Professional Series. Network Hacking. Professionelle Techniken zur Netzwerkpenetration. Bearbeitet von Peter Kraft, Andreas Weyert

Transkript

1 Professional Series Network Hacking Professionelle Techniken zur Netzwerkpenetration Bearbeitet von Peter Kraft, Andreas Weyert 1. Auflage Buch. 576 S. Hardcover ISBN Weitere Fachgebiete > EDV Informatik > Computerkommunikation & -vernetzung > Netzwerksicherheit schnell und portofrei erhältlich bei Die Online-Fachbuchhandlung beck-shop.de ist spezialisiert auf Fachbücher, insbesondere Recht, Steuern und Wirtschaft. Im Sortiment finden Sie alle Medien (Bücher, Zeitschriften, CDs, ebooks, etc.) aller Verlage. Ergänzt wird das Programm durch Services wie Neuerscheinungsdienst oder Zusammenstellungen von Büchern zu Sonderpreisen. Der Shop führt mehr als 8 Millionen Produkte.

2 Dr. Peter Kraft/Andreas Weyert Know-how ist blau. 2. aktualisierte Auflage Network Hacking Professionelle Angriffs - und Verteidigungstechniken gegen Hacker und Datendiebe > Tools für Angriff und Verteidigung vom Keylogger bis zum Rootkit > Vorbeugung gegen Malware-Attacken aus dem Internet > Effektive Schutzmaßnahmen für Privat- und Firmennetze

3 5 Vorwort Als wir im Jahre 2007 die Erstausgabe unseres Buches auf den Markt brachten, konnten wir nicht ahnen, dass ihm ein für ein Fachbuch so beachtlicher Erfolg zuteilwerden würde. Ende 2009 drängte uns der Programmleiter der Professional Series des Franzis Verlags, Herr Graser dem wir an dieser Stelle Dank sagen möchten für seine Unterstützung und sein Verständnis, uns doch bitte recht bald für eine überarbeitete Neuauflage zu rüsten. Leider erwies sich diese Überarbeitung und Ergänzung als aufwendiger, als wir dachten. Einmal mehr bestätigte sich das Urteil, dass die IT-Branche und damit untrennbar verbunden der Bereich IT-Security zu den innovativsten Bereichen unserer Gesellschaft zählt. Nur wenig konnte beim Alten bleiben; die meisten der hier dargestellten und eingesetzten Programme haben mindestens ein neues Finish erhalten von neuen Funktionalitäten mal ganz abgesehen. Andere Produkte der Dark Scene sind aus dem Untergrund verschwunden bzw. die alten Bezugsadressen haben sich geändert. Auch dem mussten wir nachgehen. Nicht zu vergessen ist, dass sich die Windows-Jünger seit Juni 2009 mit einem neuen Betriebssystem Windows 7 anfreunden dürfen, welches mit wesentlich höherer Zustimmung als der Vorgänger Vista vom Markt begrüßt wurde. Auch wenn es zum aktuellen Zeitpunkt (März 2010) erst selten in Unternehmen anzutreffen ist, sahen wir uns dennoch dazu genötigt, es hier ebenfalls zu berücksichtigen. Und was hat sich in den letzten drei Jahren nicht alles geändert? Neben zahlreichen Datenschutzskandalen haben beispielsweise unsere Volksvertreter kein sonderlich gutes Händchen im Rahmen der digitalen Gesetzgebung bewiesen übrigens zum wiederholten Male beginnend von der Online-Durchsuchung, dem Zugangserschwerungsgesetz bis hin zur Vorratsdatenspeicherung. Zuerst einmal die gute Nachricht: Das unsägliche Gesetz zur Vorratsdatenspeicherung wurde jüngst vom BVerfG gekippt ein Schritt in die richtige Richtung, wie wir finden. Soweit wir beurteilen konnten, hat das neu in Kraft getretene Computerstrafrecht nicht zwangsläufig dazu geführt, dass der Einsatz von IT-Infrastruktur-Tools wie Sniffer, Port-Scanner oder Security-Scanner aus Open-Source-Quellen nennenswert kriminalisiert wurde wenn auch zahlreiche Autoren die Konsequenzen zogen und ihre Entwicklungen vom Markt nahmen oder in das benachbarte Ausland flüchteten (erwähnenswert an dieser Stelle u. a. The Hacker's Choice, Phenoelit oder die Website von KisMAC). Stiller Dank gilt an dieser Stelle im Übrigen mutigen Chefredakteuren 1 und Unternehmen 2, die sich seitens des Staates nicht einschüchtern lassen und zur Selbstanzeige greifen oder bewusst das Risiko einer Klage eingehen. Auf der anderen Seite ist das Bedrohungsniveau (Daten- und Identitätsdiebstahl, systematisches Ausspähen von Firmenmitarbeitern) sowie die Zunahme von Drive-by

