digitale forensik: angriffsszenarien auf it-infrastrukturen
TRANSCRIPT
Digitale Forensik: Angriffsszenarien auf IT-
Infrastrukturen
Patrick Eisoldt, David Schlichtenberger
Patrick Eisoldt
• Studium an der Hochschule Albstadt-Sigmaringen und der Glyndwr University in Wales
• Praktika/Thesen: Siemens, Marquardt
• November 2010 bis August 2011: Mitarbeiter Digitale Forensik
• Seit 2012: Mitarbeiter Open C³S
• Schwerpunkte: Digitale Forensik, Windows-Forensik, Python (Forensik und Pentesting)
David Schlichtenberger
• Studium Medien- und Kommunikationsinformatik, Hochschule Reutlingen
• 2010 bis 2013: Softwareingenieur im Bereich Web Entwicklung,informedia GmbH, Stuttgart
• 2013 bis 2014: Systemingenieur / Kundenberater für Internetservices, KIRU, Reutlingen
• Seit 2014: Wissenschaftlicher Mitarbeiter im Masterstudiengang Digitale Forensik, Hochschule Albstadt-Sigmaringen – IWW
• Schwerpunkte: Digitale Forensik, Netzwerke, Python, Pentesting
Hochschule Albstadt-Sigmaringen
• Standorte: Albstadt und Sigmaringen
• Studierende: 3 318
21.05.2015 Patrick Eisoldt und David Schlichtenberger 4
Engineering• Maschinenbau• Textil- und
Bekleidungstechnologie• Textile Produkttechnologie -
Technische Textilien• Material and Process
Engineering• Wirtschaftsingenieurwesen
• Maschinenbau -Rechnerunterstützte Produkterstellung
• Textil- und Bekleidungsmanagement
• Wirtschaftsingenieurwesen -Produktionsmanagement
Business Science andManagement
• Betriebswirtschaft
• Betriebswirtschaft und Management
• IT Governance, Risk and Compliance Management
Life Sciences• Pharmatechnik• Lebensmittel, Ernährung und
Hygiene• Facility Management
• Biomedical Sciences• Facility Design und Management
Informatik• IT Security• Technische Informatik• Wirtschaftsinformatik
• Business Analytics• Digitale Forensik • Systems Engineering• Data Science
Mas
ter
Bac
he
lor
Zertifikatsprogramm• Im Rahmen von Open C³S
entstanden
Studium Initiale• Im Rahmen von Open C³S
entstanden
Digitale Forensik, IT-Sicherheit und Datenanalyse an Hochschule Albstadt-Sigmaringen
21.05.2015 Patrick Eisoldt und David Schlichtenberger 5
Business Science andManagement
• IT Governance, Risk and Compliance Management
Informatik• IT Security
• Business Analytics• Digitale Forensik • Data Science
Mas
ter
Bac
he
lor
Zertifikatsprogramm• Im Rahmen von Open C³S
entstanden
Was ist Digitale Forensik?
• Digitale Forensik, IT-Forensik, Computer-Forensik…
• Ermittlung, Nachweis und Aufklärung von Straftaten und Sicherheitsvorfällen im Bereich Cyberkriminalität
• Fragestellungen• Was, Wo, Wann, Wie, Wer?
• Ergebnis• Identifikation des Täters• Ermittlung des Zeitraums und Umfangs der Tat• Feststellen der Motivation• Ermittlung der Ursache und Durchführung
21.05.2015 Patrick Eisoldt und David Schlichtenberger 6
Arbeitgeber
• Digitale Forensiker arbeiten in…• Strafverfolgungsbehörden (LKA, Bundespolizei, BKA…)
• Privaten Sektor• Spezialisierte Forensik Unternehmen
• IT-Sicherheitsunternehmen
• Unternehmen mit erhöhten Sicherheitsbedarf
• …
21.05.2015 Patrick Eisoldt und David Schlichtenberger 7
Prozess der digitalen Forensik
Vier Schritte:
• Identifizierung – Dokumentation der vorgefundenen Situation, Bestandsaufnahme, Einschätzung auf welchen Systemen relevante Daten vorhanden sein können.
