Ruhr-Universität Bochum. U 4r3 0wn3d. Angriffsszenarien auf den RUB IT-Verbund

Transkript

1 U 4r3 0wn3d Angriffsszenarien auf den RUB IT-Verbund ISEB XChange Seminar 7. Februar 2007

2 Agenda 1 IT-Sicherheitsmanagement 2 Einbruch in einen Web Server 1. RUB IT-Verbund 2. Problemquellen 3. Chefsache IT-Sicherheit 1. Einbruch: Exploit 2. Privilegien eskalieren 3. Island Hopping 3 Einbruch in ein Win2K System 4 Forensische Analyse 1. Einbruch: schwache Passworte 2. Umgebung anpassen 3. Spuren verwischen 1. Stringauswertung 2. Forensische Toolkits ISEB XChange Seminar 7. Februar

3 Leetspeak U 4r3 0wn3d ph33r my 1337 h4x0r 5k177z! Leetspeak ist ein Soziolekt Sprachgebrauch einer sozialen Gruppe Kids Online Slang, Foren Sprache Elite -> Leet -> 133t -> 1337 Modifikation von Text ohne feste Regeln Buchstaben -> ähnliche Ziffern, A -> 4 Buchstaben -> ähnliche S -> Z, ck -> x Buchstaben -> Sonderzeichen, D -> [ ) Wortmodifikationen, -anned -> & banned -> b& Verb -> Substantiv age, -ness speak -> speakage en.wikipedia.org/wiki/leet de.wikipedia.org/wiki/leetspeak A parent's primer to computer slang de.wikipedia.org/wiki/wikipedia:humorarchiv/leetspeek 3

4 Leetspeak Leetspeak Generator: freewarewiki.pbwiki.com/leetspeak 4

5 Internet-Kriminalität: Spam Opfer med.onlinemed.com -> xxx.yyy Spamsite-Proxy server.rub.de xxx.yyy. 5

6 Internet-Kriminalität: Spam 6

7 Internet-Kriminalität: Phishing (Rock Phish Kit) Opfer https server.rub.de 7

8 Internet-Kriminalität: Botnetze Jagd nach PIN, TAN, Passworten Kreditkartennummern Lizenzschlüsseln Einblenden von Werbebanner Spam-Proxy DDoS-Netzwerk Symantec Report 2006 > 4.5 Mio Bots aktive Bots/Tag Bot Master DDos Attacken/Tag 8

9 Internet-Kriminalität: DDos for hire "... verlangen wir eine Zahlung von Euro. Dieses Geld müssen Sie per Western Union überweisen. Das ist eine sogenannte Minuten- Überweisung, d.h. falls Sie heute überweisen und wir nicht gehindert werden, das Geld abzuheben, dann wird die Attacke bereits heute abend abgestellt. Sie werden selbstverständlich eine Ermittlungsbehörde einschalten, ist auch Ihr gutes Recht. Ich möchte Ihnen aber eine Insider- Information mitteilen, Ihre Konkurrenz Nr. 1 hat bereits bezahlt...." Januar 2004 c t weist Handel mit Botnetzen nach Zwei US-Amerikaner, ein Kanadier, ein Brite weden dingfest gemacht Juni 2004 Zum Start der Fußball EM werden Wettseiten nach Schutzgelderpressungen per DDOS lahm gelegt. März Jährige wird in US verurteilt wegen DDos Attacke gegen Online-Versand für Sportartikel August 2005 Online-Glücksspielangebot der Fluxx AG wird Ziel räuberischer Erpressung September 2005 DDos Angriff auf Verbraucherschutz-Seiten 9

