Von: Jürgen Fey
Allzu oft entpuppen sich die Schauergeschichten rund um Hacker-Tools als Sturm im Schnapsglas. Keines dieser vermeintlich so heimtückischen Produkte dürfte je den Untergang des Abendlandes einleiten, auch wenn die Hersteller von Antivirensoftware anderes behaupten. Man weiß eben die Angst des Publikums zu schüren, verspricht ihm einen Impfschutz und zieht ihm anschließend das Geld aus der Tasche. Dennoch: Niemand sollte den Schaden unterschätzen, den heimtückische Eindringlinge damit anrichten können.
Die bisherigen Hacker-Tools legten zwar die Schwachstellen der Betriebssysteme und einer Vielzahl "unschuldiger" Applikationen bloß, setzten jedoch ein tiefes Verständnis für die Materie voraus. Ohne echtes Insider-Wissen konnte niemand etwas damit anfangen. So hilflos und bisweilen sogar desinteressiert die Softwarehersteller darauf reagierten, so wirksam erwies sich diese Know-how-Hürde als Schutz vor Einbrechern. Denn "echte" Hacker arbeiten bekanntlich mit einer Art Berufsethos, der ihr Treiben in den Dienst einer "höheren Sache" stellt und die schlichte Zerstörungswut ausdrücklich verbietet.
"Hack"-senbräu
Diese heile Welt könnte von einer neuen Generation von Hackertools endgültig zerstört werden. Anfang August entstieg ein Programm namens "Back Orifice" (BO) den Tiefen dunkler Entwicklerhöhlen, um von nun an Könnern und Laien als Einbruchswerkzeug zu dienen. Das Win95/98-Tool hat mit "Netbus" einen älteren Cousin, der auch das Öffnen von Windows-NT-Systemen zum Kinderspiel macht. Und mit "Master`s Paradise" steht inzwischen sogar eine deutsche Alternative zur Verfügung.
Die neuen Hacker-Tools teilen sich ihre Arbeit auf:
Ein Serverpart stellt die Ressourcen des Angriffs über das Netzwerk, typischerweise eine IP-Verbindung, zur Verfügung, und ein Clientpart auf dem "Opfer-PC" zapft sie von einer beliebigen Maschine aus an.
Weil die Attacke wie der Angriff der Athener auf Troja verläuft, heißen solche Hacker-Tools auch "trojanische Pferde" oder schlicht "Trojaner"; ihre Aktivitäten sind derart unauffällig, daß der Bluff nicht so ohne weiteres auffliegt.
Im Gegensatz zu dem sagenhaften Vorbild bleiben die Trojaner jedoch nicht allein. Die inzwischen verfügbaren Zusatztools erlauben es, Codes wie BO ohne weiteres an beliebige Programme anzuhängen. So verbreiten sie sich in der Folge bereits beim Austausch von Software nichtsahnender Anwender.
BO, mit 124 KByte ein äußerst effizientes Stück Programmierkunst, arbeitet als Miniserver auf dem infizierten System. Der gewählte Name (zu deutsch Hintereingang) könnte seine Funktion nicht treffender beschreiben: Über einen wählbaren TCP/IP-Port und eine aktive IP-Anbindung kann der Angreifer unbemerkt ins System eindringen und die Kontrolle darüber erlangen.
Die Kommunikation zwischen den beiden BO-Komponenten erfolgt über das UDP-Protokoll, das definierte IP-Adressen der beteiligten PCs zwingend voraussetzt. Statische IP-Adressen sind problemlos zu ermitteln, aber auch dynamische sind keine unüberwindlichen Hürden, insbesondere dann, wenn "Dynamic Host Configuration Protocol" (DHCP) im Unternehmen verwendet wird, oder die Adreßvergabe aus einem Provider-Pool erfolgt. Ist der Code erstmal auf Server und Client installiert und aktiv, so bringt eine E-Mail- oder IRC-Nachricht Licht ins Dunkel der aktuellen IP-Adresse. Alle bereits mittels "Ping-Sweeping" entdeckten BO-Server verwaltet der BO-Client in einer sogenannten "Sweeplist", so daß der Angreifer Nachfolgeattacken in der Regel wesentlich schneller vorbereiten kann als beim ersten Kontakt.