• Datensicherung – Abschaltung des Systems? Sicherung der Daten, möglichst ohne Änderungen am System vorzunehmen.
• Analyse – Je nach System sehr vielschichtig (Spezialwissen über Betriebssysteme und Prozesse, Anwendungen, Protokolle… notwendig)
• Aufbereitung – Bericht über die Erkenntnisse (im besten Fall können alle W-Fragen restlos aufgeklärt werden)
21.05.2015 Patrick Eisoldt und David Schlichtenberger 8
Täter
• Unterschiedliche Tatmotive und Beweggründe• Hacker
• Cracker
• Skriptkiddies
• Spione
• Kriminelle
• Terroristen
• Insider
• ...
21.05.2015 Patrick Eisoldt und David Schlichtenberger 9
Analyseansätze
• Live Response Analyse• Analyse eines aktiven (nicht ausgeschalteten) Systems
• Ermöglicht die Sicherung flüchtiger Daten
• Ermöglicht die Sicherung von Daten bei vollverschlüsselten Systemen
• Post Mortem Analyse• Falls flüchtiger Speicher nicht relevant ist und / oder der Vorfall schon länger
zurückliegt
• Auswertung einer forensischen Kopie des Systems
21.05.2015 Patrick Eisoldt und David Schlichtenberger 10
Hacking Wordpress: Elektro Muster
• Website eines mittelständischen Betriebs basierend auf dem Wordpress CMS
21.05.2015 Patrick Eisoldt und David Schlichtenberger 13
Hacking Wordpress: Versionen
• Aktuellste Wordpress-Version 4.2.2 vom 19.05.2015
• Plug-In für Kontaktformular „N-Media Website Contact Form with File Upload” in Version 1.5
• Exploit für Plug-In Version bekannt seit 11.05.2015
21.05.2015 Patrick Eisoldt und David Schlichtenberger 14
Hacking Wordpress: Metasploit
• Metasploit – ein Framework für Exploits zum Ausnutzen von Sicherheitslücken (Betriebssysteme, Serverdienste, Webanwendungen, Programmen…)
• Umfangreiche Datenbank mit fertig ausführbaren Exploits
• Täglich werden Exploits hinzugefügt
21.05.2015 Patrick Eisoldt und David Schlichtenberger 15
Hacking Wordpress: Metasploit
• Vorab: Analyse der Website
• Starten von Metasploit
• Suchen eines Exploits:
msf > search name:wordpress
21.05.2015 Patrick Eisoldt und David Schlichtenberger 16
Hacking Wordpress: Exploit
• Ein passender Exploit für das Plugin wurde gefunden (wp_nmediawebsite_file_upload).
21.05.2015 Patrick Eisoldt und David Schlichtenberger 17
Hacking Wordpress: Konfiguration
• Festlegen des Angriffsziels
• Festlegen des Schadcodes
21.05.2015 Patrick Eisoldt und David Schlichtenberger 18
Hacking Wordpress: Exploit!
