Angriffswerkzeuge. Vortrag von. Veranstaltung. Rüdiger Busch. Sicherheit in Rechnernetzen

Transkript

1 Angriffswerkzeuge Vortrag von Rüdiger Busch Veranstaltung Sicherheit in Rechnernetzen

2 Übersicht Passwortbrecher Sniffer Viren Würmer Trojaner (D)DoS Scanner

3 Passwortbrecher Passwörter bilden häufig den ersten und teilweise einzigen Schutz vor unbefugtem Zugang Passwörter und "pass phrases" finden eine Reihe von Anwendungen Einloggen auf Terminal Konto Abfragen Verschlüsselung per PKI

4 Passwortbrecher Englisch: password cracker Einfache Verschlüsselungsalgorithmen können leicht rückgerechnet werden Passwörter werden über Hashfunktion über ein Einweg-Verfahren "verschlüsselt" Passwörter werden also nicht entschlüsselt, sondern neu berechnet und verglichen

5 Passwortbrecher Methoden Passwörter erraten Brute-force Verwendung von Lexika Regelbasiertes Brute-force + Lexika

6 Passwortbrecher John the Ripper Crack NTCrack PGPCrack ZipCrack

7 Was ist ein Sniffer? Sniffer

8 Sniffer Was ist ein Sniffer? Hard- oder Software zum Mitschneiden von Daten z.b. PS1 mit Linux ;-) Zwei Kategorien "Interne" Sniffer "Externe" Sniffer

9 Sniffer erkennen Problem bei Sniffern, sie arbeiten passiv Entdecken schwer möglich Interne Sniffer mittels geeigneter Software Externe Sniffer durch Überwachung der Zugangsmöglichkeiten

10 Sniffer Typen Packet Sniffer Durch Konfiguration können gezielt Daten gefiltert werden Erfolg abhängig von Art des Netzes (Hub/Switch) Key capture Sniffer Tasttatureingaben werden mitgeschnitten Verschlüsselung von Daten meist zwecklos Vorheriger Zugriff auf Rechnern notwendig

11 Primäre Ziele Ziel von Snifferattacken Loginnamen und Passwörter ermitteln Vertrauliche Daten ermitteln Zugang zu benachbarten Netzwerken erlangen

12 Viren Prinzipielle Funktionsweise begin look for (infizierbare Objekte) if (keine vorhanden) exit else (infiziere Objekte) endif end

13 Arten von Viren Bootsektor Virus Dateivirus Mehrfach Virus Makrovirus Skriptvirus Hoax Virus

14 Bootsektor Virus Eine der ältesten Virenarten Schreibt sich in Bootsektor oder MBR Erstellen erfordert relativ hohen Kenntnisstand Bootsektor muss ausführbar sein Effektiver Schutz bei Disketten, Schreibschutz Neue Bootsektorviren sind rar geworden

15 Dateivirus Ziel sind ausführbare Dateien (inkl. VxD, DLL, Fontfiles etc.) Recht hoher Kenntnisstand erforderlich Keine Beschränkung der Länge, da sie sich an Dateien anhängen Kontrollierte (dezente) Verbreitung möglich

16 Mehrfach Virus Kombination verschiedener Viren Nutzt verschiedene Infektionsmechanismen

17 Makrovirus Virus infiziert nicht Betriebssystem sondern Komponenten einer Entwicklungsumgebung Auftreten verstärkt bei Microsoft Umgebungen Wird vielfach eingesetzt Nutzer überdurchschnittlich unbedarft Designfehler, da ausführbarer Code im Datenbereich erlaubt ist

18 Skriptvirus Batchfiles Shellskripte VB-Skripte eingebettet in HTML In letzterem Fall auch im Bereich der Würmer zu finden

19 Hoax Virus Nutzt "Social Engineering" Die häufigsten Formen als "Scherz" gemeinte Falschmeldung "leerer" Virus Aufforderung, einen gefälschten Patch einzuspielen (-> Trojaner)

