Das L in Linux steht für laterale Netzwerkbewegung

Dieser Blogbeitrag ist nicht als Leitfaden für Linux-Hacking gedacht. Er soll Netzwerkschützer über potenzielle Bedrohungen informieren, die sich auf ihre Netzwerke auswirken können.

Die meisten (wenn nicht alle) Protokolle, die wir in diesem Beitrag behandeln, sind nicht sofort verfügbar, sondern müssen auf eine bestimmte Weise konfiguriert werden, damit laterale Netzwerkbewegungen erreicht werden können. Wir geben keine Anleitungen zur missbräuchlichen Verwendung der in diesem Beitrag behandelten Protokolle.

Wir hoffen, das Bewusstsein für andere Protokolle zu schärfen, die so konfiguriert werden können, dass sie als Einfallstor für Angriffe missbraucht werden können. Ein entschlossener Hacker kann und wird die in diesem Beitrag behandelten Protokolle finden und missbrauchen, ohne dass wir ihm davon erzählen. Wir möchten, dass das Blue Team darauf vorbereitet ist.

Um den Verteidigern zusätzlich zu helfen, haben wir uns mit unserem Infection-Monkey-Teamzusammengetan. Infection Monkey ist eine automatische Open-Source-Prüfplattform für Eindringversuche und Angriffe, die Ihr Netzwerk auf viele gängige laterale Netzwerkbewegungen und Methoden der Netzwerkausbreitung testet. 

Das Entwicklungsteam nutzte die Ergebnisse unserer Forschung und berücksichtigte sie als neue Exploit-Technik im Tool. Verteidiger können Infection Monkey verwenden, um ihr Netzwerk auf einige der in diesem Beitrag erwähnten Methoden der Remote-Ausführung zu testen.

[Hinweis: In diesem Abschnitt geht es um die Methode, die wir verwendet haben, um interessante Ziele für laterale Netzwerkbewegungen zu finden. Wenn Sie an der Methodik nicht interessiert sind und lieber direkt bei den praktischen Maßnahmen einsteigen möchten, können Sie gerne direkt zu Protokollen übergehen, die eine sofortige Codeausführung ermöglichen.]

Da wir nach Protokollen und Services für laterale Netzwerkbewegungen suchen, können wir bei der Suche nach potenziellen Kandidaten sowohl den Aspekt des Betriebssystems als auch den Netzwerkaspekt berücksichtigen. Das bedeutet konkret: Wir können nach den gängigsten Prozessen in Linux-Computern oder an den gängigsten Listening-Ports suchen. Wir dürfen nicht das eine zugunsten des anderen vernachlässigen, da es unterschiedliche Implementierungen desselben Protokolls (unterschiedlicher Prozessname, gleicher Port) oder einen einzelnen Prozess mit mehreren oder sich ändernden Ports (zum Beispiel flüchtige Ports in RPC) geben kann.

Als wir die wichtigsten bei der Kommunikation mit Linux-Computern verwendeten Ports untersuchten, stellten wir fest, dass SSH (Port 22) die Liste dominierte. Es gab jedoch noch andere vielversprechende Kandidaten für eine Untersuchung: FTP (Port 21), SNMP (Port 161) und Sun RPC (Port 111). 

Es gibt auch einige Ports, die von sshd verarbeitet wurden (dem SSH-Daemon-Prozess), obwohl sie nichts mit SSH zu tun haben. Wir gehen davon aus, dass diese in SSH-Tunneln verwendet werden und daher außerhalb unseres Untersuchungsbereichs liegen. 

Nehmen wir beispielsweise die Ports 135 und 5985, die unter Windows für RPC bzw. WinRM verwendet werden. Wir erwarten diese Ports nicht auf Linux-Computern, wenn sie zumal von sshd überwacht werden. Wahrscheinlicher ist, dass ein SSH-Tunnel auf einem Linux-Computer geöffnet wurde, der extern verfügbar ist, um den Zugriff auf interne Maschinen zu ermöglichen. Da SSH-Tunnel den Traffic nur an einen anderen Empfänger weiterleiten, sind sie in Bezug auf laterale Netzwerkbewegungen in den Host des Tunnels nicht von großer Bedeutung.

