Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING

23.7 Angriffe auf Application Level

Trojanische Pferde sind ein unerläßliches Hilfsmittel für gezielte Angriffe auf Unternehmen. Sie werden von unzähligen Hackern eingesetzt, weil sie unauffällig sind, und mit höchster Wahrscheinlichkeit zum Erfolg führen. Professionelle Angreifer arbeiten mit trojanischen Pferden, die sie im Internet plazieren, und dann dafür sorgen, daß diese von den Systemadministratoren auch gelanden und installiert werden. Trojanische Pferde aktivieren sich nach Abfrage bestimmter Kriterien, beispiels weise genau dann, wenn sich ein bestimmter Name in einem File findet (Absender in der Konfigurationsdatei des E-Mailprogrammes), oder die Arbeitsstation eine bestimmte IP - Nummer besitzt, die der Angreifer vorher ausgespäht hat. So ist es z.B. ohne Probleme möglich, einer Weihnachtsmann - Animation noch einen Portscanner oder Sniffer hinzuzufügen, der sich im Hintergrund betätigt. Angreifer erfragen zuvor Namen - Hauptziel sind Systemadministratoren - und übermitteln der Zielperson dann freundliche Grüße mit o.a. URL als Anhang ("Den mußte mal testen !"). Um dann weitere Daten ausspähen zu können, muß der Angreifer zuerst einen Tunnel durch die Firewall konstruieren. Hierzu wird er mit Sicherheit Port 80 oder den default Proxy-Port 8080 wählen und den Benutzer dazu irgendwie veranlassen, ein Programm zu starten, welches eine Verbindung zum Internet herstellt. Ist erst einmal dieses Programm entweder im Hintergrund (vom Taskmanager verborgen, wie BO oder NETBOS) gestartet, so hat der Benutzer keinen Überblick darüber, ob ein trojanisches Pferd aktiviert ist und was es macht. Ein Eintrag in das Autostartverzeichnis ermöglicht es dem Angreifer, stets zu gewöhnlichen Bürozeiten sein Unwesen im Netz des Unternehmens im Internet zu treiben.

Welche Programme können trojanische Pferde enthalten ?

Bildschirmschoner

Bildschirmschoner (http://www.bildschirmschoner.de) sind beliebte trojanische Pferde. Da sie aber Geschmackssache sind, kann ein Angreifer nicht damit rechnen, daß die Zielperson einen bestimmten auf seinem Arbeitsplatzrecher installiert.

Aufsätze auf den Internet Explorer

NeoPlanet z.B. ist ein Aufsatz auf den Internet Explorer, welcher ein schöneres Design verspricht. Nachteil: Dieser Browser verrät Informationen von der Festplatte und sendet diese an seinen Homeserver. Welche dies sind, ist leider unbekannt, da die Informationen verschlüsselt übertragen werden. Eine weitere unangenehme Eigenschaft ist, daß dieser Browser eigenständig die ISDN-Leitung in das Internet öffnet, also sowohl Telefonkosten verursacht, als auch eigenständig Informationen von der Festplatte in das Internet versendet. Das könnten z.B. die schlecht verschlüsselten Paßwort - Dateien des WS-FTP sein, als auch die PWL -Dateien, in welchen die Zugangspassworte zum Server stehen. Ein ideales Werkzeug, da ein Angreifer davon ausgehen kann, daß das Programm längere Zeit auf der Arbeitsstation läuft. Mit Hilfe des von Microsoft angebotenen Kit´s, mit welchem man nach eigenem Geschmack Aufsätze auf den Internet Explorer basteln kann, gelingt es einem Angreifer schnell, ein trojanisches Pferd zusammen zu basteln.

Makroviren via E-Mail

Makroviren, die via E-Mail in ein Unternehmen eingeschleust werden, können im Quellcode so ziemlich alle möglichen Programme versteckt haben. Grund ist die Hinterlegung von Office 97 mit dem Visual Basic 5.0 und einem Update auf Winsock2.0/2.1. Hiermit ist es nun möglich, Netzwerksniffer direkt in die Makro´s von Excel, WinWord oder PowerPoint hinein zu programmieren. Auch BO könnte man via Winword Makro auf dem Arbeitsplatzrechner installieren. Schwachpunkt ist immer der Internet-Anschluß. Erst kürzlich wurde entdeckt, daß auch unter Windows NT 4.0 mit Excel - Makro´s voller Zugriff auf das System möglich ist. (Vasselin Bontchev, BUGTRAQ) Virenscanner können einen solchen Angriff leider noch nicht erkennen.

E-Mail Attachments

Wer hat sie noch nicht erhalten. Unter bekannten tauscht man gerne mal einen EXE-Gruß aus. Wer kennt sie nicht: Elchtest aus PCWELT, X-MAS.EXE, Getränkehalter: Die CDROM fährt aus). Aus vermeintlich vertrauenswürdiger Quelle vermutet niemand ein trojanische Pferd. Angreifer kennen meist aber Mail-Adressen von Kollegen und externen Mitarbeiter n, da einem Angriff immer eine genaue Untersuchung der Logfiles des E-Mail Exchangers/Relays vorausgeht. Über abgefangene E-Mails, die zumeist noch CC: -Adressen enthalten ist der Angreifer durchaus im Bilde, wer in den Augen des Systemadministrators vertrauenswürdig ist, und wer nicht. E-Mail - Exchange-Server von Providern sind oft sehr schlecht gesichert. Die Logfiles enthalten aber wichtige Schlüsselinformationen über Kontaktpersone n, Kunden, Bekannte ....

