Firewall Handbuch f�r LINUX 2.0 und 2.2: Hackers Guide oder was man �ber Cracker wissen mu�: Angriffe auf Application Level

23.7 Angriffe auf Application Level

Trojanische Pferde sind ein unerl��liches Hilfsmittel f�r gezielte Angriffe auf Unternehmen. Sie werden von unz�hligen Hackern eingesetzt, weil sie unauff�llig sind, und mit h�chster Wahrscheinlichkeit zum Erfolg f�hren. Professionelle Angreifer arbeiten mit trojanischen Pferden, die sie im Internet plazieren, und dann daf�r sorgen, da� diese von den Systemadministratoren auch gelanden und installiert werden. Trojanische Pferde aktivieren sich nach Abfrage bestimmter Kriterien, beispiels weise genau dann, wenn sich ein bestimmter Name in einem File findet (Absender in der Konfigurationsdatei des E-Mailprogrammes), oder die Arbeitsstation eine bestimmte IP - Nummer besitzt, die der Angreifer vorher ausgesp�ht hat. So ist es z.B. ohne Probleme m�glich, einer Weihnachtsmann - Animation noch einen Portscanner oder Sniffer hinzuzuf�gen, der sich im Hintergrund bet�tigt. Angreifer erfragen zuvor Namen - Hauptziel sind Systemadministratoren - und �bermitteln der Zielperson dann freundliche Gr��e mit o.a. URL als Anhang ("Den mu�te mal testen !"). Um dann weitere Daten aussp�hen zu k�nnen, mu� der Angreifer zuerst einen Tunnel durch die Firewall konstruieren. Hierzu wird er mit Sicherheit Port 80 oder den default Proxy-Port 8080 w�hlen und den Benutzer dazu irgendwie veranlassen, ein Programm zu starten, welches eine Verbindung zum Internet herstellt. Ist erst einmal dieses Programm entweder im Hintergrund (vom Taskmanager verborgen, wie BO oder NETBOS) gestartet, so hat der Benutzer keinen �berblick dar�ber, ob ein trojanisches Pferd aktiviert ist und was es macht. Ein Eintrag in das Autostartverzeichnis erm�glicht es dem Angreifer, stets zu gew�hnlichen B�rozeiten sein Unwesen im Netz des Unternehmens im Internet zu treiben.

Welche Programme k�nnen trojanische Pferde enthalten ?

Bildschirmschoner

Bildschirmschoner (http://www.bildschirmschoner.de) sind beliebte trojanische Pferde. Da sie aber Geschmackssache sind, kann ein Angreifer nicht damit rechnen, da� die Zielperson einen bestimmten auf seinem Arbeitsplatzrecher installiert.

Aufs�tze auf den Internet Explorer

NeoPlanet z.B. ist ein Aufsatz auf den Internet Explorer, welcher ein sch�neres Design verspricht. Nachteil: Dieser Browser verr�t Informationen von der Festplatte und sendet diese an seinen Homeserver. Welche dies sind, ist leider unbekannt, da die Informationen verschl�sselt �bertragen werden. Eine weitere unangenehme Eigenschaft ist, da� dieser Browser eigenst�ndig die ISDN-Leitung in das Internet �ffnet, also sowohl Telefonkosten verursacht, als auch eigenst�ndig Informationen von der Festplatte in das Internet versendet. Das k�nnten z.B. die schlecht verschl�sselten Pa�wort - Dateien des WS-FTP sein, als auch die PWL -Dateien, in welchen die Zugangspassworte zum Server stehen. Ein ideales Werkzeug, da ein Angreifer davon ausgehen kann, da� das Programm l�ngere Zeit auf der Arbeitsstation l�uft. Mit Hilfe des von Microsoft angebotenen Kit�s, mit welchem man nach eigenem Geschmack Aufs�tze auf den Internet Explorer basteln kann, gelingt es einem Angreifer schnell, ein trojanisches Pferd zusammen zu basteln.

Makroviren via E-Mail

Makroviren, die via E-Mail in ein Unternehmen eingeschleust werden, k�nnen im Quellcode so ziemlich alle m�glichen Programme versteckt haben. Grund ist die Hinterlegung von Office 97 mit dem Visual Basic 5.0 und einem Update auf Winsock2.0/2.1. Hiermit ist es nun m�glich, Netzwerksniffer direkt in die Makro�s von Excel, WinWord oder PowerPoint hinein zu programmieren. Auch BO k�nnte man via Winword Makro auf dem Arbeitsplatzrechner installieren. Schwachpunkt ist immer der Internet-Anschlu�. Erst k�rzlich wurde entdeckt, da� auch unter Windows NT 4.0 mit Excel - Makro�s voller Zugriff auf das System m�glich ist. (Vasselin Bontchev, BUGTRAQ) Virenscanner k�nnen einen solchen Angriff leider noch nicht erkennen.

