Server Hack Szenario

Two objects RAMMED together. Computer Joke (RAM), sometimes theres a problem because of corrupted cache / ram data.
Two objects RAMMED together. Computer Joke (RAM), sometimes theres a problem because of corrupted cache / ram data.

Schon wieder dieser Witz: Two objects rammed together, wenn das unten beschriebene Szenario tatsächlich passiert wäre oder passieren würde, dann wäre dieser Witz auf jedenfalls angebracht. Die fiktive Firma die ich in der Geschichte genannt habe, setzt auf eine ganz normale DDOS Protection, die ihren Server vor Flood-DDOS Angriffen schützen soll. Dies klappt normalerweise auch gut. Da die Firma File-Handling benötigt, bzw. eine Uploadfunktion hat, verfügt der Server auch über einen Uploadfilter sowie über ein gesicherter Ordner, in dem die Dateien gescannt werden. Der betreffende Ordner ist nicht mehr im WWW Verzeichnis und ist aber auch nicht im eigentliche User-Verzeichniss.

Die meisten Bot Zugriffe konnten durch die DDOS-Protection abgewimmelt werden, doch einige schafften es dennoch durch.

Diese Bots laden nun Dateien hoch. Es gilt die folgende Chart:

 

User sends the header containing the data

Firewall / DDOS Protection make a Deep Packet Inspection to check the data

PHP FILE GET INPUT FUNCTION

DATEI WIRD ZWISCHENGESPEICHERT

Viren-Scan

Einlagerung in die Datenbank

 

Bei den hochgeladenen Daten handelt es sich um ZipBombs, sie "zerbomben" meist den Ordner in dem sie sind. Der Viren Scanner kommt nicht mehr nach, weil immer mehr gezippte Files auftreten, welche aufgrund von der Architektur von Zip Files und der Bomb ab einem gewissen Zeitpunkt nicht mehr erkannt werden. Die betreffende Zip-Bomb wäre in diesem Fall natürlich enorm vielschichtig. Das grosse Problem mit Zip-Bombs ist, das sie gar nicht unbedingt als grosse Datei identifiziert werden können.

 

Ausfall demonstriert:

 

Vorbereitungen: Neben einem Anti-Viren Programm benötige ich ein Skript und ein Programm, welches ich öffnen kann und gleichzeitig viel RAM benötigt. In diesem Fall werde ich den Browser öffnen lassen und immer wieder ein Skript mit gar nichts drin herunterladen lassen! Diese Datei wird gleichzeitig automatisch verschoben und in einem ZIP zusammengefasst, dieses Zip wird dann hin und her geschoben und dann, startet das Batch File einen selbstduplizierungsvorgang bis schlussendlich 50 Prozesse die das gleiche Tun existieren. Die Ergebnisse waren interessant, denn das Anti-Viren Programm bemerkte schon, dass es sich um ein Spam File handelt, allerdings konnte das Programm das erst erkennen als das eigentliche Skript mittels Public Key entschlüsselt wurde. Neben dem Anti-Viren Programm wurde auch die Grafikkarte und der Kernel Process stark gefordert. Das Anti-Viren Programm versuchte immer wieder ein Memory Dump zu machen um herauszufinden, was im Arbeitsspeicher ist, dies schlug fehl weil selbst die Erstellung von einem Dump wiederum Ram braucht und alle Caches sowie der Ram voll waren. Ich denke, dass nur ein Anti-Viren System, dass selber den RAM leeren kann eine Chance gegen solche Überlastungen hat.

Auch fällt auf, das Anti-Viren Software meist mit dem gleichen Aufwand fortfahren anstatt den Bedarf zu senken, was einen Absturz verhindern könnte. Zum Schluss war die Software ausser Gefecht gesezt.

 

Beim Test habe ich wie bereits gesagt bemerkt, dass nicht alle Viren ausgefiltert wurden, so kam es das ein Virus eindringen konnte. Der Grund hierfür war das Einfrieren von der Scanner-Funktion. Am Schluss passierte genau das, was der Witz sagt.

Der Placebo Hack

Freitag, 23.05.2018 17:50

 

Ava öffnet nur Wiederholung die mit der höchsten Prioritätsstufe eingeteilte E-Mail, welche sie nur eine Minute vorher erhalten hat.  Den wer will schon am Freitag Abend noch lange arbeiten? Die E-Mail kam von einem Kunden und enthielt wie üblich eine ZIP Datei, in der sich die neuen Daten befanden. Ava‘s Unternehmen versendet Medikamente an Privatpersonen. Diese können die Medikamente online bestellen und müssen vorher nur das Arzt-Zeugniss einreichen. Ava klickt auf den Zip Folder, doch dieser öffnet sich zu ihrem Erstaunen erst viel später.