Unsere Ergebnisse weisen auf zwei interessante Prozesse, die besondere Aufmerksamkeit verdienen: xinetd und rpcbind. Sie sind als Ziele für laterale Netzwerkbewegungen nicht brauchbar, da sie nicht viele Funktionen bieten. Sie werden überwiegend für Abfragevorgänge verwendet, mit denen Kommunikation und Ports anderen Prozessen zugeordnet werden. Stattdessen können wir sie nutzen, um andere interessante Services zu suchen.

xinetd (und sein Vorgänger inetd) wird zur Steuerung und Verwaltung von Daemons verwendet. Wenn wir uns die Standardliste der von ihm verwalteten Daemons ansehen, finden wir rexec sowie rlogin und rsh, die alle zur Suite der Berkeley r-Befehle gehören. Wir können auch verschiedene FTP-Daemons finden: VNC und Telnet.

rpcbind ist der RPC-Portmapper-Prozess für Sun RPC. RPC-Server registrieren sich beim Portmapper und Clients können den Portmapper abfragen, um den flüchtigen Port des Servers zu finden. Im Gegensatz zu MS-RPC verwendet Sun RPC Programmnummern, um bestimmte RPC-Server zu identifizieren, die bei der IANA (Internet Assigned Numbers Authority) registriert sind. Wenn wir uns die registrierten Programme anschauen, sehen wir einige interessante Namen, wie zum Beispiel rexec und NFS.

24 % der getesteten Linux-Computer

Unabhängig von den integrierten SNMP-Funktionen ist es auch ein Ziel für Angreifer, wobei manche Cyberkriminellen Schwachstellen von SNMP-Implementierungen in Routern und IoT-Geräten nutzen, um in Netzwerke einzudringen. Der Missbrauch von SNMP hat ein Ausmaß erreicht, dass die CISA (Cybersecurity & Infrastructure Security Agency) eine Empfehlung zu dem Protokoll veröffentlicht hat.

Damit Systeme auf ihre Anfälligkeit gegenüber dieser Bedrohung getestet werden können, haben wir mit unserem Infection-Monkey-Team ein Exploit-Plug-in für das SNMP Remote EXTEND-Plug-in entwickelt. Wenn Sie Infection Monkey ausführen, können Sie sehen, wie dieser Angriff in Ihrer Umgebung aussehen würde. Außerdem können Sie überprüfen, ob Ihre Sicherheitsvorkehrungen ausreichen, um einen Angriff abzuwehren. Der SNMP-Angriff ist in der neuesten Version von Infection Monkey verfügbar: v2.2.1.

10 % der getesteten Linux-Umgebungen

Nein, wir sprechen hier nicht speziell über RDP, das proprietäre Remote-Desktop-Protokoll von Microsoft (aber keine Sorge, das kommt noch). Es gibt andere Remote-Desktop-Protokolle, die auf Linux-Maschinen ausgeführt werden können. Sie sind wesentlich seltener als in Windows-Umgebungen, da sie für die gemeinsame Nutzung von grafischen Desktops vorgesehen sind und die meisten Linux-Server ohne Desktopumgebung installiert werden. 

Wir haben jedoch festgestellt, dass diese Protokolle in einigen Netzwerken verwendet werden. Daher haben sie es in die Liste geschafft und sind hier mit berücksichtigt:

• Das X Window System ist ein Desktop-Window-System, das für Unix verfügbar ist und auch Remote-Verbindungen überwachen kann. Es verwendet TCP-Ports 6000+ (es beginnt bei Port 6000, aber die Portnummer wird anschließend für jeden ausgeführten Desktop-Server erhöht).

• VNC basiert auf dem Remote-Framebuffer-Protokoll (RFB) und verwendet TCP-Ports 5900+ (ähnlich wie bei X erhöht sich die Portnummer mit jedem ausgeführten Desktop-Server).

• XRDP ist eine Implementierung des Microsoft RDP-Protokolls, die auf Nicht-Windows-Computern verwendet werden kann. Als eine RDP-Implementierung verwendet sie Port 3389.