Tastatur Makro´s

Tasten Makro's können via E-Mail in ein Unternehmen eingeschleust werden. Der Angreifer findet sicherlich einen User, der mit der Umprogrammierung seiner Tastatur und den daraus resultierenden Konsequenzen nicht rechnet. Lotus-Notes z.B. kann so umprogrammiert werden, daß jeder Tastendruck eine neue E-Mail in das Internet versendet: Inhalt: die Taste selber. Ein Angreifer bekommt so via E-Mail Paßworte, Briefe.... in die Hände - ein mächtiges Werkzeug, welches schon häufig gebraucht wurde.

Eingeschleuste Pseudo-Updates

Fast alle größeren Firmen besitzen einen Wartungsvertrag über Softwareupdates. Man stelle sich vor, der Systemadministrator bekommt eine Microsoft-CDROM: Update SP4 von seinem Lieferanten zugesandt (CompuNet, Digital....). Auf der CDROM ist aber nicht SP4, sondern SP1 mit all seinen bekannten Sicherheitslücken, und das Installationsprogramm ist eine gut gemachte Imitation, welche zudem noch ein trojanische Pferd auf dem Server installiert. Warnungen, es könnte eine neuere Version überschrieben werden, erscheinen nicht, alles läuft wie gewohnt. Kurze Zeit später wird der gut betreute Server aus dem Internet ferngesteuert. Auch CDROM's kann man in kleinen Stückzahlen zu Preisen von ca. 5 DM incl. Aufdruck herstellen lassen. Installationssoftware, die Microsofts Installationsprogramm nachahmt, gibt es im Internet gratis, viele Hersteller von Freeware benutzen es (http://www.w3.o rg/amaya/). Der Aufwand für einen Angreifer, sich alte SP1 Updates, DLL's, Systemfiles aus einem installierten System zu kopieren, diese in ein File zusammen zu schreiben und mit dem FreeWare Installtionsprogramm zu versehen, würde ein paar Stunden in Anspruch nehmen. Die Herstellung der CDROM mit Glasrohling, Aufruck.....ca. 200 DM. Danach wären alle NT-Server, Workstations.....im Netz mit NETBUS verseucht und beliebig fernsteuerbar. Viel einfacher ist natürlich, einem bekannten die neuesten ServicePacks brandaktuell aus dem Internet auf CDROM zu kopieren, damit er Downloadzeit spart......

Angriffe über IRC, Quake, ICQ, Netmeeting

Häufig sind Firewall - Einstellungen zu freizügig gehandhabt, sodaß es möglich ist, Dienste, die normalerweise über verbotene Ports laufen (ICQ, IRC) über den freigegebenen Port 80 (http) der Firewall laufen zu lassen. Hacker kennen diese Möglichkeit und verleiten Mitarbeiter, die in Ihrer Freizeit von Zuhause aus an ICQ oder IRC teilnehmen, innerhalb der Firma einen ICQ/IRC Client zu installieren und sich über Port 80 an einem "speziellen " IRC/ICQ Server anzumelden. In diesem Falle ist bei vielen Firewalls nicht möglich, zwischen http-Traffic und IRC-Traffic auf Port 80 zu unterscheiden. Beispielsweise werden bei dem Einsatz der S.u.S.E. - Linux 5.3 und 6.0 - Distribution als Firewall genau diese IRC und QUAKE -PROXY´s per default aktiviert. Da sich Datentransfers über diese PROXY´s jeder Kontrolle in Logfiles entziehen , bestehen auch keine Kontrollmöglichkeiten. Über IRQ, ICQ und Quake lassen sich die Verzeichnisse von Arbeitsplatzrechnern und den angeschlossenen Servern beliebig auslesen und ins Internet übertragen. Diese Funktionen sind fester Bestandteil der IRQ - Philosophie und somit immer aktiv. Die meisten Angriffe erfolgen inzwischen über IRQ. Netmeeting erlaubt zudem noch den Start von shared applications, um z.B. gemeinsam in einem EXCEL-Sheet arbeiten zu können. Netmeeting ist an sich eine Punkt zu Punkt - Verbindung, über NetShow werden Konferenzschaltungen möglich, ein wichtiger Angriffpunkt. Quake ist ein beliebtes Netzwerkspiel , welches gerne in der Mittagspause gespielt wird. Es besitzt große Sicherheitsprobleme.