20 Sober.F

21 Sehr geehrte Damen und Herren, das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar. Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet. Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt. Die von uns gesammelten Daten unter dem Aktenzeichen #30430 sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar. Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit gemacht haben, wurde die Herkunft dieser Mail verschleiert. Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf, Europa Sonderkommission "Internet Downloads" Rufnummer innerhalb Deutschland (0211) oder (0211) Rufnummer außerhalb Deutschland ( ) oder ( ) Hochachtungsvoll i.a. PK Mollbach Anhang: aktenz30430.txt.com

22 Würmer Würmer zeichnen sich durch eigenständige Vermehrung aus Sie können zusätzliche Programme wie Viren und Trojaner enthalten Sie sind meist auf ein System spezialisiert Verbreitung per Schwäche im IIS

23 Beispiel Code Red Ziel: Unpatched Microsoft IIS Web Server Buffer Overflow Erste Auffälligkeit: Version 2 mit verbesserter Verbreitungstechnik wurde am entdeckt Innerhalb von 13 Stunden wurden über Rechner infiziert Primäre Ziele: Schnelle Verbreitung und DDoS Angriff gegen das Weiße Haus

24 Prinzip von Code Red 1. Initialisierung 2. Wurm erzeugt 100 Threads von sich selbst Threads kontaktieren nach einem nicht ganz zufälligen Muster andere Rechner und versuchen diese zu infizieren Thread prüft ob englisches System vorliegt Falls ja, wird für 10h die Webseite modifiziert Sonst, Verhalten wie die anderen 99

25 Prinzip von Code Red 3. Jeder Wurm prüft auf c:\notworm 1. Wurm legt sich schlafen falls vorhanden 2. Anderfalls beginnt jeder Thread seinerseits mit der Infektion anderen Systeme 4. Jeder Wurm prüft das Datum (GMT) Verbreitungsphase DDoS gegen WhiteHouse.gov 3. Rest inaktiv

26 Trojaner Begriff stammt aus der griechischen Mythologie siehe Homers Iliad Selbständiges Programm mit Schadensfunktion ausspionieren mitschneiden zerstören Hintertür

27 Trojaner Trojaner können an beliebiger Stelle versteckt werden Das Entdecken eines unbekannten Trojaners ist nahezu unmöglich Die Klassiker Root-Kits Back Orifice NetBus

28 Trojaner Trojaner wie NetBus werden als Fernwartungssoftware bezeichnet Einige Programme erfüllen mehr oder weniger einen nützlichen Dienst, beinhalten aber "bösartigen" Code Beispiel: ein mehrere hundert Zeilen langes Skript, angeboten in einer Newsgroup, beinhaltete rm -rf $HOME echo Boom!

29 NetBus

30 (D)DoS Was bedeutet (D)DoS? DoS = Denial of Service DDoS = Distributed Denial of Service Ziel eines solchen Angriff ist es, einen oder mehrere Dienste zeitweilig oder vollständig abzuschalten

31 Arten von DoS Einfache aber z.t. sehr destruktiv Festplatte formatieren Wichtige Dateien löschen (z.b. Passwortdatei) Steckverbindungen lösen Rechner ausschalten

32 Überlast Angriffe Process Overload z.b. durch rekursive fork Anweisung, :(){ :&:;};: System Overload mehrere find oder komplexe Berechnungen Disk Attack Rekursive Erzeugung von Unterverzeichnissen Auch ein häufiger Fehler, Backup Datei liegt in Backup Verzeichnis

33 Gegenmaßnahmen set maxuproc=100, kill -TERM -1, kill -9 <processgroup> Als root: renice 19 $$ Festplatte partitionieren, Diskquota verwenden

34 Netzwerk Überlast Angriffe Angriffe, die von außerhalb erfolgen können Service Overloading Message Flooding Clogging (Signal Grounding)

35 Service Overloading Massive Anfragen (von einem Rechner) an einen Dienst stellen Auswirkung Dienst, Rechner oder Netzwerk ist blockiert Gegenmaßnahmen Aufteilung des Netzes in Subnetze Aufteilung der Dienste Gefahrenpotenzial ist gering, da heutige Rechner sehr leistungsfähig sind

