Wireshark modden

[xion]

Moinsen, hier mal nen kleines Tut von mir wie ihr Wireshark "unsichtbar" für RATs machen könnt. Ihr könnt Wireshark, Network Analyzer und dumpcap auch anders nennen, solltet aber darauf achten, dass die länge des Wortes gleich bleibt. klick mfg xion

[moppelito]

Mhh meinst du damit sachen wie "Anti-WIRESHARK" nicht funktioniert und man trotzdem Sniffen kann?

[novaca!ne]

Gute Idee !
Diese Technik mach jedenfalls "Anti-Wireshark" funktionen von einigen rats zunichte.

[Helopemo]

interessantes Tut
an die Arbeit ihr Hobbysniffer

[DizzY_D]

Super, dass dein erster Post direkt ein Tutorial ist!
Da können sich einige Neulinge mal ne Scheibe von abschneiden.

Verbesserungsvorschläge:
Ein Texttutorial wäre hier die bessere Wahl gewesen. Denn wie man Strings in einem Hexeditor ersetzt sollte jeder wissen.
Wenn schon unbedingt ein Video, dann lass bitte die Musik weg.
Außedem wäre es noch sehr wichtig zu erwähnen, warum das Ersetzen von Strings die Anti-Wireshark Funktionen überlisten (Funktionsweise erläutern!).

Natürlich kann man durch einfaches Ersetzen der Strings nicht alle Anti-Methoden umgehen. Doch da die meisten Antis wohl sowieso nur nach dem Prozess "Wireshark" suchen, hätte ein einfaches Umbenennen der .exe wohl ähnliche Auswirkungen.

[G36KV]

Natürlich kann man durch einfaches Ersetzen der Strings nicht alle Anti-Methoden umgehen. Doch da die meisten Antis wohl sowieso nur nach dem Prozess "Wireshark" suchen, hätte ein einfaches Umbenennen der .exe wohl ähnliche Auswirkungen.

- Einfaches umbenennen der exe funktioniert nicht, weil der name der dumpcap.exe in die wireshark.exe reingecoded wurde.
- ich würde sagen man kann 99% aller Anti-Wireshark Methoden damit austricksen.

Als Erkennungsmethode fällt mir dann nur noch der Promiscuous Mode Check ein, aber das macht doch kaum eine Malware. Schon gar nicht irgendetwas was auf free-hack und co. angeboten wird Oder natürlich Prozesse durchsuchen, aber das ist doch eher ne schlechte Lösung...


Der Video Tutorial erinnert mich irgendwie an das hier: hxxp://blog.raidrush.ws/2010/03/18/netzwerk-sniffer-modden/

Ich hab mein Wireshark auch so gemodded.

[xion]

Super, dass dein erster Post direkt ein Tutorial ist!
Da können sich einige Neulinge mal ne Scheibe von abschneiden.

Verbesserungsvorschläge:
Ein Texttutorial wäre hier die bessere Wahl gewesen. Denn wie man Strings in einem Hexeditor ersetzt sollte jeder wissen.
Wenn schon unbedingt ein Video, dann lass bitte die Musik weg.
Außedem wäre es noch sehr wichtig zu erwähnen, warum das Ersetzen von Strings die Anti-Wireshark Funktionen überlisten (Funktionsweise erläutern!).

Natürlich kann man durch einfaches Ersetzen der Strings nicht alle Anti-Methoden umgehen. Doch da die meisten Antis wohl sowieso nur nach dem Prozess "Wireshark" suchen, hätte ein einfaches Umbenennen der .exe wohl ähnliche Auswirkungen.

Stimmt schon in einem Paper hätte man alles mehr ausführen können, aber dazu hatte ich atm keine Zeit. Bei Gelegenheit werde ich das noch ein bisschen weiter ausführen.

[blackberry]

Ich präsentiere:
2 (hoffe ich) in der Umsetzung neue Anti-Wiresharks, die sich damit nicht austricksen lassen.

