31
Digitale Forensik: Angriffsszenarien auf IT- Infrastrukturen Patrick Eisoldt, David Schlichtenberger

Digitale Forensik: Angriffsszenarien auf IT-Infrastrukturen

Embed Size (px)

Citation preview

Digitale Forensik: Angriffsszenarien auf IT-

Infrastrukturen

Patrick Eisoldt, David Schlichtenberger

Patrick Eisoldt

• Studium an der Hochschule Albstadt-Sigmaringen und der Glyndwr University in Wales

• Praktika/Thesen: Siemens, Marquardt

• November 2010 bis August 2011: Mitarbeiter Digitale Forensik

• Seit 2012: Mitarbeiter Open C³S

• Schwerpunkte: Digitale Forensik, Windows-Forensik, Python (Forensik und Pentesting)

David Schlichtenberger

• Studium Medien- und Kommunikationsinformatik, Hochschule Reutlingen

• 2010 bis 2013: Softwareingenieur im Bereich Web Entwicklung,informedia GmbH, Stuttgart

• 2013 bis 2014: Systemingenieur / Kundenberater für Internetservices, KIRU, Reutlingen

• Seit 2014: Wissenschaftlicher Mitarbeiter im Masterstudiengang Digitale Forensik, Hochschule Albstadt-Sigmaringen – IWW

• Schwerpunkte: Digitale Forensik, Netzwerke, Python, Pentesting

Hochschule Albstadt-Sigmaringen

• Standorte: Albstadt und Sigmaringen

• Studierende: 3 318

21.05.2015 Patrick Eisoldt und David Schlichtenberger 4

Engineering• Maschinenbau• Textil- und

Bekleidungstechnologie• Textile Produkttechnologie -

Technische Textilien• Material and Process

Engineering• Wirtschaftsingenieurwesen

• Maschinenbau -Rechnerunterstützte Produkterstellung

• Textil- und Bekleidungsmanagement

• Wirtschaftsingenieurwesen -Produktionsmanagement

Business Science andManagement

• Betriebswirtschaft

• Betriebswirtschaft und Management

• IT Governance, Risk and Compliance Management

Life Sciences• Pharmatechnik• Lebensmittel, Ernährung und

Hygiene• Facility Management

• Biomedical Sciences• Facility Design und Management

Informatik• IT Security• Technische Informatik• Wirtschaftsinformatik

• Business Analytics• Digitale Forensik • Systems Engineering• Data Science

Mas

ter

Bac

he

lor

Zertifikatsprogramm• Im Rahmen von Open C³S

entstanden

Studium Initiale• Im Rahmen von Open C³S

entstanden

Digitale Forensik, IT-Sicherheit und Datenanalyse an Hochschule Albstadt-Sigmaringen

21.05.2015 Patrick Eisoldt und David Schlichtenberger 5

Business Science andManagement

• IT Governance, Risk and Compliance Management

Informatik• IT Security

• Business Analytics• Digitale Forensik • Data Science

Mas

ter

Bac

he

lor

Zertifikatsprogramm• Im Rahmen von Open C³S

entstanden

Was ist Digitale Forensik?

• Digitale Forensik, IT-Forensik, Computer-Forensik…

• Ermittlung, Nachweis und Aufklärung von Straftaten und Sicherheitsvorfällen im Bereich Cyberkriminalität

• Fragestellungen• Was, Wo, Wann, Wie, Wer?

• Ergebnis• Identifikation des Täters• Ermittlung des Zeitraums und Umfangs der Tat• Feststellen der Motivation• Ermittlung der Ursache und Durchführung

21.05.2015 Patrick Eisoldt und David Schlichtenberger 6

Arbeitgeber

• Digitale Forensiker arbeiten in…• Strafverfolgungsbehörden (LKA, Bundespolizei, BKA…)

• Privaten Sektor• Spezialisierte Forensik Unternehmen

• IT-Sicherheitsunternehmen

• Unternehmen mit erhöhten Sicherheitsbedarf

• …

21.05.2015 Patrick Eisoldt und David Schlichtenberger 7

Prozess der digitalen Forensik

Vier Schritte:

• Identifizierung – Dokumentation der vorgefundenen Situation, Bestandsaufnahme, Einschätzung auf welchen Systemen relevante Daten vorhanden sein können.

