Firewall Handbuch für LINUX 2.0 und 2.2: Hackers Guide oder was man über Cracker wissen muß: Angriffe auf Application Level

23.7 Angriffe auf Application Level

Trojanische Pferde sind ein unerläßliches Hilfsmittel für gezielte Angriffe auf Unternehmen. Sie werden von unzähligen Hackern eingesetzt, weil sie unauffällig sind, und mit höchster Wahrscheinlichkeit zum Erfolg führen. Professionelle Angreifer arbeiten mit trojanischen Pferden, die sie im Internet plazieren, und dann dafür sorgen, daß diese von den Systemadministratoren auch gelanden und installiert werden. Trojanische Pferde aktivieren sich nach Abfrage bestimmter Kriterien, beispiels weise genau dann, wenn sich ein bestimmter Name in einem File findet (Absender in der Konfigurationsdatei des E-Mailprogrammes), oder die Arbeitsstation eine bestimmte IP - Nummer besitzt, die der Angreifer vorher ausgespäht hat. So ist es z.B. ohne Probleme möglich, einer Weihnachtsmann - Animation noch einen Portscanner oder Sniffer hinzuzufügen, der sich im Hintergrund betätigt. Angreifer erfragen zuvor Namen - Hauptziel sind Systemadministratoren - und übermitteln der Zielperson dann freundliche Grüße mit o.a. URL als Anhang ("Den mußte mal testen !"). Um dann weitere Daten ausspähen zu können, muß der Angreifer zuerst einen Tunnel durch die Firewall konstruieren. Hierzu wird er mit Sicherheit Port 80 oder den default Proxy-Port 8080 wählen und den Benutzer dazu irgendwie veranlassen, ein Programm zu starten, welches eine Verbindung zum Internet herstellt. Ist erst einmal dieses Programm entweder im Hintergrund (vom Taskmanager verborgen, wie BO oder NETBOS) gestartet, so hat der Benutzer keinen Überblick darüber, ob ein trojanisches Pferd aktiviert ist und was es macht. Ein Eintrag in das Autostartverzeichnis ermöglicht es dem Angreifer, stets zu gewöhnlichen Bürozeiten sein Unwesen im Netz des Unternehmens im Internet zu treiben.

Welche Programme können trojanische Pferde enthalten ?

Bildschirmschoner

Bildschirmschoner (http://www.bildschirmschoner.de) sind beliebte trojanische Pferde. Da sie aber Geschmackssache sind, kann ein Angreifer nicht damit rechnen, daß die Zielperson einen bestimmten auf seinem Arbeitsplatzrecher installiert.

Aufsätze auf den Internet Explorer

NeoPlanet z.B. ist ein Aufsatz auf den Internet Explorer, welcher ein schöneres Design verspricht. Nachteil: Dieser Browser verrät Informationen von der Festplatte und sendet diese an seinen Homeserver. Welche dies sind, ist leider unbekannt, da die Informationen verschlüsselt übertragen werden. Eine weitere unangenehme Eigenschaft ist, daß dieser Browser eigenständig die ISDN-Leitung in das Internet öffnet, also sowohl Telefonkosten verursacht, als auch eigenständig Informationen von der Festplatte in das Internet versendet. Das könnten z.B. die schlecht verschlüsselten Paßwort - Dateien des WS-FTP sein, als auch die PWL -Dateien, in welchen die Zugangspassworte zum Server stehen. Ein ideales Werkzeug, da ein Angreifer davon ausgehen kann, daß das Programm längere Zeit auf der Arbeitsstation läuft. Mit Hilfe des von Microsoft angebotenen Kit´s, mit welchem man nach eigenem Geschmack Aufsätze auf den Internet Explorer basteln kann, gelingt es einem Angreifer schnell, ein trojanisches Pferd zusammen zu basteln.

Makroviren via E-Mail

Makroviren, die via E-Mail in ein Unternehmen eingeschleust werden, können im Quellcode so ziemlich alle möglichen Programme versteckt haben. Grund ist die Hinterlegung von Office 97 mit dem Visual Basic 5.0 und einem Update auf Winsock2.0/2.1. Hiermit ist es nun möglich, Netzwerksniffer direkt in die Makro´s von Excel, WinWord oder PowerPoint hinein zu programmieren. Auch BO könnte man via Winword Makro auf dem Arbeitsplatzrechner installieren. Schwachpunkt ist immer der Internet-Anschluß. Erst kürzlich wurde entdeckt, daß auch unter Windows NT 4.0 mit Excel - Makro´s voller Zugriff auf das System möglich ist. (Vasselin Bontchev, BUGTRAQ) Virenscanner können einen solchen Angriff leider noch nicht erkennen.