36 Message Flooding Statt Anfragen an einen Dienst zu stellen, werden sehr viele Nachrichten (z.b. echo-back) gesendet Ähnliches gilt für einen Broadcast Storm Gegenmaßnahme ist ebenfalls Aufteilung in Subnetze

37 Clogging (Verstopfen) Ausnutzen des TCP Handshakes SYN Anfrage wird gestellt Auf SYN-ACK wird nicht geantwortet Jede Anfrage muss für einen Zeitraum offen gehalten werden Weitere Anfragen werden blockiert Im schlimmsten Fall Pufferüberlauf mit Absturz

38 Gegenmaßnahmen Herabsetzen des Timeouts Nicht zu niedrig wählen! (schlechte Verbindungen) Mehr Verbindungen erlauben Syn Cookies verwenden Vorsicht: Können u.u. zum Umgehen von Firewall Regeln genutzt werden

39 Signal Grounding Angriff erfolgt physisch, also nicht von außerhalb Entfernung von Terminatoren Kurzschließen einer Leitung Gegenmaßnahmen Sichern der Leitungen Ausfälle sofort überprüfen

40 DoS auf Anwendungsebene Bomben List Linking (Eintrag in Mailing Listen) Spam

41 Distributed Denial of Service Bekannt seit Anfang 2000 Ablauf eines Angriffs Vorbereitung Zugang/Kontrolle von Systemen wird erlangt, z.b. mit Hilfe von Würmern, Viren oder manuell Bevorzugte Ziele sind privat genutzte Rechner mit DSL Zugang (Stets online und häufig schlecht gewartet)

42 Distributed Denial of Service Ablauf eines Angriffs (forts.) Signalisierung Auf ein Signal hin werden alle korrumpierten Systeme aktiviert Um Rückverfolgung zu erschweren wird meist relayed, d.h. Aktivierung über anderen Host Flooding Der eigentliche DoS Angriff Große Packete, um Bandweite zu füllen Kleine Pakete, um einen Host zu blockieren

43 DDoS Gegenmaßnahmen Erkennen Klassifizieren ACL, NetFlow (Cisco) Backscatter Analyse Tracing Umleiten

44 Erkennen Provider untersucht CPU Last des Routers show proc cpu CPU Auslastung für fünf Sekunden: A%/B% A% gibt die allgemeine CPU Last an B% zeigt die Last für Packet forwarding A%-B% entspricht der Last fürs Routing d.h. wenn Routing Last hoch ist, deutet es auf einen DoS Angriff mit zufälligen (gespooften) Quelladressen hin

45 Klassifizieren Verwendung von ACL (Access Control Lists) Anstatt zu filtern, können spezielle Pakettypen gezählt werden, z.b. permit icmp any any echo (2 matches) permit icmp any any echo-replay (21374 matches) permit tcp any any (15 matches) NetFlow ist ein Tool von Cisco und wird hier nicht weiter beschrieben

46 Backscatter Analyse Analyse des DoS Rückverkehrs unter Verwendung von "black hole" Routern Annahme: Gefälschte IP Adressen verwenden den gesamten Adressraum, also auch /8, /8, /8 Diese Adressräume sind noch nicht vergeben, 3/256 des Rückverkehrs können somit umgeleitet und analysiert werden

47 Tracing Bei echten Quelladressen kein Problem whois -h whois.[arin apnic ripe].net <ip prefix> Schwierig bei gefälschten Adressen Hier muss Router für Router zurückverfolgt werden NetFlow ACL

48 Umleiten Im Falle eines Angriffs kann der gesamte Verkehr eines Ziels umgeleitet werden Der "sink hole" Router sollte an einer leistungsstarken Leitung liegen Änhlich wie bei "black hole" Router können die Daten anschließend ausgewertet werden Das Ziel ist nach der Umleitung nicht mehr erreichbar Alle anderen Rechner bleiben unbehelligt

49 Sink Hole Router

50 Sink Hole Router

51 Zusammenfassung Möglichkeiten zum Angriff vorhandene Angriffswerkzeuge einfache Gegenmaßnahmen, soweit vorhanden