Manchmal genügen ein paar Honigtöpfe, um Hacker auf frischer Tat zu ertappen

„Paypal hat heute am 25. März 2014 ein neues Umfrageprogramm gestartet. Wir laden alle Kunden ein an dieser Umfrage teilzunehmen. Die Umfrage dauert 5 Minuten und für ihre Mühe und ihr Verständnis wird PayPal die meisten teilnehmenden Kunden mit €25 belohnen”.

Solch holprig geschriebener Unsinn wird täglich in unsere E-Mail-Eingänge geschwämmt, und fordert uns im Gegenzug für eine großartige Belohnung einen infizierten Anhang zu öffnen. Die meisten von uns dürften die Nachricht dank jahrelanger Routine schnell als Spam und potentielle Virenschleuder identifzieren.

Im Namen der Sicherheit drehen manche aber die Richtung virtueller Köder um: Mit sogenannte „Honeypots”, täuschend echt aussehenden Servern, die einen schnellen Hacking-Erfolg versprechen, locken Hacker-Jäger Angreifer an, um ihre neueste Methode und ihre aktuell heissesten Tools kennenzulernen.

Ich habe im Frühjahr in der City of London im Herzen der europäischen Finanzwelt mit einer Gruppe von Sicherheitsexperten ein paar solcher Honigtöpfe aufgestellt und sogenannten „Penetration Tests“ beobachtet. Die White Hat Hacker versuchen Schwachstellen in den Systemen ihrer Kunden zu finden, die die Sicherheitslücken dann anschließend ausbessern können. Ich wollte mehr darüber erfahren, wie solche Honeypots überhaupt gebaut werden, und ob wir neue Muster erkennen würden, wenn wir Fallen an neuen Orten aufstellen.

Honeypots werden üblicherweise auf virtuellen, privaten Servern eingerichtet—mietbare Hoster-Parzellen. Sobald du dein Stückchen virtuelles Land für ein paar Euro erstanden hast, spielst du eine entsprechende Honeypot-Software auf den Server; in unserem Fall waren das Dionaea und Kippo.

Dieser Prozess gleicht im wesentlichen der Installation eines neuen Betriebssystem auf einem frischen Rechner und lässt deinen Server nach einem für Hacker verwundbaren Ziel aussehen. In Wirklichkeit funktioniert kein einziger Systemprozess, während von aussen alles echt aussieht.

Wenn alles nach Plan läuft, dann finden Hacker diese Server, scannen sie nach Schwachstellen, und brechen in sie ein, jeder mit eigenem Ziel. Ein guter Honeypot ist wie ein Haus, dass du für Räuber offen stehen lässt—nur, dass die Hacker im Gegensatz zu räubern, wenn sie das Haus leer vorfinden, nicht abziehen sondern sich gemütlich einrichten und ihre Werkzeuge hinterlassen. Dabei schauen die Sicherheits-Teams ihnen aufmerksam zu und analysieren ihre Methoden—und hindern sie damit letztlich daran andere Leute im Netz ernsthaft zu gefährden.

Idealerweise werden die Honeypots in Regionen aufgestellt, in denen eine florierende Cyberkriminalität herrscht. So sammeln die Betreiber der Honeypots umso mehr Daten von Angreifern, um ihre Antriebe und Tricks besser und genauer zu verstehen. Anfang März kaufte Andy Swift, Pentester bei der Beratungsfirma Hut3, ein bisschen virtuellen Server-Platz in vier solcher Regionen: China, Russland, Kasachstan und Singapur.

Sekunden nachdem die Honeypots online gingen, drängten sich Angreifer um unseren Server und ihre Scanning-Tools fingen an nach Schwachstellen zu suchen. Die meisten Angreifer suchen mit Tools wie Masscan nicht nach allen möglichen Lücken, sondern nur nach einer spezifischen Schwachstelle—das dann aber an Massen von Servern: „Dieses Vorgehen ist wesentlich schneller und effektiver, wenn du eine bestimmte Attacke starten willst“, erklärte mir Swift. Weil aber Honeypots mit einer ganzen Palette an Schwachstellen aufwarten, schwirren schließlich ganz unterschiedlicher Hacker-Typen um sie herum.

