April « 2011 « Projekt: Neurodump

Was kann zum Beispiel gegen ARP basierende Attacken gemacht werden?

Mir ist zu diesem Thema ein sehr interessantes Projekt aufgefallen. ArpON ist der Name und bedeutet “ARP handler inspection”. Hierbei handelt es sich um einen Dienst, der ARP absichern soll, um MITM Man-in-the-Middle Angriffe durch ARP Spoofing/Poisioning basierende Angriffe zu vermeiden. Der Dienst erkennt und blockiert verschiedene Angriffe, wie DHCP Spoofing, DNS Spoofing, WEB Spoofing, Session Hijacking und SSL/TLS Hijacking Attacks.

Möglich gemacht wird dies mit drei verschiedenen Anti-ARP-Poisioning Techniken. Die erste Technik basiert auf SARPI oder auch statische ARP Inspektion in fest konfigurierten Netzwerken ohne DHCP mit fest vergebenen IP Adressen. Der zweite Ansatz basiert auf DARPI, der dynamischen ARP Inspektion in Netzwerken, die dynamisch mit DHCP automatisch konfiguriert werden. Die dritte Methode basiert auf HARPI. Diese Methode wird auch Hybrid ARP Inspection genannt und wird in “hybriden” Netzwerken verwendet, die einmal teilweise mit DHCP automatisch konfiguriert werden und zudem statisch vergebene IP Adressen besitzen.

Die Methoden SARPI, DARPI und HARPI beschützen das Netzwerk vor uni- und bi-direktionalen mitsamt verteilten Angriffsszenarien. Bei dem Schutz vor unidirektionalen Angriffen ist es nötig ArpON auf dem Hostsystem installiert und aktiv zu haben, worauf sich der Angriff bezieht. Beim Szenario eines bidirektionalen Schutzes vor Angriffen muss ArpON auf beiden Hostsystemen installiert sein, die zueinander eine Verbindung aufgebaut haben. Der Schutz vor verteilten Angriffen auf die Hostsysteme muss ArpON auf allen Rechnern installiert sein, die sich in dem zu schützenden Netzwerk befinden. Alle Systeme, die nicht mit ArpON geschützt worden sind, können sich gegen einen Angreifer nicht zur Wehr setzen.

ArpON ist also eine hostbasierte Lösung, welche nicht das ARP Protokoll mit samt den Tücken verändert. Es setzt vielmehr einige praktische Techniken zum Schutz der Systeme vor ARP Angriffe ein, um die Erfolgchancen eines Angreifer in diesem Bereich entscheidend zu minimieren.

Alles weitere befindet sich hier: http://arpon.sourceforge.net/

Written on April 28th, 2011 , Interessantes, Technik Tags: Anti-ARP-Poisioning, ARP, ArpON, DARPI, DHCP, DHCP Spoofing, DNS-Spoofing, Flood, Flooding, HARPI, LAN, MAC, MAC Poisoning, MAC Table, MITM, Networking, SARPI, Security, Session Hijacking, SSL, TLS, WLAN

Was passiert, wenn ein geswitchtes LAN mit verschiedenen MAC-Adressen geflutet wird? Wozu ist das gut?

Ein Bösewicht hat sich den Zugang zu einem LAN verschafft. Nun kann er dennoch nicht den kompletten Datenverkehr im LAN sehen. Meist sind die Kennwörter oder die Hashwerte interessant. Die Hashwerte könnten für einen Pass-the-Hash Angriff verwendet werden, um sich Zugriff auf einen Server zu verschaffen, ohne dabei das echte Kennwort zu kennen. Ungesalzene Hashwerte können ausgespäht und anschließend zu Hause bei Kaffee und Gebäck oder Red Bull und Gummibärchen recht leicht in Ruhe in Klartext umgerechnet werden.

Flooding. Dem Thema wird sich nun genähert. Wird ein Switch mit vielen verschiedenen MAC-Adressen geflutet, so läuft irgendwann die MAC-Tabelle über. Das Switch sollte sich daran nicht stören. Es schaltet, ganz nach RFC nun vom Switching- in den Multiport-Repeater- Modus um und verhält sich plötzlich wie ein Hub. Nun kann der Angreifer sehen, was auf dem LAN los ist und beginnen in dem Kochbuch für Schabanack nach weiteren Ideen zu blättern. Da bieten sich leckere Gerichte an wie Session-Hijacking oder Gateway-Spoofing. Guten Appetit.