21.05.2015 Patrick Eisoldt und David Schlichtenberger 20
• Der erstellte Schadcode wurde unter einem kryptischen Namen 1432-…zMiGu.php hochgeladen und ist über die URL aufrufbar:
• Aufruf von:http://localhost/wordpress/wp-content/uploads/contact_files/1432045239-zMiGu.php
Hacking Wordpress: Ändern/Auslesen der Benutzerdatenbank
21.05.2015 Patrick Eisoldt und David Schlichtenberger 21
UPDATE wp_users SET user_pass = MD5('admin') WHERE user_login = 'admin';
Analyse Wordpress-Hack
21.05.2015 Patrick Eisoldt und David Schlichtenberger 22
• Isolieren des Webservers vom Netzwerk (sofern möglich). Gefahr im Verzug!• z. B. durch Firewall Regel
• Sichern des Arbeits- und Festplattenspeichers• z. B. Snapshot des Webservers
• Weitere Vorgehensweise abhängig vom Sicherheitsvorfall• Versuch der Bestimmung des Zeitpunkt des Hacks• Prüfung auf modifizierte Dateien (z. B. Abgleich mit Backup)• Durchsicht relevanter Logdateien (Webserver, MySQL-Server, SFTP-Log, …)• Prüfen auf aktive Netzwerkverbindungen• (Analyse des Arbeitsspeichers)
Analyse Wordpress-Hack: MySQL
21.05.2015 Patrick Eisoldt und David Schlichtenberger 23
• Binäre Logdatei (/var/log/mysql/mysql-bin.log) des Datenbankservers mit Zeitstempel des Vorfalls
• Ersichtlich ist, dass das Passwort geändert wurde
Analyse Wordpress-Hack: Webserverlogdatei
21.05.2015 Patrick Eisoldt und David Schlichtenberger 24
• Logdatei (/var/log/apache2/access.log) des Webservers mit Informationen zur Sicherheitslücke
• Ersichtlich ist die IP-Adresse und der Browser des Angreifers
Analyse Wordpress-Hack: Ergebnis
21.05.2015 Patrick Eisoldt und David Schlichtenberger 25
• Durch die Analyse der Logdateien konnte die IP-Adresse des Angreifers ermittelt werden.
• Der Angreifer konnte über eine Sicherheitslücke eine Datei (kryptischer Name) auf den Server hochladen und sich Zugriff auf die Passwort-Datenbank verschaffen
• Dort wurde das Passwort des Administrators geändert und der Angreifer hatte somit Zugriff auf die CMS-Administrationsoberfläche.
• Durch die Analyse konnte ausgeschlossen werden, dass der Angreifer sensible Kundentabellen kopiert hat. Zudem wurde der Server aufgrund einer weiteren Sicherungsschicht nicht vollständig kompromittiert.
Wordpress-Hack: ToDos / Fazit
21.05.2015 Patrick Eisoldt und David Schlichtenberger 26
• Die Schadcode-Datei wurde vom Server entfernt.
• Das Administratorpasswort wurde geändert und der Benutzername "admin" umbenannt.
• Das verwundbare Plug-In wurde entfernt.
• Die Wordpress-Installation und Webserver-Konfiguration wurde "gehärtet".
Phishing
• Phishing-Seiten• Phishing-Seiten können sehr einfach mit Generatoren erstellt werden
• Zum Teil fällt ein falscher Login nicht einmal auf
Phishing
• IP-Adresse der VM abfragen:• ifconfig
• Social Engineer Toolkit konfigurieren:• 1) Social-Engineering Attacks
• 2) Website Attack Vectors
• 3) Credential Harvester Attack Method
• 2) Site Cloner
• IP address for the POST back in Harvester/Tabnabbing: [IP-Adresse der VM]
• Enter the url to clone: [www.facebook.com]
• IP-Adresse der VM im Host eingeben
Lucy – Phish yourself
LUCY ist ein Phishing-Server, mit dem Phishing-Kampagnen mit wenig Aufwand erstellt werden können.
Einsatzgebiet: Penetration Tests gegen den Faktor „Mensch“ (primär zur Prüfung der eigenen Mitarbeiter)
AblaufAnpassung einer Phishing-Vorlage: Website, Phishing E-Mail, USB-Stick o.ä.
Übermittlung an die „Opfer“
Auswertung der Kampagne (LUCY stellt umfangreiche Statistiken zur Verfügung)
Wie viele Personen haben wann auf welchen Link geklickt?
Wie viele Personen haben Ihre Zugangsdaten über eine Phishing-Website eingegeben?
Wie viele Personen haben einen gefundenen USB-Stick eingesteckt?