In unbekanntes System eindringen | ohne zugängliche checkbare Software

Hi Leute,

ich habe mir letztens mal das Chaosradio mit dem Thema "Full-Disclousure" angehört. Ich kann den genauen Sachverhalt nicht mehr wiedergeben, aber es ging um das Eindringen in Systeme.

Ich habe schon oft auf DLF gehört, dass China in Behörden-Computer von Deutschland eindringt. Die werden ja keine Standard-Software am Laufen haben, weil das ja alles die Tele-Dings gecodet hat.

Wie kann man in ein System eindringen, wo ich die Software nicht zu meiner Verfügung habe und nicht fuzzen, dissassemblen o.ä. kann!?!

ThX 3X!_d0S

sich informationen über das system schaffen und die geschickt einsetzn...

Dass bei Behörden keine Standard-Software eingesetzt wird, dürfte wohl eher ein Gerücht sein. Die meisten Mailserver basieren z.B. auf Linux mit Postfix und Filtern wie Spamassassin. Und es sind immernoch Windows-basierte Clients im Einsatz und damit enthalten sie auch diverse Standard-Software wie IE, Explorer etc., die in Gänze oder zum Teil (z.B. durch Services genutzt Libraries u.ä.) ständig im Hintergrund aktiv sind oder zur Verfügung stehen. Als Email-Programm kommt oft Outlook zum Einsatz und Email ist auch der häufigste Angriffspunkt. Denn... nichts ist so gross wie die menschliche Dummheit. Schon ein simpler Trojaner, der von einem einem aktuellen Antivirus nicht erkannt wird, reicht zumeist aus um Zugang zu einem Netzwerk zu bekommen und diesen schleust man am einfachsten ein, indem man ihn per Email an unbedarfte Mitarbeiter schickt (also nicht unbedingt direkt an die EDV-Abteilung ). Gerade Behörden-Netzwerke sind zwar zumeist nach aussen sehr gut abgesichert, aber gegen Angriffe von Innen wird nicht annähernd so viel unternommen. Und die durchschnittliche Tippse geht davon aus, dass ihr Antivirus-Programm sie vor Angriffen durch Trojaner schützt. Wie "einfach" selbst bereits bekannte Trojaner vor Antivirus-Software versteckt werden könenn, habe ich ja bereits vor einiger Zeit mal unter http://bitmuncher.blog.de/2010/03/13/trojaner-versteckt-8166820/ in Ansätzen beschrieben. Entsprechend vermitteln diese Sicherungsmaßnahmen gegen Viren und Trojaner eher ein falsches Sicherheitsgefühl und schnell ist dann mal ein Anhang geöffnet, der sich als PDF-Datei ausgibt. Ist erstmal ein Trojaner erfolgreich im Netzwerk platziert, ist seine Verbreitung und seine Nutzung um Zugriff auf weitere Komponenten des Netzwerks zu erhalten nur noch eine Frage der Zeit und des KnowHow des Hackers. Da reicht dann schon eine Sicherheitslücke im Mailfilter aus (wie z.B. kürzlich beim Milter-Plugin für Spamassassin) um Zugriff auf den Mailserver und somit auf sämtlichen Email-Verkehr zu bekommen. Und so lassen sich dann immer mehr Komponenten eines Netzwerks infizieren. Hinzu kommen auch noch Zero-Day-Exploits, die vor allem auf Serversysteme angewendet werden, denn gerade diese bauen bei Behörden auf Standard-Software und oft sogar auf OpenSource-Software auf. Es steht also durchaus mehr als genug Software zur Verfügung, die man als Angriffspunkt nutzen kann. Man muss nur herausbekommen welche Programme das sind. Bei Email- und Webserver ist das zumeist kein Problem, da sie nach aussen erreichbar sein müssen und man somit auch problemlos ermitteln kann welche Versionen da im Einsatz sind. Bei Client-Software muss man einfach nur mal seinen Verstand einsetzen um passende Lücken zum Einschleusen von Schadsoftware zu finden. Und wie bereits gesagt... man darf die menschliche Dummheit nicht ausser Acht lassen. Sie stellt zumeist die größte Sicherheitslücke in einem Netzwerk dar. Gibt ja auch ganze Bücher darüber, wie man diese nutzen kann um Zugriff auf Rechner zu erlangen. Social Engineering nennt sich der Spass dann.

Ist zwar nicht Frage des Themas, aber wie säubert man ein bereits infiziertes System bzw. Netzwerk ?

Also was ich so in Stuttgart gesehen habe, läuft da so ziemlich alles auf Windows, auch die Server -> Exchange. Dazu das ganze IBM Zeug wie Lotus Notes. Selbstverständlich Microsoft Office. Wahlweise Internet Explorer oder Firefox.
Von Spezialsoftware habe ich da wenig gesehen.