Nach nur fünf Minuten hatte der Honeypot in China 19 verschiedene Hacker angelockt, die auf 1000 verschiedene Arten versuchten in den Server einzubrechen und ihn auszunutzen. Am nächsten Tag lag die Zahl böswilliger IP-Adressen, die versucht hatten sich zu verbinden, bei 431. Das ist ein 22-facher Zuwachs in 24 Stunden. „Diese frühen Zahlen liegen höher als alles, was wir bisher gesehen haben.” gesteht Swift.

Ende März war die Anzahl der Angreifer beim chinesischen Honeypot schließlich auf 3879 gestiegen. Dabei durften wir 36 verschiedene auf dem Server gespeicherte Viren zählen. Die meisten Attacken kamen auch aus China selbst, insgesamt 2003. Und das galt auch für die Honeypots in Singapur und Kasachstan.

Das muss aber nicht bedeuten, dass die Angreifer selbst aus China stammen. Diese Zahlen zeigen lediglich, dass in China gemietete Rechner für die Angriffe genutzt wurden. Es verdeutlicht in jedem Falle wie viel Datenverkehr durch das rote Reich zieht. Diese Karte zeigt die Verteilung der Angriffszahlen auf alle von Swifts Team bisher aufgestellten Honigfallen. Auch die USA sind vorne mit dabei, doch in absoluten Zahlen schlägt China die USA bei Cyber-Angreifern mit etwa der doppelten Zahl an versuchten Attacken.

Andy ist es gelungen einen chinesichen Angriff, der auch unseren präparierten Servern in China streifte, auf Video aufzuzeichnen. Dabei sehen wir, wie sich der Hacker über die Kommandozeile per FTP auf unserem Honeypot-Server anmeldet. FTP (file transfer protocil) ist eine Art Wörterbuch, mit dem sich Server und Client-Computer verständigen können, um zum Beispiel Dateien zu verschicken und zu empfangen.

Der Angreifer hat Nutzerkennung und Passwort, „root” und „password”, korrekt erraten—er weiss nicht, das unser Honeypot alle Logins akzeptiert, obwohl solche bescheuerten Logins erstaunlich üblich sind.

Zunächst tippt er „dir” in ein, um sich die Inhalte anzeigen zu lassen, die wir ihm auf unserem Server aufbereitet haben. Zu seiner Enttäuschung ist der Topf offensichtlich leer, also tippt unser Hacker „help”, um zu sehen welche Kommandos ihm auf diesem FTP-Sever überhaupt zur Verfügung stehen. Dann versucht er eine Malware, eine Datei namens „sdklfsdlk.exe”, mit dem „put”-Kommando hochzuladen. Die Datei ist ein simpler Keylogger für Windows, der alle Tastatur-Anschläge des Nutzer aufzeichnet und zum Rechner des Angreifers schickt. Damit lässt sich viel herausfinden, zum Beispiel lukrative Bank-Logins.

Laut Swift wird deutlich, dass der Angreifer ein Jungspund sein muss. „Er hat eine Windows Malware auf einen UNIX-Server geladen, der die EXE-Datei gar nicht ausführen kann.” erklärt er. „Dann tippt er auch noch verzweifelt nochmals „help” und verlässt schliesslich den Honigtopf-Server, lässt die nutzlose Malware zurück und versucht sich wahrscheinlich bald am nächsten Server.”

Im russischen Honeypot ist es mit nur 694 Angriffen im Laufe eines ganzen Monats unerwartet ruhig geblieben—die Zahl bedeutet noch weniger Angriffe als in Singapur und Kasachstan. Dennoch wurde unter diesen wenigen Angriffen die interessanteste und einzigartigste Malware eingesetzt, was dem Ruf Russlands als Schmelztiegel schädlicher Software einmal mehr gerecht wird. Zwei der schädlichen Programme fielen uns besonders ins Auge: das eine heisst Atak und ist ein E-Mail-Wurm, eine Art Malware, die sich selbst kopiert und per E-Mail weiterschickt.