Einige der Remote-Desktop-Protokolle sind sicherer als andere, aber prinzipiell können sie alle von Cyberkriminellen missbraucht werden. Es gibt auch mehrere Implementierungen der Protokolle in Linux, weshalb wir hier Portnummern anstelle von Programmnamen angegeben haben.

4 % der getesteten Linux-Umgebungen

Ähnlich wie SSH und rlogin ist auch Telnet ein Protokoll für Remote-Konsole und -Steuerung. Es ist ebenfalls unsicher und unverschlüsselt, ähnlich wie rlogin, und anfällig für Abfangversuche oder Paket-Sniffing-Angriffe. Wir haben es nur in etwa 4 % der untersuchten Netzwerke festgestellt, doch das bedeutet: Es ist noch immer in Gebrauch und könnte Auswirkungen für Ihr Netzwerk haben. Das Protokoll verwendet den TCP-Port 23 oder 2323.

1 % der getesteten Linux-Umgebungen

Die Berkeley r-Befehle sind eine Suite von Programmen, die Remote-Operationen über Computer im Netzwerk hinweg ermöglichen. Ursprünglich wurden sie als Teil von BSD entwickelt, inzwischen jedoch größtenteils durch SSH ersetzt. Grund dafür sind in erster Linie die Sicherheitsbedenken gegenüber diesen Protokollen (keine Verschlüsselung und nur minimale oder gar nicht vorhandene Authentifizierung). 

Trotzdem haben wir hier und da ein paar der Daemons der Suite gesehen. Es ist also noch zu früh, um sie ganz außen vor zu lassen. Es gibt drei Daemons, die wir herausstellen möchten:

1. rexec: ermöglicht Remote-Befehlsausführung; verwendet TCP-Port 512

2. rlogin: ermöglicht Remote-Anmeldung und -Konsole; verwendet TCP-Port 513

3. rsh: ähnlich wie rexec, erfordert jedoch keine Authentifizierung; verwendet TCP-Port 514

Selbst wenn Remote-Steuerung oder -Ausführung nicht möglich sind, kann allein die Möglichkeit, Dateien auf den Zielcomputer zu übertragen, die Entwicklung von Angriffen begünstigen. Sehen wir uns einmal PsExec als eine verbreitete Methode (und Tool) für laterale Netzwerkbewegungen an – auch wenn sie Windows-basiert ist.

Als Erstes kopiert PsExec seine Dienst-Binärdatei über SMB auf den Zielcomputer. Erst dann kann es den Dienst ausführen, indem es per Fernzugriff mit dem Dienst-Manager kommuniziert. Daher halten wir es für wichtig, auch die verschiedenen Möglichkeiten abzubilden, mit denen Angreifertools und Binärdateien auf den Zielcomputern platziert werden können. Wir haben uns auch mit einigen Methoden des Missbrauchs von Tool-Transfers zur Erzielung einer Fernausführung befasst. Wir werden darauf später in diesem Beitrag zu sprechen kommen.

31 % der getesteten Linux-Umgebungen

Das File Transfer Protocol (FTP) gehört zu den klassischen Protokollen. Es war das erste Protokoll auf Anwendungsebene, das in Kursen zu Netzwerken vermittelt wurde. Das für die Dateiübertragung verwendete textbasierte Protokoll ist nicht sicher, da es Klartext verwendet.

20 % der getesteten Linux-Umgebungen

18 % der getesteten Linux-Umgebungen

Das NFS (Network File System) ist eine weitere Möglichkeit zum Erstellen von Fileservern. Es wird über Sun RPC (TCP-Port 111) aufgebaut. Es gibt viele RPC-Funktionen, die wir uns ansehen können, aber wir haben keine direkte Möglichkeit gefunden, über diese Funktion die Ausführung von Remote-Befehlen zu erreichen.

16 % der getesteten Linux-Umgebungen

rsync ist ein Dienstprogramm für die Dateiübertragung und Synchronisierung zwischen Computern im Netzwerk. Es kann als Service oder Daemon ausgeführt werden und Dateien über das dedizierte Protokoll (TCP-Port 873) bereitstellen. rsh oder SSH.

