Anonymous
Derzeit ist die Hacker Gruppierung Anonymous des öfteren in Medien, sei es mit dem bereits jetzt legendärem Hack der Gema durch die AnonyPwnies, oder mit der “Operation Bart” in den USA. Zudem läuft hier in Deutschland derzeit die “Operation Summerstorm”, sowie “Operation Blitzkrieg”, die sich den Rechtsradikalen entgegenstellt und deren Webseiten hackt und mit DDoS Angriffen blockiert – so zum Beispiel die Webseite der NPD. Bei den DDoS Angriffen wird das Tool LOIC (“Large Orbit Ion Canon”) eingesetzt, was allerdings so einige Probleme mit sich bringt: Die Server werden von vielen Teilnehmern der Aktionen mit sinnlosen HTTP Requests geflutet, die IP Adressen der Teilnehmer landen dabei natürlich im Log des Webservers, wodurch es in den .NL und in .GB bereits zu Festnahmen gekommen ist, die IP Adressen führten die Ermittler zu den Angreifern. Die IP ließe sich natürlich auch fälschen, doch die Mehrheit der Teilnehmer an den DDoS Aktionen wird wohl ein Windows XP/Vista/7 verwenden, wo IP Spoofing nicht mehr möglich ist. Um diese Problematik zu umgehen, entwickeln einige Anonymous Hackavisten derzeit an einem neuen Tool mit dem Namen “RefRef”, das nach einem anderen Prinzip arbeitet. Ich habe mir das Thema angesehen und will nun ein wenig etwas darüber schreiben.
Laut den Entwickeln wird das in JavaScript geschriebene Tool RefRef darauf basieren, dass sich per JavaScript “die eigene Rechenkapazität der Website gegen [die Website] selbst richtet”. Dazu nutzt das Tool “Schwachstellen in SQL aus, um einen vernichtenden Effekt auf die Ziel-Website auszuüben”. Laut Informationen der Entwickler nutze RefRef eine Schwachstelle im Javascript und im SQL-Server aus, um eine JavaScript Datei im Temp-Verzeichnis des Servers abzulegen, um mit einem erneuten Request diesen in eine Endlosschleife von Selbstaufrufen zu bringen. Das klingt für mich ehrlich gesagt ziemlich seltsam und verworren, gut war glaube ich auch ein Artikel beim “ehemaligen Nachrichtenmagazin”. Auch die weiteren Medienberichte zum neuen Tool geben wenig Aufschluss, sind alle irgendwie unterschiedlich und ich halte die Aussagen für ziemliches Snakeoil – trotz der Tatsache, das dieses neue Tool angeblich bereits erfolgreich an pastebin getestet wurde.
Was ich mir vorstellen könnte, wäre allerdings folgendes Szenario: Wenn eine Seite für SQL-Injections anfällig ist, wäre es durchaus möglich von außen nicht erwünschte Inhalte in die Seite einzuschleusen. Dieser Inhalt könnte z.B. ein kleines JavaScript sein, dass in einem sehr kleinen Intervall asynchrone HTTP Requests erzeugt, die ebenfalls die SQL-Injection ausnutzen und den Datenbank Server zusätzlich mit sinnlosem Quatsch (z.B. “BENCHMARK” hehe) beschäftigen. Hierdurch würden auch reguläre Besucher der Seite zum DDoS beitragen, was ein unglaublich wirkungsvoller Multiplikator, gerade bei stark frequentierten Seiten wäre. Zudem handelt es sich bei einem solchen Angriff um einen Doppelschlag: Die Datenbank wird in die Knie gezwungen und auch der Webserver wird ordentlich beschäftigt. Zur Verfolgbarkeit: Würde die SQL-Injection z.B. über TOR oder I2P gemacht, wäre der Angreifer nicht durch Ermittlungsbehörden aufspürbar. Und ein Anonymisierungsdienst bietet sich an, weil es ja kein DDoS Angriff ist, zu dem ein Netz von Bots oder Personen benötigt wird. Lediglich ein Request für den Inject, das war es.