10 Internet-Kriminalität: DDos for hire "... verlangen wir eine Zahlung von Euro. Dieses Januar Geld 2004 müssen Sie per Western c t Union weist Handel mit Botnetzen nach überweisen. Das ist eine Zwei US-Amerikaner, ein Kanadier, ein Brite weden sogenannte Minuten- dingfest gemacht Überweisung, d.h. falls Sie Im Juni heute Sommer 2004 bezahlte Jay Echouafni, 2004 überweisen und wir nicht Geschäftsmann aus Massachusetts, Hacker Zum Start der Fußball EM werden Wettseiten nach gehindert werden, das Geld dafür, dass sie die ebusiness-websites von drei Schutzgelderpressungen per DDOS lahm gelegt. abzuheben, dann wird die Attacke seiner Mitbewerber mithilfe eines Bot-Netzes März 2005 bereits heute abend abgestellt. angreifen. Um die Angriffe durchzuführen, warb 17-Jährige wird in US verurteilt wegen DDos Attacke Sie werden selbstverständlich ein Komplize von Echouafni unter dem Namen gegen Online-Versand für Sportartikel eine Ermittlungsbehörde "Ashley" drei Skript-Kids an: "Emp", "Rain" und einschalten, ist auch Ihr August gutes "sorce" 2005 (Joshua Schichtel, Jonathan Hall und Recht. Ich möchte Ihnen Online-Glücksspielangebot aber Lee Walker). "sorce", der Fluxx von Großbritannien AG wird Ziel eine Insider-Information räuberischer mitteilen, aus operierte, Erpressung verfügte über ein Bot-Netz von Ihre Konkurrenz Nr. 1 hat September bereits zwischen und infizierten bezahlt...." DDos Rechnern, Angriff auf mit Verbraucherschutz-Seiten denen die Attacke ausführte. 10

11 Agenda 1 IT-Sicherheitsmanagement 2 Einbruch in einen Web Server 1. RUB IT-Verbund 2. Problemquellen 3. Chefsache IT-Sicherheit 1. Einbruch: Exploit 2. Privilegien eskalieren 3. Island Hopping 3 Einbruch in ein Win2K System 4 Forensische Analyse 1. Einbruch: schwache Passworte 2. Umgebung anpassen 3. Spuren verwischen 1. Stringauswertung 2. Forensische Toolkits ISEB XChange Seminar 7. Februar

12 RUB IT-Verbund Netz 15 Backbonerouter 1425 Switches 903 VLANs Endsysteme > Endysteme ~ Aktive ~ 1000 Webserver Mobile Ports 1779 H.I.R.N. Ports 79 Accesspoints 219 VPN 12

13 Gefahrenquellen Menschliches Versagen Unkenntnis Nachlässigkeit Vorsatz Unwillen Technisches Versagen Hardwarefehler Softwarefehler Menschliches Versagen Mangelnde Organisation Höhere Gewalt Personalausfall Feuer, Wasser, Sturm Bauarbeiten Fehlende Regelungen Fehlende Bekanntgabe der Regelungen Rechtsverstöße Fehlende Notfallpläne Unklare Zuständigkeiten 13

14 Problemquellen Herrenlose Endsysteme und Server Mangelnde Qualifikation/Zeit der Administratore (Ehda-Mitarbeiter) Mangelnde Verpflichtung der Administratoren zur Einhaltung von Gesetzen, Vorschriften Fehlende Vertreterregelungen, Kein Hinterlegen von Passworten Mangelnde Qualifikation der Endbenutzer Extensiver Betrieb öffentlich zugänglicher Server Unzureichende zentrale Firewall, Intrusion Detection System Extensiver Betrieb von mangelhaft gesicherten WLAN-Punkten Mangelhaft gesicherte frei zugängliche Systeme Mangelhafter Passwortschutz Kein geregeltes Ausscheiden der Mitarbeiter Fehlendes Virenschutzkonzept, keine Hinweise zur -Nutzung Fehlendes Kryptokonzept, kein Backup-/Archivierungskonzept Mangelnde Aufbereitung von Sicherheitsvorfällen Fehlender Schwachstellen-Scanner Keine Service Level Agreements mit Dritten (z.b. Wohnheime) 14

15 IT-Sicherheit ist Chefsache Bedeutung der IT/IT-Sicherheit Die Leitungsebene trägt die Verantwortung, dass gesetzliche Regelungen und Verträge mit Dritten eingehalten werden und dass wichtige Geschäftsprozesse störungsfrei ablaufen. Richtlinienkompetenz IT-Sicherheit hat Schnittstellen zu vielen Bereichen einer Institution und betrifft wesentliche Geschäftsprozesse und Aufgaben. Nur die Leitungsebene kann daher für eine reibungslose Integration des IT-Sicherheitsmanagements in bestehende Organisationsstrukturen und Prozesse sorgen. Geldmittel Die Leitungsebene ist zudem für den wirtschaftlichen Einsatz von Ressourcen verantwortlich. BSI Standard 100-1: Managementsysteme für Infomationssicherheit 15