E-Mail Attachments

Wer hat sie noch nicht erhalten. Unter bekannten tauscht man gerne mal einen EXE-Gruß aus. Wer kennt sie nicht: Elchtest aus PCWELT, X-MAS.EXE, Getränkehalter: Die CDROM fährt aus). Aus vermeintlich vertrauenswürdiger Quelle vermutet niemand ein trojanische Pferd. Angreifer kennen meist aber Mail-Adressen von Kollegen und externen Mitarbeiter n, da einem Angriff immer eine genaue Untersuchung der Logfiles des E-Mail Exchangers/Relays vorausgeht. Über abgefangene E-Mails, die zumeist noch CC: -Adressen enthalten ist der Angreifer durchaus im Bilde, wer in den Augen des Systemadministrators vertrauenswürdig ist, und wer nicht. E-Mail - Exchange-Server von Providern sind oft sehr schlecht gesichert. Die Logfiles enthalten aber wichtige Schlüsselinformationen über Kontaktpersone n, Kunden, Bekannte ....

Tastatur Makro´s

Tasten Makro's können via E-Mail in ein Unternehmen eingeschleust werden. Der Angreifer findet sicherlich einen User, der mit der Umprogrammierung seiner Tastatur und den daraus resultierenden Konsequenzen nicht rechnet. Lotus-Notes z.B. kann so umprogrammiert werden, daß jeder Tastendruck eine neue E-Mail in das Internet versendet: Inhalt: die Taste selber. Ein Angreifer bekommt so via E-Mail Paßworte, Briefe.... in die Hände - ein mächtiges Werkzeug, welches schon häufig gebraucht wurde.

Eingeschleuste Pseudo-Updates

Fast alle größeren Firmen besitzen einen Wartungsvertrag über Softwareupdates. Man stelle sich vor, der Systemadministrator bekommt eine Microsoft-CDROM: Update SP4 von seinem Lieferanten zugesandt (CompuNet, Digital....). Auf der CDROM ist aber nicht SP4, sondern SP1 mit all seinen bekannten Sicherheitslücken, und das Installationsprogramm ist eine gut gemachte Imitation, welche zudem noch ein trojanische Pferd auf dem Server installiert. Warnungen, es könnte eine neuere Version überschrieben werden, erscheinen nicht, alles läuft wie gewohnt. Kurze Zeit später wird der gut betreute Server aus dem Internet ferngesteuert. Auch CDROM's kann man in kleinen Stückzahlen zu Preisen von ca. 5 DM incl. Aufdruck herstellen lassen. Installationssoftware, die Microsofts Installationsprogramm nachahmt, gibt es im Internet gratis, viele Hersteller von Freeware benutzen es (http://www.w3.o rg/amaya/). Der Aufwand für einen Angreifer, sich alte SP1 Updates, DLL's, Systemfiles aus einem installierten System zu kopieren, diese in ein File zusammen zu schreiben und mit dem FreeWare Installtionsprogramm zu versehen, würde ein paar Stunden in Anspruch nehmen. Die Herstellung der CDROM mit Glasrohling, Aufruck.....ca. 200 DM. Danach wären alle NT-Server, Workstations.....im Netz mit NETBUS verseucht und beliebig fernsteuerbar. Viel einfacher ist natürlich, einem bekannten die neuesten ServicePacks brandaktuell aus dem Internet auf CDROM zu kopieren, damit er Downloadzeit spart......