4 6 Vorwort Downloads kontinuierlich gestiegen: Millionen von fremd- und ferngesteuerten PCs bedrohen unabhängigen Berichten zufolge die Internet-Community. Mehr als Rechner werden Tag für Tag neu infiziert 3. Was uns wider Erwarten nicht erreichte, waren Vorwürfe, wir munitionierten Leute mit Angriffs-Know-how. Dazu fällt uns spontan eine nette Geschichte ein. Wer je einen wenig talentierten Schlüsseldienst bei der Arbeit beobachtet hat, hat sich vielleicht schon gefragt, ob er nicht selbst mit dem Stemmeisen Ähnliches erreicht hätte. Nun, wir durften einmal einem Treffen von Lockpickern 4 (»Schlossknackern«) beiwohnen, die zum Hobby selbst komplizierteste Schlösser überwanden nicht mit Brachialgewalt, sondern mit Köpfchen und mit minimal invasiven Mitteln. Was wir hier gelernt haben, war nicht die Aufsperrtechnik zum Öffnen fremder Schlösser, sondern ein differenziertes Verständnis für Schlösser und wie lange sie welchen Angriffen standhalten. Das Erste, was Leute nach einer solchen Session tun, ist, neue Schlösser anzuschaffen und einzubauen. Genau das ist der didaktische Zweck dieses Buches. Wir möchten interessierten Laien wie auch IT-Praktikern vorstellen, wie»böse Buben«in fremde Rechner und Netze eindringen nicht, um sie selbst zu»bösen Buben«zu machen, sondern um sie für zusätzliche Sicherheitsmaßnahmen zu sensibilisieren. Versierten Cyberkriminellen sagen wir mit diesem Buch nichts Neues, und die oft geschmähten Script-Kiddies mögen vielleicht an wenigen Stellen profitieren, finden im Internet aber erheblich brisantere Informationen als hier. Richtig profitieren werden aber alle, die motiviert sind, sich mehr und vor allem gezielter für die Sicherheit ihrer Rechner und Netze zu engagieren. Ein Hinweis am Rande: Im Weiteren verwenden wir der Einfachheit halber den Begriff»Hacker«als Synonym für einen Computerkriminellen. Wir sind uns der Tatsache bewusst, dass der Begriff»Hacker«grundsätzlich wertneutral ist und dass es verschiedene Formen der Interpretation gibt (so beispielsweise bei Steven Levy 5 und Bruce Schneier 6 ). Keineswegs möchten wir denjenigen zu nahe treten, die sich selbst als»hacker«bezeichnen und beispielsweise als Kernel-Hacker in der Linux-Community mitwirken. An der bewährten Struktur unseres Buches hielten wir fest. Das Tools-Kapitel hat uns bei der Überarbeitung mit die meiste Mühe gekostet: Wir mussten prüfen, was sich verändert hat, ob der neu hinzugekommene Funktionsumfang die redaktionelle Überarbeitung rechtfertigt, ob die Tools auch unter Windows 7 oder aktuellen Linux-Kerneln laufen etc. pp. Auch bei der Darstellung der Angriffsszenarien, speziell in den Bereichen WLAN und Firmennetze, sind neue Angriffstools bzw. -techniken zum Zuge gekommen. Wir hoffen, dass wir damit, wenigstens für die kommenden zwei Jahre, wieder auf der Höhe der Zeit sind

