Anti-Forensics

Angriff

Stefan Klaas (GroundZero Security Research)

Schwierigkeitsgrad

Eine forensische Analyse wird nach einem Einbruch in ein

System, zur Spurensicherung durchgeführt. Dabei wird versucht,
alle relevanten Daten eines Angriffes auszulesen. Wenn einige
Dateien gelöscht wurden, versucht der Forensiker, diese wieder
von der Festplatte zu lesen.

W
ar der Hacker faul und hat seine
Dateien nur normal gelöscht, kann
– in den meisten Fällen – alles wie-
der hergestellt werden. Es gibt verschiedene
Methoden, wie Daten wiederhergestellt wer-
den können. Meist wird dies mit Programmen
wie EnCase erledigt. Dies ist möglich, da das
Betriebssystem beim Löschen einer Datei, die
Bytes nicht zerstört bzw. ändert, sondern ledig-
lich den belegten Bereich der Datei als freien
Platz markiert und somit dem OS zur Verfügung
stellt. Der freie Platz auf einer Festplatte ist also
nicht wirklich leer (außer – die Platte ist neu),
sondern ist voll mit alten Daten. Um eine Datei
wirklich unwiderruflich zu löschen, benötigt
man ein spezielles Programm. Mit Hilfe eines
solchen wird jedes einzelne Byte mehrmals
überschrieben. Dieses Programm unterstüzen
mehrere sichere Lösch-Algorythmen, wie den
DOD (Department of Defense) Standard oder
den sichersten von Peter Gutmann, der die
Datei 35-mal mit verschiedenen Bitmustern
überschreibt. Außerdem ist es möglich, den
kompletten freien Speicherplatz, sicher mit den
genannten Algorythmen zu überschreiben. Dies
macht eine forensische Analyse des freien Fest-
plattenspeichers unmöglich.
Forensische Analysen
Um zu verstehen, worum es sich bei dem ganzen
Thema handelt, müssen wir zuerst einmal wis-
sen, was forensische Analysen eigentlich sind!
Kurz gesagt – ein Forensiker versucht,
herrauszufinden, WER, WAS, WO, WANN,
WOMIT und WESHALB getan hat?
Eine forensische Analyse wird meist bei
Einbrüchen in ein Computersystem angwandt,
um Spuren zu sichern. Hierbei wird versucht,
so viele relevante Daten wie möglich, zu
sammeln. Da ein Angreifer meistens die Log-
Dateien ändert bzw. Dateien löscht, versucht
In diesem Artikel erfahren
Sie...
• Wie Angreifer forensische Analysen erschweren;
• Die eigene Privatsphäre zu schützen.
Was Sie vorher wissen/können
sollten...
• Linux Grundkenntnisse.

30 hakin9 Nr 6/2007 www.hakin9.org/de

 Anti-Forensics

Listing 1. Zugriffszeiten Listing 3. /dev/shm

Server /root# touch Datei Server /root# mount |grep shm

Server /root# stat Datei tmpfs on /dev/shm type tmpfs (rw)
File: `Datei' Server /root# df -h |grep shm
Size: 0 Blocks: 0 IO Block: 4096 regular empty file tmpfs 252M 0
Device: 303h/771d Inode: 5458920 Links: 1 252M 0%
Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root) /dev/shm
Access: 2007-03-08 16:43:23.000000000 +0100 Server /root#
Modify: 2007-03-08 16:43:23.000000000 +0100
Change: 2007-03-08 16:43:23.000000000 +0100
Server /root#
ersetzen möchte, darf er sie nicht
löschen, sondern nur überschreiben
ein Forensiker, genau diese Daten Datei-Zugriffszeiten und danach access, modification
wieder zu finden. Wurden Daten Bei jeder Datei wird vom Betriebssys- und change time mit einem spe-
nicht sicher gelöscht, können diese tem ein Zeitstempel angelegt. Er gibt ziellen Programm wieder auf den
einfach, mit speziellen Programmen, Auskunft über den letzten Zugriff, Originalstand setzen. Löscht er
wiederhergestellt werden. Wurden letzte Modifikation und Erstellungs- einfach die Datei und erstellt sie auf
die Zugriffszeiten bei Dateien nicht datum der Datei (siehe Listing 1). neu, ändert sich die Inode und somit
geändert oder können fehlende Log- Wie Sie außerdem sehen kön- kann festgestellt werden, dass eine
Daten wiederhergestellt werden, nen, wird auch die genaue Inode Datei verändert wurde, auch wenn
kann ein Forensiker den Zeitpunkt und die Rechte der Datei angege- die A/M/C Zeiten etwas Anderes
eines Angriffes bestimmen. ben. Wenn ein Angreifer eine Datei aussagen.