Angriffe über IRC, Quake, ICQ, Netmeeting

Häufig sind Firewall - Einstellungen zu freizügig gehandhabt, sodaß es möglich ist, Dienste, die normalerweise über verbotene Ports laufen (ICQ, IRC) über den freigegebenen Port 80 (http) der Firewall laufen zu lassen. Hacker kennen diese Möglichkeit und verleiten Mitarbeiter, die in Ihrer Freizeit von Zuhause aus an ICQ oder IRC teilnehmen, innerhalb der Firma einen ICQ/IRC Client zu installieren und sich über Port 80 an einem "speziellen " IRC/ICQ Server anzumelden. In diesem Falle ist bei vielen Firewalls nicht möglich, zwischen http-Traffic und IRC-Traffic auf Port 80 zu unterscheiden. Beispielsweise werden bei dem Einsatz der S.u.S.E. - Linux 5.3 und 6.0 - Distribution als Firewall genau diese IRC und QUAKE -PROXY´s per default aktiviert. Da sich Datentransfers über diese PROXY´s jeder Kontrolle in Logfiles entziehen , bestehen auch keine Kontrollmöglichkeiten. Über IRQ, ICQ und Quake lassen sich die Verzeichnisse von Arbeitsplatzrechnern und den angeschlossenen Servern beliebig auslesen und ins Internet übertragen. Diese Funktionen sind fester Bestandteil der IRQ - Philosophie und somit immer aktiv. Die meisten Angriffe erfolgen inzwischen über IRQ. Netmeeting erlaubt zudem noch den Start von shared applications, um z.B. gemeinsam in einem EXCEL-Sheet arbeiten zu können. Netmeeting ist an sich eine Punkt zu Punkt - Verbindung, über NetShow werden Konferenzschaltungen möglich, ein wichtiger Angriffpunkt. Quake ist ein beliebtes Netzwerkspiel , welches gerne in der Mittagspause gespielt wird. Es besitzt große Sicherheitsprobleme.

Microsoft Windows als trojanisches Pferd

Auch wenn es einigen Entscheidern nicht passen mag: Man kann es nicht deutlich genug sagen. Wer Microsoft Windows 98 oder NT 4.0 im Netzwerk installiert hat, hat gleich mehrere trojanische Pferde installiert, welche den Möglichkeiten von BO, NETBUS, IRQ oder Netmeeting entsprechen. Eine Firewall kann nicht verhindern, daß ein Angreifer in dem Moment, wenn jemand vom Arbeitsplatz aus surft, Zugriff auf das Netzwerk hat. Zahlreiche und immer neue Fehler in der Benutzeroberfläche von Windows 98/NT 4.0, die ja dem Internet Explorer identisch ist, ermöglichen es einem Angreifer, über JAVASKRIPT, ACTIVE-X und in wenigen Fällen über JAVA, direkt auf die Festplatte zuzugreifen. Falls ein Angreifer nur einen einzigen WWW-Server im Internet kennt, der von Mitarbeitern häufig besucht wird (oft ist es der eigene WWW-Server), so wird ein professioneller Angreifer wenig Mühe haben, einigen WWW-Seiten des Servers einige sicherheitsrelavante Skripte unterzuschieben. Oft wird behauptet, daß die Sicherheit des WWW-Servers unwichtig sei, da er ja ohnehin keine geheimen Informationen beinhalte, und somit für Angreifer uninteressant sei. Das Gegenteil ist der Fall. Zudem fungiert dieser Server oft noch als E-Mail Relay - Station und enthält wertvolle vertrauenswürdige E-Mailadressen, welche der Angreifer spooft, um trojanische Pferde in das Netzwerk einzuschleusen.

Im Netzwerk von Unternehmen - Was einen Angreifer brennendinteressiert

Man kann davon ausgehen, daß es relativ einfach ist, irgendeinem Benutzer im Netzwerk ein trojanisches Pferd via E-Mail unterzuschieben. Angenommen, das Programm liefe für kurze Zeit auf irgendeiner Arbeitsstation im Netzwerk. Angenommen, der Angreifer wüßte nichts über die Struktur im Netzwerk selber, wie würde er strategisch am günstigsten vorgehen, um Informationen aus dem Netzwerk heraus zu schleusen, und Zugang zu wichtigen Informationen zu erhalten. Wir gehen dabei davon aus, daß standardmäßig, z.B. Firewall-1 im Einsatz ist - es könnte auch eine beliebig andere sein. Arbeitsstationen seinen mit Windows 98 oder NT 4.0 ausgestattet.

