Infiltration eines Netzwerks Marc Ruef | 28.06.2010 Ein krimineller Angriff auf ein Computersystem umfasst unterschiedliche Phasen. Will man die Nennung dieser möglichst reduzieren, so kann man sich auf (1) Auswertung, (2) Angriff, (3) Kompromittierung, (4) Rechteausweitung und (5) Backdooring einigen. Eine überproportional hohe Anzahl an Fachpublikationen beschäftigt sich mit dem Einbrechen in Computersysteme, also mit den Phasen 1 bis 3. Auch im Rahmen von professionellen Sicherheitsüberprüfungen (http://www.scip.ch/?dienstleistungen.penetrationtest) wird anhand dieser in erster Linie die Machbarkeit eines Angriffs bewiesen und anhand dem Erfolg dieser die Durchführbarkeit der restlichen zwei Phasen abgeleitet. Nur in den wenigsten Fällen werden die Hürden, wie sie mit einer Rechteausweitung und einem Backdooring (http://www.scip.ch/?dienstleistungen.backdoortest) verbunden sind, berücksichtigt. Doch die meisten Angreifer attackieren Systeme heutzutage nicht mehr nur aus Spass, sondern sie wollen einen Nutzen aus ihren Aktivitäten davontragen. Der Nutzen erschliesst sich aber erst dann, wenn Zugriffe auf Daten und Systemressourcen durchgesetzt werden können. Die Möglichkeiten der Phasen 4 und 5 sind entsprechend massgeblich dafür verantwortlich, welches Ausmass an Erfolg der gesamte Angriffsversuch mit sich zu bringen in der Lage ist. Gehen wir davon aus, dass jemand in ein Netzwerk einbrechen möchte, um aus diesem Daten zu stehlen. Das Zielunternehmen bietet ein WLAN an, das durch bekannte Angriffstechniken innert weniger Stunden kompromittiert werden kann. Das System des Angreifers wird nach erfolgreicher Anmeldung im WLAN zu einem Teil des bestehenden Netzwerks. Als erstes wird der Angreifer versuchen herauszufinden, wie das Netzwerk konfiguriert ist. Anhand der DHCP-Einstellungen, die automatisch an sein System propagiert wurden, kann er erste Ableitungen zu IP-Adressierung durchführen. Handelt es sich um ein Klasse C- oder ein Klasse A-Netzwerk, können Rückschlüsse auf die Grösse des Unternehmens und die potentiellen Angriffsziele (im gleichen Netzwerksegment) gemacht werden. Wird dem eigenen System die IP-Adresse 192.168.2.51 zugeordnet, so kann in einem nächsten Schritt versucht werden herauszufinden, ob die inkrementelle Vergabe der IP-Adressen durch den DHCP-Server den gesamten Adressraum von 1-50 aufbraucht und ob ebenfalls Adressen im Bereich >51 vergeben sind. Die Anzahl aktiver Systeme kann so ermittelt werden. Je nach Tageszeit lässt sich damit erkennen, wieviele Mitarbeiter in etwa zugegen sind (manche von ihnen werden hoffentlich unter Berücksichtigung von Green-IT ihr System über Nacht/Wochenende ausschalten). Doch um die Belegbarkeit des Adressraums zu ermitteln, muss zuerst die Topologie des Netzwerks verstanden werden. Ebenfalls in den mit DHCP auferlegten Konfigurationseinstellungen kann das Default Gateway, die DNS-Server sowie der DHCP-Server erkannt werden. Das Gateway ist üblicherweise die niederwertigste IP-Adresse im Adressbereich (in diesem Fall 192.168.2.1). Der DHCP-Server nimmt für sich ebenfalls die gleiche IP-Adresse in Anspruch. Die Nameserver findet sich jedoch im Netzwerk 172.16.0.x. Es ist sodann anzunehmen, dass die Server-Systeme in eben dieser DMZ positioniert werden. Durch das Einsehen der lokalen ARP-Tabelle können die Ethernet-Adressen der schon angesprochenen Systeme