Listing 2. Log Cleaner Test

Server /root/anti-forensics-article# wget http: <system type> – linux

//packetstormsecurity.org/UNIX/ – bsd
penetration/log-wipers/mig- – sun
logcleaner11.tar.gz
--15:49:10-- http://packetstormsecurity.org/UNIX/ Server anti-forensics-article/mig-logcleaner# make linux
penetration/log-wipers/mig- gcc -DLINUX -Wall -o mig-logcleaner mig-logcleaner.c
logcleaner11.tar.gz Server anti-forensics-article/mig-logcleaner# cp mig-
=> `mig-logcleaner11.tar.gz' logcleaner ../clean
Resolving packetstormsecurity.org... 213.150.45.194 Server anti-forensics-article/mig-logcleaner# cd ../
Connecting to packetstormsecurity.org|213.150.45.194|: Directory: /root/anti-forensics-article
80... connected. Server /root/anti-forensics-article# who
HTTP request sent, awaiting response... 200 OK 15:50:37 up 6 days, 3:54, 1 user, load average: 0.03,
Length: 6,705 (6.5K) [application/x-tar] 0.01, 0.00
USER TTY LOGIN@ IDLE JCPU PCPU WHAT
100%[==================================================== root pts/1 13:50 0.00s 0.47s 0.00s w
=================================== Server /root/anti-forensics-article# last -a | head -1
===========================>] 6,705 root pts/1 Mon Mar 12 13:50 still logged in
22.32K/s groundzero-security.com
Server /root/anti-forensics-article# ./clean -u root
15:49:10 (22.26 KB/s) – `mig-logcleaner11.tar.gz' saved
[6705/6705] ******************************
* MIG Logcleaner v2.0 by no1 *
Server /root/anti-forensics-article# tar -xzvf mig- ******************************
logcleaner11.tar.gz
mig-logcleaner/ [0x1] 63 users "root" detected in /var/log/wtmp
mig-logcleaner/mig-logcleaner.c [0x2] Removed "root" entry #1 from /var/log/wtmp
mig-logcleaner/makefile [0x3] Removed "root" coresponding entry from /var/run/
mig-logcleaner/readme.mig utmp
Server /root/anti-forensics-article# cd mig-logcleaner/ [0x4] Changing "root" coresponding entry in /var/log/
Directory: /root/anti-forensics-article/mig-logcleaner lastlog
Server anti-forensics-article/mig-logcleaner# make
Server /root/anti-forensics-article# who
MIG Logcleaner by no1 (greyhats.za.net) Server /root/anti-forensics-article# last -a | head -1
----------------------------------------- root pts/2 Sat Mar 10 20:22 – 20:22 (00:00)
g-0.org
usage: make <system type> Server /root/anti-forensics-article#

www.hakin9.org/de hakin9 Nr 6/2007 31

 Angriff

Listing 4. Steganographie Software installieren

Server /root/anti-forensics-article# wget "http://prdownloads.sourceforge.net/steghide/steghide-0.5.1-

1.i386.rpm?download"
--14:49:55-- http://prdownloads.sourceforge.net/steghide/steghide-0.5.1-1.i386.rpm?download
=> `steghide-0.5.1-1.i386.rpm?download'
Resolving prdownloads.sourceforge.net... 66.35.250.217
Connecting to prdownloads.sourceforge.net|66.35.250.217|:80... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: http://downloads.sourceforge.net/steghide/steghide-0.5.1-1.i386.rpm?download [following]
--14:49:56-- http://downloads.sourceforge.net/steghide/steghide-0.5.1-1.i386.rpm?download
=> `steghide-0.5.1-1.i386.rpm?download'
Resolving downloads.sourceforge.net... 66.35.250.203
Connecting to downloads.sourceforge.net|66.35.250.203|:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://heanet.dl.sourceforge.net/sourceforge/steghide/steghide-0.5.1-1.i386.rpm [following]
--14:49:56-- http://heanet.dl.sourceforge.net/sourceforge/steghide/steghide-0.5.1-1.i386.rpm
=> `steghide-0.5.1-1.i386.rpm'
Resolving heanet.dl.sourceforge.net... 193.1.193.66, 2001:770:18:aa40::c101:c142
Connecting to heanet.dl.sourceforge.net|193.1.193.66|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 190,253 (186K) [application/x-redhat-package-manager]

