Digitale Forensik: Angriffsszenarien auf IT-Infrastrukturen

457 Aufrufe

Veröffentlicht am

Präsentation von Patrick Eisoldt und David Schlichtnberger auf der IT-Konferenz 2015 der IHK Reutlingen.

Veröffentlicht in: Bildung
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
457
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
78
Aktionen
Geteilt
0
Downloads
2
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Digitale Forensik: Angriffsszenarien auf IT-Infrastrukturen

  1. 1. Digitale Forensik: Angriffsszenarien auf IT- Infrastrukturen Patrick Eisoldt, David Schlichtenberger
  2. 2. Patrick Eisoldt • Studium an der Hochschule Albstadt-Sigmaringen und der Glyndwr University in Wales • Praktika/Thesen: Siemens, Marquardt • November 2010 bis August 2011: Mitarbeiter Digitale Forensik • Seit 2012: Mitarbeiter Open C³S • Schwerpunkte: Digitale Forensik, Windows-Forensik, Python (Forensik und Pentesting)
  3. 3. David Schlichtenberger • Studium Medien- und Kommunikationsinformatik, Hochschule Reutlingen • 2010 bis 2013: Softwareingenieur im Bereich Web Entwicklung, informedia GmbH, Stuttgart • 2013 bis 2014: Systemingenieur / Kundenberater für Internetservices, KIRU, Reutlingen • Seit 2014: Wissenschaftlicher Mitarbeiter im Masterstudiengang Digitale Forensik, Hochschule Albstadt-Sigmaringen – IWW • Schwerpunkte: Digitale Forensik, Netzwerke, Python, Pentesting
  4. 4. Hochschule Albstadt-Sigmaringen • Standorte: Albstadt und Sigmaringen • Studierende: 3 318 21.05.2015 Patrick Eisoldt und David Schlichtenberger 4 Engineering • Maschinenbau • Textil- und Bekleidungstechnologie • Textile Produkttechnologie - Technische Textilien • Material and Process Engineering • Wirtschaftsingenieurwesen • Maschinenbau - Rechnerunterstützte Produkterstellung • Textil- und Bekleidungsmanagement • Wirtschaftsingenieurwesen - Produktionsmanagement Business Science and Management • Betriebswirtschaft • Betriebswirtschaft und Management • IT Governance, Risk and Compliance Management Life Sciences • Pharmatechnik • Lebensmittel, Ernährung und Hygiene • Facility Management • Biomedical Sciences • Facility Design und Management Informatik • IT Security • Technische Informatik • Wirtschaftsinformatik • Business Analytics • Digitale Forensik • Systems Engineering • Data Science MasterBachelor Zertifikatsprogramm • Im Rahmen von Open C³S entstanden Studium Initiale • Im Rahmen von Open C³S entstanden
  5. 5. Digitale Forensik, IT-Sicherheit und Datenanalyse an Hochschule Albstadt- Sigmaringen 21.05.2015 Patrick Eisoldt und David Schlichtenberger 5 Business Science and Management • IT Governance, Risk and Compliance Management Informatik • IT Security • Business Analytics • Digitale Forensik • Data Science MasterBachelor Zertifikatsprogramm • Im Rahmen von Open C³S entstanden
  6. 6. Was ist Digitale Forensik? • Digitale Forensik, IT-Forensik, Computer-Forensik… • Ermittlung, Nachweis und Aufklärung von Straftaten und Sicherheitsvorfällen im Bereich Cyberkriminalität • Fragestellungen • Was, Wo, Wann, Wie, Wer? • Ergebnis • Identifikation des Täters • Ermittlung des Zeitraums und Umfangs der Tat • Feststellen der Motivation • Ermittlung der Ursache und Durchführung 21.05.2015 Patrick Eisoldt und David Schlichtenberger 6
  7. 7. Arbeitgeber • Digitale Forensiker arbeiten in… • Strafverfolgungsbehörden (LKA, Bundespolizei, BKA…) • Privaten Sektor • Spezialisierte Forensik Unternehmen • IT-Sicherheitsunternehmen • Unternehmen mit erhöhten Sicherheitsbedarf • … 21.05.2015 Patrick Eisoldt und David Schlichtenberger 7
