In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Security und Einführung in Hacking-Tools_L. Dürr

Werbung 
www.protectem.de
Solutions for Embedded Security
www.protectem.de
VDE/DKE-Tagung
Funktionale Sicherheit und IT-Sicherheit
2017
Stand der Technik auf der Gegenseite –
Einführung in Hacking-Tools
Erfurth
22.-23. März 2017
Laurin Dörr, M.Sc.
ProtectEM GmbH
Bramersberg 9
94262 Kollnburg
Tel. +49 (0) 991.289.779-00
[email protected]
www.protectem.de
Agenda
•
•
•
•
Cyber-Gefahr in der Industrie
USB-Schnittstelle als Einfallstor
High Level Tools
Mehrstufige Angriffe
– Auffinden von Geräten
– Infizieren von Geräten
• Live-Hacking einer Modbus-SPS
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
2
www.protectem.de
Stand der Technik auf der Gegenseite
Cyber-Gefahr in der Industrie
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
3
www.protectem.de
Hackerangriff auf Ukrainische Stromversorgung (Dez. 2015)
• Bis zu 700.000 Haushalte ohne Strom
• Verbindungen zwischen den
Umspannstationen wurden unterbrochen.
• Blackenergy als Malware zur
Steuerung der Rechner
• KillDisk blockierte die Steuerrechner nur manuelles
schließen der Verbindungen war möglich.
• Das Telefonsystem wurde durch eine DoS-Attacke
lahmgelegt, um Störmeldungen zu verhindern.
• Erneuter Angriff Januar 2017
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
4
www.protectem.de
Ausfall von 900.000 Telekom-Router (Nov. 2016)
• Ein dem Mirai-Botnetz ähnliches Netzwerk
versucht weltweit Router aufzuspüren und
über das Fernwartungsprotokoll TR-069 zu
kapern.
• Die Router selbst wurden nicht kompromittiert
• Da die Router nicht auf Linux basierten, konnte
die eigentliche Malware nicht ausgeführt
werde.
• Die Router sind wegen der Anfragewelle des
Bot-Netzwerks ausgefallen.
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
5
Benötigtes Wissen
www.protectem.de
Komplexität der Angriffe und benötigtes Wissen
Hacker
Tools
Hybride
MultiprotokollAngriffe
Automatisierte
SchwachstellenScanner
Anti
Detection
Phishing
Construction Kits
Backdoors
Deaktivieren von
Audit-Maßnahmen
Packet
Spoofing
Stealth
scanning
Ausnutzen
bekannter
Schwachstellen
Session
Hijacking
Level der
benötigten
Fähigkeiten
Passwörter
knacken
Passwörter
raten
1980
1985
Viren / Trojaner
Construction Kits
• Das nötige Wissen
hat abgenommen.
• Der industrielle IT
Sektor hat am
Wettrüsten der
klassischen IT nicht
teilgenommen.
Selbstverbreitender
Code
1990
1995
2000
2005
2010
Komplexität der Angriffe
Source: Lipson,
HowardGeschonneck:
F.: Tracking and Tracing
Cyber-Attack: Technical
Challenges And Globalerkennen,
Policy Issues CMU/SEI-2002-SR-009
Quelle:
Alexander
Computer-Forensik
Systemeinbrüche
ermitteln, aufklären; dpunkt.verlag GmbH, 2011
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
6
www.protectem.de
Terminologie
Vulnerability
char password_string[16];
strcpy(password_buf,input);
Exploit
./programm (perl -e
print \ A x46 )
AAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAA
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
Payload
03/2017
7
www.protectem.de
Stand der Technik auf der Gegenseite
USB-Schnittstelle als Einfallstor
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
8
www.protectem.de
ESET entdeckt USB-basierten Datendieb (März 2016)
•
•
•
•
Nutzt ausschließlich USB-Sticks für die Verbreitung
Hinterlässt keine Hinweise auf dem kompromittierten Rechner
Integrierter Schutz vor Reproduktion und Kopien
Schwer zu entdecken und zu analysieren
http://www.welivesecurity.com/deutsch/2016/03/24/eset-entdeckt-usb-basierte-datenklauende-malware/