16 IT-Sicherheitbeauftragte Folien: 16

17 Agenda 1 IT-Sicherheitsmanagement 2 Einbruch in einen Web Server 1. RUB IT-Verbund 2. Problemquellen 3. Chefsache IT-Sicherheit 1. Einbruch: Exploit 2. Privilegien eskalieren 3. Island Hopping 3 Einbruch in ein Win2K System 4 Forensische Analyse 1. Einbruch: schwache Passworte 2. Umgebung anpassen 3. Spuren verwischen 1. Stringauswertung 2. Forensische Toolkits ISEB XChange Seminar 7. Februar

18 Einbruch in einen Apache Web Server Client-Server Ports: Bordwerkzeuge Erkundung Systemzugriff Einfluss erweitern DNS: mypc.rub.de IP: DNS: IP: WWW Island Hopping Patch Days Flüchtiger Port: 4005 Listening Port: Port: 80 (http) 143 (imap) 25 (smtp) 18

19 Einbruch in einen Apache Web Server Client-Server Ports: Bordwerkzeuge Erkundung Systemzugriff Einfluss erweitern Island Hopping Patch Days 19

20 Einbruch in einen Apache Web Server Client-Server Erkundung Scanner Netzwerkforensik Systemzugriff Portscanner nmap superscan Einfluss erweitern Island Hopping Patch Days Schwachstellenscanner nessus xscan 20

21 Einbruch in einen Apache Web Server Client-Server Erkundung Scanner Netzwerkforensik Systemzugriff Portscanner nmap superscan Einfluss erweitern Island Hopping Patch Days Schwachstellenscanner nessus xscan 21

22 Einbruch in einen Apache Web Server Client-Server Erkundung Scanner Netzwerkforensik DCE endpoint resolution Systemzugriff 139 NETBIOS Session Service Einfluss erweitern 445 Microsoft-DS 1046 Island Hopping 1433 Microsoft-SQL-Server Patch Days Virtual Network Computing server 5900 Virtual Network Computing server RFB Serv-U FTP Server v5.0 for WinSock ready... 22

23 www1.polizei-nrw.de/lka/zahlen_und_fakten/ Client-Server Erkundung Scanner Netzwerkforensik Systemzugriff Einfluss erweitern Island Hopping Patch Days 23

24 Einbruch in einen Apache Web Server Client-Server Erkundung Systemzugriff EIP Stackoverflow Exploit Einfluss erweitern Island Hopping Patch Days Stack Heap Globale Daten Programmcode iis idq.dll EIP EIP Enhanced Instruction Pointer 24

25 Einbruch in einen Apache Web Server Client-Server Erkundung Systemzugriff EIP Stackoverflow Exploit Einfluss erweitern Island Hopping Patch Days Stack Sprung EIP Datenpuffer \x68\x5e\x56\xc3\x90\x54\x59 \xff\xd1\x58\x33\xc9\xb1\x1c\ x90\x90\x90\x90\x03\xf1\x56\ x5f\x33\xc9\x66\xb9\x95\x04\ x90\x90\x90\xac\x34\x99\xaa\ xe2\xfa\x71\x99\x99\x99\x99\ xc4\x18\x74\x40\xb8\xd9\x99\ x14\x2c\x6b\xbd\xd9\x99\x14\ x24\x63\xbd\xd9\x99\xf3\x9e\ x09\x09\x09\x09\xc0\x71\x4b\.. %u9090%u6858%ucbd3%u7801:::%u0000%u00=a 25

26 Einbruch in einen Apache Web Server Client-Server Erkundung Systemzugriff EIP Stackoverflow Exploit Einfluss erweitern Island Hopping Patch Days BID: 5363, CVE , CERT: cve.mitre.org/ 26

27 Einbruch in einen Apache Web Server Client-Server Erkundung Systemzugriff EIP Stackoverflow Exploit Einfluss erweitern Island Hopping Patch Days BID: 7112, CVE

28 Einbruch in einen Apache Web Server Client-Server Erkundung Systemzugriff Einfluss erweitern Island Hopping Patch Days Schutzmechanismen deaktivieren Hintertür Passworte knacken Netzwerkverkehr belauschen Systeme auf Schwachstellen scannen Bot (Robot) installieren Remote Exploit (Apache) Lokaler Exploit (Privilegien eskaliert) PIN, TAN, Kreditkartennummern, Passworte, Lizenzschlüssel Werbebanner Spam-, DDoS-Netzwerke Private Dokumente, Screenshots, Webcam-Aufzeichnung 28

29 Einbruch in einen Apache Web Server Client-Server Erkundung Systemzugriff Einfluss erweitern Island Hopping 80 -> 21 Patch Days Port Forwarder fpipe, datapipe 80 (http), 443 (https) 21 (ftp) 29