@sogra

http://www.microsoft.com/germany/technet/datenbank/articles/600230.mspx hat gesagt.:

Es gibt zwei grundlegende Methoden, um ein System zu bereinigen und es wieder verfügbar zu machen: Sie könnte entweder versuchen die Auswirkungen des Angriffs zu beseitigen, oder Sie können Sich entscheiden, die Software und die Daten aus einer nicht kompromittierten Kopie neu zu installieren. Einige Virenscanner bieten die Möglichkeit, die Auswirkungen einer schädlichen Software zu beseitigen, indem sie die durch die Software vorgenommenen Änderungen erkennen und entfernen. Zusätzliche gibt es einige frei verfügbare Tools um ein System zu bereinigen, oder die Auswirkungen einiger der bekannteren schädlichen Programme zu entfernen.Obwohl Virenscanner möglicherweise die Auswirkungen von schädlicher Software effektiv entfernen können, gibt es einige bedeutende Punkte zu berücksichtigen:
•Die schädliche Software ist möglicherweise sehr kompliziert. Das Tool könnte bei der Bereinigung des Systems nicht in der Lage sein alle Effekte zu entfernen.
•Manche Programme (wie z. B. Code Red oder der Wurm Nimda) öffnen das System nach außen. Jeder mit Netzwerkzugriff auf das System kann vollständige Kontrolle über dieses System erlangen und jede mögliche Änderung vornehmen. Auch wenn der Virenscanner die schädliche Software entfernen kann, kann er jedoch nicht erkennen, ob nicht authorisierter Benutzer bereits Änderungen am System vorgenommen hat.
•Auch wenn ein Virenscanner-Hersteller eine neue Signatur veröffentlicht hat, die den Virus entdeckt und beseitigt, könnte es mehrere Stunden dauern bis diese zum Herunterladen zur Verfügung steht. Da schädliche Programme sehr kompliziert sein können und umfangreiche Auswirkungen haben können, kann es einige Zeit dauern bis einen Hersteller eine Signaturdatei erstellt hat, welche die Auswirkungen des Programms vollständig beseitigt.
Jeder dieser drei Punkte spricht für eine Neuformatierung aller Partitionen eines Systems, und einer neuen Installation der gesamten Software. Die Vorschläge des CERT Coordination Center zur Wiederherstellung nach einem Angriff schlagen dies ebenfalls so vor.

Zum Vergrößern anklicken....

Danke an bitmuncher und Chrissy_XY für die Beantwortung meiner Frage.

ThX 3X!_d0S

@sogra
der einzig sichere weg: "flatten and rebuild"

um sich sicher zu ein muss man den komletten Rechner platt mache...
hab mir auch letztlich n Virus eingefangen, als ich ne Runde auf dem Schlafsofa gezockt habe, schöne kacke...

@Offtopic: Um GANZ sicher zu sein, musst du dir einen neuen Rechner kaufen, bzw jene Komponenten ersetzen, die einen Flashspeicher haben, der manipuliert sein könnte. Außerdem darfst du keine Daten vom kompromitierten System uebernehmen, da diese ebenfalls manipuliert sein koennten (der Angreifer könnte zb eine unbekannte Sicherheitsluecke von $documentreader kennen und all deine Dokumente so manipuliert haben, dass sie eine unbekannte Schadsoftware nachladen).

die wahrscheinlichkeit und möglichkeiten für infektionen von hardwarekomponenten sind recht überschaubar ...

zusätzlich zum speicherplatz für schadcode muss dort abgelegter code auch zur ausführung gelangen ... und darf die funktion des bauteils nicht erkennbar stören, da er sonst leicht entdeckt wird...

prinzipiell bleiben da bei einem normalen rechner der system bios flash speicher und ... evtl der flashspeicher der grafik firmware ... letzterer bringt häufig die einschränkung mit nicht die höheren funktionen der karte benutzen zu können, da der dafür zuständige microcode erst vom graka treiber geladen wird. zudem ist der platz recht beschränkt ...

das system bios ist meiner meinung nach der einzige platz wo es sich platzmäßig anbieten würde, und die einzige mir bekannte komponente bei der soetwas bereits vorgekommen ist, die kein regulärer datenträger war ...
(siehe CIH virus)

wer also eine hauptplatine hat die einen schreibschutz jumper für den flashbaren teil des bios hat, sollte ihn benutzen, und darf dann relativ sicher sein, das abgesehen von datenträgern das infektionsrisiko als äusserst gering betrachtet werden darf...

http://www.invisiblethingslab.com/resources/bh09usa/Ring -3 Rootkits.pdf

In 99% aller Fälle reicht es aus, wenn man weiß, was die Malware tut (in den meisten Faellen handelt es ich um Standardschadsoftware und nicht personalisierte ist). Von daher kann man in den meisten Faellen den Virenscanner das System saeubern lassen. Hat man das Glueck und jemand (der Ahnung und die Mittel hat) hat es auf einen abgesehen (sollte dem 0815-Internetbenutzer aber nicht passieren), so wird man wohl nicht drumherum kommen sich einen Haufen Arbeit zu machen. Es gibt unzaehlige Wege sich den Zugang zu einem Rechner dauerhaft zu sichern, wie waere es mit der Moeglichkeit einen anderen PC im Netzwerk ebenfalls zu befallen und dann von diesem wieder den Urspruenglichen.