Bindung zu deinem Vic ist, desto größer ist das Vertrauen. "Verlierst" du im Beisein also z.B. deinen "eigenen" Stick und packst ein paar heiße Fotos in eine selbstentpackende Zip (Foto Reihe einer amateurin oder noch besser nicht-googlebare pics), wird dein vic ziemlich sicher klicken. Bust-Wahrscheinlichkeit liegt hier geschätzt bei 15-20 %. Entsprechende Vorkehrungen müssen also sein. Wichtig ist, dass du dem Vic im Schlimmstfall dauerhaft ausweichen kannst (wohnt in ner anderen Stadt, kennt nicht deinen wirklichen namen...).
Wer sagt, der Trick funktioniert nicht mehr, hat noch nie die "harmlosen" Fotos außerhalb der Zip und die "heißen" in einer "nur_für_dich.exe" gepackt. Am Besten sogar 5-6 Stück, bei denen entsprechend alle bis auf eine clean sind. Die wenigsten werden alle Dateien bei einem online Scanner hochladen, wenn die ersten 2 schon clean waren. Bei Sex hakt das Hirn noch viel schneller aus, als bei Gier!

Eine Anbahnung einer Geschäftsverbindung als Ausrede macht auch Sinn. Hier kann man entweder schon vorhandene vics der Branche nutzen oder selbst etwas aufziehen. Letzteres ist natürlich aufwändiger. Die Methode mit der IBAN würde mich stutzig machen, aber wenn irgend ein Vertriebler eine Software vorstellt und diese sogar zum kostenlosen Download (nicht schicken erhöht die Wahrscheinlichkeit!) anbietet auf einem zeitlich begrenzten Link, dann ist die Wahrscheinlichkeit zum Zugreifen schon höher. Das wichtigste ist jeweils, dass das ganze Bild stimmig ist. Es sollte keinen Punkt geben, an dem man das Nachdenken anfängt. Spiele das also einfach mal mit einem Kollegen durch, der wirklich vertrauenswürdig ist, wenn du dir das nicht auf Anhieb zutraust. Die Methode sollte möglichst so laufen, wie das Vic tatsächlich arbeitet, damit hier kein Verdacht aufkommt. Vorteil dieser Methode ist, dass du dich sehr gut hinter einer Fassade verstecken kannst.

In meiner eigenen Erfahrung sind die Methoden am erfolgreichsten, die A) auf das Vic zugeschnitten sind, und B) möglichst viel Zutun des vic verlangen. Besonders B) klingt seltsam, hat aber seine Berechtigung. Niemand ist skeptisch, ob er selbst das richtige tut. Nur hoch-paranoide trauen solchen Verfahren nicht.

Du musst natürlich jede Methode den tatsächlichen Gegebenheiten anpassen! Hat das Unternehmen z.B. nur ne Fritzbox für den Online Zugang, kannst du auch den Umweg über Kollegen gehen. Dann ist die Mehtode "bist du erstmal im Netz, hast du gewonnen" tatsächlich eine sehr gute.

VG
dschump

Da Braz nicht mehr antwortet hat er wohl was anderes vollbusiges gefunden :confused:

Update:
Operation ist geglückt, hab was ich wollte.
Danke für die Mithilfe :)

Update:
Operation ist geglückt, hab was ich wollte.
Danke für die Mithilfe :)

Ist jetzt etwas spät,aber mich würde Interessieren für welche Methode du dich entschieden hattest.