(Der Grund dafür ist eine leere in, sich verschachtelte Zip-Bombe.) AVA klickte auf das Rezept und auf das PDF welches die Unterschrift des Kunden enthält, doch auch dies geht ungewöhnlich lange. Also rief sie das Support-Desk der Firma an. Per VNC verbindete sich  ein Informatiker mit dem Computer. In der Aktivitätsanzeige konnte er erkennen, dass der NetworkD gerade sehr viel Resourcen benötigte. Er beendete das Programm und sagte AVA, dass dies aufgrund von einem Update passiert sei. 

 

Danach überprüfte sie, ob das Rezept korrekt ist. Dafür lud sie es auf den Überprüfungs & Backup Server hoch. Dieser bestätigte AVA die Bestellung. Ava ging danach ins Lager, um die gewünschte Créme herzustellen. Ava war zwar noch nicht fertig, aber sie musste nun nach Hause gehen.

 

Zuhause angekommen zog sie ihr schönstes blaues Kleid an, denn eine Freundin hatte sie zu ihrer Geburtstagsfeier eingeladen. Und wie das nun mal bei solchen Feiern ist, wurde es auch bei dieser Party sehr spät.

 

Samstag 00:45 - Der Linux Webserver der Firma, welcher die Rezepte validiert, lädt das Zip-Archiv vom Contentserver 192.168.1.99 herunter und öffnet dies per PHP.  Die Aufgabe des Server‘s ist die Erstellung von Bestätigungsanfragen, die an die Aussteller von den Rezepten gesendet werden. Damit die Bestellungen versendet werden, muss der zuständige Arzt auf den Link in der Bestätigungsemail klicken. Damit der Arzt aber wissen kann, ob das auch wirklich das gleiche Rezept ist, welches er ausgestellt hat, wird im das Rezept als PDF zugesendet.

 

Bevor die E-Mail aber versendet werden kann, muss die PDF Datei aber aus dem Zip-Archiv geholt werden und aus Sicherheitsgründen führt der Server dann noch einen Anti-Viren Scan durch.

 

Das PHP Script holte nun die Datei aus der Datenbank und dekomprimiert das ZIP-Archiv, was in der Nacht aber überdurchschnittlich lange dauerte. Während das Anti-Viren Programm noch mit dem Scannen beschäftigt war, versendete PHP die E-Mail per Mail() Funktion und schaltete den Nachladen Link für  das PDF Dokument frei. Dann stürzte das Anti-Viren Programm abprupt ab. Denn die ZIP-Archive enthielten nur Verknüpfungen auf fremde Server und auch auf Server-Interne Dolumente, welche der mutmassliche Angreifer wohl per Zufallsprinzip erraten hat. Da das Anti-Viren Programm nun nicht mehr in Betrieb war, konnte der Hacker seinen Virus einschleusen. Doch der Virus war geschickt, er löschte die Log Einträge über den Absturz des Anti-Viren Programmes und begann damit, vor sämtliche E-Mails ein <img Tag zu setzen und so die E-Fail Sicherheitslücke auszunutzen.

 

Samstag 01:02 - Ava sass im Taxi nach Hause, sie hatte sich entschieden, mit dem Taxi zu fahren, weil es schon spät war und sie sehr müde war. Gerade als der Taxifahrer um die Ecke raus aus der Strasse ihrer Freundin fuhr, entschied sie sich trotz ihrer Müdigkeit dazu, noch kurz die News auf ihrem Smartphone zu lesen und was sie dort las, liess ihr die Nackenhaare aufstehen:

Die erste Schlagzeile lautete: Hacker Gruppe aus dem Iran hackt grössten Schweizer Medikamenten Versender, über 10 GB unter dem Arztgeheimnis liegende Informationen erbeutet & geleakt. Zuerst konnte sie gar nicht glauben, was sie dort las, schliesslich verfügten ihre Server über eine gute Firewall, 24/7 Überwachung und über ein gutes Anti-Viren Programm. Während der TaxiFahrer in die Wohnstrasse von Ava einlenkte, war der Systemtechniker im Server-Überwachungsraum gerade damit beschäftigt, den offline-genommenen Server wieder zum laufen zu bringen, damit er über dessen Logs Informationen über den Angriff finden konnte. Zuhause angekommen, erinnerte sich Ava wieder an das Protokoll, welches die Mitarbeiter im Falle von einer Datenintegeitätsverletzung befolgen müssten. Also begann sie damit, ihr Firmen Laptop zu löschen, denn ihr Arbeitgeber hat auf jedem Gerät einen „Killswitch“ installiert, der alle Daten löscht.