5 Vorwort 7 Teil I Hacking-Tools Wir haben für dieses Buch die gewohnte dreiteilige Gliederung beibehalten. Im ersten Teil stellen wir gängige Hacking-Werkzeuge vor, wobei wir bewusst darauf verzichtet haben, zwischen Malware-Tools und klassischer bzw. kommerzieller Security-Software zu unterscheiden. Die vorgestellten Tools ermöglichen meistens beides: sowohl Angriffsvorbereitung und -durchführung als auch Erkennen bzw. Abwehr von Schwachstellen und Sicherheitslücken. Die Tools-Sektion hat darüber hinaus durch die gewählte Systematik den Charakter eines Nachschlagewerks. Durch die Beschreibung des Anwendungszwecks, von Bezugshinweisen, Kosten und Installationshinweisen kann jeder abschätzen, wie nützlich und brauchbar das eine oder andere Werkzeug für seine Zwecke ist. Vollständigkeit haben wir bewusst nicht angestrebt. Dennoch glauben wir, damit einen guten Querschnitt über die gängigsten Tools der Hacker wie ihrer Gegenspieler bieten zu können. Teil II Angriff und Abwehr Der zweite Teil unseres Buchs ist der ausführlichste. Hier beschreiben wir im Detail, wie typische Angriffsszenarien aussehen können. Angriffsobjekte sind Rechner mit einer Netzwerkanbindung, im einfachsten Fall ein kleineres Heimnetzwerk. Wir zeigen natürlich auch, wie Firmennetzwerke und Internetpräsenzen mit den eingangs vorgestellten Tools penetriert werden können. Die Szenarien sind so gewählt, dass sie auch von Nichtprofis praktisch nachvollzogen werden können. Allerdings sollte man als Leser ein Grundverständnis für die Netzwerk-Basics mitbringen. Wem beispielsweise die Unterschiede zwischen HTTP, FTP, TCP/IP, UDP etc. nicht recht geläufig sind, der wird hier eine grundlegende Erläuterung vermissen und sollte sich an anderer Stelle noch ein wenig einlesen. Auf der anderen Seite beschäftigen wir uns auch nicht damit, wie man Exploits, Trojaner oder Rootkits entwickelt wir zeigen, wie sie funktionieren und wie man sie in bestimmten Situationen anwendet. An dieser Stelle auch die obligatorische Warnung: Sie als Leser sind auf jeden Fall für die Folgen Ihres Tuns selbst verantwortlich. Wer ein Netzwerk scannt, das nicht sein eigenes ist, bewegt sich in einer rechtlichen Grauzone. Wer sich durch einen Passwortcrack ein Login auf einem fremden Rechner erschleicht, eine bestehende Schwäche ausnutzt, um dort eine Remote-Shell zu etablieren, oder anderen Usern einen getarnten Keylogger schickt, ist definitiv auf der anderen Seite und kollidiert mit dem Strafgesetzbuch. Alle Angriffsszenarien enden übrigens mit einem Abschnitt, der sich der Abwehr genau dieser zuvor beschriebenen, spezifischen Angriffstechnik widmet. Dies soll noch einmal klar belegen, dass wir kein Hackertraining anbieten, sondern für Hackangriffe und ihre Abwehr sensibilisieren wollen. Teil III Vorsorge Im dritten Teil geht es um das grundsätzliche Thema Prävention & Prophylaxe. Proaktives Sicherheitsmanagement ist gleichermaßen ein Thema sowohl für den Betreiber privater Netze als auch den Verantwortlichen kleinerer und mittlerer Firmennetze.

6

7 9 Inhaltsverzeichnis Teil I: Tools Werkzeuge für Angriff und Verteidigung Keylogger Spionage par excellence Logkeys Elite Keylogger Ardamax Keylogger Stealth Recorder Pro Elite Keylogger V Hardware-Keylogger Abwehr generelle Tipps Passwort-Knacker: Wo ein Wille ist, ist auch ein Weg CMOSPwd Hydra Medusa VNCrack PWDUMP (in unterschiedlichen Versionen bis PWDUMP7) John the Ripper OphCrack SAMInside Cain & Abel L0phtcrack Distributed Password Recovery Offline NT Password & Registry Editor PW-Inspector (Hydra-Suite) Abwehr generelle Tipps An den Toren rütteln: Portscanner & Co Nmap Lanspy AW Security Portscanner Winfingerprint Xprobe p0f Abwehr generelle Tipps... 54

