14.30 Uhr - 16.30 Uhr Neues aus dem DFN-CERT (Andreas Bunten, DFN-CERT) Tagesordnung Security 43. BT- Dienstag, 18. Oktober 2005 Der neue DFN-PKI Dienst, mit Vorführung der DFN Test-PKI (Mitarbeiter der DFN-PCA und Marcus Pattloch, DFN-Verein) Honeypots im praktischen Einsatz (Stefan Kelm, Secorvo) Weitere aktuelle Themen und Diskussion
Neues aus dem DFN-CERT Oktober 2005 Arbeitskreis Security auf der 43. DFN Betriebstagung Andreas Bunten, 18. Oktober 2005
Agenda Aktuelle Angriffe Speziell: SSH Bruteforce Angriffe Praxisbeispiel: Bot-Netze aus Sicht des Administrators 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 2
Neues aus dem DFN-CERT Aktuelle Angriffe
Aktuelle Angriffe Aktuelle Wege für die Angreifer auf unsere Systeme: Windows Arbeitsplatz Systeme: Verschiedene neue Windows Viren bzw. Varianten: Sober, Troj, Zotob, Nopir,... Webserver (oft UNIX / Linux, aber nicht nur): Schwachstellen in PHP-Skripten bzw. Bibliotheken Server / Workstations unter UNIX / Linux: SSH Bruteforce Passwort-Rate-Angriffe 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 4
Aktuelle Angriffe SSH Bruteforce: Scans nach aktiven SSH-Servern (auf Std. Port) Auf gefundene Server wird Lise mit Passwörtern und Namen von Benutzern angewandt Verschiedene Tools, die wenige User mit 10 bis ~50 Passwörtern bei jedem SSH-Server ausprobieren: sshd[5458]: Connection from **.**.160.2 port 46616 sshd[5458]: Illegal user webadmin from **.**.160.2 sshd[5458]: error: Could not get shadow information for NOUSER sshd[5458]: Failed password for illegal user webadmin from **.**.160.2 port 46616 ssh2 Manche Admins schicken uns Daten aus Logfiles: Das scannende System ist praktisch immer kompromittiert Für einen erfolgreichen Angriff muss sehr schlechtes Passwort genommen worden sein (z.b. 'root:root' oder 'admin:test123') 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 5
SSH Bruteforce Accounts / Passwörter - Beispiel 1: snobody patrick qwerty compas sniper 12345678 123456789 1234567890 rolo66 iceuser horde cyrus www wwwrun matt teste test2 test23 test123 www-data mysql operator adm apache irc test 123 switch c43vr013t 1gcec19v8yz153072 jane pamela shadow eegch11 qwerty r00t abcd1234 ctxmonitor %username% %null% 000000 00000000 111111 1234qwer 1p2o3i @#$%^& apache apollo passwor passion passwd redhat people qwaszx qwert tester zxcvbnm zxcvb zorro e4k1mo0$ f4r6k2g7t9q3 w5n8o7t9i6x3 o6v9z3d8y7m9 k1u7r1t2r1t8 w5u6s9v7k5t4 linux stones yellow cooling b604092 bash cmcnew kh9dzv toor actros pharma spyder test bk123qwe Lex1c0n3 bk123qwe 1q2w3e webmaster data user01 user1 user02 web webmaster oracle sybase master account backup server adam alan frank george henry john love loveyou hate iloveyou present test Beispiel 2: test guest admins admin user password root 123456 123456 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 6
SSH Bruteforce Was machen die Angreifer auf dem System? Die Angreifer nutzen Informationen in ~/.ssh/known_hosts und in /etc/passwd für weitere Angriffe Durch lokale Sicherheitslücken können Rechte von root erlangt werden passiert oft aber nicht Wenn Rechte von root erlangt werden: Sniffing bzgl. Passwörtern im lokalen Netz Abhören des SSH Daemon bzgl. anderer Accounts Das System wird oft für ein Bot-Netz, Warez-Server, ddos, SPAM und anderes verwendet Natürlich werden auch weitere Systeme angegriffen... 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 7
SSH Bruteforce Wie kann man sich schützen? Für ausreichenden Schutz müssen die Passwörter nicht gut sein - sie dürfen nur nicht trivial zu erraten sein Wirksamer Schutz ist trotzdem schwierig, da dem Angreifer ein einziger Account ausreicht Maßnahmen: Erreichbarkeit der SSH-Server einschränken Einer Person nur Login von außen erlauben, wenn Passwort einen (einfachen!) Test bestanden hat Limitierung der Verbindungsaufbauten pro Minute von außen zu SSH-Server pro IP an der Firewall Verwendung von Hashes in ~/.ssh/known_hosts (OpenSSH) Vorbereitung auf den Notfall, um schnell reagieren zu können 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 8
Neues aus dem DFN-CERT Praxisbeispiel: Bot-Netze aus Sicht des Administrators
Heise News am 10. Okt. 2005 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 10