E-Mail Attachments

Wer hat sie noch nicht erhalten. Unter bekannten tauscht man gerne mal einen EXE-Gru� aus. Wer kennt sie nicht: Elchtest aus PCWELT, X-MAS.EXE, Getr�nkehalter: Die CDROM f�hrt aus). Aus vermeintlich vertrauensw�rdiger Quelle vermutet niemand ein trojanische Pferd. Angreifer kennen meist aber Mail-Adressen von Kollegen und externen Mitarbeiter n, da einem Angriff immer eine genaue Untersuchung der Logfiles des E-Mail Exchangers/Relays vorausgeht. �ber abgefangene E-Mails, die zumeist noch CC: -Adressen enthalten ist der Angreifer durchaus im Bilde, wer in den Augen des Systemadministrators vertrauensw�rdig ist, und wer nicht. E-Mail - Exchange-Server von Providern sind oft sehr schlecht gesichert. Die Logfiles enthalten aber wichtige Schl�sselinformationen �ber Kontaktpersone n, Kunden, Bekannte ....

Tastatur Makro�s

Tasten Makro's k�nnen via E-Mail in ein Unternehmen eingeschleust werden. Der Angreifer findet sicherlich einen User, der mit der Umprogrammierung seiner Tastatur und den daraus resultierenden Konsequenzen nicht rechnet. Lotus-Notes z.B. kann so umprogrammiert werden, da� jeder Tastendruck eine neue E-Mail in das Internet versendet: Inhalt: die Taste selber. Ein Angreifer bekommt so via E-Mail Pa�worte, Briefe.... in die H�nde - ein m�chtiges Werkzeug, welches schon h�ufig gebraucht wurde.

Eingeschleuste Pseudo-Updates

Fast alle gr��eren Firmen besitzen einen Wartungsvertrag �ber Softwareupdates. Man stelle sich vor, der Systemadministrator bekommt eine Microsoft-CDROM: Update SP4 von seinem Lieferanten zugesandt (CompuNet, Digital....). Auf der CDROM ist aber nicht SP4, sondern SP1 mit all seinen bekannten Sicherheitsl�cken, und das Installationsprogramm ist eine gut gemachte Imitation, welche zudem noch ein trojanische Pferd auf dem Server installiert. Warnungen, es k�nnte eine neuere Version �berschrieben werden, erscheinen nicht, alles l�uft wie gewohnt. Kurze Zeit sp�ter wird der gut betreute Server aus dem Internet ferngesteuert. Auch CDROM's kann man in kleinen St�ckzahlen zu Preisen von ca. 5 DM incl. Aufdruck herstellen lassen. Installationssoftware, die Microsofts Installationsprogramm nachahmt, gibt es im Internet gratis, viele Hersteller von Freeware benutzen es (http://www.w3.o rg/amaya/). Der Aufwand f�r einen Angreifer, sich alte SP1 Updates, DLL's, Systemfiles aus einem installierten System zu kopieren, diese in ein File zusammen zu schreiben und mit dem FreeWare Installtionsprogramm zu versehen, w�rde ein paar Stunden in Anspruch nehmen. Die Herstellung der CDROM mit Glasrohling, Aufruck.....ca. 200 DM. Danach w�ren alle NT-Server, Workstations.....im Netz mit NETBUS verseucht und beliebig fernsteuerbar. Viel einfacher ist nat�rlich, einem bekannten die neuesten ServicePacks brandaktuell aus dem Internet auf CDROM zu kopieren, damit er Downloadzeit spart......