8 10 Inhaltsverzeichnis 4 Proxy & Socks FreeCap Proxy Finder Abwehr generelle Tipps Remote Access Tools (RAT) Anleitung für Zombie-Macher Atelier Web Remote Commander Poison Ivy Turkojan Optix Pro Abwehr generelle Tipps Rootkits Malware stealthen Oddysee_Rootkit Hacker_Defender Abwehr generelle Tipps Security-/Vulnerability-Scanner X-NetStat Professional GFI LANguard N.S.S Nessus Open Vulnerability Assessment System / OpenVAS Nikto w3bfukk0r Abwehr generelle Tipps Sniffer: Die Schnüffler im Netzwerk dsniff (dsniff-suite) mailsnarf (dsniff-suite) urlsnarf (dsniff-suite) arpspoof (dsniff-suite) PHoss Driftnet Ettercap / Ettercap NG tcpdump Wireshark Abwehr generelle Tipps Sonstige Hackertools Metasploit Framework (MSF) USBDUMPER USB Switchblade / 7zBlade Net Tools Troll Downloader... 97

9 Inhaltsverzeichnis Czybik Gen Creation Kit WMF-Maker fevicol x333shadow Logcleaner-NG NakedBind Ncat (Nmap-Suite) GNU MAC Changer (macchanger) Abwehr generelle Tipps Wireless Hacking Kismet-Newcore Aircrack-NG (Aircrack-NG-Suite) Aireplay-NG (Aircrack-NG-Suite) Airodump-NG (Aircrack-NG-Suite) Airbase-NG (Aircrack-NG-Suite) cowpatty Pyrit MDK Vistumbler Abwehr generelle Tipps Teil II: Angriffsszenarien und Abwehrmechanismen Die Angreifer und ihre Motive Die Motive Rache Geltungssucht Furcht Materielle Interessen Neugierde Die Angreifer Hacker Script-Kiddies IT-Professionals Normalanwender und PC-Freaks Szenario I: Datenklau vor Ort Zugriff auf Windows-PCs Erkunden von Sicherheitsmechanismen Überwinden der CMOS-Hürde Das Admin-Konto erobern Zugriff auf Linux-Rechner Starten von Linux im Single-User-Mode...142

10 12 Inhaltsverzeichnis Starten von einem Linux-Boot-Medium Einbinden der zu kompromittierenden Festplatte in ein Fremdsystem Abwehrmaßnahmen gegen einen physischen Angriff von außen Zwei-Faktoren-Authentifizierung ikey 2032 von SafeNet Chipdrive Smartcard Office Security Suite Szenario II: Der PC ist verwanzt Software-Keylogger Ausforschen von Sicherheitseinstellungen Festlegen des Überwachungsumfangs Installation des Keyloggers Sichten, Bewerten und Ausnutzen der gewonnenen Daten Die Audio-Wanze Big Brother im Büro Abwehrmaßnahmen gegen Keylogger & Co Szenario III: Spurensucher im Netz Google-Hacking Angriffe Abwehrmaßnahmen Portscanning, Fingerprinting und Enumeration Portscanning Fingerprinting und Enumeration Security Scanner Abwehrmaßnahmen gegen Portscanner & Co Szenario IV: Web Attack Defacements XSS-Angriffe Angriff der Würmer DoS- und DDoS-Attacken Ultima Ratio Social Engineering oder Brute Force? Sicherheitslücken systematisch erforschen AccessDiver Spuren verwischen mit ProxyHunter Passwortlisten konfigurieren Wortlisten im Eigenbau Websecurity-Scanner: Paros Websecurity-Scanner: WVS Websecurity-Scanner: Wikto...246