Vorbereitende Veränderungen an Dateien und Netzwerkanalyse

Da der Angreifer davon ausgehen muß, daß z.B. eine Weihnachtsmann - Animation nur ca. 30-40 Sekunden lang läuft, ist es wichtig, vorzusorgen. Hier sind einige, wichtige Dinge zu tun:

Entpacken eines Binaries aus der Weihnachtsmann.exe (5 Sekunden)
Veränderung der Startup-Dateien (autoexec.xxx, Kopie in den Autostart-Ordner ) (1 Sekunde)
Anhängen eines .EXE Programms an eine System-Datei o.ä. (Winword.exe, Notepad, Write.exe, Sysedit) (4 Sekunden)
Durchsuchen der Konfigurationsdateien nach Name, E-Mail Server, PROXY-Einstellun g des Browsers, IP-Adresse und Gateway (1 Sekunde)
Scan nach frei beschreibbaren WfW - Netzen und Arbeitsstationen (2 Sekunden)
Scan nach allen aktiven IP-Adressen, Scan aller MAC-Adressen (Hardwareadressen) (3 Sekunden)
Scan nach Virenscannern und speziellen Filtern (2 Sekunden)
Abfrage der Betriebssystemsnummern, Versionsnummern, Patchlevel... (1 Sekunde)
Scan nach installierter Software..... (2 Sekunden)
Scan nach offenen Ports aller aktiven IP - Nummern im Bereich 1 ... 100 ( 10 Sekunden)
Versenden aller dieser Informationen über den PROXY - Server oder via E-Mail in das Internet (2 Sekunden)

Auswertung der gesammelten Daten

Nun ist die erste Stufe eines Angriffs vorüber, wie helfen diese gesammelten Daten einem Angreifer nun weiter ? Wertet man nun die gesammelten Daten aus:

Dieses Binary enthält einen Netzwerksniffer, der besonders auf Port 80, 25, 110, 137-139 lauscht. Er wird morgends beim Hochstarten der Arbeitsstation gestartet und belauscht andere Arbeitsstationen beim Login- Vorgang auf dem Server, Abholen der E-Mail... Er sammelt diese Daten und sendet sie irgendwann tagsüber über das E-Mail Gateway oder den Internet -Proxy in das Internet. Die Firewall wird diese Vorgänge zwar registrieren, es sind aber ganz normale Vorgänge. Der Angreifer ist nun im Besitz von zumindest einigen Paßworten.
Die 2. Datei enthält einen Keyboardsniffer, der zusammen mit Winword startet, und alle halbe Stunde sämtliche Tastendrücke in das Internet übermittelt.
Diese Informationen werden von o.a. Programmen zur Übermittlung der Informationen in das Internet verwendet und dienen der Vorbereitung weiterer Angriffe.
Mit diesen Informationen wird ermittelt, wer im Netzwerk evtl. sein Laufwerk zum Scheiben freigegeben hat. Falls im Unternehmen ein Switch eingesetzt wird, so ist die Ausbeute aus (1.) nicht groß. Der Sniffer installiert sich dann einfach auf die andere Arbeitsstation. So erhält man weitere Paßworte aus anderen Bereichen in Netz.
Der Scan nach IP-Adressen ist für 11. notwendig. Die Hardwareadressen verraten, wer die Netzwerkkarten produziert hat. Jeder Hersteller von Servern (HP, 3COM, SUN, DEC, NOVELL....) haben ihre charakteristischen , reservierten MAC-Kennungen. Mit Hilfe von diesen lassen sich Hersteller und Lieferdatum von Servern, Routern....bestimmen. Daraus ergeben sich konkrete Hinweise auf das installierte Betriebssystem. Eine kurze Recherche in BUGTRAQ - Archiv zeigt dann, welche Sicherheitsprobleme dieses haben könnte, und der Angreifer findet dort auch auch gewöhnlich den exploit.
Scan nach Virenscannern soll bei späteren Angriffen verhindern, daß sich TSR-Programme (Terminate Stay Resident) und der Virenscanner gegenseitig blockieren. Es zeigt auch, ob es möglich ist, zu einem späteren Zeitpunkt ein trojanisches Pferd via E-Mail über WinWord, Excel oder Powerpoint in das Netzwerk zu schleusen.
Das verwendete Betriebssystem, die genauen Versionen von Browser, E-Mail Programm könnten später wichtig sein. Sie zeigen aber auch, wie fleißig die Systemadministratoren Sicherheits-Updates einspielen. Sie erlauben es abzuschätzen, ob und wann auf dem Server Sicherheitskorrekturen eingespielt wurden.
Die installierte Software zeigt, welche Sicherheitsschwächen weiter ausgenutzt werden können.
Der Scan nach offenen Portnummern aller IP-Adressen im Netz meldet gewöhnlich, hinter welcher IP - Nummer sich eine Arbeitsstation oder ein Server verbirgt. Die offenen Ports zeigen an, welches Betriebssystem installiert ist, und welche Dienste es aktiviert hat. Daraus ergibt sich nach einer Recherche auf BUGTRAQ, ob und welcher buffer overflow funktionieren würde, um an die Daten heranzukommen. Weiterhin ergeben sich Zusammenhänge in der Netzwerkarchitektur, Hinweise auf Router und evtl. Wege in Filialen oder andere angeschlossene Netzwerke. Diese Portscan´s könnten von einer internen Firewall bemerkt werden, im allgemeinen aber fällt ein solcher Scan nicht weiter auf. Insbesondere interessieren die typischen Ports der Logserver, auf welche die Firewall Sicherheitsmeldungen sendet.
Das Versenden all dieser Informationen erfolgt weitestgehend unauffällig.