Angriffe �ber IRC, Quake, ICQ, Netmeeting

H�ufig sind Firewall - Einstellungen zu freiz�gig gehandhabt, soda� es m�glich ist, Dienste, die normalerweise �ber verbotene Ports laufen (ICQ, IRC) �ber den freigegebenen Port 80 (http) der Firewall laufen zu lassen. Hacker kennen diese M�glichkeit und verleiten Mitarbeiter, die in Ihrer Freizeit von Zuhause aus an ICQ oder IRC teilnehmen, innerhalb der Firma einen ICQ/IRC Client zu installieren und sich �ber Port 80 an einem "speziellen " IRC/ICQ Server anzumelden. In diesem Falle ist bei vielen Firewalls nicht m�glich, zwischen http-Traffic und IRC-Traffic auf Port 80 zu unterscheiden. Beispielsweise werden bei dem Einsatz der S.u.S.E. - Linux 5.3 und 6.0 - Distribution als Firewall genau diese IRC und QUAKE -PROXY�s per default aktiviert. Da sich Datentransfers �ber diese PROXY�s jeder Kontrolle in Logfiles entziehen , bestehen auch keine Kontrollm�glichkeiten. �ber IRQ, ICQ und Quake lassen sich die Verzeichnisse von Arbeitsplatzrechnern und den angeschlossenen Servern beliebig auslesen und ins Internet �bertragen. Diese Funktionen sind fester Bestandteil der IRQ - Philosophie und somit immer aktiv. Die meisten Angriffe erfolgen inzwischen �ber IRQ. Netmeeting erlaubt zudem noch den Start von shared applications, um z.B. gemeinsam in einem EXCEL-Sheet arbeiten zu k�nnen. Netmeeting ist an sich eine Punkt zu Punkt - Verbindung, �ber NetShow werden Konferenzschaltungen m�glich, ein wichtiger Angriffpunkt. Quake ist ein beliebtes Netzwerkspiel , welches gerne in der Mittagspause gespielt wird. Es besitzt gro�e Sicherheitsprobleme.

Microsoft Windows als trojanisches Pferd

Auch wenn es einigen Entscheidern nicht passen mag: Man kann es nicht deutlich genug sagen. Wer Microsoft Windows 98 oder NT 4.0 im Netzwerk installiert hat, hat gleich mehrere trojanische Pferde installiert, welche den M�glichkeiten von BO, NETBUS, IRQ oder Netmeeting entsprechen. Eine Firewall kann nicht verhindern, da� ein Angreifer in dem Moment, wenn jemand vom Arbeitsplatz aus surft, Zugriff auf das Netzwerk hat. Zahlreiche und immer neue Fehler in der Benutzeroberfl�che von Windows 98/NT 4.0, die ja dem Internet Explorer identisch ist, erm�glichen es einem Angreifer, �ber JAVASKRIPT, ACTIVE-X und in wenigen F�llen �ber JAVA, direkt auf die Festplatte zuzugreifen. Falls ein Angreifer nur einen einzigen WWW-Server im Internet kennt, der von Mitarbeitern h�ufig besucht wird (oft ist es der eigene WWW-Server), so wird ein professioneller Angreifer wenig M�he haben, einigen WWW-Seiten des Servers einige sicherheitsrelavante Skripte unterzuschieben. Oft wird behauptet, da� die Sicherheit des WWW-Servers unwichtig sei, da er ja ohnehin keine geheimen Informationen beinhalte, und somit f�r Angreifer uninteressant sei. Das Gegenteil ist der Fall. Zudem fungiert dieser Server oft noch als E-Mail Relay - Station und enth�lt wertvolle vertrauensw�rdige E-Mailadressen, welche der Angreifer spooft, um trojanische Pferde in das Netzwerk einzuschleusen.

Im Netzwerk von Unternehmen - Was einen Angreifer brennendinteressiert

Man kann davon ausgehen, da� es relativ einfach ist, irgendeinem Benutzer im Netzwerk ein trojanisches Pferd via E-Mail unterzuschieben. Angenommen, das Programm liefe f�r kurze Zeit auf irgendeiner Arbeitsstation im Netzwerk. Angenommen, der Angreifer w��te nichts �ber die Struktur im Netzwerk selber, wie w�rde er strategisch am g�nstigsten vorgehen, um Informationen aus dem Netzwerk heraus zu schleusen, und Zugang zu wichtigen Informationen zu erhalten. Wir gehen dabei davon aus, da� standardm��ig, z.B. Firewall-1 im Einsatz ist - es k�nnte auch eine beliebig andere sein. Arbeitsstationen seinen mit Windows 98 oder NT 4.0 ausgestattet.