11 Inhaltsverzeichnis Abwehrmöglichkeiten gegen Webattacken htaccess schützt vor unbefugtem Zugriff Szenario V: WLAN-Attacke Aufspüren von Funknetzen Hardwareausstattung für Wardriving Vistumbler für Windows Kismet-Newcore für Linux Kartografierung von Funknetzen Kartografierung von Funknetzen mit Google Maps Kartografierung von Funknetzen mit Google Earth und Vistumbler Kartografierung von Funknetzen mit Google Earth und Kismet- Newcore Angriffe auf Funknetze Zugriff auf ein offenes WLAN Zugriff auf ein WLAN, dessen Hotspot keine SSID sendet Zugriff auf ein WLAN, das keinen DHCP-Dienst anbietet Zugriff auf ein mit MAC-Filter gesichertes WLAN Zugriff auf ein WEP-verschlüsseltes WLAN Zugriff auf ein WPA2-verschlüsseltes WLAN WLAN mon amour Freu(n)de durch Funkwellen Sicherheitsmaßnahmen bei Wireless LAN Szenario VI: Malware-Attacke aus dem Internet Angriffe via Absendeadresse fälschen Phishen nach Aufmerksamkeit Der Payload oder Malware aus dem Baukasten Massenattacken und Spam-Schleudern Office-Attacken Kampf der Firewall Rootkits Test-Rootkit Unreal AFX-Rootkit Die Infektion Experiment 1: Rechnung.pdf.exe Experiment 2: bild-07_jpg.com Drive-by-Downloads Schutz vor (un)bekannten Schädlingen aus dem Netz Mailprogramm und Webbrowser absichern Pflicht: Malware- und Antivirenscanner Malware-Abwehr mit Sandboxie Allzweckwaffe Behavior Blocker & HIPS...386

12 14 Inhaltsverzeichnis 18 Szenario VII: Netzwerkarbyten: Wenn der Feind innen hackt Der Feind im eigenen Netzwerk Zugriff auf das LAN Passives Mitlesen im LAN: Sniffing Tcpdump Wireshark Ettercap NG DSniff-Suite Driftnet P0f ARPSpoof Scanning:»Full Contact«mit dem LAN Xprobe Nmap Open Vulnerability Assessment System / OpenVAS Der Tritt vors Schienbein: Exploits wunderbar_emporium lsa.zip / Samba < heap overflow Metasploit Framework Hurra, ich bin root und nun? Windows-Rechner kontrollieren Integration von Schadsoftware Linux unter Kontrolle: Rootkits installieren evilbs Mood-NT enyelkm Linux unter Kontrolle: Spuren verwischen mit Logfile- Cleaner Linux unter Kontrolle: Keylogger Linux unter Kontrolle: Password-Cracking John the Ripper ophcrack Medusa Hydra Schutz vor Scannern, Exploits, Sniffern & Co Teil III: Prävention und Prophylaxe Private Networking Sicherheitsstatus mit MBSA überprüfen Überflüssige Dienste Vor»Dienstschluss«Abhängigkeiten überprüfen Alle Dienste mit dem Process Explorer im Blick Externer Security-Check tut Not...546

13 Inhaltsverzeichnis Malware-Check Risiko: Mehrbenutzer-PCs und Netzwerksharing Schadensbegrenzung: Intrusion Detection & Prevention Company Networking Basiselemente zur Unternehmenssicherheit Teilbereich Infrastruktur und Organisation Teilbereich Personal Teilbereich Technik Stichwortverzeichnis

14 Szenario I: Datenklau vor Ort Ausgangsszenario: Angriffsziel ist Ihr Bürorechner; einer Ihrer Mitarbeiter fühlt sich persönlich gekränkt, vermutet eine Intrige und sucht mögliche Beweise auf Ihrem Rechner. Das Ziel des Angreifers ist non-destructive, d. h., es sollen einfach nur alle relevanten Daten, z. B. alle Officedokumente, kopiert werden, nach Möglichkeit ohne verwertbare Einbruchsspuren zu hinterlassen. Sie sollen nicht merken, dass einer hinter Ihrem Rücken den PC durchsucht hat Zugriff auf Windows-PCs Erkunden von Sicherheitsmechanismen Der Angreifer wird zunächst versuchen herauszufinden, welche Sicherheitsmaßnahmen Sie einsetzen: Ist zum Rechnerstart ein CMOS-Passwort nötig? Wird eine Festplattenverschlüsselung mit Pre-Boot Authentication eingesetzt? Oder wird die unbefugte Inbetriebnahme durch Tokens, biometrische Sensoren etc. verhindert? Da er vermutlich nicht alle Zeit der Welt für den Einbruchsversuch hat, ist es für ihn wichtig, diese Informationen sofern möglich bereits im Vorfeld zu ermitteln. Zu diesem Zweck könnte er Sie einfach beobachten, wenn Sie sich am Rechner anmelden. Eventuell kann er sogar die benutzten Passwörter direkt ausspähen, mindestens aber, ob sie kurz oder lang sind, ob Sonderzeichen verwendet werden oder nicht und von welchem Hersteller das BIOS stammt. Obwohl es aus der Mode bzw. in Verruf gekommen ist: Gedächtnishilfen bei komplizierten Passwörtern, z. B. ein Zettel am Monitor, in der Schreibtischschublade oder unterhalb der Tastatur, sind allesamt Möglichkeiten, die ein geschickter Angreifer zu seinen Gunsten nutzen kann, um schneller und ohne technischen Aufwand an die benötigten Anmeldedaten zu kommen. Alternativ könnte er Sie auch in ein Gespräch über sichere und unsichere Passwörter verwickeln und herausbekommen, nach welchen Prinzipien Sie bei der Passwortvergabe vorgehen.

