Trustwave SpiderLabs demonstriert Hacking einer Journalistin
Im Laufe dieses Sommers erhielt das Trustwave SpiderLabs Team die Anfrage einer Journalisten, ob es möglich wäre, dass man sie zu Demozwecken einmal hacken könnte. Die technisch versierte Journalistin sicherte dabei zu, dass sie die Verantwortung dafür und für evtl. entstehende Schäden vollständig übernehmen wird.
Das SpiderLabs Team, bestehend aus ethischen Hackern und Forschern, hatte bereits 2013 eine ähnliche Anfrage eines US-Reporters, der schließlich erfolgreich gehackt wurde.
Dieser Fall sollte sich aber von dem Szenario mit dem US Reporter dahingehend unterscheiden, dass diesmal die Reporterin Sophie das einzige Angriffsziel sein sollte. Also ohne Kompromittierung der Firma, Mitarbeiter oder Familie. Sophie schrieb dann anschließend einen Artikel im Telegraph über Ihre Erfahrung. (Wie Hacker meinen Computer übernahmen)
Einige Leser kritisierten die Naivität von Sophie, die man dabei nicht ganz ausschließen darf. Allerdings war die Angriffsstrategie der ethischen Hacker sehr intelligent. Durch die angewandten Social Engineering Techniken konnte man sehr schön nachvollziehen, dass der Faktor Mensch mit seinen großen Schwächen – Neugier und Ego – das beste Eintrittstor für jeden Angriff ist.
Das folgende Angriffsszenario wird nun aus der Sicht des SpiderLabs Teams geschildert:
Um das Risiko eines Scheiterns zu minimieren hat man sich auf einen zwei- bis dreistufigen Angriff geeinigt. Die erste Stufe sollte lediglich eine Demonstration der passiven Informationsbeschaffung sein, die in den weiteren Stufen eine zwingende Aktivität des Opfers zur Folge haben sollte.
Phasen des Angriffs
- Passive Informationsbeschaffung / Ausspähen
- Aktives-Fingerprinting
- Aktiver Angriff
Zuerst wurden von Sophie möglichst viele Informationen systematisch ausgespäht. Wie z.B. das potentielle Handy Modell, die Firmen E-Mail Adresse, ihre sozialen Netzwerkprofile und vieles mehr. Das war schon mal ein guter Ausgangspunkt. Um allerdings die Erfolgschancen zu erhöhen, hilft es sehr, das Betriebssystem des Opfers zu kennen und die hinterlassenen Spuren ihres System, also ihre „Fingerabdrücke“, zu erkennen.
Fingerprinting: Erster Versuch
Um einen ersten Fingerabdruck von Ihr zu bekommen, wurde ein gefälschter Gmail Account mit lateinischen Namen erstellt. (Warum wird später erklärt). Von diesem Account aus wurden dann ein paar E-Mails an Sophie geschickt und nach einem Treffen mit ihr gefragt. In der Mail wurde ein verstecktes Bild eingefügt, das beim Laden, einen ersten Fingerprint ihres Systems zum Vorschein bringt. Die E-Mails waren absichtlich mit vagen Aussagen über zu treffende Personen bestückt, um die Neugier von Sophie zu wecken und sie zu veranlassen eine Antwort zu senden, in der sie nach weiteren Details fragen würde, damit man weitere Angriffsvektoren aktivieren könnte.
Allerdings haben wir keine Antwort bzw. eine Spur von Sophie bekommen, da Gmail das Herunterladen des Bildes durch den Google Image Proxy verhinderte.
Fingerprinting: Zweiter Versuch
Im Rahmen unseres zweiten Fingerprinting Versuchs registrierten wir eine Domain, die der LinkedIn Domain sehr ähnelte – „Linkdhn.com“. Über diese fake Domain schickten wir Sophie getarnte Einladungsmails, wie es in LinkedIn üblich ist, wenn man sich mit einem Benutzer verbinden möchte. Die Einladungsmail wurde als Einladung einer vermeintlichen Kollegin von Sophie getarnt. Wenn sie nun der Einladung folgte, würde sie auf die Anmeldeseite der gefälschte LinkedHn weitergeleitet werde.
Sophie öffnete zwar die gefälschte Einladung, meldete sich aber nicht auf der falschen Domain an. Trotzdem waren wir dadurch in der Lage, Informationen über ihr System, mit Hilfe des BeFF Frameworks, herauszufinden.
Wir erfassten ihre Plugins, Betriebssystemversion, Standort und vieles mehr. Wir identifizierten u.a. ihre WIN 7 Version mit Java 1.7 update 51 und MS Office 2010. Danach wurde der Browser Hook schnell beendet und wir starteten keine weiteren Angriffsversuche mehr. Ein kleiner, aber sehr wichtiger erster Sieg. Solche blinden Angriffe sind für Massenangriffe nicht unbedingt geeignet, aber umso effizienter bei einzelnen Personen. Im Folgenden kann man die gesammelten Systeminformationen sehen.