Microsoft Windows als trojanisches Pferd

Auch wenn es einigen Entscheidern nicht passen mag: Man kann es nicht deutlich genug sagen. Wer Microsoft Windows 98 oder NT 4.0 im Netzwerk installiert hat, hat gleich mehrere trojanische Pferde installiert, welche den Möglichkeiten von BO, NETBUS, IRQ oder Netmeeting entsprechen. Eine Firewall kann nicht verhindern, daß ein Angreifer in dem Moment, wenn jemand vom Arbeitsplatz aus surft, Zugriff auf das Netzwerk hat. Zahlreiche und immer neue Fehler in der Benutzeroberfläche von Windows 98/NT 4.0, die ja dem Internet Explorer identisch ist, ermöglichen es einem Angreifer, über JAVASKRIPT, ACTIVE-X und in wenigen Fällen über JAVA, direkt auf die Festplatte zuzugreifen. Falls ein Angreifer nur einen einzigen WWW-Server im Internet kennt, der von Mitarbeitern häufig besucht wird (oft ist es der eigene WWW-Server), so wird ein professioneller Angreifer wenig Mühe haben, einigen WWW-Seiten des Servers einige sicherheitsrelavante Skripte unterzuschieben. Oft wird behauptet, daß die Sicherheit des WWW-Servers unwichtig sei, da er ja ohnehin keine geheimen Informationen beinhalte, und somit für Angreifer uninteressant sei. Das Gegenteil ist der Fall. Zudem fungiert dieser Server oft noch als E-Mail Relay - Station und enthält wertvolle vertrauenswürdige E-Mailadressen, welche der Angreifer spooft, um trojanische Pferde in das Netzwerk einzuschleusen.

Im Netzwerk von Unternehmen - Was einen Angreifer brennendinteressiert

Man kann davon ausgehen, daß es relativ einfach ist, irgendeinem Benutzer im Netzwerk ein trojanisches Pferd via E-Mail unterzuschieben. Angenommen, das Programm liefe für kurze Zeit auf irgendeiner Arbeitsstation im Netzwerk. Angenommen, der Angreifer wüßte nichts über die Struktur im Netzwerk selber, wie würde er strategisch am günstigsten vorgehen, um Informationen aus dem Netzwerk heraus zu schleusen, und Zugang zu wichtigen Informationen zu erhalten. Wir gehen dabei davon aus, daß standardmäßig, z.B. Firewall-1 im Einsatz ist - es könnte auch eine beliebig andere sein. Arbeitsstationen seinen mit Windows 98 oder NT 4.0 ausgestattet.

Vorbereitende Veränderungen an Dateien und Netzwerkanalyse

Da der Angreifer davon ausgehen muß, daß z.B. eine Weihnachtsmann - Animation nur ca. 30-40 Sekunden lang läuft, ist es wichtig, vorzusorgen. Hier sind einige, wichtige Dinge zu tun:

Auswertung der gesammelten Daten

Nun ist die erste Stufe eines Angriffs vorüber, wie helfen diese gesammelten Daten einem Angreifer nun weiter ? Wertet man nun die gesammelten Daten aus:

Vorbereitung der 2 Angriffsstufe

Der Angreifer ist nun in Besitz aller wichtigen Informationen, um einen weiteren Angriff ausführen zu können. Er kennt den Überwachungszustand des Netzes, den Zustand der Server, einige Wege, unauffällig Informationen aus dem Netzwerk herauszuschleusen, installiert e Software, u.s.w. Hier ergeben sich nun einige Möglichkeiten, den Server im Intranet anzugreifen. Er erhält aber bereits schon Inhalte von geschriebenen Briefen, Paßworte, Zugänge zu Banking-Software u.s.w. Interessant ist aber stets die Arbeitsstation des Systemadministrators. Da es sein kann, daß der Angreifer wegen evtl. verschlüsselter Paßworte beim Login keine Paßworte erhalten hat. Da häufig E-Mail -Paßworte nicht verschlüsselt werden, diese jedoch oft mit den Login-Paßworten identisch sind, ist der Angreifer nun doch in Besitz von zumindest einigen Login- und E-Mail Accounts, obwohl diese an sich nicht abgehört werden können. Nun kennt der Angreifer weitere User und deren Namen im Netz. Welche Möglichkeiten ergeben sich hieraus ?

Verwischen von Spuren

Im Grunde fällt ein solcher Angriff insgesamt nicht auf, da die übertragenen Daten stets gewöhnliche Wege nehmen. Der Einsatz von IDS-Systemen würde nur feststellen können, daß größere Datenmengen vom SQL-Server über die Firewall in das Internet übersendet wurden, entweder in kleineren, unregelmäßigen Paketen oder als Datenstrom über den PROXY oder PROXY-Cache des Unternehmens. Die Kunst des Angreifers liegt darin, die Erfahrung des Systemadministrators richtig einschätzen zu können, um den Angriff geschickt verbergen zu können. Es ist aber keine Frage, ob in ein Netzwerk eingebrochen werden kann, sondern eher, wie lange dies unentdeckt bleiben kann. Hierzu ist es dem Angreifer auch möglich, eine Arbeitsstation, die eine ISDN-Karte für BTX - Anschluß eingebaut hat, für die Übertragung der Daten des SQL-Servers in das Internet zu gebrauchen, unter Umgehung der Firewall. Es gibt viele Tricks, die Angreifer benutzen, um Firewalls zu umgehen, und Systemadministratoren zu täuschen. Hier nun einige davon:


Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING