You are on page 1of 28

Digitale Forensik

Schulung Bundespolizeiakademie März 2009

Teil 6: Ablauf von Angriffen
Dipl.­Inform. Markus Engelberth  Dipl.­Inform. Christian Gorecki  Universität Mannheim  Lehrstuhl für Praktische Informatik 1 Dr. Kay Schumann Universität Bonn Institut für Strafrecht

Name und Datumwww.uni-mannheim.de

Seite 1

Motivation
• Ziel eines Angreifers: Das System dazu bringen,  etwas zu tun, was es nicht tun sollte • Beispiele:
– Absturz des Rechners (Denial­of­Service) – Vollständige Kontrolle über den Rechner (Root­Zugang)

• Ziel des Analysten: Indizien über Tathergang finden • Hintergrundwissen ist nützlich bei der Untersuchung von Systemeinbrüchen
– Wie gehen Angreifer typischerweise vor? – Welche Techniken setzen sie ein?

Digitale Forensik, Schulung Bundespolizeiakademie Lübeck, März 2009

Seite 3

Schulung Bundespolizeiakademie Lübeck.Übersicht • • • • Arten von Angriffen Klassen von Angreifern Typische Angriffsverläufe Beispiel eines echten Angriffs Digitale Forensik. März 2009 Seite 4 .

Übersicht • • • • Arten von Angriffen Klassen von Angreifern Typische Angriffsverläufe Beispiel eines echten Angriffs Digitale Forensik. März 2009 Seite 5 . Schulung Bundespolizeiakademie Lübeck.

März 2009 Seite 6 . die als Ansatzpunkt für einen  möglicherweise erfolgreichen Angriff ausgenutzt werden kann – Designfehler.Schwachstellen und Exploits • Sicherheitslücke/Schwachstelle (vulnerability): – Schwäche eines Systems. Heap Overflow Integer Overflow Race Conditions Cross Site Scripting Command Injection usw. Implementierungsfehler. Schulung Bundespolizeiakademie Lübeck. welches die Schwachstelle ausnutzt Digitale Forensik.  • Exploit: – Programm. oft unbekannt • Bekannte Klassen: – – – – – – Stack Overflow.

Code mit Schwachstelle /* concat.c: concatenate command line arguments and print them */ void concat_arguments(int argc. char **argv) { concat_arguments(argc. März 2009 Seite 7 . Schulung Bundespolizeiakademie Lübeck. buf); } int main(int argc. char **argv) { char buf[60]; char *p = buf; int i; for (i = 1; i < argc; i++) { strcpy(p. argv); exit(0); } Digitale Forensik. argv[i]); p += strlen(argv[i]); if (i + 1 != argc) *p++ = ' '; /* Add a space back in */ } printf("%s\n".

 anschliessend  Privilegeskalation zu Root • Remote Exploit führt zu Rechnerzugang – Typischerweise Schwachstelle in einem Netzwerkdienst – Beispiel: Ausnutzen einer Schwachstelle in einer  Webapplikation (Rechte des Webservers). Schulung Bundespolizeiakademie Lübeck. März 2009 Seite 8 .Local und Remote Exploit • Local Exploit führt zu erweiterten Rechten auf  einem Computer. zu dem der Angreifer bereits  Zugang hat – Beispiel: Benutzerpasswort erraten. anschliessend  Privilegeskalation to Root (durch Local Exploit) Digitale Forensik.

Arten von Angriffen • Händische Kompromittierung – Eine Person „legt selbst Hand an“ • Automatisierte Kompromittierung – Vollkommen automatisierte Kompromittierung durch  bösartige Software (Malware) • Unterschied nicht immer klar (Verwendung von  Tools) • Die meisten der folgenden Aussagen gelten für  händische Angriffe Digitale Forensik. Schulung Bundespolizeiakademie Lübeck. März 2009 Seite 9 .

März 2009 Seite 10 . Schulung Bundespolizeiakademie Lübeck.Übersicht • • • • Arten von Angriffen Klassen von Angreifern Typische Angriffsverläufe Beispiel eines echten Angriffs Digitale Forensik.

 um Personen oder Organisationen zu schaden IT­Spione/Geheimdienste: führen Angriffe mit dem Ziel der Informationsgewinnung oder gezielten Manipulation durch. unentgeltliche Nutzung von  Dienstleistungen. oder bezahlte Aktivitäten wie Industriespionage im Auftrag von Firmen) Vandalen/IT­Terroristen: führen Angriffe durch.  politisch oder wirtschaftlich motiviert. März 2009 . teilweise mit sehr hohem Budget Seite 11 – – Digitale Forensik.Klassifikation von Angreifern • Klassifikation nach möglicher krimineller Energie: – – Hacker: "testen" Systeme auf Schwachstellen. handeln aus Spieltrieb. Schulung Bundespolizeiakademie Lübeck. wollen Status in der community verbessern Cracker/Corporate Raiders/professionelle Kriminelle: wollen sich mit Spezialwissen persönlich bereichern (durch Computerbetrug.

März 2009 Seite 12 .Ordnung der Angreiferklassen • Ordnung: "schlimmer als“ (          ) IT­Spion Cracker Vandalen Hacker Digitale Forensik. Schulung Bundespolizeiakademie Lübeck.

März 2009 Seite 13 . die wenig Zeitaufwand erfordern • Beobachtung: Statt Wahrscheinlichkeit ist der Aufwand des Angreifers eine aussagekräftige Maßzahl – Analogie: work factor­Ansatz aus physischer Sicherheit Digitale Forensik. womit muss  gerechnet werden? • Zum Beispiel X = Hacker: – – – Angriffe auf bekannte Schwachstellen Angriffe mit "billiger" Technologie Angriffe.Sicherheit gegen Klasse X • Ziel: Schutz gegen Angreiferklasse X. Schulung Bundespolizeiakademie Lübeck.

Übersicht • • • • Arten von Angriffen Klassen von Angreifern Typische Angriffsverläufe Beispiel eines echten Angriffs Digitale Forensik. Schulung Bundespolizeiakademie Lübeck. März 2009 Seite 14 .

 1997  Seite 15 Digitale Forensik. IEEE Transactions on Software Engineering. No. Schulung Bundespolizeiakademie Lübeck. 4. Tomas Olovsson: A Quantitative Model of the Security Intrusion Process  Based on Attacker Behavior. 23.Modell nach Jonsson/Olovsson • Erland Jonsson.  April . März 2009 . Vol.

März 2009 Seite 16 ..Angriffsverläufe nach Geschonneck (1/2) • Footprinting – Angreifer sucht im Internet nach Informationen über das  Angriffsziel – Ergebnis: Liste mit „interessanten“ IP­Adressen • Port­ und Protokollscan – Welche (UDP/TCP) Ports sind offen?  • Enumeration – Welche Dienste laufen auf den Ports?  – Welches Betriebssystem hat der Rechner? • Bis hier alles noch nicht strafbar.. Schulung Bundespolizeiakademie Lübeck. Digitale Forensik.

 Kapitel 2 Digitale Forensik.Angriffsverläufe nach Geschonneck (2/2) • Exploiting/Penetration – Nachschlagen nach bekannten Sicherheitslücken der Dienste – Herunterladen und Ausführen des Exploits • Hintertüren einrichten – Installation eines Rootkits. 2.  Auflage. Geschonnek: Computer Forensik. dpunkt. Logfiles säubern. • Quelle: A. März 2009 Seite 17 . speziellen Benutzeraccounts oder  einer Shell. 2006. die an einem Netzwerkport lauscht • Spuren verwischen – Tools löschen. Schulung Bundespolizeiakademie Lübeck. etc.

Übersicht • • • • Arten von Angriffen Klassen von Angreifern Typische Angriffsverläufe Beispiel eines echten Angriffs Digitale Forensik. März 2009 Seite 18 . Schulung Bundespolizeiakademie Lübeck.

  Mai 2006 – – – Angegriffenes System: Honeypot auf Suse Linux 9. Schulung Bundespolizeiakademie Lübeck. RWTH Aachen Uhrzeiten sind MEZ Digitale Forensik.Beispielangriff • Analyse eines Einbruchs an der RWTH Aachen vom 5. März 2009 Seite 19 .1 Quelle: Diplomarbeit von Jan Göbel.

Schulung Bundespolizeiakademie Lübeck.xxx. um eine Datei 111. Korea.xxx/isdulce/sex/ herunterzuladen Zugriff schlägt fehl.218. wahrscheinlich in Seoul. März 2009 Seite 20 . Datei existiert dort nicht – • 14:30:48 – – Digitale Forensik.Ablauf des Angriffs (1/5) • 14:30:19  – Rechner A. nutzt Schwachstelle in Horde Application Framework  (Webanwendung) aus Dringt mit den Rechten des Webservers auf den Aachener Rechner ein Angreifer nutzt wget.zip von der Website http://66.

 Rumänien.113. wahrscheinlich in Bukarest.xxx. greift ebenfalls auf die installierte Software per HTTP zu • 14:34:42 • 20:25:22 Digitale Forensik. um e­Mails zu versenden Rechner B. wahrscheinlich in Dulles. Virginia.zip von  http://217. Schulung Bundespolizeiakademie Lübeck. USA.Ablauf des Angriffs (2/5) • 14:32:37 – – – – – Angreifer lädt Datei 1111.php.xxx/marianne/ herunter Zip­Archiv enthält PHP­Anwendung. greift auf  installierte Software per HTTP zu Vermutung: Angreifer testet die Software Rechner C. März 2009 Seite 21 .

Ablauf des Angriffs (3/5) • 20:48:51 – – – Erneuter Zugriff von Rechner A aus rm ­rf 1111. weil es nicht richtig funktionierte (es wurden keine e­Mails verschickt) Angreifer lädt Datei eb. Schulung Bundespolizeiakademie Lübeck. März 2009 .113.xxx/marianne/ herunter Zip­Archiv enthält eine eBay Phishing Site Angreifer lädt PHP e­Mail­Skript erneut herunter und packt es aus Seite 22 • 20:49:01 – – – • 20:49:19 Digitale Forensik.php/ Vermutung: PHP­Skript wurde gelöscht.xxx.zip von  http://217.

Ablauf des Angriffs (4/5) • 20:49:33 – – – Erneuter Zugriff von Rechner B auf die Phishing site Zugriff von Rechner C auf Phishing Site Vermutung: Kommandos prüfen die Funktionsfähigkeit der  Website Rechner B greift auf e­Mail­Skript zu • 20:50:18 • 21:17:37 – • 22:56:14 – Rechner C greift auf e­Mail­Skript zu Digitale Forensik. Schulung Bundespolizeiakademie Lübeck. März 2009 Seite 23 .

März 2009 Seite 24 .Ablauf des Angriffs (5/5) • 22:56:33 – Rechner C verbindet sich zur eBay­Phishing­Site • An dieser Stelle wurde der kompromittierte Rechner  vom Netz genommen. Schulung Bundespolizeiakademie Lübeck. um andere Benutzer des  Internet nicht zu gefährden Digitale Forensik.

Schulung Bundespolizeiakademie Lübeck. um SPAM oder phishing­Mails zu verschicken Subject aller ausgehenden Mails wäre gewesen "Question  from eBay Member" Absenderadresse "eBay Member <member@eBay.php.Analyse der Werkzeuge • 1111.com>" Benutzerschnittstelle: 2 Textboxen erste Textbox für Text der e­Mail zweite Textbox für eine Liste der Zieladressen – Skript kann adaptiert werden (händisch heruntergeladene Version war auf eBay zugeschnitten) Seite 25 Digitale Forensik.zip – – – – – • • Zip­Archiv mit PHP­Skript für den Versand von e­Mail Kann verwendet werden. März 2009 .

(1) Gefälscht; (2) Echt – Phishing­Site sendet Username und Passwort per e­Mail und leitet das Opfer auf die echte eBay­Seite weiter Digitale Forensik.dll?SignIn&co_partnerId=2&pUserId=.ebay... 2.. /signin. das Username und Passwort an eine vordefinierte e­Mail­Adresse schickt Phishing Site hat eine URL. März 2009 Seite 26 . die so aussieht wie eine echte eBay URL 1.zip – – – eBay Phishing Site zusätzlich PHP­Skipt. /eb/ws/eBayISAPI;dllSignIn&co_partnerId=2/pUserId=.. Schulung Bundespolizeiakademie Lübeck.Analyse der Werzeuge (2/2) • eb.de/ws/eBayISAPI.

März 2009 Seite 27 . Schulung Bundespolizeiakademie Lübeck.Die eBay Phishing Seite Digitale Forensik.

Zusammenfassung • • • • Arten von Angriffen Klassen von Angreifern Typische Angriffsverläufe Beispiel eines echten Angriffs Digitale Forensik. März 2009 Seite 28 . Schulung Bundespolizeiakademie Lübeck.

 2006 Ausblick • klassische  Festplattenforensik  und theoretische  Grundlagen  • Fragen? Name und Datumwww.de Seite 30 . 48(8).uni-mannheim.Communications of the ACM.