30 Einbruch in einen Apache Web Server Client-Server Erkundung Systemzugriff Einfluss erweitern Island Hopping Patch Days MS Report: Patch Release:

31 Einbruch in einen Apache Web Server Client-Server Erkundung Systemzugriff Einfluss erweitern Island Hopping Patch Days 31

32 Einbruch in einen Apache Web Server Client-Server Erkundung Systemzugriff Einfluss erweitern Island Hopping Patch Days Die Moral.. 32

33 Agenda 1 IT-Sicherheitsmanagement 2 Einbruch in einen Web Server 1. RUB IT-Verbund 2. Problemquellen 3. Chefsache IT-Sicherheit 1. Einbruch: Exploit 2. Privilegien eskalieren 3. Island Hopping 3 Einbruch in ein Win2K System 4 Forensische Analyse 1. Einbruch: schwache Passworte 2. Umgebung anpassen 3. Spuren verwischen 1. Stringauswertung 2. Forensische Toolkits ISEB XChange Seminar 7. Februar

34 Einbruch in ein Windows System Passwortattacke Passwortwahl Passwortscanner Passwortcracker Einfluss ausweiten Spuren verwischen Schlechte Passworte Begriffe aus Wörterbüchern, Autohersteller, Hunderassen Eigennamen, Geburtsdaten, Herstellerpassworte, Tastenkombinationen (asdfgh12) etc. Gute Passworte enthalten Mindestens 8 Zeichen; Groß- und Kleinbuchstaben, Ziffern, mindestens ein Sonderzeichen Passwörter merken Nicht auf öffentlich zugänglichem Medium notieren Eselsbrücken bauen Speak leet but remember Siebenmeilenstiefel => 7kmst!efel Satz umformen 1 Zoll entspricht 2,54 Zentimeter => 1Z=2,5cm aber aufpassen Mein Auto zerstört deutsche Arbeitsplätze! => MAzdA! 34

35 Einbruch in ein Windows System Passwortattacke Passwortwahl Passwortscanner Passwortcracker Einfluss ausweiten Spuren verwischen SMB Passwort Scanner SMB = Server Message Block (Protokoll) Datei- und Druckerfreigabe Ports: 139/tcp, 445/tcp hscan, ntscan, xscan, ipcscan, THC-Hydra, Brutus 35

36 Einbruch in ein Windows System Passwortattacke Passwortwahl Passwortscanner Passwortcracker Einfluss ausweiten Spuren verwischen Einbruch mit psexec sysinternals Passwörter dumpen pwdump3 psexec \\ u Administrator p admin cmd.exe pwdump3 \\ liste Administrator 36

37 Einbruch in ein Windows System Passwortattacke Passwortwahl Passwortscanner Passwortcracker Einfluss ausweiten Spuren verwischen Passwortcracker für alle Lebenslagen John the Ripper Open Source UNIX Passwortcracker auch Windows NT/2K/XP LanManager Hashes Cain&Abel Password Recovery Tool LCP (Alternative zu l0phtcrack) Ophcrack lasecwww.epfl.ch/~oechslin/projects/ophcrack/ Rainbow Crack Online Wortlisten ftp.cerias.purdue.edu/pub/dict/wordlists/ 37

38 Einbruch in ein Windows System Passwortattacke Passwortwahl Passwortscanner Passwortcracker Passwort [1..7] Passwort [8..14] DES LM-Hash [1..8] LM-Hash [9..16] Einfluss ausweiten Spuren verwischen Großbuchstaben DES unicode(passwort) MD4 NTLM Hash DES TEST EBD223B61F8C259C AAD3B435B51404EE Beispiel mit Passwort Test DES 38

39 Einbruch in ein Windows System Passwortattacke Passwortwahl Passwortscanner Passwortcracker Einfluss ausweiten Spuren verwischen 39

40 Einbruch in ein Windows System Passwortattacke Einfluss ausweiten Spuren verwischen Hackeraccount Benutzer anlegen: net user hacky trittein /add net localgroup Administrators hacky /add Hintertüren installieren Frei verfügbare Produkte netcat, Back Orifice, Subseven, Optix, Abel Kommerzielle Produkte Dameware, PC-Anyware, Remote Administrator 40