100%[===============================================================================================
===================>] 190,253 222.17K/s

14:49:57 (221.68 KB/s) – `steghide-0.5.1-1.i386.rpm' saved [190253/190253]

Server /root/anti-forensics-article# rpm -i steghide-0.5.1-1.i386.rpm

Server /root/anti-forensics-article# steghide
steghide version 0.5.1

Listing 5. Steganographie-Test

Server /root/anti-forensics-article# echo "Secret Data" > private.txt

Server /root/anti-forensics-article# cat private.txt
Secret Data
Server /root/anti-forensics-article# wget http://www.groundzero-security.com/logo-simple.jpg
--15:00:37-- http://www.groundzero-security.com/logo-simple.jpg
=> `logo-simple.jpg'
Resolving www.groundzero-security.com... 85.214.80.55
Connecting to www.groundzero-security.com|85.214.80.55|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 18,923 (18K) [image/jpeg]

100%[===============================================================================================
===================>] 18,923 --.--K/s

15:00:38 (48.77 MB/s) – `logo-simple.jpg' saved [18923/18923]

Server /root/anti-forensics-article# md5sum logo-simple.jpg

d95f5d85136781ebdae55ec36b75938a logo-simple.jpg
Server /root/anti-forensics-article# steghide embed -cf logo-simple.jpg -ef private.txt
Enter passphrase:
Re-Enter passphrase:
embedding "private.txt" in "logo-simple.jpg"... done
Server /root/anti-forensics-article# md5sum logo-simple.jpg
22a7338a7de094fae41ffef3c8982200 logo-simple.jpg
Server /root/anti-forensics-article# rm private.txt -f
Server /root/anti-forensics-article# file logo-simple.jpg
logo-simple.jpg: JPEG image data, JFIF standard 1.01
Server /root/anti-forensics-article# steghide extract -sf logo-simple.jpg
Enter passphrase:
wrote extracted data to "private.txt".
Server /root/anti-forensics-article# cat private.txt
Secret Data
Server /root/anti-forensics-article#

32 hakin9 Nr 6/2007 www.hakin9.org/de

 Anti-Forensics

Listing 6. Signaturen verändern

Server /root/anti-forensics-article# cp /bin/ls test

Server /root/anti-forensics-
article# md5sum test
bb81f1ace603d2c8ab79de6607419684 test
Server /root/anti-forensics-article# echo "Hakin9" >> test
Server /root/anti-forensics-article# ./test -la
total 96
drwxr-xr-x 2 root root 4096 Mar 12 15:36 .
drwx------ 18 root root 4096 Mar 12 15:35 ..
-rwxr-xr-x 1 root root 82647 Mar 12 15:36 test
Server /root/anti-forensics-article# md5sum test
611fdc9ebeb07c4ee92a83d1891cca64 test
Server /root/anti-forensics-article#