Vorbereitende Ver�nderungen an Dateien und Netzwerkanalyse

Da der Angreifer davon ausgehen mu�, da� z.B. eine Weihnachtsmann - Animation nur ca. 30-40 Sekunden lang l�uft, ist es wichtig, vorzusorgen. Hier sind einige, wichtige Dinge zu tun:

Entpacken eines Binaries aus der Weihnachtsmann.exe (5 Sekunden)
Ver�nderung der Startup-Dateien (autoexec.xxx, Kopie in den Autostart-Ordner ) (1 Sekunde)
Anh�ngen eines .EXE Programms an eine System-Datei o.�. (Winword.exe, Notepad, Write.exe, Sysedit) (4 Sekunden)
Durchsuchen der Konfigurationsdateien nach Name, E-Mail Server, PROXY-Einstellun g des Browsers, IP-Adresse und Gateway (1 Sekunde)
Scan nach frei beschreibbaren WfW - Netzen und Arbeitsstationen (2 Sekunden)
Scan nach allen aktiven IP-Adressen, Scan aller MAC-Adressen (Hardwareadressen) (3 Sekunden)
Scan nach Virenscannern und speziellen Filtern (2 Sekunden)
Abfrage der Betriebssystemsnummern, Versionsnummern, Patchlevel... (1 Sekunde)
Scan nach installierter Software..... (2 Sekunden)
Scan nach offenen Ports aller aktiven IP - Nummern im Bereich 1 ... 100 ( 10 Sekunden)
Versenden aller dieser Informationen �ber den PROXY - Server oder via E-Mail in das Internet (2 Sekunden)

Auswertung der gesammelten Daten

Nun ist die erste Stufe eines Angriffs vor�ber, wie helfen diese gesammelten Daten einem Angreifer nun weiter ? Wertet man nun die gesammelten Daten aus:

Dieses Binary enth�lt einen Netzwerksniffer, der besonders auf Port 80, 25, 110, 137-139 lauscht. Er wird morgends beim Hochstarten der Arbeitsstation gestartet und belauscht andere Arbeitsstationen beim Login- Vorgang auf dem Server, Abholen der E-Mail... Er sammelt diese Daten und sendet sie irgendwann tags�ber �ber das E-Mail Gateway oder den Internet -Proxy in das Internet. Die Firewall wird diese Vorg�nge zwar registrieren, es sind aber ganz normale Vorg�nge. Der Angreifer ist nun im Besitz von zumindest einigen Pa�worten.
Die 2. Datei enth�lt einen Keyboardsniffer, der zusammen mit Winword startet, und alle halbe Stunde s�mtliche Tastendr�cke in das Internet �bermittelt.
Diese Informationen werden von o.a. Programmen zur �bermittlung der Informationen in das Internet verwendet und dienen der Vorbereitung weiterer Angriffe.
Mit diesen Informationen wird ermittelt, wer im Netzwerk evtl. sein Laufwerk zum Scheiben freigegeben hat. Falls im Unternehmen ein Switch eingesetzt wird, so ist die Ausbeute aus (1.) nicht gro�. Der Sniffer installiert sich dann einfach auf die andere Arbeitsstation. So erh�lt man weitere Pa�worte aus anderen Bereichen in Netz.
Der Scan nach IP-Adressen ist f�r 11. notwendig. Die Hardwareadressen verraten, wer die Netzwerkkarten produziert hat. Jeder Hersteller von Servern (HP, 3COM, SUN, DEC, NOVELL....) haben ihre charakteristischen , reservierten MAC-Kennungen. Mit Hilfe von diesen lassen sich Hersteller und Lieferdatum von Servern, Routern....bestimmen. Daraus ergeben sich konkrete Hinweise auf das installierte Betriebssystem. Eine kurze Recherche in BUGTRAQ - Archiv zeigt dann, welche Sicherheitsprobleme dieses haben k�nnte, und der Angreifer findet dort auch auch gew�hnlich den exploit.
Scan nach Virenscannern soll bei sp�teren Angriffen verhindern, da� sich TSR-Programme (Terminate Stay Resident) und der Virenscanner gegenseitig blockieren. Es zeigt auch, ob es m�glich ist, zu einem sp�teren Zeitpunkt ein trojanisches Pferd via E-Mail �ber WinWord, Excel oder Powerpoint in das Netzwerk zu schleusen.
Das verwendete Betriebssystem, die genauen Versionen von Browser, E-Mail Programm k�nnten sp�ter wichtig sein. Sie zeigen aber auch, wie flei�ig die Systemadministratoren Sicherheits-Updates einspielen. Sie erlauben es abzusch�tzen, ob und wann auf dem Server Sicherheitskorrekturen eingespielt wurden.
Die installierte Software zeigt, welche Sicherheitsschw�chen weiter ausgenutzt werden k�nnen.
Der Scan nach offenen Portnummern aller IP-Adressen im Netz meldet gew�hnlich, hinter welcher IP - Nummer sich eine Arbeitsstation oder ein Server verbirgt. Die offenen Ports zeigen an, welches Betriebssystem installiert ist, und welche Dienste es aktiviert hat. Daraus ergibt sich nach einer Recherche auf BUGTRAQ, ob und welcher buffer overflow funktionieren w�rde, um an die Daten heranzukommen. Weiterhin ergeben sich Zusammenh�nge in der Netzwerkarchitektur, Hinweise auf Router und evtl. Wege in Filialen oder andere angeschlossene Netzwerke. Diese Portscan�s k�nnten von einer internen Firewall bemerkt werden, im allgemeinen aber f�llt ein solcher Scan nicht weiter auf. Insbesondere interessieren die typischen Ports der Logserver, auf welche die Firewall Sicherheitsmeldungen sendet.
Das Versenden all dieser Informationen erfolgt weitestgehend unauff�llig.