Nach dieser Aktion ließen wir einige Zeit verstreichen, bevor wir wieder unseren gefälschte Gmail Account mit lateinischen Namen reaktivierten. Diesmal nutzen wir den Account um uns näher vorzustellen und verliehen der Nachricht unter folgendem Vorwand mehr Glaubwürdigkeit.
Wir schickten über den Kontonamen “ email hidden; JavaScript is required “ eine neue Mail an Sophie und zwar 3 Tage vor der brasilianischen Präsidentschaftswahl:
Sophie,
wir sind Teil einer weltweiten Aktivistengruppe und möchten mit Ihnen nochmal Kontakt aufnehmen, nachdem Sie unser lokaler Mitarbeiter bereits vor ein paar Wochen kontaktiert hat. Sein Name war Ricardo Almeida, ein Alias Name. Dies ist leider zum Schutz seiner Identität notwendig. Leider haben Sie uns nicht geantwortet. Wir wollen mit Ihnen reden, da wir vertrauliche Daten von der britischen Regierung erhalten haben und derzeit mit mehreren Zeitungen aus verschiedenen Ländern zusammen arbeiten.
Zum Zeitpunkt des Schreibens haben wir bereits Vereinbarungen mit nationalen Zeitungen aus den USA, Deutschland, Italien, Frankreich, Brasilien, Argentinien und Südafrika geschlossen. Das Dokument muss am 3. Oktober 2014 veröffentlicht werden; zwei Tage vor dem brasilianischen Wahltag.
…
Wir möchten Ihnen die Möglichkeit geben, exklusiv über das Dokument zu berichten und senden Ihnen anbei bereits einen Teilextrakt zur ersten Einsichtnahme zu. Wenn Sie einverstanden sind, darüber einen Artikel, in Übereinstimmung mit unseren koordinierten globalen Freigabedatum vom 3. Oktober, in Ihrer Zeitung zu veröffentlichen, werden wir Ihnen das vollständige Dokument mit den entsprechenden Dateien zukommen lassen.
Bitte beachten Sie, dass wir eine Non-Profit-Organisation sind und Sie deshalb darum bitten die Identitäten der privat beteiligten Personen weiterhin zu schützen.
Anleitung
Die angehängte Datei ist komprimiert und mit einem starken Passwort verschlüsselt „! [Geschwärzt] Curtis7482“ (ohne Anführungszeichen), um die Dateigröße zu verringern und die Sicherheit unserer Kommunikation zu erhöhen. Wenn Sie mit Windows arbeiten, müssen Sie die angehängte .rar Datei zunächst aus dem Outlook kopieren, um die verschlüsselte Datei öffnen zu können. Dies erfolgt dann wie folgt:
- Sie benötigen ein Tool um die .rar Datei zu extrahieren, z.B . Winrar, 7Z, usw. Die folgenden Schritte werden über Winrar erklärt.
- Kopieren Sie die angehängte Datei zu Ihrem Ordner „Documents“.
- Im Ordner „Documents“, klicken Sie mit der rechten Maustaste auf „UK Leaks Proof – [geschwärzt] .rar“, wählen Sie „hier entpacken“ und geben Sie das Kennwort ein.
- Es wird eine neue Datei namens „UK Leak # 12 – BR Voting System.pdf“ erstellt, die Sie mit einen Doppelklick öffnen können.
Wir hoffen, Sie finden das Extrakt aufschlussreich und würden uns sehr freuen von Ihnen wieder zu hören.
Mit freundlichen Grüßen.
UK Leaks hat Team Der Inhalt dieser Nachricht ist vertraulich und unter Umständen geheim sein. Das Kopieren oder die Weitergabe ist untersagt.
_______________________________________________________________________
Wissen Sie was? Sie öffnete tatsächlich die E-Mail und folgte den Anweisungen.
Zunächst zögerte Sie noch. Aber ihr Appetit auf den exklusiven Knüller überwältigte ihre Zurückhaltung. Versetzen Sie sich in Ihre Situation: Sie ist eine Journalistin für eine große Tageszeitung und bekommt von einem geheimen Informanten eine bahnbrechende Nachricht über einen bevorstehen Wahlbetrug. Was würden Sie tun? Auf mögliche Sicherheitsrisiken schauen, oder mit einem exklusiven Beitrag die Karriere fördern? Vielleicht würden Sie länger überlegen und sich schließlich auf Ihr Antivirus Programm verlassen und die Anlage öffnen?
Anbei die gefälschte E-Mail, wie diese auf ihrem Computer angezeigt wurde:
Für diese E-Mail nutzte Sophie eine Webmail Oberfläche, das unsere Aufmerksamkeit hervorrief. Später entdecken wir, dass sie diese Mail mit einem anderen Computer als den von uns ausgelesen, bediente
Wir verwendeten einen alten Trick um das Binary so zu imitieren, dass es wie eine gültige PDF-Datei aussah. Da Gmail das Senden einer direkt ausführbaren Datei verbietet, haben wir die Datei zunächst in einer.zip Datei verborgen. Aber Gmail blockierte auch die .zip Datei. Daher entschieden wir uns für eine .rar Datei, mit einer entsprechenden Anweisung wie die Datei zu öffnen ist. Da wir davon ausgingen, dass Sophie eine technisch versierte Journalistin ist, sollte sie ein Tool wie Winrar eigentlich installiert haben.