Der eigentliche Austausch zwischen den beiden BO-Komponenten läuft erst nach der Eingabe eines vorher definierten Benutzernamens mit Paßwort an. Danach sind alle Tore offen, der Angriff kann beginnen. Die Liste der Zugriffsmöglichkeiten ist dabei theoretisch durch nichts beschränkt und übersteigt sogar diejenigen, die man als normaler Anwender ohne Zusatzprogramme besitzt. Der BO-Client ist als grafisches Frontend oder Kommandozeilenversion für Windows und als Open-Source-Variante mit Quelltext für Unix verfügbar.
Fiese Attacken
Der Hacker kann Kommandos ferngesteuert starten, Up- und Downloads initiieren, Einträge in der Registry manipulieren oder System-Shares wie Drucker oder Netzwerk-Laufwerke nutzen. Ist ein System erst offen, so gelangt er auch auf alle anderen angeschlossenen Rechner. Er kann beispielsweise die Anwender dort unterhalten und beliebige Systemmeldungen auf deren Bildschirme zaubern; oder er kann Programme starten und etwa Sound-Dateien abspielen.
Besonders beliebt sind solche Funktionen wie die Suche nach Paßwörtern an bekannten Stellen, die BO als Liste ausgibt. Es geht sogar noch einfacher: Der Eindringling schneidet einfach alle Tastatureingaben mit oder legt die Bildschirminhalte in einer Datei ab. Ist auf dem überwachten PC gar eine Videokamera eingeschaltet, so kann er deren Aufnahmen als AVIs abspeichern.
Neue Applikationen lassen sich genauso schnell zusätzlich installieren wie auch wieder unbemerkt entfernen. BO erledigt alles still und heimlich und hinterläßt dabei nur wenige Spuren. Die allerdings sollte man beim Aufkommen der ersten Verdachtsmomente gezielt suchen, um rechtzeitig Gegenmaßnahmen ergreifen zu können. Erste BO-Scanner (siehe Tabelle "Infos und Gegenmittel") sind
verfügbar und auch die meisten Antivirentools können BO identifizieren und aus dem System entfernen.
Tückische Verwandte
Die Netninja-Truppe stellte schon früh nach Veröffentlichung von BO die ersten Plug-ins vor, die auch als C-Quelltext zugänglich sind. Alle nutzen eine Schnittstelle von BO, um beliebige zusätzliche Funktionen in den Servercode einzubetten. Damit wird BO zum Erfüllungsgehilfen selbst geheimster Hakkerwünsche. Ein nach Angaben des Netninja-Programmierers "Brian Enigma" erster schneller Hack war "Saran Wrap".
Saran Wrap
Enigma dachte lange darüber nach, wie ein unbedarfter Anwender den Trojaner erstmals aufruft und wie sich aus der lauernden Gefahr eine ernste Bedrohung entwickeln könne. Dabei verfiel er auf folgende Strategie: Ein Trägerprogramm packt den BO-Server in eine unscheinbare Hülse, die sich als harmloses Programm in offizieller Mission präsentiert, etwa als Setup-Programm, Spiel oder Tool; der gefoppte Anwender installiert diesen "Wirt" auf seinem Computer, ohne zu ahnen, daß er sich dabei auch noch einen "Parasiten" einhandelt.
Konkret: Saran Wrap führt, als Setup-Programm getarnt, den als "DATA1.Z" maskierten Trojaner und das als "DATA2.Z" verkleidete, vom Anwender eigentlich gewünschte Programm nacheinander aus. Beide erwecken einen gleichermaßen harmlosen Eindruck, und niemand vermutet hinter DATA1.Z den listigen Trojaner. Nach erfolgter Installation löscht Saran Wrap den veränderten Initialcode und ersetzt ihn durch den nicht manipulierten Ursprungscode. So scheint nach außen hin alles in bester Ordnung.
Silk Rope V 2.0
Bereits Mitte August stand mit "Silk Rope" eine verbesserte Variante von Saran Wrap zum Download bereit. Das Plug-in baut den Wirt und den Parasiten in eine einzige Datei ein, die dann noch einfacher zu übertragen und zu installieren ist. Obendrein verschlüsselt Silk Rope auch noch den BO-Code und erschwert so den Virenwächtern die Arbeit. Nach dem Aufruf des Kombipakets liest Silk Rope den eigenen Code von der Festplatte, extrahiert und entschlüsselt ihn und legt ihn ausführbereit in einer temporären Datei ab. Diese wird aufgerufen, installiert BO und infiziert so das System. Erst danach startet das eigentliche Programm.