 

Samstag 08:32 - Beim Kundenservice ist die Hölle los, bereits über 132 Kunden haben angerufen, um sich zu erkundigen, ob auch ihre Daten veröffentlicht wurden. Und leider konnten die Supporter keine erfreulichen Nachrichten nach aussen geben, denn aufgrund von den fehlenden Logs, war es praktisch unmöglich, herauszufinden welche Daten gestohlen wurden und welche nicht.

 
ZIP-Bombe wird durch Anti-Viren Programm erkannt
So kann der Desktop im Falle einer abgewehrten ZIP-Bomben Attacke aussehen.

Samstag 09:12 - Ava‘s Arbeitgeber hat Glück, denn er hat eine Cyber-Versicherung abgeschlossen. Um 09:12 traf ein Sachverständiger der Versicherung ein, der fortan den Betrieb des Servers und die PR übernahm. Im Nachhinein würden die Schäden an der Infrastruktur und die Schadensersatzansprüche der Kunden zwar durch die Versicherung bezahlt, doch der Imageschaden, würde leider nicht reguliert werden.

 

Montag 12.03.2019 - Bezirksgericht

 

Die Kriminalpolizei konnte einen der Täter bei einem Einreiseversuch in die Schweiz festnehmen. Dank der Aussage von Ava, welche sagte, wie sich die Geschwindigkeit von ihrem Computer veränderte, konnten die Spezialisten dennoch herausfinden was passiert war:

Bei dem ZIP-Archiv hatte es sich um eine ZIP-Bombe mit vielen leeren Archiven gehandelt, was zu der Verzögerung beim Öffnen und zum Absturz des Sicherheitsprogrammes führte. Eine von den Dateien, war in Wirklichkeit ein einfacher Virus, der einfach nur die Efail Sicherheitslücke ausnutzte und so die Daten an einen Fremden Server sendete.

 

Dienstag 13.03.2019 Der Angeklagte wurde zu einer bedingten Haftstrafe von 32 Monaten verurteilt.

 

Es kann alle treffen. Alle Daten haben ein gewisses Gefährdungspotential, wenn diese in die falschen Hände geraten.

 

Das Anti-Viren Programm hat in diesem hypothetischen Angriffs Szenario keine Chance, weil durch es durch die vielen verschiedenen ZIP-Layers schon so richtig stark gebraucht wird und es möglicherweise sogar abstürzen kann, weil es zu Verzögerungen kommt. Tipp: Lösche deinen RAM regelmässig (sudo purge), wenn dein Anti-Viren Programm sehr lange hat, um eine Datei zu scannen! Mehr Informationen zu ZIP-Bomben. Mehr Infos zur Efail Sicherheitslücke findest du hier.

 

Sämtliche handelnden Personen und Firmen sind frei erfunden, jegliche Verbindungen zu realen Personen sind rein zufällig. Hierbei handelt es sich um eine hypothetische Geschichte.

 

Alle Angaben ohne Gewähr.

2 Kommentare

Avira Zip Bomb Stress Test

Zip-Bomb in action
Zip-Bomb in action

Zip-Bomben sind in sich verschachtelte Zip-Dateien die im komprimierten Zustand sehr klein sind, aber wenn man sie öffnet, werden sie sehr gross und könne zu Computer-Abstürzen führen. Damit Anti-Viren Programme Zip Dateien scannen können, müssen diese auch dekomprimiert werden, weshalb ich mich entschieden habe, zu testen ob Avira auch bei einer Zip-Bomb noch zuverlässig nach Viren sucht.

Meine Zip-Bombe:

430 verschachtelte Ordner welche komprimiert sind. Einige von diesen Ordnern enthalten Eicar-Test Viren. 

Meine verwendete macOS Version: 10.13.4

 

Nach dem klicken auf die Zip Datei startet das Archivierungsprogramm sofort die Dekomperierung, was aufgrund von der grossen Menge an Zip-Files einiges an Zeit beansprucht. Noch während das Archivierungsprogramm bei der Arbeit war, bemerkte Avira bereits die ersten 9 Eicar Test Viren. Kurze Zeit später (Auslastung nahm stark zu), bemerkte Avira trotz der hohen Auslastung die anderen 59 Eicar Test-Viren. Doch Avira wurde von einer macOS eigenen Sicherheitregel unterbrochen, denn die Sandbox hat bemerkt, dass es sich bei dem Zip-Archiv wahrscheinlich um eine Zip-Bombe handelt und hat deshalb eine maximale Anzahl an Archiven definiert, die geöffnet werden können. Auch diese Archive wurden von Avira problemlos erkannt. Schlussendlich hat Avira alle Test-Viren gefunden und wenn es sich hierbei um einen echten Angriff gehandelt hätte, dann wäre kein Schaden entstanden.