• Datensicherung – Abschaltung des Systems? Sicherung der Daten, möglichst ohne Änderungen am System vorzunehmen.

• Analyse – Je nach System sehr vielschichtig (Spezialwissen über Betriebssysteme und Prozesse, Anwendungen, Protokolle… notwendig)

• Aufbereitung – Bericht über die Erkenntnisse (im besten Fall können alle W-Fragen restlos aufgeklärt werden)

21.05.2015 Patrick Eisoldt und David Schlichtenberger 8

Täter

• Unterschiedliche Tatmotive und Beweggründe• Hacker

• Cracker

• Skriptkiddies

• Spione

• Kriminelle

• Terroristen

• Insider

• ...

21.05.2015 Patrick Eisoldt und David Schlichtenberger 9

Analyseansätze

• Live Response Analyse• Analyse eines aktiven (nicht ausgeschalteten) Systems

• Ermöglicht die Sicherung flüchtiger Daten

• Ermöglicht die Sicherung von Daten bei vollverschlüsselten Systemen

• Post Mortem Analyse• Falls flüchtiger Speicher nicht relevant ist und / oder der Vorfall schon länger

zurückliegt

• Auswertung einer forensischen Kopie des Systems

21.05.2015 Patrick Eisoldt und David Schlichtenberger 10

Phishing

Phishing

http://links.ga/OXZxy

Hacking Wordpress: Elektro Muster

• Website eines mittelständischen Betriebs basierend auf dem Wordpress CMS

21.05.2015 Patrick Eisoldt und David Schlichtenberger 13

Hacking Wordpress: Versionen

• Aktuellste Wordpress-Version 4.2.2 vom 19.05.2015

• Plug-In für Kontaktformular „N-Media Website Contact Form with File Upload” in Version 1.5

• Exploit für Plug-In Version bekannt seit 11.05.2015

21.05.2015 Patrick Eisoldt und David Schlichtenberger 14

Hacking Wordpress: Metasploit

• Metasploit – ein Framework für Exploits zum Ausnutzen von Sicherheitslücken (Betriebssysteme, Serverdienste, Webanwendungen, Programmen…)

• Umfangreiche Datenbank mit fertig ausführbaren Exploits

• Täglich werden Exploits hinzugefügt

21.05.2015 Patrick Eisoldt und David Schlichtenberger 15

Hacking Wordpress: Metasploit

• Vorab: Analyse der Website

• Starten von Metasploit

• Suchen eines Exploits:

msf > search name:wordpress

21.05.2015 Patrick Eisoldt und David Schlichtenberger 16

Hacking Wordpress: Exploit

• Ein passender Exploit für das Plugin wurde gefunden (wp_nmediawebsite_file_upload).

21.05.2015 Patrick Eisoldt und David Schlichtenberger 17

Hacking Wordpress: Konfiguration

• Festlegen des Angriffsziels

• Festlegen des Schadcodes

21.05.2015 Patrick Eisoldt und David Schlichtenberger 18

Hacking Wordpress: Schadcode

21.05.2015 Patrick Eisoldt und David Schlichtenberger 19

Hacking Wordpress: Exploit!

21.05.2015 Patrick Eisoldt und David Schlichtenberger 20

• Der erstellte Schadcode wurde unter einem kryptischen Namen 1432-…zMiGu.php hochgeladen und ist über die URL aufrufbar:

• Aufruf von:http://localhost/wordpress/wp-content/uploads/contact_files/1432045239-zMiGu.php

Hacking Wordpress: Ändern/Auslesen der Benutzerdatenbank

21.05.2015 Patrick Eisoldt und David Schlichtenberger 21

UPDATE wp_users SET user_pass = MD5('admin') WHERE user_login = 'admin';

Analyse Wordpress-Hack

21.05.2015 Patrick Eisoldt und David Schlichtenberger 22

• Isolieren des Webservers vom Netzwerk (sofern möglich). Gefahr im Verzug!• z. B. durch Firewall Regel