Butt Trumpet V 1.1
Das nächste Tool, "Butt Trumpet", hat die einfache aber wirkungsvolle Aufgabe, den Hacker via E-Mail über die IP-Adressen potentieller Opfer zu informieren. Der Angreifer kann dabei seine Identität verbergen, indem er auf anonyme Remailer-Systeme zurückgreift oder kostenlose E-Mail-Dienste wie Hotmail in Anspruch nimmt.
Nach einer festgestellten BO-Ansteckung versucht Butt Trumpet alle fünf Minuten, die für den Hacker so unentbehrlichen Daten per E-Mail abzuschikken. Falls es gelingt, hat das Plug-in seine Schuldigkeit getan und stellt alle weiteren Versuche ein für allemal ein. Daß die Meldung bereits losgeschickt wurde, erkennen Butt Trumpet und sicherheitsbewußte Anwender an einem Registry-Eintrag:
HKEY_LOCAL_MACHINE\Software\\\NinjaSoft\\BT
Automatisierte Angriffe
Im Zeitalter der Skriptsprachen muß natürlich ein Tool her, mit dessen Hilfe sich Angriffe automatisieren lassen. So entstand "BO Script" als Perl-Bibliothek auf Basis eines Unix-Clients. Der Programmautor nutzte den bekannten Wrapper "Swig" (ähnlich der XS-Schnittstelle, die Perl üblicherweise nutzt), um den eigentlichen C-Code unter der Perl-Haube zu belassen. Das folgende BO-Script-Beispiel untersucht ein komplettes Subnetz nach infizierten Systemen, wählt sich in befallene PCs ein, sucht dort nach MS-Money-Dateien und gibt im Falle eines Falles eine kleine Nachricht auf den befallenen PCs aus:
unless(boscript::sweep($subnet))
{
$result = boscript::gettext();
@resultlist = split /\n/, $result;
foreach $line (@resultlist)
{
($dummy1, $host, $port, $dummy2, $serverversion, $machinename) =
split /!/, $line;
chomp $port;
print „Maschine $host auf Port $port gefunden.\n“;
boscript::set_host(„$host“);
boscript::set_port(„$port“);
boscript::raise_timeout(25);
boscript::find(„*.mny“, „c:\\“);
$result = boscript::gettext();
@resultlist2 = split /\n/, $result;
if($#resultlist2 > 2)
{
print „Money-Datei gefunden!\n“;
boscript::dialog(„Sie sollte Quicken nutzen“);
}
}
}
Ein "richtiger" Angriff dürfte kaum so glimpflich ablaufen. Gerade innerhalb eines Unternehmens kann so großer Schaden entstehen. BO Script läuft ohne große Anpassungen auf unterschiedlichen Unix-Systemen, kann jedoch leicht auf Windows portiert werden.
Mächtiger Urahn
Wie sehr mitunter die Grenzen zwischen einem praktischen Administrationstool und einem gefährlichen Spielzeug für gelangweilte Hobby-Hacker verwischen, zeigt das Tool "Netbus" von Carl-Fredrik Neikter. Es landete erstmals Mitte März 1998 in Schwedisch auf dem Netz und ist mittlerweile auch in Englisch, neuerdings als Version 1.7, verfügbar. Netbus gilt als Vorgänger von BO, seine Möglichkeiten sind jedoch weitreichender. Ebenso wie BO ein Trojaner, startet sich Netbus in der Regel beim Booten von Windows 95/98 oder NT selbst.
Auf dem infizierten System muß hierzu der Servercode ("patch.exe") einmalig zur Ausführung kommen. Natürlich läßt sich der Name des Servers ändern, so daß die Suche danach schwieriger wird. Wie bei BO muß also das Opfer den ersten Schritt aktiv, wenn auch häufig unfreiwillig selbst ausführen. Die entsprechenden BO-Tools zum Anhängen an harmlose Programme können auch hier zum Einsatz kommen; zum Testen kann man den Netbus-Server mit der Option /noadd starten, damit das System nicht dauerhaft befallen wird.