Problem bei der ganzen Sache: Nicht alle Webauftritte sind anfällig für SQL-Injections. Es muss also eine gravierende Lücke in der Software vorhanden sein, so dass ein externer Zugriff auf die Datenbank ermöglicht wird, aber es ist ein denkbares Szenario und wie die AnonyPwnies beim GEMA Hack sagten “as always startet with a sql injection”. Die Entwickler schreiben dazu folgendes:
“RefRef is a revolutionary DoS java site. Basically, by using an SQL and .js vulnerability, you can send a page request packet from your home computer with embedded .js file, because of the vulnerability in the SQL/Javascript engine on MOST websites, the site actually TEMPs the .js file on its own server. So now the .js is in place on the host of the site. Next since you still have the request, it picks up the .js file, and all of the requesting for packets power happens on the server, not the requestee. I send two packets from my iphone, and everything else happens on the server. Basically eats itself apart, because since both are on the server, its all a local connection. This tool only makes you vulnerable if you don’t keep your systems patched, perform the basic security, which is how Sony got caught with it’s pants down.”
Ich verstehe diese Aussage nicht wirklich, weil ich auf anhieb keine Warnung gefunden habe, dass für Apache so ein Angriffsvektor besteht. Sie sprechen von zwei Requests, der erste ein manipulierter HTTP Request, der eine JavaScript Datei im tmp Verzeichnis ablegt, und den zweiten, der die Datei aufnimmt und ab da sollen alle Requests lokal laufen. In anderen Berichten steht dann überhaupt nichts mehr von einer JavaScript Datei, sondern nur, dass das Tool in JavaScript entwickelt würde. Es ist daher auch nicht auszuschließen, dass da einfach falsch zitiert wurde, oder ähnliches, denn folgender Text von hackingtricks.in lässt eher auf einen HTTP Header Exploit schließen, obwohl der erste Satz des oben zitierten Textes, doch eher nach der SQL Injection Variante klingt.
“Wie sich herausstellt, wird der Angriff clientseitig gestarted und sendet ein separates Skript mit dem Verbindungs-Request zum Zielserver. Dieser Request ist tatsächlich der Exploit selbst und sobald der Server beginnt den Request zu verarbeiten wird er damit fortfahren, bis er abstürzt. Kurz gesagt, je stärker der Server um so schneller wird er abstürzen.”
Screenshot von RefRef
Generell sind die Informationen der ausländischen Medien andere, als das was deutsche Medien – unter anderem auch Gulli.com – zur RefRef geschrieben haben. Ein HTTP Header Angriff hat nämlich wenig mit SQL und JavaScript zu tun. Die Informationslage ist also mehr als unklar. Tja, was ist es denn nun? SQL injected content hack, schnödes DDoS, Webserver Exploit, oder gar alles zusammen? Auch der Screenshot, der von Anonymous im Internet gepostet wurde trägt nicht wirklich zur Klärung bei. Das sieht nämlich nach einem ziemlich einfachen JavaScript DDoS Tool aus, was keinen Unterschied zu LOIC darstellen würde. Eine weitere Option wäre allerdings noch, dass es eine Kombination aus DDoS und SQL Injection ist. Der Server würde dann von Hand bombardiert, wobei die SQL Injections vom Tool angehangen werden, um den Datenbank-Server lahmzulegen.
Ich persönlich vermute aber, dass es sich um ein Tool für das oben von mir beschriebe Szenario handelt. SQL Injection, JavaScript wird in die Ausgabe eingeschmuggelt und die Besucher bombardieren unwissentlich Server und Datenbank. Eigentlich recht elegant, aber dazu muss die Seite eben anfällig für SQL Injections sein. Wir werden es im September sehen, dann soll das Tool angeblich released werden.
Ich bin gespannt und hoffe, dass sich das ganze nicht wirklich als Snakeoil, oder einfach nur eine witzige Aktion von Anon handelt, denn rein sicherheitstechnisch wäre es interessant den Angriff zu untersuchen, damit wir unsere Server dagegen absichern können.
Wenn jemand Tipps, Anregungen, einen Link hat, oder einfach mehr weiß als ich, dann schreibt doch bitte einen Kommentar. :-)
(650x gelesen)
Verkürzter Link: http://wp.me/pGiiJ-9B