Definition: Bot-Netz Ein Bot-Netz ist eine Menge von kompromittierten Systemen, die sich unter der gemeinsamen Kontrolle eines Angreifers befindet. Details: Die Systeme sind i.d.r. Büro-PCs oder Heim-Rechner Die Kompromittierung kann stattfinden über Viren, Trojaner, manipulierte Webseiten,... Dem Angreifer bietet das Bot-Netz viele Möglichkeiten: Denial of Service Angriffe Verschicken unerwünschter Werbemail (SPAM) Datendiebstahl (z.b. Registrierungsdaten, Online-Banking) Hosting / Vertrieb illegaler Inhalte 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 11
Ein Bot-Netz in Aktion (I) Angreifer 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 12
Ein Bot-Netz in Aktion (II) Angreifer Kompromittierte Systeme 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 13
Ein Bot-Netz in Aktion (III) IRC-Server Angreifer Kompromittierte Systeme 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 14
Ein Bot-Netz in Aktion (III) IRC-Server Angreifer IRC-Relay Kompromittierte Systeme 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 15
Ein Bot-Netz in Aktion (IV) IRC-Server Angreifer IRC-Relay Kompromittierte Systeme 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 16
Ein Bot-Netz in Aktion (V) IRC-Server Command & Control Angreifer Botnet-Hirte Bot Herder IRC-Relay Bouncer Kompromittierte Systeme Drones Zombies Bots 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 17
Bot-Netze Statistik: Im besagtem Bot-Netz aus der Heise-Meldung befanden sich tatsächlich >190.000 Systeme unter Kontrolle der Angreifer Maximale beobachtete Größe >300.000 Systeme (2005) Durchschnittliche Größe viel kleiner, weil handlicher Bot-Netze werden dann eher über C&C-Server gekoppelt Aktuelle Schätzungen: Es befinden sich 1 bis 6 Mio. Hosts unter Kontrolle von Angreifern als Mitglied von Bot-Netzen 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 18
Bot-Netze Wo kommen wir in Kontakt mit Bot-Netzen? DFN-Einrichtungen manchmal Ziel von DoS Angriffen, die mit Hilfe von Bot-Netzen ausgeführt werden Im Vergleich mit Providern wenig Bots im DFN; diese sind aber immer wieder vorhanden Besonders interessant für uns: Command & Control Server IRC-Relays 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 19
Bot-Netze Command & Control Server: Fallen leicht auf: Viele Verbindungen zu einzelnen Diensten: I.d.R. einige tausend Systeme gleichzeitig zu typ. IRC Ports 6667-6669 Bot-Software wird analysiert und der Control Channel wird gefunden - z.b. mit Hilfe von Honeypots Häufig UNIX oder Linux Systeme z.b. über SSH und schwaches Passwort kompromittiert Angreifer benötigen nicht Rechte von root; ein normaler Account reicht zum Betrieb des IRC-Servers Hinter jeder Verbindung zum IRC-Server steckt ein kompromittiertes System! 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 20
Bot-Netze IRC-Relays: Fallen kaum auf: Wenige IRC-Verbindungen, die auch legitim sein könnten Informationen über Relays oft nur von IRC-Ops nach Analyse von Missbrauch Oft UNIX oder Linux Systeme mit Software 'psybnc' Rechte von root werden nur zur Tarnung z.b. mit Hilfe eines Rootkits benötigt Logfiles der Relays geben Aufschluss über die tatsächlichen Angreifer (bzw. den nächsten Relay) 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 21
Bot-Netze Was kann getan werden? C&C Server fallen durch Art der Verbindungen auf: langlebig mehrere tausend gleichzeitig oft zu typischen IRC-Ports Manchmal fallen hohes Datenvolumen zu untypischen Zeiten oder über untypische Dienste auf Vorbereitet sein! (z.b. durch Notfallpläne) Schnelle Reaktion im Ernstfall: u.a. Alamierung der betroffenen Sites 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 22
Vertrauen im Netz Beispiel: Angreifer rekrutiert neuen IRC-Relay :SuM41!sum41@SuM41.li PRIVMSG #sum41 : [20:22:11] * Dns resolved ***.***.***.62 to www.*******.at johannes@s1:~$ uptime 20:22:35 up 13 days, 10:19, 1 user, load average: 0.00, 0.00, 0.00 johannes@s1:~$ uname -a Linux s1 2.4.18-bf2.4 #1 Son Apr 14 09:53:28 CEST 2002 i686 GNU/Linux nice :> [...] :SuM41[quand]!~sum41@www.*******.at JOIN :#sum41 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 23
Bot-Netze Vielen Dank für Ihre Aufmerksamkeit! Fragen? dfncert@dfn-cert.de 040 8080 77 555 43. DFN Betriebstagung, 18. Oktober 2005 2005 DFN-CERT Services GmbH Folie 24