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
9
www.protectem.de
Scripted Keyboard Attacken
•
•
•
•
Anmeldung ans Betriebssystem als Keyboard
Sendet Befehle an das System
Kann ganze Exploits ausführen
Schwer zu entdecken (kann in jedem USB-Geräte versteckt
werden)
Rubber ducky: http://hakshop.myshopify.com/products/usb-rubber-ducky
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
10
www.protectem.de
Stand der Technik auf der Gegenseite
High Level Tools
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
11
www.protectem.de
BlackEnergy
• Einfache Erstellung von
Bot-Netzwerken
• Modularer Aufbau
• Kann mit verschiedenen
Apps aufgewertet werden
• App KillDisk integriert
Quelle: http://blog.sqrrl.com/blackenergy-mitigation-with-big-data-analytics
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
12
www.protectem.de
BlackEnergy
• Kann sich Administrator Rechte verschaffen
• 64-bit kompatibel
• Verschiedene Infektionswege möglich
Quelle: F-Secure Labs, Whitepaper BlackEnergy & Quedagh
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
13
www.protectem.de
Stuxnet
• Sehr komplex
• Infektion offline
möglich
• Kann Windows und
Siemens SPS
Systeme
übernehmen
• Verbreitet sich
selbstständig in
einem Netzwerk
Source: Byres, Eric et al.: How Stuxnet Spreads – A Study of Infection Paths in Best Practice Systems White
Paper: Tofino Security | Abterra Technologies | ScadaHacker.com; Feb. 22, 2011
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
14
www.protectem.de
Flame
• Infektion online und offline
möglich
• Infektion über Windowsupdate
möglich
• Verbreitet sich selbstständig in
einem Netzwerk (auch über
Bluetooth)
• Sehr groß (20 Mbyte) und
Modular
Quelle: https://www.wired.com/images_blogs/threatlevel/2012/05/Flame-Infection-Methods.jpg
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
15
www.protectem.de
Stand der Technik auf der Gegenseite
Mehrstufige Angriffe
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
16
www.protectem.de
Übersicht eines Angriffs
Industrial Network
PLC
192.168.180.48
Managed
192.168.180.4
HMI
192.168.180.43
Workstation
192.168.180.99
• Aushebeln/Umgehen von Firewalls
• Ausnutzen von Schwachstellen der
verwendeten Systeme
• Angriff auf industrielle Komponenten
Raspberry Pi
OpenVPN-Server
192.168.180.50
Tofino
Bat
192.168.180.3
unmanaged
Raspberry Pi
192.168.105.50
DMZ
192.168.180.76
Eagle
DHCP-Server
192.168.180.1
192.168.105.5
Windows Server 2008 R2
192.168.105.20
Windows XP
192.168.105.201
Managed
192.168.105.4
Windows XP
192.168.1.98
Office Network
Windows XP
192.168.1.99
Eagle
DHCP-Server
192.168.105.1
192.168.1.5
Bat
192.168.1.3
Managed
192.168.1.4
Windows 7
192.168.1.52
Raspberry Pi
MYSQL
192.168.1.50
Eagle
DHCP-Server
192.168.1.1
Internet
Managed
172.168.50.1
Public IP
Attacker
WWW
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
17
www.protectem.de
Stand der Technik auf der Gegenseite
Auffinden von Geräten
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
18
www.protectem.de
SHODAN
• https://www.shodan.io/
• Such-Engine für
verschiedene Industrie
Steuergeräte
• https://icsmap.shodan.io/
• Suchbegriffe
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
–
–
–
–
IEC 61131-3
SIMATIC HMI
WAGO 750
…
03/2017
19
www.protectem.de
Google-Hacking
• Verwendung von passenden Suchfilter ermöglicht es mit Google Industrie
Steuerungen zu finden
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
20
www.protectem.de
Network Mapper (Nmap)
• Open Source Tool
• Findet Geräte und offene Ports in
einem Netzwerk
• Scans sind anpassbar, so dass sie nur
schwer erkannt werden können.