Vorbereitung der 2 Angriffsstufe

Der Angreifer ist nun in Besitz aller wichtigen Informationen, um einen weiteren Angriff ausführen zu können. Er kennt den Überwachungszustand des Netzes, den Zustand der Server, einige Wege, unauffällig Informationen aus dem Netzwerk herauszuschleusen, installiert e Software, u.s.w. Hier ergeben sich nun einige Möglichkeiten, den Server im Intranet anzugreifen. Er erhält aber bereits schon Inhalte von geschriebenen Briefen, Paßworte, Zugänge zu Banking-Software u.s.w. Interessant ist aber stets die Arbeitsstation des Systemadministrators. Da es sein kann, daß der Angreifer wegen evtl. verschlüsselter Paßworte beim Login keine Paßworte erhalten hat. Da häufig E-Mail -Paßworte nicht verschlüsselt werden, diese jedoch oft mit den Login-Paßworten identisch sind, ist der Angreifer nun doch in Besitz von zumindest einigen Login- und E-Mail Accounts, obwohl diese an sich nicht abgehört werden können. Nun kennt der Angreifer weitere User und deren Namen im Netz. Welche Möglichkeiten ergeben sich hieraus ?

Auswertung von E-Mail Headern auf Arbeitsstationen zur Analyse der Netzwerkstruktur und Informationsflüsse im Netz.
Weiterführung des Angriffs mit dem Weihnachtsmann in anderen Unternehmensfiliale n
Installation weitere Netzwerk - und Keyboardsniffer Auslesen des SQL-Servers über eine Arbeitsstation, die genügend Festplattenspeicher besitzt
Angriff mit buffer overflow auf den Server und Installation eines Tunnels zur Fernwartung über Internet.
DoS des Logservers der Firewall in Falle einer Installation eines Tunnels
Eindringen in den SQL-Server des Unternehmens und Kopieren der Informationen in das Internet

Verwischen von Spuren

Im Grunde fällt ein solcher Angriff insgesamt nicht auf, da die übertragenen Daten stets gewöhnliche Wege nehmen. Der Einsatz von IDS-Systemen würde nur feststellen können, daß größere Datenmengen vom SQL-Server über die Firewall in das Internet übersendet wurden, entweder in kleineren, unregelmäßigen Paketen oder als Datenstrom über den PROXY oder PROXY-Cache des Unternehmens. Die Kunst des Angreifers liegt darin, die Erfahrung des Systemadministrators richtig einschätzen zu können, um den Angriff geschickt verbergen zu können. Es ist aber keine Frage, ob in ein Netzwerk eingebrochen werden kann, sondern eher, wie lange dies unentdeckt bleiben kann. Hierzu ist es dem Angreifer auch möglich, eine Arbeitsstation, die eine ISDN-Karte für BTX - Anschluß eingebaut hat, für die Übertragung der Daten des SQL-Servers in das Internet zu gebrauchen, unter Umgehung der Firewall. Es gibt viele Tricks, die Angreifer benutzen, um Firewalls zu umgehen, und Systemadministratoren zu täuschen. Hier nun einige davon:

Online Suche im Handbuch

LITTLE-IDIOT NETWORKING