ausgemacht werden. Die ersten drei hexadezimalen Werte lassen den Hersteller (Vendor) der Netzwerkkarte ermitteln. Schnell und vor allem passiv (keine weiteren Zugriffe für die Auswertung nötig) lässt sich damit ausmachen, dass das Gateway mit grösster Wahrscheinlichkeit durch ein Cisco-Gerät bereitgestellt wird. Die Namensauflösung lässt eine Cisco PIX/ASA vermuten (wiederum eine indirekte Auswertung). Dadurch kann die zur Filterung eingesetzte Technologie abgeleitet und potentiell verdächtige Aktivitäten zurückgehalten werden. Anhand der weiterführenden Namensauflösungen der Systeme im gleichen Netzwerksegment lässt sich eine ISS RealSecure-Installation ausmachen. Hierbei handelt es sich um ein kommerzielles Intrusion Detection-System (IDS). Da die ersten langsamen Portscans der Client-Systeme typische Standard-Installationen von Windows XP erkennen liess, wird ebenfalls eine Standard-Installation von RealSecure erwartet. Mit der Durchsicht dieser in einer eigenen Test-Installation kann erkannt werden, welche Aktivitäten voraussichtlich Alarm auslösen werden. Das eigene Verhalten kann damit massgeblich optimiert werden, um unentdeckt weiter vorzugehen. Da die gegebenen Windows-Systeme kein aktuelles Patch-Level aufweisen, kann mit einem mehr oder weniger bekannten Exploit eine Kompromittierung eines solchen angestrebt werden. Die Auswertung der Konfigurationseinstellungen (die erste Kompromittierung hat lediglich die Rechte des eingeloggten Benutzers vererben lassen), lässt File-Server und versteckte Shares erkennen. Auf diese können nun zugegriffen werden, wobei nach wertvollen Daten sowie technischen Hinweisen zur Umgebung Ausschau gehalten wird. Die Durchsicht des File-Servers lässt im Ordner \\\\IT-Department\\Networking\\Diagrams Visio-Dokumente identifizieren, die die Architektur und Topologie des gesamten Firmennetzwerks dokumentieren. Auf einen Blick werden so sämtliche Netzwerkzonen, Übergänge (Router/Firewalls), Server und Systeme erkennbar. Dank dieser "Landkarte" kann man sich nun sehr effizient im Netzwerk bewegen und kann deshalb auf eine Vielzahl an langwierigen Auswertungen (z.B. Erkennen der existenten/erreichbaren Systeme mittels Ping-Suchlauf) verzichten. Nun kann entweder versucht werden durch ein lokales Exploiting die Rechte auf dem kompromittierten Arbeitsplatzrechner zu erweitern. Dies ist wohl nicht weiter erforderlich, da mit administrativen Rechten nur marginal erweiterte Zugriffe mit zusätzlichem Nutzen angegangen werden können. Eine Rechteausweitung ist eigentlich nur dann angestrebt, wenn die zusätzlichen Privilegien für die gewünschten Zugriffe erforderlich sind (z.B. Zugriff auf Systemkomponenten, Missbrauch einer bestehenden Vertrauensbeziehung im Netzwerk). Oder man fokussiert sich auf die elementaren und damit wertvollsten Systeme der Zielumgebung. Vor allem Routing-, Security- und zentrale Server-Systeme sind von Interesse. Da diese ein Mehr an Funktionen bereitstellen und Kommunikationen bearbeiten, kann eine Übernahme dieser ein Mehr an Möglichkeiten gewähren (z.B. könnte ein manipulierter Proxy sämtlichen Verkehr auf das eigene System umleiten und durch eine klassische Man-in-the-Middle Attacke den Datenstrom mitlesen lassen). Der weitere Angriff dieser Systeme ist nun jedoch wieder als neu gestartete Iteration der fünf Phasen zu verstehen. Nach dem Angriff ist vor dem Angriff.