 

Fazit: Avira schützt auch bei Zip-Bomben, weshalb ich mich nur wiederholen kann und Avira gerne weiterempfehle.

2 Kommentare

The Aare-Hack | Ein digitaler Alptraum eines jeden Webmasters

Freitag 11.07.2018 19:37 - Bern Schweiz

 

 

In den Arbeitsräumen des Schweizer Online-Versandhändlers und Download Anbieters bremiAarMedia ist es still, die Lüfter im Serverraum summen gleichmässig und die CPU Auslastung, sowie die RAM Benutzung befinden sich in normalen Parametern. Christa öffnet gerade die Website von bremiAarMedia, weil sie einen Film herunterladen will. Auf dem Server von bremiAarMedia ist neben Christas Adresse, auch vermerkt, dass sie sich für Politik interessiert und, dass sie eine überzeugte, 21 Jahre alte Christin ist. Plötzlich nimm das Traffic Aufkommen zu, plötzlich sind 9000 Besucher auf der Webseite, dies lässt die Auslastungs-Statistiken nur minim nach oben weichen. Christa klickt auf den Downloaden & Bezahlen Knopf und nur eine Millisekunde später, versuchen 8980 andere Nutzer, Dateien in die bremiAarMedia Cloud hochzuladen, gleichzeitig gibt es immer mehr Traffic. Mike Baumler, der Piket-Developer von bremiAarMedia erhält eine SMS von dem DDOS-Protection Service, welche ihn darüber informiert, dass eine DDOS Attacke am laufen ist. Doch die DDOS Protection kann nicht alle Bots Fernhalten und aufgrund der grossen Auslastung kann sich Mike auch nicht via SSH bei dem Server anmelden, da dieser bereits teilweise eingefroren ist, bzw. Kaum Rechenpower mehr übrig ist. Weil die Auslastung so gross ist, kommt der Anti-Viren-Scan und das Dateiprüfskript nicht mehr nach, was zur Folge hat, dass die hochgeladenen Dateien ungeprüft gespeichert werden. In den Datei-Stream hat sich auch ein als Foto getarntes Skript „verirrt“ welches aufgrund von den nicht funktionierenden Sicherheitschecks ausgeführt wird und den Server zu einem Zombie-Server macht. Das Skript löscht zuerst alle Daten die in der Datenbank gespeichert sind und verändert die HTML Datei der Webseite. Während sich das Summen der Ventilatoren zu einem lauten „Brüllen“ verwandelte, startete der Hacker mit dem Server eine DDOS Attacke auf den Internetzugang von Mike, damit dieser keinen Zugriff mehr aufs Internet hat. 

 

Freitag 11.07.2018 19:38 Im Serverraum von bremiAarMedia ist es still. Schlussendlich stürzte der Server ab, doch nicht nur der Server stürzte ab, sondern auch die Aktie der Firma, deren Kurs sich niemals wieder erholen würde. Wochen später missbrauchten die Hacker die persönlichen Daten von den bremiAarMedia Kunden und terrorisierten diese mit personalisierten Drohungen per Email.

 

So etwas könnte auch deinem Server / Unternehmen passieren!

 

 

Vergiss nie, dass du empfindliche und persönliche Daten von deinen Nutzern lagerst.

Dies ist eine erfundene Geschichte. Alle handelnden Personen / Firmen sind frei erfunden.

0 Kommentare
AICHAT


KONTAKT

Bitte den Code eingeben:

Hinweis: Bitte die mit * gekennzeichneten Felder ausfüllen.


Bloglinks.biz

Hey! Thats me!

Severin Kämpfer Bremgarten bei Bern

16 years old trekkie.

Persönliche Webseite:

https://www.severin-kaempfer.ch

Unterstütze KKTVCAM mit 1 CHF! Bezahle mit Bitcoin!


*: Bedeutet, dass KKTVCAM das Produkt/die Seite evtl. getestet hat und nun Affiliate der betreffenden Firma ist.

Made with ♥ in Bern (Switzerland)!

KKTVCAM ÜBERNIMMT KEINE HAFTUNG FÜR ALLE ANGABEN AUF DIESER SEITE.