41 Einbruch in ein Windows System Passwortattacke Einfluss ausweiten Spuren verwischen Remote Administrator 41

42 Einbruch in ein Windows System Passwortattacke Einfluss ausweiten Spuren verwischen Tarnung Prozesse, Ports, Dateien, Registrierungseinträge Kernel Mode Rootkit NT Rootkit, Greg Hoglund ( User Mode Rootkit Hacker Defender, AFX Rootkit Ring 3 outlook Ü_cmd explorer.exe Ü_DLL Int 0x2E, ntdll.dll Ring 0 win2k.sys System Call Table Patch Übler Kernel Treiber 42

43 Agenda 1 IT-Sicherheitsmanagement 2 Einbruch in einen Web Server 1. RUB IT-Verbund 2. Problemquellen 3. Chefsache IT-Sicherheit 1. Einbruch: Exploit 2. Privilegien eskalieren 3. Island Hopping 3 Einbruch in ein Win2K System 4 Forensische Analyse 1. Einbruch: schwache Passworte 2. Umgebung anpassen 3. Spuren verwischen 1. Stringauswertung 2. Forensische Toolkits ISEB XChange Seminar 7. Februar

44 Forensische Analyse Warum überhaupt? Stringanalyse Forensiche Toolkits Als Computer Forensik bezeichnet man die Anwendung von Analysetechniken an Computersystemen zur Sicherung von Beweisen, die zur Strafverfolgung krimineller Handlungen dienen können. Das Ziel der Computer Forensik ist, eine strukturierte Ermittlung durchzuführen und dabei eine dokumentierte Beweiskette zu sichern, die den Tatverlauf rekonstruiert. Falls Strafverfolgung geplant ist, Profis ermitteln lassen! 44

45 Forensische Analyse Warum überhaupt? Stringanalyse Forensiche Toolkits Don t Panic System vom Datennetz nehmen Kein Restart Neuinstallation oft zwecklos, bei unidentifiziertem Einbruchsweg! Was war es? Fehlender Patch Schwache Passworte Fehlkonfiguration Unachtsamer Benutzer Achtung: Anti-Virus und Firewall sind kein Allheilmittel! Ein Einbruch kommt selten allein! Lokales CERT benachrichtigen (Computer Emergency Response Team) 45

46 Forensische Analyse Warum überhaupt? Stringanalyse Forensiche Toolkits Don t Panic System vom Datennetz nehmen Kein Restart Neuinstallation oft zwecklos, bei unidentifiziertem Einbruchsweg! Was war es? Fehlender Patch Schwache Passworte Fehlkonfiguration Unachtsamer Benutzer Achtung: Anti-Virus und Firewall sind kein Allheilmittel! Ein Einbruch kommt selten allein! Lokales CERT benachrichtigen (Computer Emergency Response Team) Zentrales Logging erleichtert Forensik Backup und Notfallplan erleichtern Neuanfang 46

47 Forensische Analyse Warum überhaupt? Stringanalyse Forensiche Toolkits Admdll.dll libeay32.dll Raddrv.dll ServUCert.crt ServUCert.key ServUPerfCount.dll Smrs.exe ssleay32.dll svchost.ini syslog.exe syslog.ini system.exe 47

48 Forensische Analyse Warum überhaupt? Stringanalyse Forensiche Toolkits Admdll.dll libeay32.dll Raddrv.dll ServUCert.crt ServUCert.key ServUPerfCount.dll Smrs.exe ssleay32.dll svchost.ini syslog.exe syslog.ini system.exe 48

49 Forensische Analyse Warum überhaupt? Stringanalyse Forensiche Toolkits 49

50 Forensische Analyse Warum überhaupt? Stringanalyse Forensiche Toolkits Plattenabzug Zeitstempel (MAC Time) Analyse Modification Time, Access Time, Change Time Visuelle Zeitachse Absicherung der Beweise mittels Hashes Automatisierte Zeichenketten Analyse Restauration gelöschter Dateien Restauration von Slackbereichen Datei-Slack, RAM Slack Zahlreiche Viewer Komprimierte Dateien Spezielle Datenbanken z.b. Outlook Datendatei Webbrowser History Datei Encase, AccessData Forensic Toolkit, X-Ways Forensics Sleuthkit ( Autopsy 50

51 Forensische Analyse Warum überhaupt? Stringanalyse Forensiche Toolkits 51

52 Forensische Analyse Warum überhaupt? Stringanalyse Forensiche Toolkits ddd.exe SCardClnt.exe syshost.exe pagefile.sys W32/Sdbot.worm.gen W32/Sdbot.worm.gen W32/Kvdbot.worm 52

53 Vielen Dank für Ihre Aufmerksamkeit 53