„Atak nutzt dieses Prinzip um direkt Spam zu verschicken oder E-Mails mit Atak als Anhang zu versenden, so dass die Malware sich verbreiten kann”, erklärt Swift.

Die zweite Malware, die unser Honig anzog nennt sich „Virut” und ist eine bekannte Software, mit der Hacker infizierter Rechner-Netzwerke, sogenannte Botnets, erschaffen, um Daten zu klauen oder in riesigen Mengen Spam zu verschicken. Erst Im vergangenen Frühjahr hatte der polnische Betreiber aller .pl-Domains, Naukowa i Akademicka Sieć Komputerowa (NASK), versucht, die Kontrolle über alle mit Virut befallenen Domains wieder zu übernehemen, um den Virus dann auszumerzen. Unser russischer Honeypot zeigte nun, dass Virut sich bester Gesundheit erfreut.

„Wenn Virut einmal läuft, verbindet es sich mit einem IRC-Chat, von wo aus der Angreifer beliebige Kommandos auf der infizierten Maschine ausführen kann.” Mit anderen Worten: die infizierte Maschine wird vom Angreifer kontrolliert.

Im Gegensatz zum chinesischen Honeypots konnten wir am russischen nicht nur zuschauen, sondern mit dem Hacker auch ein paar Spielchen spielen. Im Video hier siehst du, wie der Hacker erst angelockt und dann mit einem Emoticon-Vogel von uns verhöhnt wird.

Und hier wird der Versuch eines Hackers die Datei „a” auszuführen mit der Frage „O RLY?” beantwortet. Offensichtlich ist der Angreifer verstört und antwortet darauf mit „yes”, nur um ein spöttisches „NO WAI!” zurückzukriegen.

Trotz all der Schwachstellen, die wir den Hackern aufreizend präsentierten, waren die meisten Angreifer nur daran interessiert ein wenig Server-Platz für sich zu gewinnen, um in Hacker-Foren anonyme und billige Telefonie-Angebote zu machen. Diese laufen über das „Session Initiation Protocol“ (SIP), was gestartet werden kann, wenn der SIP-Port eines Servers offen ist. Einmal eingerichtet werden die Telefonminuten dann an notgeile Hacker oder Spam-Anrufer verkauft.

Nachdem unser Projekt vorbei ist, wird deutlich, das viele der alten Krankheiten des Internets noch immer nicht kuriert sind. SIP-Attacken und Spam tummeln sich nach wie vor trotz ihrer großen Bekanntheit munter im Netz. Viele Firmen kriegen es einfach nicht geschissen ihre Updates zu installieren—trotz angebotener Hilfe. Und besonders China und Russland hüten eine erstaunliche Zahl schwarzer Netzschafe.

Bleibt die Frage, ob solche Honeypot-Projekte überhaupt beim Eindämmen der Cyberkriminalität helfen. Viele weltweit bekannte Internet-Sicherheitsunternehmen wie Symantec und Kaspersky nutzen sie. Trotzdem wächst Cyberkriminalität von Jahr zu Jahr, und allein 2013 wurden private Daten von 512 Millionen Nutzern gestohlen. Die Honigtöpfe selbst helfen vielleicht nicht direkt. Aber die Kunden der Penetration-Tester können mit mehr Sicherheit werben, weil sie oft Schwachstellen ausbessern bevor diese angegriffen werden.

Nach wie vor finden die digitale Gauner genügend echte verwundbare Systeme vor, die ihren Aufwand rechtfertigen. Wir hatten zwar Spass dabei den Hackern beim Scheitern zuzuschauen und sie zu verarschen, aber nach so einer Erfahrung kannst du dir eigentlich nur Sorgen über die Sicherheit unserer digitalen Heimat machen.