15 132 Kapitel 12 Szenario I: Datenklau vor Ort Sollte Social Engineering nicht funktionieren, wird der Angreifer anders vorgehen. Was in fast allen Fällen funktioniert, ist ein Angriff mit Namen»Hardware Brute Force«. Wenn der Angreifer sich längere Zeit unbeobachtet Ihren Rechner vornehmen kann, ist der Datenklau einfach zu bewerkstelligen. Er wird die Seitenwand des Rechners öffnen, das Steuerkabel von der Festplatte abziehen und dort einen USB 2.0 IDE Adapter für SATA/IDE-Festplatten 24 anschließen. Mit einem Notebook erfolgt jetzt der Direktzugriff auf Ihren Rechner. Alle nicht verschlüsselten Bereiche wandern jetzt relativ zügig über die USB-Schnittstelle auf die Festplatte des Angreifers, der sie dann zu Hause in aller Ruhe auswerten kann. Wir möchten Ihnen auch nicht verschweigen, dass diese Angriffstechnik auch gut geeignet ist, Ihnen direkt einen Trojaner zu installieren, Daten zu manipulieren, das System zu beschädigen und kompromittierende Daten aufzuspielen; die Liste dessen, was der Angreifer machen kann, ist lang. Wenn der Angreifer weniger beherzt vorgehen möchte oder weil er fürchtet, z. B. bei der Putzkolonne aufzufallen, muss er unter Umständen mehrere Hürden nehmen, wobei zuerst das CMOS-Passwort zu überwinden ist, falls Sie eines gesetzt haben. Sehr simpel und bewährt beim Ausspähen der Konto-PIN am Geldautomaten ist der Einsatz einer mobilen Kamera, z. B. getarnt als kultiges Benzinfeuerzeug oder Schreibstift. Viel einfacher kann man nicht an die Logindaten kommen Überwinden der CMOS-Hürde Für jeden BIOS-Hersteller gibt es umfangreiche Listen mit Masterpasswörtern, z. B. unter Es ist natürlich nicht so prickelnd, abends allein vor dem PC des Opfers zu sitzen und Passwörter durchzuprobieren, zumal bei sehr neuen Rechnern die Masterkeys oft nicht funktionieren. An der Stelle kann man jetzt zum Schraubenzieher greifen, um am Mainboard zu fummeln, z. B. um die Pufferbatterie zu entladen oder den CMOS-Inhalt via Jumper auf Defaultwerte zurückzusetzen. Allerdings: Es dauert zu lange, man beschädigt unter Umständen die Computerplatine, und vor allen Dingen fällt es auf. Eindeutig eleganter ist der Einsatz eines Hardware-Keyloggers. Er ist unauffällig einzusetzen, lässt sich mit PS/2- und USB-Tastaturen verwenden oder kann in diese eingebaut werden. Es ist die Frage, wie viel Aufwand Sie hier treiben wollen. 24 gesehen bei (Katalog S. 66) ab 19,90