• Grafische Benutzeroberfläche:
Zenmap
https://www.linux.com/learn/zenmap-tutorial-audit-your-networks-using-nmap-gui
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
21
www.protectem.de
Stand der Technik auf der Gegenseite
Infizieren von Geräten
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
22
www.protectem.de
Social Engineering – Faktor Mensch als Schwachstelle
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
23
www.protectem.de
Infektionsmöglichkeiten
•
•
•
•
•
Präparierte Links
Makros in Office Dateien
Malware in Dateiformaten verstecken (.pdf, .exe, …)
Malware in normale Programme einbinden
Ausgeklügeltes kompilieren um Signatur des Schadprogramms
zu verändern (Obfuskation)
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
24
www.protectem.de
Schadcode in Dateien – Social Engineering Toolkit
• Unter Anleitung kann ein
kompletter Angriff
vorbereitet werden.
• Anbindung an Metasploit
Framework
• Erzeugen von
Schadprogrammen (*.exe)
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
25
www.protectem.de
Schadcode in Dateien – Veil
• Skripte zum
generieren von
Schadcode
• Erzeugen von
Schadprogrammen
(*.exe)
• Verschlüsselung der
Maleware möglich
• Integrierter
Virenscanner-Test
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
26
www.protectem.de
Metasploit
• Penetration Testing Framework
• Liefert eine große Datenbank mit
bekannten Schwachstellen
• Metasploit Module
–
–
–
–
Auxiliary
Payload
Exploit
Post
http://www.metasploit.com/
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
27
www.protectem.de
Armitage – Metasploit Frontend
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
28
www.protectem.de
Stand der Technik auf der Gegenseite
Live-Hacking einer Modbus-SPS
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
29
www.protectem.de
Industrielle Protokolle
Industrie Protokolle auf Ethernet
– Viele Protokolle nur in Ethernet Frames eingebettet
– Keine Sicherheit in den meisten Protokollen
• Kein Schutz gegen Lesen und Schreiben von Daten
• Keine Verschlüsselung der Daten
MODBUS
Modbus Application
Header
MAC-Header
IP-Header
TCP-Header
Function code
Data
Checksum
Ethernet Frame
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
30
www.protectem.de
Man-in-the-Middle
• ARP Tabelle
– Kommunikation in lokalem Netzwerk
– Angreifer kann die Kommunikation nicht beobachten
PLC
(bei geswitchtem Netzwerk)
HMI
Direkte Verbindung
Switch
Angreifer
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
31
www.protectem.de
Man-in-the-Middle
• ARP Spoofing
– Angreifer „vergiftet“ ARP-Cache der Opfer
– Datenpakete werden über den Angreifer umgeleitet
PLC
HMI
http://ettercap.github.io/
Switch
Angreifer
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
32
www.protectem.de
Fragen?
• Kontaktdaten
[email protected]
Tel. +49 (0) 991.289.779-00
ProtectEM GmbH
Bramersberg 9
94262 Kollnburg
www.protectem.de
Stand der Technik auf der Gegenseite - Einführung in Hacking-Tools
03/2017
33
Zugehörige Unterlagen
hier - WFG Rhein-Lahn
hier - WFG Rhein-Lahn
Nur noch wenige Vorstellungen Juni 2017 Schauspielhaus / Palais
Nur noch wenige Vorstellungen Juni 2017 Schauspielhaus / Palais
Flyer Tanz-Kur Tanz und Wellness
Flyer Tanz-Kur Tanz und Wellness
AST Association Suisse des truffes
AST Association Suisse des truffes
Der Kleintierzuchtverein E65 Ried/I lädt Sie zu der
Der Kleintierzuchtverein E65 Ried/I lädt Sie zu der
Einladung GV - Tennisclub Waldstaetter
Einladung GV - Tennisclub Waldstaetter
7. Schülerkunstwettbewerb - Luther-Melanchthon
7. Schülerkunstwettbewerb - Luther-Melanchthon
Speiseplan Woche vom15.05.2017 bis 19.05.2017 Mo: Ung
Speiseplan Woche vom15.05.2017 bis 19.05.2017 Mo: Ung
Vorschlag für den Föderalismus-Preis 2007
Vorschlag für den Föderalismus-Preis 2007
Obstbaumkurse 2017_Anmeldung
Obstbaumkurse 2017_Anmeldung
Tourismusjahr Österreich-Russland 2017
Tourismusjahr Österreich-Russland 2017
Speiseplan Woche vom 30.01.2017 bis 03.02.2017 Mo: Linsen
Speiseplan Woche vom 30.01.2017 bis 03.02.2017 Mo: Linsen
Herunterladen
Werbung