die gleiche 4-Byte-Sequenz am Anfang
des Pakets enthielt.Next Generation
Die zweite Generation versuchte sich
als DNS-Paket zu tarnen. Dieses Mal
nutzte sie den UDP-Port 53, wollte aber
wieder Server im selben Netz in Asien
kontaktieren. Der gewollte DNS-Traffic
im Netzwerk wanderte zwischen Clients
und dem Active Directory Controller hin
und her, weil Letzterer den Clients per
DHCP als DNS-Server zugewiesen war.
Ungewollter Traffic ließ sich über
tcpdump ‑i eth0 port 53 and not host U
IP‑Adresse‑des‑AD‑Controllersherausfiltern. Hier spürte Tcpdump also
jenen Traffic auf, der an Port 53 ging,
aber nicht an den Active-Directory-Ser-
ver. Die Analyse mit Wireshark ergab
zudem, dass die bereits aus den Telnet-
Paketen bekannte Sequenz wieder am
Anfang der Pakete auftauchte. Hinzu
kam, dass die Pakete auch hier keine
gültigen DNS-Pakete waren.Last Generation
Die letzte Version der Malware versuchte
es schließlich auf dem HTTP-Port 80,
ging aber auch wieder aufgrund ungül-
tiger HTTP-Pakete ins Netz. Ergänzend
fielen bereits ab Version 2 der Malware
DNS-Anfragen auf unterschiedliche Hosts
in drei verschiedenen Subdomains auf.
Das Opfer des Angriffs besaß mehrere
Standorte, daher gab es mehrere Über-
gänge ins Internet.
Trotz der Microsoft-Dominanz liefen die
Gateways und DNS-Server glücklicher-
weise auf Linux-Basis. So konnte derTrotz Schulungen, Appellen und Viren-
scannern feiern bösartige Attachments
immer wieder Erfolge. Fällt die Malware
im Monitoring auf, muss der Admin die
betroffenen Systeme identifizieren und
den Schaden eindämmen.
Im konkreten Fall zog ein Kunde den
Autor des Artikels zu Rate. In seiner
Microsoft-lastigen Umgebung tummel-
ten sich viele mit Malware infizierte
Clients. Weil die Angreifer auf eine
selbst geschriebene und recht ausgefeilte
Schadsoftware setzten, half auch der Vi-
renscanner nicht. Also ging es darum,
alle infizierten Clients zu finden.
Um die Sache noch spannender zu ma-
chen, tauchten im Netzwerk mehrere
Versionen der Malware auf. Diese ließ
sich also nicht einfach über ein Mus-
ter aufspüren (etwa über einen Datei-
systemscan). Zum Glück stellte sich
heraus, dass die Angreifer zwar gut im
Eindringen waren, jedoch nicht gerade
geschickt darin, eine Rückverbindung zuihrem Command-&-Control-Server (C&C)
aufzubauen. Dies zeigte sich schnell in
der Analyse des mit Tcpdump [1] mitge-
schnittenen Netzwerktraffic.First Generation
Die erste Generation der Malware ver-
suchte sich über den TCP-Port 23 mit
Telnet-Servern in Asien zu verbinden. Da
aber das Telnet-Protokoll in den 2010er
Jahren kaum noch eine Rolle spielte, vor
allem in einem Microsoft-Büronetzwerk,
fiel dies schnell auf. Ein einfaches »tcp-
dump -i eth0 tcp port 23« auf dem Gate-
way lieferte erste Treffer.
Die Pakete wiesen zudem Merkwürdig-
keiten in den Feldern des Telnet-Headers
auf, die eine Analyse mit Wireshark [2]
ans Licht brachte. Die Header dienen
gewöhnlich dazu, Dinge wie die Termi-
nalemulation oder sogar X-Forwarding
auszuhandeln. Bei der Malware stand in
den Headern nur Unsinn, der aber stetsDer Albtraum vieler Admins ist der Anwender im eigenen Netzwerk, der trotz zahlreicher Warnungen am Ende
doch auf das Attachment »Bewerbung.exe« klickt. Der Artikel zeigt anhand eines realen Beispiels, wie Admins
infizierte Systeme mit Linux-Bordmitteln am Netzwerk-Gateway aufspüren. Konstantin AgourosEindringlinge im Netzwerk aufspüren
Ungebetene Gäste
Titelthema40
http://www.linux-magazin.deNetzwerkanalyse© Maciej Błedowski, 123RF