16 12.1 Zugriff auf Windows-PCs 133 Bild 12.1: Aufwendig: Einbau eines Tastatur-Keyloggers Ein klassischer Hardware-Keylogger ab 20 erfüllt hier bestens seinen Zweck. Da wir hier im Wesentlichen nur die Logindaten brauchen, reicht die Speichergröße 256 KB für unsere Zwecke mehr als aus. Der Keylogger wird einfach zwischen Keyboard- und Gehäuseanschluss gesteckt und fällt so gut wie nicht auf. Nach einem Tag kann man ihn ebenso unauffällig wieder abziehen. Die darauf gespeicherten Daten können jetzt ausgelesen bzw. ausgewertet werden. Es muss allerdings beachtet werden, dass der Keylogger in einer Endlosschleife läuft. Ist der Speicherplatz erschöpft, werden die ersten Einträge wieder überschrieben. Dazu gibt es oftmals ein im Lieferumfang enthaltenes Programm, den Keylogger-Reader und den dazugehörigen Key. Den individuellen Key braucht man, da sich sonst der Keylogger aus Sicherheitsgründen nicht auslesen lässt. Das Handling ist relativ easy.

17 134 Kapitel 12 Szenario I: Datenklau vor Ort Bild 12.2: Auswertung HW-Keylogger In der Professional-Version werden sogar die gedrückten Funktionstasten mit Zeitstempel ausgewiesen, sodass es sehr einfach ist, die Startpasswörter herauszubekommen. Die Geräte sind im Übrigen weiterentwickelt worden und können das mitgeschnittene Material auch in Echtzeit per Funk über den Äther liefern. Wenn die CMOS-Hürde genommen ist, kann der Angreifer entscheiden, ob er Ihren PC jetzt mit einer externen Boot-CD (Windows/Linux) hochfahren will, um ihn interessierende Dokumente zu kopieren, oder ob er versucht, das Administratorpasswort zu knacken oder ein zusätzliches Konto anzulegen. Wenn es dem Angreifer gelingt, sich als Administrator auf Ihrem PC einzuloggen, hat er natürlich wesentlich mehr Spielraum, als wenn er mittels Boot-CD auf Ihren PC zugreift. Selbst wenn Sie ein besonders vorsichtiger Mensch wären, der die Festplatte(n) mit NTFS formatiert und das Encryption File System (EFS) installiert hat, würde ein eingesetzter Keylogger in Kombination mit einem Passwortcracker (für das Admin-Konto) trotzdem alle Sicherheitsanstrengungen zunichte machen Das Admin-Konto erobern Der nächste Schritt, den ein konsequenter Angreifer (auch im Hinblick auf folgende Schritte wie die Installation eines Keyloggers oder von RATs) unternehmen würde, ist die Eroberung des Admin-Kontos. Als Einbruchswerkzeug kommen unterschiedliche

18 12.1 Zugriff auf Windows-PCs 135 Tools in Betracht, wobei hier die PC-Zeitschriften mit ihren CDs»wertvolle«Hilfestellung leisten. Sehr häufig wurden in der letzten Zeit Linux-Boot-CDs angeboten, mit denen sich das Admin-Passwort relativ einfach zurücksetzen lässt. Bild 12.3: Mit einer DOS-Boot-CD das Passwort zurücksetzen Noch einfacher, da hier die gewohnte Windows-Oberfläche zur Verfügung steht, lassen sich Windows-Passwörter mit Password Renew in Kombination mit PE-Builder zurücksetzen. Bild 12.4: Passwörter zurücksetzen mit Password Renew Überhaupt ist der PE-Builder nicht nur das ideale Werkzeug für Reparatur- und Wartungsarbeiten am PC, sondern auch eine ausgezeichnete Angriffsplattform. Im Gegensatz zu den schon zitierten Linux-Boot-CDs handelt es sich dabei um ein bootfähiges, modular erweiterbares Mini-Windows-XP, mit dem sich auf Rechner zugreifen lässt, ohne dass man den Systemrestriktionen eines dort aktiven Windows unterliegt. Grundsätzlich gibt es mehrere Möglichkeiten, seine Cracktools zu integrieren: Entweder

19 136 Kapitel 12 Szenario I: Datenklau vor Ort man benutzt die entsprechenden Plugins für die einschlägigen Werkzeuge oder (falls die entsprechenden Tools keine eigenständige Installationsroutine benötigen) man kopiert sie in ein separates Zielverzeichnis, das dann vom PE-Builder in das ISO-Image eingefügt wird. Bild 12.5: Knacktools als Plugin im PE-Builder Gegen das Rücksetzen des Administratorpassworts von außen könnte man einwenden, dass das Opfer dann relativ schnell merkt, dass es ausspioniert wurde. Die Gefahr ist allerdings geringer, als es im ersten Moment scheint. Denn in den seltensten Fällen meldet sich ein PC-User mit dem Namen Administrator an; viele wissen gar nicht, dass dieser Account existiert. Nicht untypisch ist folgendes Hilfeersuchen: Bild 12.6: Administratorpasswort unbekannt