• Sichern des Arbeits- und Festplattenspeichers• z. B. Snapshot des Webservers

• Weitere Vorgehensweise abhängig vom Sicherheitsvorfall• Versuch der Bestimmung des Zeitpunkt des Hacks• Prüfung auf modifizierte Dateien (z. B. Abgleich mit Backup)• Durchsicht relevanter Logdateien (Webserver, MySQL-Server, SFTP-Log, …)• Prüfen auf aktive Netzwerkverbindungen• (Analyse des Arbeitsspeichers)

Analyse Wordpress-Hack: MySQL

21.05.2015 Patrick Eisoldt und David Schlichtenberger 23

• Binäre Logdatei (/var/log/mysql/mysql-bin.log) des Datenbankservers mit Zeitstempel des Vorfalls

• Ersichtlich ist, dass das Passwort geändert wurde

Analyse Wordpress-Hack: Webserverlogdatei

21.05.2015 Patrick Eisoldt und David Schlichtenberger 24

• Logdatei (/var/log/apache2/access.log) des Webservers mit Informationen zur Sicherheitslücke

• Ersichtlich ist die IP-Adresse und der Browser des Angreifers

Analyse Wordpress-Hack: Ergebnis

21.05.2015 Patrick Eisoldt und David Schlichtenberger 25

• Durch die Analyse der Logdateien konnte die IP-Adresse des Angreifers ermittelt werden.

• Der Angreifer konnte über eine Sicherheitslücke eine Datei (kryptischer Name) auf den Server hochladen und sich Zugriff auf die Passwort-Datenbank verschaffen

• Dort wurde das Passwort des Administrators geändert und der Angreifer hatte somit Zugriff auf die CMS-Administrationsoberfläche.

• Durch die Analyse konnte ausgeschlossen werden, dass der Angreifer sensible Kundentabellen kopiert hat. Zudem wurde der Server aufgrund einer weiteren Sicherungsschicht nicht vollständig kompromittiert.

Wordpress-Hack: ToDos / Fazit

21.05.2015 Patrick Eisoldt und David Schlichtenberger 26

• Die Schadcode-Datei wurde vom Server entfernt.

• Das Administratorpasswort wurde geändert und der Benutzername "admin" umbenannt.

• Das verwundbare Plug-In wurde entfernt.

• Die Wordpress-Installation und Webserver-Konfiguration wurde "gehärtet".

Phishing

• Phishing-Seiten• Phishing-Seiten können sehr einfach mit Generatoren erstellt werden

• Zum Teil fällt ein falscher Login nicht einmal auf

Phishing

• IP-Adresse der VM abfragen:• ifconfig

• Social Engineer Toolkit konfigurieren:• 1) Social-Engineering Attacks

• 2) Website Attack Vectors

• 3) Credential Harvester Attack Method

• 2) Site Cloner

• IP address for the POST back in Harvester/Tabnabbing: [IP-Adresse der VM]

• Enter the url to clone: [www.facebook.com]

• IP-Adresse der VM im Host eingeben

Lucy – Phish yourself

LUCY ist ein Phishing-Server, mit dem Phishing-Kampagnen mit wenig Aufwand erstellt werden können.

Einsatzgebiet: Penetration Tests gegen den Faktor „Mensch“ (primär zur Prüfung der eigenen Mitarbeiter)

AblaufAnpassung einer Phishing-Vorlage: Website, Phishing E-Mail, USB-Stick o.ä.

Übermittlung an die „Opfer“

Auswertung der Kampagne (LUCY stellt umfangreiche Statistiken zur Verfügung)

Wie viele Personen haben wann auf welchen Link geklickt?

Wie viele Personen haben Ihre Zugangsdaten über eine Phishing-Website eingegeben?

Wie viele Personen haben einen gefundenen USB-Stick eingesteckt?

Lucy – Beispiel Phishing Template

Quelle: http://www.gtta.net/

Lucy – Beispiel Phishing Auswertung

Quelle: http://www.gtta.net/

Auswertungen:• Kumulierte, tägliche, stündliche

Statistiken• Betriebssystem• Browser• Geografische Verteilung• Gesammelte Daten• Vergleich zu anderen Kampagnen