Daß Netbus auch zur Erheiterung – zumindest derjenigen des Angreifers – beitragen kann, zeigen Optionen zum Vertauschen der Maus-Buttons oder zum Verändern der Audio-Lautstärke auf dem Zielsystem. Spaßvögel können darüber hinaus den Schacht des CD-Laufwerks ein und ausfahren, über das eventuell eingebaute Mikrofon die Umgebungsgeräusche mitschneiden, bestimmte Tasten sperren oder das Hintergrundbild wechseln.
Ernster sind die "richtigen" Funktionen von Netbus einzustufen. Nachdem der Servercode auf dem Ziel-PC läuft, kann der Angreifer frei über die meisten PC-Ressoucen verfügen, dem Anwender über die Schultern sehen oder den Lauf der Dinge aktiv beeinflussen. Alle Tastatureingaben lassen sich so mitschneiden, egal ob es sich um die Details eines Angebots, das aktuelle Jahresbudget des Chefs oder die Paßworteingabe beim Online-Shopping handelt. Der Netbus-Server übermittelt sie einfach über Windows-API-Calls an den Eindringling weiter, in der Regel unbemerkt vom überwachten Anwender.
Ist eine Wunschapplikation nicht aktiv, so kann sie der Eindringling starten und auch gleich remote alle Eingaben, etwa zur Konfiguration, vornehmen. Fehlt gar die gewünschte Anwendung, so kann er sie auf das Zielsystem übertragen, installieren und hochfahren. Außerdem stehen ihm noch andere Möglichkeiten offen: Er kann Dateien löschen, Aktivitäten auf einem TCP-Port an einen anderen Host umleiten, per Telnet auf Konsolenapplikationen, etwa DOS-Kommandos, zugreifen oder Screendumps übertragen und als JPG-Dateien speichern. Für naive PC-User könnten die ausgesendeten Nachrichten zur Falle werden, insbesondere dann, wenn der Angreifer in einem Fenster Texteingaben erzwingt.
Gegenmaßnahmen
Bei hinreichendem Verdacht auf eine Infektion mit Netbus sollten Gegenmaßnahmen ergriffen werden. Dabei stehen die Chancen nicht besonders gut, daß ein Laie den Trojaner dingfest macht. Er sollte vor allem auf die Manipulationen der "Spaßvogel"-Kategorie achten. Ab und zu hat der Serverteil von Netbus Probleme, die sich als Runtime Error (Runtime error 216 at ...) niederschlagen. Leider treten ähnliche Fehlermeldungen unter Windows derart häufig auf, daß man schon eine richtige Spürnase haben muß, um auf Netbus als Verursacher zu kommen. Weil der Eindringling weitere Fehlermeldungen in der Regel nicht mitbekommt, führen fortgesetzte Attakken auf den inzwischen lahmen Gaul oft zu Programmabbrüchen auf Grund "ungültiger Vorgänge". Dann zieht "patch" Applikationen wie den Explorer mit ins Nirva-
na. Damit Netbus beim nächsten Windows-Start wieder mit von der Partie ist, findet sich in der Registry oft ein Eintrag unter
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\name
name kann dabei beliebige Werte annehmen. Es gelten darüber hinaus die gleichen Regeln wie bei BO.
Der Netbus-Server wartet standardmäßig auf Port 12345. Ob er belegt ist, stellt das folgende Telnet-Kommando fest:
netstat -an | find “12345“
Mittels Telnet läßt sich Netbus auch entfernen. Ein ungepatcher (!) Netbus antwortet auf ein Connect mit Namen und Versionsnummer. Gibt man Password;1; ein, so meldet sich Netbus mit Connect zurück. Jetzt können Kommandos via Telnet übertragen und ausgeführt werden. Zum Deinstallieren des Servers nutzt das Kommando RemoveServer;1;. Danach sollte der entsprechende Registry-Eintrag ausfindig gemacht und alle verdächtigen Dateien im Heimatverzeichnis des Netbus gelöscht werden. Das Booten sollte dabei unter DOS erfolgen, um eine erneute Infizierung zu vermeiden.
Die neuen Hacker-Tools machen es Angreifern leicht, in fremde Systeme einzubrechen. Wer viel surft und häufig Programme aus unbekannten Quellen installiert, sollte deshalb besonders wachsam sein. Auch Netzwerkverwalter sollten ihre Augen offen halten: Allzu schnell haben Unbefugte innerhalb und außerhalb der Firewallgrenzen Zugriff auf sensible Unternehmensdaten. (sk)