Detlef Eppig

Detlef Eppig ist der Allrounder bei Verizon: Er ist sowohl Deuschlandchef als auch Director Network Operations für Zentral- und Osteuropa. Nicht nur deshalb zählt Eppig zu den "alten Hasen" der Branche.

Frag die Daten: Über opportunistische Attacken (Teil 1)

Wenn es um Netzwerke geht macht Detlef Eppig, Deutschland-Chef bei Verizon so schnell keiner etwas vor. Umso interessanter sind seine Einblicke in die Welt der opportunistischen Attacken, die er uns als neues Mitglied im silicon.de-Blog zum Auftakt gewährt. Eine Analyse einschlägiger Daten führt ihn unter anderem zu der Frage, was eigentlich in Bangladesh los ist.

Aufgefallen ist mir unter anderem schon immer bei unserem Data Breach Investigation Report die Menge opportunistischer Netzwerk-Attacken, die Jahr für Jahr darin aufgeführt wird. 79 Prozent der Angriffe 2011 und 74 Prozent (der von Verizon untersuchten Fälle) im Jahr 2010 wurden als “opportunistisch” klassifiziert. Bei dieser Art von Angriff wurde das Opfer nicht ausdrücklich als Ziel ausgewählt; es wurde vielmehr identifiziert und angegriffen, weil es Schwächen aufwies, die der Angreifer für sich zu nutzen wusste. Das bedeutet, dass die Agents hinter den opportunistischen Angriffen einfach damit beginnen, auf der Suche nach Schwachstellen das Internet zu scannen. Gemäß dieser Logik wäre es jedem Host im Internet möglich, nach solchen versuchten opportunistischen Angriffen Ausschau zu halten und sie sogar aufzuzeichnen. Also haben wir vor knapp zwei Monaten genau damit begonnen. Wir begannen schlicht damit, Informationen über sämtliche Pakete aufzuzeichnen, die wir über das Internet an einer Vielzahl von (unbedeutenden) IP-Adressen erhielten.

Und weil wir still da gesessen und jedes Paket, das einging, beobachtet und aufgezeichnet haben, sind wir jetzt bereit, erste Schlussfolgerungen zu ziehen. Denken Sie bitte daran, dass wir hier nichts technisch Kompliziertes machen. Praktisch jedes Endgerät ist in der Lage, die von uns gesammelten Informationen auszugeben: Datum und Uhrzeit, Protokoll, Quell-IP/Port und Bestimmungs-IP/Port. Jeder, der das hier liest, ist wahrscheinlich dazu in der Lage und hat die Tools, genau diese Datensammlung durchzuführen. Vor diesem Hintergrund waren wir ein wenig überrascht, dass es während des Datensammelns und der Analyse ein paar “Was, echt?”-Momente und “Klar natürlich!”-Kopfnicken und auch ein oder zwei “Was zum …?!”-Entdeckungen gab.

Genug der Vorrede, schauen wir uns die Abbildungen an. Wir beginnen mit einer einfachen Grafik (zum Vergrößern anklicken), an welchen Ports und Protokollen die meisten opportunistischen Attacken beginnen. Wie aus der Abbildung link zu erkennen, sind die allerersten Ports keine wirkliche Überraschung (schließlich sind sie hinreichend bekannt), aber es ist schon spannend zu beobachten, dass ihnen eine derartige Priorität zugemessen wird. Die Liste wird angeführt von TCP-Port 3389, Microsofts Remote Desktop Protocol (RDP), gefolgt von MS SQL Server (1433) und dann VNC für Remote Desktop bei verschiedenen Systemen, drunter Unix/Linux und Apple. Dies stimmt mit dem Top-Hacking-Vektor der von uns analysierten Datenverletzungen aus dem Jahr 2011 überein: Bei überwältigenden 88 Prozent der 855 Datenverletzungen war eine Form von “Remote Access/Desktop Services” involviert.

