Analyse eines Angriffs (Teil 2)

Analyse eines Angriffs (Teil 1)

Don Parker

Im ersten Teil haben wir Ihnen gezeigt, welche Informationen Sie beim Öffnen der von Nmap gesendeten Paketsequenz beobachten können. Die gesendete Sequenz beginnt mit einer ICMP-Echoantwort, um festzustellen, ob dem Computer oder Netzwerk eine IP-Adresse zugewiesen wurde.

Darüber hinaus können wir anhand der TTL im zurückgesendeten ICMP-Echoantwortpaket vermuten, dass es sich bei dem Netzwerk des angegriffenen Computers um ein Windows-basiertes Netzwerk handelt. Wir sollten nun die verbleibenden Pakete im Nmap-Scanner weiter beobachten und die restlichen Informationen ermitteln, um das Profil des angegriffenen Netzwerks zu ermitteln.

Weiter

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

Die beiden obigen Pakete folgen den ICMP-Paketen, die wir in Teil 1 beobachtet haben. Nmap sendete ein ACK-Paket an die IP 192.168.111.23 des Opfernetzwerks auf Port 80. Da es sich um gefälschte Informationen handelt, erhalten wir hier nicht das vollständige Bild. Wir sehen lediglich, dass das ACK-Paket als Antwort ein RST-Paket vom Angreifer erhalten hat, da dieses ACK nicht erwartet wurde. Es ist nicht Teil einer zuvor hergestellten Verbindung. Wir haben weiterhin eine TTL von 128, die der zuvor beobachteten TTL entspricht.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,..@.......o.
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

Nach dem Austausch der ACK- und RST-Pakete sehen wir, dass ein echtes SYN-Paket vom Hacker an das Opfernetzwerk gesendet wurde, wie das Paket mit dem fettgedruckten „S“ zeigt. Daraus lässt sich schließen, dass das SYN/ACK-Paket vom Opfernetzwerk über Port 21 zurückkehrt. Dieser Austausch wird dann mit der Rücksendung des RST-Pakets vom Hackercomputer an das Opfernetzwerk abgeschlossen. Diese drei Pakete enthalten nun eine Fülle von Informationen zum Spoofing.

Wir haben außerdem einen TTL-Wert von 128 vom Opfercomputer, aber auch den Wert „win64240“. Obwohl dieser Wert nicht aufgeführt ist, handelt es sich tatsächlich um eine Größe, die ich bereits oft bei Win32 (32-Bit-Versionen von Microsoft Windows wie Windows NT, 2K, XP und 2K3) gesehen habe. Eine weitere Einschränkung von Windows-Computern ist die gewisse Vorhersehbarkeit der Anzahl der IP-IDs. In diesem Fall haben wir nur einen IP-ID-Wert. Wir benötigen mindestens einen weiteren Wert, um sicher sagen zu können, dass es sich bei diesem Computer um einen Microsoft Windows-Computer handelt. Vor diesem Hintergrund schauen wir uns die verbleibenden Pakete aus dem Nmap-Scan an.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,..@.......o.
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

Die erste Information, nach der der Hacker sucht, ist, ob die IP-ID-Nummer auf 399 ansteigt. Diese IP-DI ist tatsächlich 399, wie wir in der Mitte des Pakets sehen können. Mit dieser Information ist der Hacker ziemlich sicher, dass der angegriffene Computer Windows NT, 2K, XP oder 2K3 ist. In dieser Paketsequenz ist außerdem zu beobachten, dass Port 80 im Netzwerk des Opfers offenbar einen Dienst hat, wie das SYN/ACK-Paket zeigt. Das SYN/ACK-Paket wird durch die Untersuchung des Flag-Felds im TCP-Header bestimmt. In diesem Fall ist der unterstrichene Hex-Wert 12 oder 18 dezimal. Dies lässt sich erkennen, indem der SYN-Flag-Wert 2 zum ACK-Flag-Wert 16 addiert wird.

Enumeration:

Sobald der Hacker weiß, dass die Ports 21 und 80 für das Unternehmen geöffnet sind, wechselt er in den Enumerationsmodus. Er muss lediglich wissen, welcher Webservertyp auf Verbindungen wartet. Es wäre für diesen Hacker sinnlos, eine Apache-Schwachstelle auf einem IIS-Webserver auszunutzen. Daher öffnet der Angreifer eine cmd.exe-Sitzung und ermittelt den Netzwerktyp.

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

Wir können den oben markierten Netzwerktyp oder die nc.exe-Syntax beobachten, die der Hacker in die IP-Adresse des Opfers sowie Port 80 eingibt. Anschließend fügt er das HTTP der GET-Methode hinzu, gefolgt von etwas Kauderwelsch. Dadurch kann der Webserver des Opfers seine Systeminformationen zurücksenden, wenn er die Anfrage nicht versteht. Dadurch werden die notwendigen Informationen für den Hacker aufgelistet. Der Hacker weiß nun, dass er Microsoft IIS 5.0 verwendet. Die gute Nachricht ist, dass er einige Exploits für diese Version besitzt.

Fazit:

Durch das Scannen des Netzwerks des Opfers mit Nmap kann der Hacker anschließend eine Reihe wichtiger Datenpakete empfangen. Wie wir gesehen haben, enthalten diese Datenpakete genügend Informationen, um Schwachstellen in Architektur, Betriebssystem, Netzwerktyp und Servertyp auszunutzen.

Kurz gesagt: Auf diese Weise erhält der Hacker die wichtigsten Informationen über Host, Architektur und bereitgestellte Dienste. Mit diesen Informationen kann er einen Angriff auf den Webserver des Opfers starten. Im folgenden Abschnitt stellen wir näher vor, welche Angriffe der Hacker in diesem Fall verwenden kann, um den Benutzer anzugreifen.

Analyse eines Angriffs (Teil 3)