  8. 8. Prozess der digitalen Forensik Vier Schritte: • Identifizierung – Dokumentation der vorgefundenen Situation, Bestandsaufnahme, Einschätzung auf welchen Systemen relevante Daten vorhanden sein können. • Datensicherung – Abschaltung des Systems? Sicherung der Daten, möglichst ohne Änderungen am System vorzunehmen. • Analyse – Je nach System sehr vielschichtig (Spezialwissen über Betriebssysteme und Prozesse, Anwendungen, Protokolle… notwendig) • Aufbereitung – Bericht über die Erkenntnisse (im besten Fall können alle W-Fragen restlos aufgeklärt werden) 21.05.2015 Patrick Eisoldt und David Schlichtenberger 8
  9. 9. Täter • Unterschiedliche Tatmotive und Beweggründe • Hacker • Cracker • Skriptkiddies • Spione • Kriminelle • Terroristen • Insider • ... 21.05.2015 Patrick Eisoldt und David Schlichtenberger 9
  10. 10. Analyseansätze • Live Response Analyse • Analyse eines aktiven (nicht ausgeschalteten) Systems • Ermöglicht die Sicherung flüchtiger Daten • Ermöglicht die Sicherung von Daten bei vollverschlüsselten Systemen • Post Mortem Analyse • Falls flüchtiger Speicher nicht relevant ist und / oder der Vorfall schon länger zurückliegt • Auswertung einer forensischen Kopie des Systems 21.05.2015 Patrick Eisoldt und David Schlichtenberger 10
  11. 11. Phishing
  12. 12. Phishing http://links.ga/OXZxy
  13. 13. Hacking Wordpress: Elektro Muster • Website eines mittelständischen Betriebs basierend auf dem Wordpress CMS 21.05.2015 Patrick Eisoldt und David Schlichtenberger 13
  14. 14. Hacking Wordpress: Versionen • Aktuellste Wordpress-Version 4.2.2 vom 19.05.2015 • Plug-In für Kontaktformular „N-Media Website Contact Form with File Upload” in Version 1.5 • Exploit für Plug-In Version bekannt seit 11.05.2015 21.05.2015 Patrick Eisoldt und David Schlichtenberger 14
  15. 15. Hacking Wordpress: Metasploit • Metasploit – ein Framework für Exploits zum Ausnutzen von Sicherheitslücken (Betriebssysteme, Serverdienste, Webanwendungen, Programmen…) • Umfangreiche Datenbank mit fertig ausführbaren Exploits • Täglich werden Exploits hinzugefügt 21.05.2015 Patrick Eisoldt und David Schlichtenberger 15
  16. 16. Hacking Wordpress: Metasploit • Vorab: Analyse der Website • Starten von Metasploit • Suchen eines Exploits: msf > search name:wordpress 21.05.2015 Patrick Eisoldt und David Schlichtenberger 16
  17. 17. Hacking Wordpress: Exploit • Ein passender Exploit für das Plugin wurde gefunden (wp_nmediawebsite_file_upload). 21.05.2015 Patrick Eisoldt und David Schlichtenberger 17
  18. 18. Hacking Wordpress: Konfiguration • Festlegen des Angriffsziels • Festlegen des Schadcodes 21.05.2015 Patrick Eisoldt und David Schlichtenberger 18
  19. 19. Hacking Wordpress: Schadcode 21.05.2015 Patrick Eisoldt und David Schlichtenberger 19
  20. 20. Hacking Wordpress: Exploit! 21.05.2015 Patrick Eisoldt und David Schlichtenberger 20 • Der erstellte Schadcode wurde unter einem kryptischen Namen 1432- …zMiGu.php hochgeladen und ist über die URL aufrufbar: • Aufruf von: http://localhost/wordpress/wp- content/uploads/contact_files/1432045239-zMiGu.php
  21. 21. Hacking Wordpress: Ändern/Auslesen der Benutzerdatenbank 21.05.2015 Patrick Eisoldt und David Schlichtenberger 21 UPDATE wp_users SET user_pass = MD5('admin') WHERE user_login = 'admin';