20 12.1 Zugriff auf Windows-PCs 137 Der User andreasstudent wird sich vermutlich mindestens einen Administratoraccount (unter einem x-beliebigen Namen) eingerichtet haben, hat aber völlig vergessen, dass bei der Installation von Windows automatisch ein Benutzerkonto für den Benutzer Administrator angelegt wurde. Wenn jetzt also diesem Admin-Konto durch den Angreifer ein neues Passwort zugeordnet wird, fällt das in den wenigsten Fällen auf 25. Am sichersten ist es allerdings, das Passwort einfach nur zu löschen. Wie auch immer, in jedem Fall hat der Angreifer jetzt den vollständigen Zugriff auf den PC des Opfers und kann neben sonstigen Manipulationen alle ihn interessierenden Dateien auf einen USB-Stick oder eine USB-Festplatte kopieren. Administratorrechte per Mausklick Anfang Januar 2010 wurde von Tavis Ormandy 26 ein Exploit für alle 32-Bit-Versionen von Windows vorgestellt. Der Angriff zielt auf die in den 32-Bit-Versionen von Windows standardmäßig aktivierte virtuelle DOS-Maschine (NTVDM). Die NTVDM führt DOS- und 16-Bit-Anwendungen aus. Ein»normaler«Nutzer (ohne Admin-Rechte) kann durch einen Mausklick jede beliebige Identität eines Nutzers der Active-Directory- Domäne annehmen. Alles, was man braucht, um sich Admin-Rechte zu erschleichen, ist das KiTrap0D, das zum Beispiel im Metasploit Framework enthalten ist. Wesentliche Bestandteile sind die Dateien Vdmallowed.exe und Vdmexploit.dll. Nach dem Klick auf die EXE-Datei (die allerdings von fast allen aktuellen Virenscannern als Malware inkriminiert ist) startet folgendes Auswahlmenü: Bild 12.7: Weichenstellung für das Erschleichen eines Admin-Accounts In der parallel auftauchenden Konsole kann man mit dem Befehl net localgroup administrators <[domainname\]username> /add jedem Konto, mit dem man arbeiten 25 Abgesehen von den Fällen, wo Verzeichnisse/Dateien vom Administrator mit EFS verschlüsselt wurden: Wird jetzt das Admin-Passwort zurückgesetzt, hat der ursprüngliche Administrator keine Möglichkeiten mehr, an seine verschlüsselten Files heranzukommen. 26

21 138 Kapitel 12 Szenario I: Datenklau vor Ort möchte, alle erforderlichen Rechte erteilen und erlangt dadurch natürlich Zugriff auf alle diesen speziellen Benutzern zugeordneten Dokumente. Remote Zugriff Mit Tools wie dem Remote Commander von Atelier Web lässt sich ein Ziel-PC noch einfacher ausspähen als mit einem Trojaner. Das Tool ist ein offizielles Netzwerkmanagementtool, das weder von AV-Scannern noch von Desktop Firewalls beanstandet wird. Das Schönste dabei: Sein Einsatz hinterlässt keine Spuren, weder vor noch nach dem Ausspähen. Die einzige Voraussetzung: Der Angreifer braucht ein Admin-Konto auf dem Ziel-PC und muss den Computernamen kennen. Der Rest ist sozusagen ein Kinderspiel. Bild 12.8: Beliebiger Zugriff (Import/Export) auf ein fremdes Dateisystem Im Prinzip ist fast alles machbar, was auch durch Malware (Trojaner & Co.) möglich ist: die komplette Fernsteuerung eines anderen Rechners im Netzwerk. Dateien, Prozesse, Services lassen sich neu anlegen beziehungsweise löschen, die Bildschirmaktivitäten können protokolliert werden, und bei Bedarf kann man auch ein Chat mit dem»opfer«führen.