Wir können über Dateiübertragung sprechen, so viel wir wollen, aber es ist nicht sonderlich hilfreich, wenn die Angreifer die übertragenen Dateien nicht irgendwie ausführen können. Der Nutzer kann durch Täuschung dazu verleitet werden, die Datei selbst auszuführen. Daneben haben wir zwei Möglichkeiten in Betracht gezogen, die Ausführung zu erreichen. Beide erfordern eine Art Fehlkonfiguration oder eine (schwerwiegende) Lockerung der Sicherheitseinstellungen.

Es gibt viele legitime Speicherorte im Linux-Dateisystem, die für die Installation von Persistenz verwendet werden können. Bei lateralen Netzwerkbewegungen konzentrieren wir uns jedoch auf /etc/cron.hourly. Wenn ein Angreifer dort eine Datei mit Ausführungsberechtigungen hochladen kann, wird diese einfach zur nächsten vollen Stunde ausgeführt und es kommt so zur heiß begehrten lateralen Netzwerkbewegung.

Dazu benötigt ein Angreifer jedoch Sudo- oder Root-Berechtigungen, die nicht einfach zu bekommen sind. Leider ist es möglich, Fileserver auf unsichere Weise zu konfigurieren, was genau dieses Szenario ermöglichen würde (siehe zum Beispiel rsync). Warum sollte jemand diese Dienste mit so wenig Sicherheit konfigurieren? Weil es praktisch ist und einem das Leben erleichtert. Bitte seien Sie nicht so jemand: Schützen Sie sich.

Statt des Zugriffs auf /etc wäre ein weit plausibleres Szenario der Remotezugriff auf einen Web-Root-Ordner eines aktiven Webservers. In diesem Fall dürfte es möglich sein, eine nutzerdefinierte Webshell hochzuladen und diese zur Ausführung von Remote-Befehlen zu verwenden. Es gibt viele online verfügbare Beispiele für Webshells, sodass Angreifer das Rad gar nicht neu erfinden müssen.

Ein weiterer Aspekt, der in den letzten Jahren immer beliebter geworden ist, sind Container. In unserer Forschung haben wir mehrere Fälle von Containerprogrammen beobachtet, die Verbindungen abhören und annehmen, und das scheint auch absichtlich erlaubt zu sein. Wenn Angreifer Zugriff auf einen Remote-Container-Manager erhalten, können sie ihr eigenes schädliches Image hochladen und es zur weiteren Ausbreitung innerhalb des Netzwerks verwenden.

Nachdem wir Möglichkeiten behandelt haben, wie Angreifer in Computer eindringen können, geht es jetzt um die Frage, wie sie sich fernhalten lassen.

Wie bereits erwähnt, wird keines der hier besprochenen Protokolle vorinstalliert und konfiguriert mit Linux geliefert. Jemand muss sie erst speziell installieren. Wichtig wäre hier zuallererst, einen guten Überblick darüber zu haben, was im Netzwerk läuft und an welchen Stellen kommuniziert (bzw. Kommunikation überwacht) wird. Oder wie der chinesische Philosoph Sun Tsu schreibt: „Wenn du weder den Feind noch dich selbst kennst, wirst du in jeder Schlacht unterliegen.“

Wenn Sie eine Bestandsaufnahme Ihres Netzwerks vorgenommen und einen der hier besprochenen Dienste identifiziert haben, müssen Sie als Nächstes die Konfiguration dieser Dienste überprüfen. Beispielsweise ist ein aktueller SNMP-Agent, der für die Verwendung von SNMPv3 mit Kerberos-Authentifizierung konfiguriert ist, in Ordnung. Aber SNMPv2 mit einer leicht zu erratenden Community-Zeichenfolge? Eher nicht.

Andere Protokolle oder Services können möglicherweise durch neuere, sicherere Protokolle ersetzt werden, zum Beispiel durch die Verwendung von SSH anstelle der r-Command-Suite oder Telnet. Einige Protokolle wie FTP oder rsync können auch über SSH eingekapselt werden. Der zusätzliche Nutzen liegt dabei in der Verschlüsselung, die SSH bietet. Natürlich müssen Sie sicherstellen, dass SSH auch korrekt konfiguriert ist, mit PKI oder starken Passwörtern, die nicht leicht zu knacken sind.