Vorbereitung der 2 Angriffsstufe

Der Angreifer ist nun in Besitz aller wichtigen Informationen, um einen weiteren Angriff ausf�hren zu k�nnen. Er kennt den �berwachungszustand des Netzes, den Zustand der Server, einige Wege, unauff�llig Informationen aus dem Netzwerk herauszuschleusen, installiert e Software, u.s.w. Hier ergeben sich nun einige M�glichkeiten, den Server im Intranet anzugreifen. Er erh�lt aber bereits schon Inhalte von geschriebenen Briefen, Pa�worte, Zug�nge zu Banking-Software u.s.w. Interessant ist aber stets die Arbeitsstation des Systemadministrators. Da es sein kann, da� der Angreifer wegen evtl. verschl�sselter Pa�worte beim Login keine Pa�worte erhalten hat. Da h�ufig E-Mail -Pa�worte nicht verschl�sselt werden, diese jedoch oft mit den Login-Pa�worten identisch sind, ist der Angreifer nun doch in Besitz von zumindest einigen Login- und E-Mail Accounts, obwohl diese an sich nicht abgeh�rt werden k�nnen. Nun kennt der Angreifer weitere User und deren Namen im Netz. Welche M�glichkeiten ergeben sich hieraus ?

Auswertung von E-Mail Headern auf Arbeitsstationen zur Analyse der Netzwerkstruktur und Informationsfl�sse im Netz.
Weiterf�hrung des Angriffs mit dem Weihnachtsmann in anderen Unternehmensfiliale n
Installation weitere Netzwerk - und Keyboardsniffer Auslesen des SQL-Servers �ber eine Arbeitsstation, die gen�gend Festplattenspeicher besitzt
Angriff mit buffer overflow auf den Server und Installation eines Tunnels zur Fernwartung �ber Internet.
DoS des Logservers der Firewall in Falle einer Installation eines Tunnels
Eindringen in den SQL-Server des Unternehmens und Kopieren der Informationen in das Internet

Verwischen von Spuren

Im Grunde f�llt ein solcher Angriff insgesamt nicht auf, da die �bertragenen Daten stets gew�hnliche Wege nehmen. Der Einsatz von IDS-Systemen w�rde nur feststellen k�nnen, da� gr��ere Datenmengen vom SQL-Server �ber die Firewall in das Internet �bersendet wurden, entweder in kleineren, unregelm��igen Paketen oder als Datenstrom �ber den PROXY oder PROXY-Cache des Unternehmens. Die Kunst des Angreifers liegt darin, die Erfahrung des Systemadministrators richtig einsch�tzen zu k�nnen, um den Angriff geschickt verbergen zu k�nnen. Es ist aber keine Frage, ob in ein Netzwerk eingebrochen werden kann, sondern eher, wie lange dies unentdeckt bleiben kann. Hierzu ist es dem Angreifer auch m�glich, eine Arbeitsstation, die eine ISDN-Karte f�r BTX - Anschlu� eingebaut hat, f�r die �bertragung der Daten des SQL-Servers in das Internet zu gebrauchen, unter Umgehung der Firewall. Es gibt viele Tricks, die Angreifer benutzen, um Firewalls zu umgehen, und Systemadministratoren zu t�uschen. Hier nun einige davon:

Online Suche im Handbuch

LITTLE-IDIOT NETWORKING