An vierter Stelle kommt TCP Port 8080, der typischerweise für Web-Proxys verwendet wird. Insgesamt passt dies zu den opportunistischen Angriffen, die entweder den Remote-Zugriff direkt suchen (RDP, SQL, VNC) oder ein “proxy off” von einem anderen Host versuchen (siehe unten). Bemerkenswert an diesen Daten ist, dass Port 22 ausgenommen ist, weil es dafür eine andere Verwendung gibt. Anhand der Daten, die wir zu SSH (Port 22) gesammelt haben, könnte er leicht unter den Top 5 oder 6 sein.

Proxys

Port 27977 rangiert zwar nicht hoch auf dieser speziellen Liste (nach Unique Source IP), ist aber dennoch mit Sicherheit der aktivste, gefolgt von TCP 6515. Wer wie ich denkt, wird sich jetzt am Kopf kratzen und fragen, was das für Ports sind. Vielleicht kann man ja danach suchen … und sie finden? Port 27977 scheint ein von TDSS erstellter Service zu sein, ein besonders fortschrittliches Stück Malware, das einen offenen SOCKS Proxy an diesem Port einrichtet. Port 6515 ist irgendwie eine anfällige Version von McAfee, die sich wie ein offener Proxy verhält. Sie kommen später auch in der Analyse vor, sind es jedoch wert, als Ziel für opportunistische Angriffe benannt zu werden.

Wo kommen die eigentlich her?

Durch Anwendung von Geolocation auf die IP-Adresse bekommen wir ein Gefühl dafür, wo die Attacken herstammen. Insgesamt haben wir Verbindungsversuche aus 153 Ländern registriert, und das sind die aktivsten unter ihnen:

  • China 20,94 %
  • Vereinigte Staaten 13,75 %
  • Russische Föderation 8,04 %
  • Republik Korea 4,05 %
  • Frankreich 3,78 %
  • Italien 3,58 %
  • Brasilien 2,54 %
  • Ukraine 2,26 %
  • Großbritannien 2,26 %
  • Indien 1,95 %

Allein diese Art der Verbreitung zu sehen, war schon recht interessant, noch interessanter fanden wir jedoch, dass IP-Adressen mit Ursprung China Remote Access Services wie RDP und MS SQL bevorzugen. Für die USA stehen Spamming/Proxy Services wie der TDSS Proxy oder McAfees Port 6515 im Mittelpunkt des Interesses.

Non-Random Source Ports

Als letztes fiel uns beim Herumstöbern in diesen Daten auf, dass es mehrere Non-Random Source Ports gab. Gewöhnlich kümmert es eine Client-Anwendung wenig, welchen Source Port sie sich greift, also sollte eine einigermaßen gleichmäßige Verteilung zu beobachten sein, und das war auch allgemein so. Einige Source Ports jedoch waren derart frequentiert, dass dies kein Zufall sein konnte. TCP Port 12200 ist bei weitem der am häufigsten frequentierte Non-Random Source Port, jedoch nicht, wenn wir nach Unique Source IP sortieren. TCP Port 6000 dominiert komplett die Liste der Non-Random Source Ports. Diese Ports dienten als Source für X-Windows-Verbindungen, also wurden Firewalls für sie durchlässig konfiguriert. Offensichtlich ist das immer noch der Fall, wenn 11 Prozent aller Unique Source IPs sie weiterhin als Source Ports verwenden. Eine abschließende Bemerkung zu Non-Random Source Ports … was ist eigentlich mit Bangladesh los?

Hat Sie die letzte Frage verwirrt? Nun, wir haben diese Daten zusätzlich aufbereitet und ein interaktives Interface erstellt, damit Sie herumklicken und sehen können, was wir sehen. Werfen Sie also einen Blick auf unser interaktives Interface, um den Beginn opportunistischer Attacken zu beobachten, wohin sie gerichtet sind und woher sie kommen. Gehen Sie mit der Maus über Details der Grafik und Sie erhalten weitere Informationen dazu. Oder klicken Sie auf einen beliebigen Datenpunkt, um ihn auf der gesamten Seite hervorheben zu lassen. Wer weiß, vielleicht picken Sie ja eine Beziehung heraus, die uns bisher entgangen ist.

Neugierig geworden? Im zweiten Teil wird silicon.de-Blogger Detlef Eppig mehr über typische Angriffsmuster schreiben und über das Erkennen von Mustern in Scans von Hosts.