Es gibt bereits unzählige Menge /dev/shm Aufenthalt

solcher Programme im Internet,
sehen wir uns also einmal einen
solchen log cleaner an. Wir suchen
einfach bei Google.
In unserem Beispiel haben
wir nun unseren Login versteckt.
Normalerweise werden in den
WTMP/UTMP Logs die Logindaten
gespeichert. Das Kommando who
greift darauf zu, um die aktuellen
User anzuzeigen.
Wir haben uns gerade eben un-
sichtbar gemacht. Das Kommando
last zeigt die gespeicherten Logins
an, d.h. wann welcher User sich an
das System angemeldet hat und
wie lange seine Session gedauert
hat. Angreifer ändern diese Daten,
damit bei einer Analyse der genau-
en Zeitpunkt des Angriffes nicht
bestimmt werden kann. Werden
allerdings IP Verbindungsdaten am
Router oder IDS gespeichert, war
diese Methode umsonst.
Ähnlich sieht es bei anderen
Protokollierungsdaten aus. Ein
Angreifer wird immer versuchen,
seine Spuren zu verwischen und
somit wird er auch versuchen, je-
de mögliche Form von Logging zu
umgehen.
Deshalb kann man Logfiles
nach einem Angriff nicht mehr wirk-
lich trauen. Ein Angreifer kann auch
einfach die Logs verfälschen. Also
zum Beispiel einfach eine andere
IP eintragen und schon scheint es,
als ob der Angriff von einem ganz
anderen System ausging.
im Arbeitsspeicher
ohne Festplattenzugriff
/dev/shm ist ein temporäres Dateisys-
tem (sog. Shared Memory Concept),
welches direkt im Arbeitsspeicher
erstellt wird. Es wurde implementiert,
um Daten zwischen Prozessen aus-
zutauschen. Mit den Kommandos df
oder mount Sehen Sie /dev/shm als
tempfs (siehe Listing 3).
Da es sich hierbei um ein virtu-
elles Dateisystem handelt, werden
keine Daten auf der Festplatte
gespeichert. Daher sind Daten, die
dort gespeichert werden, nur tem-
porär und nach einem Reboot (oder
unmount) logischerweise nicht mehr
vorhanden.
Aus diesem Grund benutzen
Angreifer oft dieses Verzeichnis, um
lokale Exploits dort zu speichern.
Sollte es zu unerwarteten Problemen
mit einem Exploit kommen, etwa ein
Kernel Panic, dann wäre der Exploit
aus /dev/shm nach dem Reboot ge-
löscht.
Rootkits im Speicher
Wenn ein Angreifer mit Program-
men wie Tripwire konfrontiert wird,
kann es für ihn von Nutzen sein,
ein Backdoor in den Speicher
eines anderen Programmes zu in-
jezieren. Hat ein Server eine hohe
uptime und wird selten rebooted,
hat der Angreifer genug Zeit, um
an die gewünschten Daten zu
gelangen, bis sein Backdoor nicht
mehr funktioniert.