Folgend sehen sie, wie die gefälschte PDF Datei auf ihrem Computer aussieht, nachdem sie den Anweisungen gefolgt ist.
Es sieht aus wie eine echte Anlage, oder?
Es gibt einen Hinweis dass etwas falsch sein könnte. Unter Typ steht bei der Datei „Anwendung“. Leider missachten viel User diese Angaben. Das wäre aber wichtig um gerade Social-Engineering-Hacks zu vermeiden
Ein weiteres Feature das wir in diese Datei eingebaut haben war, eine sekundenlange Pop-up Meldung nachdem das PDF geöffnet wurde, mit dem Text: „Der Zugriff wurde verweigert.“ Wir hofften dabei, dass Sophie erneut versuchen wird die Datei zu öffnen. Im besten Fall noch von anderen Computern. Es funktionierte tatsächlich. Als Ergebnis bekamen wir 6 verschiedene Anschlüsse und Shells aus ihrem Laptop.
Wir packten die ausführbare Datei mit einem privaten Packer, der zu dieser Zeit eine geringe Erkennungsrate hatte. Der Payload ist eine Variation aus dem 3 in 1, wie es in diesem Blog beschrieben ist
Zu einem bestimmten Zeitpunkt antwortete sie auf unsere Mail, dass sie dem Freigabetermin zustimmt und die Datei sofort öffnen wird. Wie sie unten sehen können, schlug die Sicherheitssoftware auf ihrem System an. Das dürft sie auch etwas misstrauisch gemacht habe. Aber trotz ihrer Vorbehalte: der Druck des Veröffentlichungsdatums, der exklusive Bericht, der ihre Karriere weiterhin positive beeinflussen würde und das Vertrauen auf ihre Sicherheitssoftware, führte dies zur Kompromittierung ihres Systems.
Nach ihrer ersten Antwort dauerte es doch nochmal 25 Minuten, bis sie die Datei versuchte zu öffnen. Wir vermuten dass dies ein Resultat ihrer vorhandenen Skepsis war. Wir verzögerten aber unsere Antwort um den Druck auf sie zu erhöhen. Dann schickte sie eine weitere Mail, in der sie ihre Bedenken ausdrückte, dass dies doch ein Betrug sein könnte – aber zu diesem Zeitpunkt war ihr System bereits kompromittiert. Auch wenn dieser Angriff gescheitert wäre, hätte sie uns trotzdem durch ihre Kommunikation, eine zweite Chance gegeben weitere Angriffsmethoden bei ihr anzuwenden.
Wie wir bereits vorher aufgeführt haben, nutzte Sophie die Google Mail-Weboberfläche mit Chrome. Sie nutzte OpenOffice, das weniger verbreitet ist. Der Rechner war nicht mit erweiterten Rechten konfiguriert. Aber es gibt Möglichkeiten die Privileged Rights auch auf vollständig gepatschten Rechner zu eskalieren (aber das ist ein Thema für einen anderen Blog-Post).
Nachdem wir die C&C auf ihrem Rechner eingerichtet haben, konnten wir eigentlich alles damit machen. Hoch interessant ist dann natürlich, im Huckepack Verfahren über die Firmen-VPN-Verbindung die Anmeldinformationen zu ziehen und weiter in das Firmennetzwerk einzudringen um Dateien und Ressourcen aller Art stehlen zu können.
Was können wir daraus mitnehmen?
Organisationen sollten Folgendes berücksichtigen:
- Sensibilisierung und Aufklärung der Mitarbeiter über die potenziellen Gefahren des Social Engineering-Angriffs.
- Neubewertung von evtl. Lücken in Perimeter-basierenden Anti-Malware-Abwehr Systemen (insbesondere E-Mail und Web-Gateways). Wenn bereits eine Sicherheits-Gateway-Technologie vorhanden ist, sicherstellen, dass diese auch richtig konfiguriert ist und vor allem getestet wurde.
- Regelmäßige Patches und Aktualisierung von Systemen und Software gilt nicht nur für Server. Das Patching von Enduser-Systemen und der Software sollte strukturierte kontinuierlich veranlasst werden.
- Die Kompromittierung eines Mitarbeiter Gerätes kann zu einem Angriff gegen das Unternehmensnetzwerkes führen, auch wenn der User von zu Hause aus arbeitet. Angreifer können über VPN-Verbindungen, als Huckepack des gehackten Mitarbeiters, in das Innere des Netzwerkes eindringen.
Wir werden oft gefragt was der Sinn des Social Engineerings ist. Die Möglichkeit überall rein zu kommen? Ja so könnte man das sagen. Die höchste Priorität um solche Angriffsmethoden möglichst zu vermeiden, ist die kontinuierliche Sensibilisierung und Schulung der Mitarbeiter, was alles passieren kann wenn ein Mitarbeiter gehackt wird.