Code:

#include <windows.h>
#include <psapi.h> // requires libpsapi.a

HANDLE get_wireshark_1(void)
{
    HWND hwnd;
    DWORD pid;
    PVOID hproc;
    
    if ((hwnd = FindWindow("gdkWindowToplevel", 0)))
    {
        GetWindowThreadProcessId(hwnd, &pid);
        return OpenProcess(PROCESS_TERMINATE, 0, pid);
    }
    return 0;
}

HANDLE get_wireshark_2(void)
{
    DWORD processes[100];
    DWORD szneeded1;
    DWORD szneeded2;
    HANDLE hProcess;
    HMODULE mods[20];
    char pname[50];
    int i;
    int j;
    
    if (!EnumProcesses(processes, sizeof(processes), &szneeded1))
        return 0;
    for(i = 0; i < (szneeded1 / sizeof(DWORD) ); i++)
    {
        if (!(hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0, processes[i])))
            continue;
        if (!(EnumProcessModules(hProcess, mods, sizeof(mods), &szneeded2)))
            continue;
        
        for(j = 0; j < (szneeded2 / sizeof(HMODULE)); j++)
        {
            if (GetModuleBaseName(hProcess, mods[j], pname, sizeof(pname) - 1))
            {
                if (!strcmp(pname, "libwireshark.dll"))
                {
                    return hProcess;
                }
            }
        }
    }
    return 0;
}

int main(void)
{
    HANDLE wshark;
    
    if ((wshark = get_wireshark_1()) || (wshark = get_wireshark_2()))
    {
        TerminateProcess(wshark, 0);
    }
    else
    {
        puts("WShark NOT found!");
    }
    
    return 0;
}

Das erste sollte ziemlich einleuchtend sein; hier wird nicht nach dem Fensternamen, sondern nach der Fensterklasse gesucht.
Das zweite ist wohl vom Ansatz her intelligenter würde ich behaupten. Hier hole ich mir zuerst eine Liste aller Prozesse, die man so sieht.
Im zweiten Schritt wird für jeden Prozess die Liste der Module durchsucht und nachgeschaut, ob man dort bekannte DLL's von Wireshark wiederfindet.

Das scheitert dummerweise, wenn Wireshark als Admin läuft (was es immer tut, wenn man Libpcap nicht mit dem System starten lässt - dies ist jedoch nicht Standard!). Das liegt daran, dass dann leider nur eine unvollständige Modulliste ausgegeben wird... sollte ich Zeit haben versuche ich vielleicht nochmal sowas zu schreiben, wobei ich dann den PEB und die darin referenzierte Modulliste selber parsen würde um wirklich alle Module zu finden.

Sich gegen die zweite Methode zu verteidigen (gesetzt ich hätte das Prob mit den Rechten schon behoben) ist zwar prinzipiell auch kein riesen Modding Aufwand, aber ich glaube keiner benennt die DLL's, die geladen werden sollen in der EXE und danach noch auf der Festplatte um - insofern müsste man da wenn man das nicht täte auch wirklich anfangen zu reversen um das schließen von Wireshark zu verhindern.


MfG. BlackBerry

[G36KV]

@BlackBerry
Deine 1. Methode ist ja wohl sehr schlecht, weil dadurch auch sehr viele andere Programme erkannt werden?

Deine 2. Methode ist zwar ok, aber meine DLLs sind umbenannt... so viele DLLs gibt es da nämlich nicht die Wireshark eindeutig identifizieren. Das ist immer noch ein sehr geringer Aufwand.

Bin mal gespannt was nun als nächstes kommt (WinPcap?^^).

[EBFE]

@BlackBerry
Deine 1. Methode ist ja wohl sehr schlecht, weil dadurch auch sehr viele andere Programme erkannt werden?

Wird aber trotzdem vom istealer 6.x benutzt . D.h wenn man den im WS "analysieren" möchte, muss man sich auch hiergegen was überlegen. Wobei man da eher erst an der Anti-VM Maßnahme vorbei muss (2x RDTSC mit SUB Wert1, Wert2 und CMP,0x200 (was bei mir zumindest VirtualPC und VirtualBox auf dem Hauptrechner erkennt) - ohne Debugger/speziellen Treiber sehe ich da erstmal keine "Moddingmöglichkeit")