www.hakin9.org/de hakin9 Nr 6/2007 33

 Angriff
Es gibt einige Backdoor-Pro-
gramme, die zum Beispiel die ptra-
ce() Funktion benutzen, um einem
Angreifer Zugriff auf den Server zu
gewähren. Da diese Form von Root-
kit für einen normalen Administrator
schwer zu entdecken ist und eine
forensische Analyse erschwert, wird
diese Methode bei gut geschützten
Servern verwendet.
Penetration-Tester nutzen diese
Methode auch gerne, um Kunden-
schwachstellen in der lokalen Si-
cherheitssoftware zu demonstrieren.
Encryption
– der Alptraum
jedes Forensikers
Angreifer benutzen gerne verschie-
dene Verschlüsselungsmethoden,
um eine forensische Analyse zu
verhindern.
Ein verschlüsseltes Dateisystem
zum Beispiel, kann auch von erfahre-
nen Forensikern nicht entschlüsselt
werden, sofern es keine Sicherheits-
löcher in der Krypto-Software selbst
gibt oder er irgendwie an den Schlüs-
sel kommt.
Mit Programmen wie BestCrypt
kann ein Krypto-Kontainer erstellt
werden, indem Daten sicher ge-
speichert werden. Das Dateisys-
tem kann nur mit dem richtigen
Schlüssel geöffnet werden. Für den
Benutzer wird ein verschlüsseltes
Dateisystem in dem Kontainer
angelegt. Gibt er das richtige Pass-
wort ein, kann er ganz normal auf
die enthaltenen Verzeichnisse bzw.
Daten zugreifen, wie auf eine nor-
male Festplatte.
Oft verschlüsseln Hacker auch
ihre Programme, die Sie auf ent-
fernten Systemen benutzen. Es gibt
einige ELF encryption Tools, um
binäre Dateien mit einem Passwort
zu schützen. Meist können solche
Programme nicht entschlüsselt
werden – außer das Passwort
ist zu schwach und kann mit der
sog. Bruteforce Methode geknackt
werden. Hierbei werden alle mög-
lichen Kombinationen von Zahlen,
Buchstaben und Sonderzeichen
als Passwort versucht. Bei kurzen
Passwörtern mit 0-6 Zeichen dauert
34 hakin9 Nr 6/2007
dies bei einem normalen PC nicht
sehr lange. Mit genug Computer
Power können aber auch längere
Passwörter geknackt werden.
Es gibt aber auch Software, um
die komplette Festplatte inklusive
Betriebssystem zu verschlüsseln.
Hierbei wird im Master Boot Record
(MBR) eine Authentifizierung einge-
bunden. Wird die Festplatte nun in
ein anderes System eingebunden,
kann nicht darauf zugegriffen wer-
den. Somit wird eine forensische
Festplatten-Analyse unmöglich, so-
fern der Krypto-Algorythmus nicht
zu schwach ist oder der Forensiker
das Passwort kennt.
Steganographie
Mit diesem Verfahren ist es möglich,
Daten in Bildern oder Audio Dateien
zu verstecken.
Es gibt unzählige Programme,
welche diese Methode benutzen,
um Daten verschlüsselt in Bild Do-
kumenten zu verstecken. Allerdings
gibt es auch Programme, die Bilder
scannen, um versteckte Daten zu
suchen. Ohne zugehöriges Pass-
wort wird es jedoch schwer, an die
Daten zu gelangen. Versuchen wir
doch einfach einmal als Beispiel, ei-
ne Datei in einem Bild zu verstecken.
Dazu downloaden wir ein spezielles
Programm (siehe Listing 4).
Ok, da wir unser Programm instal-
liert haben, können wir unseren Test
starten. Wir fügen eine Textdatei in
ein JPG Bild ein (siehe Listing 5).
So einfach ist es also, Dateien zu
verstecken. Das JPG Bild zeigt keine
Veränderung und kann nach wie vor
normal geöffnet werden. Dies funk-
tioniert natürlich auch mit anderen
Dateiformaten.
MD5 Analyse
Ein Forensiker kann versuchen,
auf einem Image, welches er ana-
lysieren möchte, bekannte Dateien
mittels eines MD5 Hashes zu su-
chen. Sucht er zum Beispiel ein be-
stimmtes Dokument auf dem Image,
erstellt er einen MD5 Hash dieser
Datei und scannt alle Daten auf
dem Image nach dieser Signatur.
Diese Methode ist sehr schnell und
www.hakin9.org/de
einfach durchzuführen, jedoch nicht
wirklich clever. Ein Angreifer muss
lediglich ein einziges Byte in der
Datei ändern und schon resultiert
dies in einer anderen Signatur. Ich
kann Ihnen das kurz demonstrieren.
Ich kopiere die Datei /bin/ls in mein
Verzechnis als test, dann generiere
ich die MD5 Summe und füge den
String Hakin9 an das Ende der Datei
(siehe Listing 6).
Wie Sie sehen können, kann die
Datei weiterhin ausgeführt werden,
doch die MD5 Summe hat sich geän-
dert. Somit würde also ein Signatur-
Vergleich nicht funktionieren.
Fazit
Es gibt viele Möglichkeiten, Angrei-
fer zu entdecken, jedoch gibt es
auch sehr viele Methoden, um Pro-
tokollierungs- bzw. Systemdaten zu
fälschen. Nach einem Angriff kann
man also seinen Logfiles nicht
immer trauen. Ein Angreifer kann
auch nur im Speicher sitzen, ohne
dass er jemals auf die Festplatte
schreibt. Auch eine Speicherana-
lyse kann erfolglos sein, wenn der
Angreifer sein virtuelles Dateisys-
tem verschlüsselt. Allerdings kann
man dieses Wissen auch einset-
zen, um seine eigenen privaten
Daten vor Dritten zu schützen.
Verstecken Sie Ihre privaten Daten
immer verschlüsselt! Wir haben
nun einige Methoden kennen ge-
lernt, jedoch gibt es weitaus mehr
zu entdecken. Suchen Sie doch
einfach mal im Internet! Es gibt un-
zählige freie Programme, die Sie zu
diesem Thema finden können. l
Über den Autor
Stefan Klaas beschäftigt sich seit
über 10 Jahren mit IT Sicherheit und
hat als Security Administrator und
Software Entwickler gearbeitet. Seit
2005 ist er Geschäftsführer der Fir-
ma GroundZero Security Research in
Deutschland. Er schreibt immernoch
sog. Proof of Concept Exploit Code,
beteiligt sich aktiv an Sicherheitsfor-
schungen und führt Penetrationtests
für Kunden aus.