Galerie
728 x 90

Raptor

Raptor

Raptor jest rozwiązaniem do szybkiego kopiowania danych z wyłączonego lub zablokowanego komputera w sytuacji, gdy nie możesz po prostu uruchomić Windows: nie znasz hasła, albo po zalogowaniu istnieje ryzyko detekcji przez system klasy SIEM.

Raptor dostarczany jest w formie zewnętrznego dysku SSD, z którego uruchamiany jest osobny system:

  • dla Twojego bezpieczeństwa, standardowo uruchamiany jest zwykły Kali Linux, a zebrane już dane są całkowicie niewidoczne i niedostępne
  • po uruchomieniu w odpowiedni sposób, uruchamiany jest właściwy Raptor i rozpoczyna się zbieranie danych
Raptor po uruchomieniu analizuje dyski twarde i inne nośniki podłączone do komputera, rozpoznając systemy plików i kopiując wszystkie dane na własny dysk USB.

Jednocześnie możliwe jest uruchomienie na ekranie komputera np. programu diagnostycznego, testującego sprawność sieci lub samego komputera, albo dowolnego innego programu maskującego prawdziwą aktywność.

Taki sposób działania powoduje, że:

  • automatycznie omijane są wszelkie programy antywirusowe, systemy DLP, SIEM i inne mające na celu wykrywanie niepożądanych aktywności
  • nie potrzebujesz znać haseł do systemu Windows, czy zainstalowanych programów
  • nadal możliwe jest kopiowanie zasobów sieciowych (aczkolwiek w ograniczonym zakresie)

Kiedy Sherlock?

  • Windows jest uruchomiony, ekran nie jest zablokowany
  • masz fizyczny dostęp do klawiatury i portu USB
  • zależy Ci przede wszystkim na udziałach sieciowych
  • oraz:
    • masz ekstremalnie mało czasu (sekundy/minuty)
    • lub potencjalnie możesz namówić użytkownika do uruchomienia np. arkusza kalkulacyjnego albo odtwarzacza MP3 z Twojego pen drive’a
    • lub pracujesz na czyimś komputerze (np. podczas szkolenia), ale jesteś otoczony innymi osobami i nie możesz robić niczego podejrzanego

Kiedy Raptor?

  • masz więcej czasu (cała operacja na komputerze z przeciętną ilością danych trwa typowo 10-30 minut)
  • komputer jest wyłączony albo zablokowany, albo ma całkowicie zablokowany port USB na poziomie systemu operacyjnego
  • komputer jest bardzo mocno chroniony (SIEM itp.) i nie możesz sobie pozwolić na ryzyko odkrycia tego co robisz (również po fakcie)

Licencjonowanie

Raptor jest zamkniętym oprogramowaniem, możliwym do zakupu tylko przez uprawnione organy:

  • funkcjonariuszy policji i innych służb mundurowych
  • pracowników służb specjalnych (w przypadku innych krajów przed zakupem niezbędne jest dostarczenie podstawy prawnej, legalizującej zakup)
  • pracowników korporacji do użytku wewnętrznego przez Red Teamy (za pisemną akceptacją osoby na szczeblu Zarządu)

Raptor jest dostępny w dwóch wersjach:

  • komercyjnej, wyposażonej w szereg dodatkowych możliwości, np. penetrację udziałów FTP, NFS i SMB, oraz możliwość integracji z naszymi innymi produktami
  • open source

Użycie tego oprogramowania może być dodatkowo ograniczone przez prawo innego kraju, w którym miałoby ono zostać użyte. Użytkownik końcowy jest osobiście odpowiedzialny za wszelkie naruszenia przepisów prawa i/lub obowiązków służbowych związane z użyciem oprogramowania.


Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.

Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.

Więcej informacji dostępnych po podpisaniu umowy wstępnej i NDA.

Czy udostępnienie tej klasy oprogramowania jako open source jest bezpieczne?

Wierzymy że tak.

Różnica pomiędzy osobami zajmującymi się zawodowo bezpieczeństwem IT w korporacyjnych Red Teamach, oraz funkcjonariuszami policji lub służb specjalnych jest taka, że ci pierwsi pracują w kontrolowanych środowiskach, w których testy penetracyjne mogą być wstępnie przygotowane we współpracy z innymi działami (w tym w razie potrzeby z ochroną budynku) w taki sposób, aby osobom realizującym atak dać niezbędny czas na użycie Raptora w mniej efektywnej wersji open source i bezpieczne ulotnienie się z miejsca zdarzenia.

Faktem jest też, że od lat, również w formie open source, dostępne są o wiele bardziej zaawansowane narzędzia do testowania bezpieczeństwa IT na różnych poziomach.

Dlatego też jesteśmy przekonani, że udostępnienie podstawowej wersji Raptora jako open source nie stwarza jakiegokolwiek realnego zagrożenia dla kogokolwiek.

Komponenty open source

  • Kali Linux (https://cdimage.kali.org/kali-2020.1b/kali-linux-2020.1b-live-i386.iso)
  • OpenCV (https://opencv.org/) – biblioteka używana w wersji komercyjnej
  • algorytm opracowany na podstawie https://github.com/theevilbit/tcpwrecovery – używany w wersji komercyjnej
  • Raptor – wersja open source

Możliwości wersji komercyjnej

Obsługa wyjątków

Główną różnicą pomiędzy wersją open source i komercyjną jest to, że wersja open source kopiuje wszystkie znalezione dane ze wszystkich zidentyfikowanych systemów plików, co najczęściej nie jest do niczego potrzebne, a tylko mocno wydłuża operację (nawet do kilku-kilkunastu godzin, zależnie od szybkości użytego nośnika i mocy obliczeniowej komputera) i zwiększa ilość potrzebnego miejsca.

Wersja komercyjna jest wyposażona w aktualizowaną przez nas blacklistę zawierającą kilkaset reguł, jakie pliki i katalogi wykluczyć z kopiowania (w szczególności pomijane są pliki systemowe od Windows). Dzięki temu Raptor kopiuje tylko wartościowe dane, a cała operacja na komputerze z dużą ilością danych trwa typowo 6-20 minut (zakładając komputer z procesorem Core i5 oraz dysk Samsung SSD T5 podłączony do portu USB 3.0).

Kopiowanie danych z kont FTP

Komercyjna wersja Raptora szuka plików wcx_ftp.ini Total Commandera, wyciągając z nich konta z zapisanymi hasłami, po czym dekoduje te hasła i wykonuje kopię zawartości takich kont.

Przewagą tej techniki nad wykonaniem takiej kopii ręcznie jest to, że w logach serwera FTP jest ona widoczna jako operacja inicjowana przez IP atakowanego komputera, zamiast Twojego.

Kopiowanie danych z udziałów NFS i SMB

Komercyjna wersja Raptora analizuje pliki /etc/fstab na komputerze pod kątem wpisów montujących udziały NFS i SMB. Udziały te są następnie automatycznie montowane i kopiowane.

Detekcja i rozpoznawanie twarzy

Komercyjna wersja Raptora może współpracować z innymi narzędziami, zarówno naszego autorstwa jak i zewnęrznymi – np. może wykorzystywać bibliotekę OpenCV do analizy zdjęć na dysku komputera i rozpoznawania twarzy osób na tych zdjęciach.