Written on April 28th, 2011 , Interessantes, Technik Tags: Flood, Flooding, Hub, LAN, MAC Poisoning, MAC Table, macof, Multiport-Repeater, Pass-the-Hash Attack, Repeater, Switch, WLAN

Entfernen von Drive-by-Exploits/Malware

Ist Malware erst einmal auf dem System am herum spuken, ist dies ein Problem. Nicht nur, weil es dann passiert ist und der Computer im Brunnen gefallen ist, sondern weil der Benutzer unter Umständen auch nicht mehr alleine ist. Kennwörter, ebay-Accounts, Windows-Seriennummern und alles, was irgendwie zu finden ist, wird schon kurz nach der Infektion in den nachfolgenden Sekunden übertragen und sind dann erst mal weg. Und werden natürlich weiter verwendet, bzw. verkauft.

Passwörter können geändert werden, dies sollte dann im Falle des Falls umgehend auch schnell mit einem sauberen System geschehen. Falls nach einer Neuinstallation die Seriennummer von Windows nicht mehr akzeptiert wird, gibt es vermutlich schon zu viele Installationen. Da hilft maximal nur noch der Support von Microsoft.

Gut, was tun, wenn es soweit ist und der Benutzer es überhaupt gemerkt, dass etwas nicht stimmt? Gute Drive-By-Exploits verlaufen unbemerkt. Also merkt der Benutzer nichts. Neue Malware wird unter Umständen von selbst aktuellen Anti-Virus Programmen nicht erkannt. Erst nach einigen Tagen kann ein Update dazu führen, dass plötzlich Alarm ausgelöst wird, falls das AV-Programm dann nicht von der Malware lahmgelegt worden ist. Natürlich wirft die automatische Verhaltensanalyse von wenigen AV-Programmen auch bei unbekannter Malware manchmal einen Alarm. Allerdings gibt es auch eine gewisse Wahrscheinlichkeit eines Fehlalarms. Keine Panik, diese Tools müssen paranoid wirken. In der Regel haben die Benutzer diese meist aus. Wer will ständig mit Meldungen belästigt werden?

Sinnvoll, sind Script- und Ad-Blocker. Diese verhindern gute und gleichzeitig böse Skripte. Vertrauenswürdige Seiten werden nach und nach erlaubt und andere blockiert. Das reduziert die Wahrscheinlichkeit infiziert zu werden erheblich. Es macht etwas mehr Arbeit, wirkt aber recht gut. Selbstredend sollte OS und alle Programme auch aktuell gehalten werden. Ein besonderes Augenmerk sollte der Benutzer auf Dinge legen, die im Browser laufen, wie PDF, Flash und die ganzen Dinge, worüber schnell ein Einfallstor geschaffen werden kann. Je aktueller die Software, je besser.

Sitzt die Malware auf dem System und wurde bemerkt, bzw. der Benutzer hat den Verdacht, dass etwas komisch läuft, so sollte Ruhe bewahrt werden. Die Daten, die weg sind, sind eh weg. Jetzt geht es darum, zukünftigen Schaden zu minimieren. Also speichere man das ab, was man gerade tut und fährt das System normal herunter. Ein kleines Goldstück sind die AV Live CDs. Kaspersky und AVIRA und andere bauen solche bootfähigen Medien, die das System nach Malware untersuchen. Da die Malware im größtmöglichen Fall mit der Live CD nicht mehr aktiv ist, kann sie auch wenig unternehmen, um sich zu verstecken oder zu wehren. Ist alles soweit bereinigt, neu booten und alle Security und AV-Programme deinstallieren und sauber neu installieren. Malware deaktiviert diese teilweise oder beschädigt sie so, dass sie nicht einwandfrei mehr arbeiten. Eine Neuinstallation dieser wenigen Tools minimiert auch das Risiko.

Möglicherwiese ist bekannt, womit das System infiziert worden ist. Vielleicht liefern die Suchmaschinen Ergebnisse zu diesem Tu-Nicht-Gut.

Verwendet man auf dem System besonders sensible und kritische Daten mit brisanten Inhalten, sollte der Mitarbeiter gar nichts tun, seine Arbeit speichern, den Netzwerkstecker ziehen und seine IT-Security Abteilung informieren, die mit einer forensischen Analyse Details zur Infektion und dem entstandenen Schaden herausfinden kann.

Empfohlene AV Live CDs:

Avira AntiVir Rescue System Homepage Download
AVG Rescue CD Homepage Download
Kaspersky Rescue Disk Homepage Download

Written on April 22nd, 2011 , Interessantes, Technik Tags: Ad-Blocker, Anti-Virus, AV Tools, AVG, Avira, Drive-By-Download, Drive-By-Exploit, Kaspersky, Live-CD, Malware, Skriptblocker, Windows-Update

Projekt: Neurodump is proudly powered by WordPress and the Theme Adventure by Eric Schwarz
Entries (RSS) and Comments (RSS).

Pages

Archives

Categories

Gedankenauszüge eines Datenreisenden