  22. 22. Analyse Wordpress-Hack 21.05.2015 Patrick Eisoldt und David Schlichtenberger 22 • Isolieren des Webservers vom Netzwerk (sofern möglich). Gefahr im Verzug! • z. B. durch Firewall Regel • Sichern des Arbeits- und Festplattenspeichers • z. B. Snapshot des Webservers • Weitere Vorgehensweise abhängig vom Sicherheitsvorfall • Versuch der Bestimmung des Zeitpunkt des Hacks • Prüfung auf modifizierte Dateien (z. B. Abgleich mit Backup) • Durchsicht relevanter Logdateien (Webserver, MySQL-Server, SFTP-Log, …) • Prüfen auf aktive Netzwerkverbindungen • (Analyse des Arbeitsspeichers)
  23. 23. Analyse Wordpress-Hack: MySQL 21.05.2015 Patrick Eisoldt und David Schlichtenberger 23 • Binäre Logdatei (/var/log/mysql/mysql-bin.log) des Datenbankservers mit Zeitstempel des Vorfalls • Ersichtlich ist, dass das Passwort geändert wurde
  24. 24. Analyse Wordpress-Hack: Webserverlogdatei 21.05.2015 Patrick Eisoldt und David Schlichtenberger 24 • Logdatei (/var/log/apache2/access.log) des Webservers mit Informationen zur Sicherheitslücke • Ersichtlich ist die IP-Adresse und der Browser des Angreifers
  25. 25. Analyse Wordpress-Hack: Ergebnis 21.05.2015 Patrick Eisoldt und David Schlichtenberger 25 • Durch die Analyse der Logdateien konnte die IP-Adresse des Angreifers ermittelt werden. • Der Angreifer konnte über eine Sicherheitslücke eine Datei (kryptischer Name) auf den Server hochladen und sich Zugriff auf die Passwort-Datenbank verschaffen • Dort wurde das Passwort des Administrators geändert und der Angreifer hatte somit Zugriff auf die CMS-Administrationsoberfläche. • Durch die Analyse konnte ausgeschlossen werden, dass der Angreifer sensible Kundentabellen kopiert hat. Zudem wurde der Server aufgrund einer weiteren Sicherungsschicht nicht vollständig kompromittiert.
  26. 26. Wordpress-Hack: ToDos / Fazit 21.05.2015 Patrick Eisoldt und David Schlichtenberger 26 • Die Schadcode-Datei wurde vom Server entfernt. • Das Administratorpasswort wurde geändert und der Benutzername "admin" umbenannt. • Das verwundbare Plug-In wurde entfernt. • Die Wordpress-Installation und Webserver-Konfiguration wurde "gehärtet".
  27. 27. Phishing • Phishing-Seiten • Phishing-Seiten können sehr einfach mit Generatoren erstellt werden • Zum Teil fällt ein falscher Login nicht einmal auf
  28. 28. Phishing • IP-Adresse der VM abfragen: • ifconfig • Social Engineer Toolkit konfigurieren: • 1) Social-Engineering Attacks • 2) Website Attack Vectors • 3) Credential Harvester Attack Method • 2) Site Cloner • IP address for the POST back in Harvester/Tabnabbing: [IP-Adresse der VM] • Enter the url to clone: [www.facebook.com] • IP-Adresse der VM im Host eingeben
  29. 29. Lucy – Phish yourself  LUCY ist ein Phishing-Server, mit dem Phishing-Kampagnen mit wenig Aufwand erstellt werden können.  Einsatzgebiet: Penetration Tests gegen den Faktor „Mensch“ (primär zur Prüfung der eigenen Mitarbeiter)  Ablauf Anpassung einer Phishing-Vorlage: Website, Phishing E-Mail, USB-Stick o.ä. Übermittlung an die „Opfer“ Auswertung der Kampagne (LUCY stellt umfangreiche Statistiken zur Verfügung) Wie viele Personen haben wann auf welchen Link geklickt? Wie viele Personen haben Ihre Zugangsdaten über eine Phishing-Website eingegeben? Wie viele Personen haben einen gefundenen USB-Stick eingesteckt?
  30. 30. Lucy – Beispiel Phishing Template Quelle: http://www.gtta.net/
  31. 31. Lucy – Beispiel Phishing Auswertung Quelle: http://www.gtta.net/ Auswertungen: • Kumulierte, tägliche, stündliche Statistiken • Betriebssystem • Browser • Geografische Verteilung • Gesammelte Daten • Vergleich zu anderen Kampagnen

×