Passwörter und Hashes übers Netzwerk klauen
Hacking-Gadgets:
Bash Bunny, LAN Tap Pro, LAN Turtle, USB Armory, WiFi Pineapple
Der Netzwerkverkehr ist für Angreifer ein lohnenswertes Ziel, schließlich gibt es hier einiges zu holen. Nach wie vor werden Zugangsdaten für Zugriffe auf Mail-Accounts, FTP-Server & Co. häufig im Klartext übertragen – auch wenn es die Nutzer inzwischen eigentlich besser wissen müssten. Zudem durchqueren die sogenannten NTLM-Hashes (NT LAN Manager) die Leitung. Diese sind gleichbedeutend mit dem Passwort des Windows-Benutzerkontos. Ein Angreifer kann sich damit im Namen seines Opfers gegenüber Diensten im lokalen Netz authentifizieren. Der einfachste Weg, um den Traffic kabelgebundener Netzwerkverbindungen passiv mitzulesen ist der LAN Tap Pro, den man einfach zwischen Rechner und Netzwerk hängt. Auch mit dem frei konfigurierbaren Accesspoint WiFi Pineapple kommt man leicht an den durchfließenden Traffic.
Ziemlich einfallsreich ist der Weg, den etwa der Bash Bunny einschlägt, um den Verkehr zu belauschen: Das Gerät ist weder mit einer RJ45-Buchse noch mit WLAN ausgestattet. Stattdessen zieht es den Traffic via USB ab. Und das funktioniert so: Es meldet sich als USB-Netzwerkkarte am Rechner und stattet ihn über DHCP mit einer trickreichen Netzwerkkonfiguration aus. So bringt es das System dazu, das neue Interface künftig gegenüber den bereits vorhandenen Schnittstellen zu priorisieren. Der Rechner versucht künftig, über Bash Bunny mit dem Netzwerk zu sprechen. Darüber antworten jedoch nicht die legitimen Gegenstellen, sondern das Pentesting-Tool „Responder“ (siehe ct.de/ybnn) auf alle Anfragen. Es ist auf das Abgreifen von Klartext-Zugangsdaten und Hashes spezialisiert und lauert darauf, dass der Rechner einen Authentifizierungsversuch startet. Ganz gleich, ob SMB, HTTP(S), LDAP, FTP, POP3, IMAP oder SMTP gefragt ist, der Responder antwortet und nimmt die Datenbeute bereitwillig entgegen.
Besonders gefährlich ist dieser Angriff, weil er auch dann funktioniert, wenn der Rechner gesperrt ist. Das laufende System unternimmt auch in diesem Zustand Login-Versuche, etwa um nach neuen E-Mails zu schauen. Schützen kann man sich vor einem solchen Attacke kaum. Selbst wenn die USB-Schnittstellen deaktiviert und mit Heißkleber zugeklebt wären, gäbe es da meist auch noch die Netzwerkschnittstelle. Wer zumindest Angriffe über USB-Netzwerkkarten abwehren möchte, kann etwa unter Windows über die Gruppenrichtlinien verhindern, dass sich neue USB-Netzwerkkarten am System anmelden dürfen (siehe ct.de/ybnn).