/ OSS / Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!

Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!

126691-136594-i_rc.jpg
Gerfried Steube an März 14, 2017 - 7:20 am in OSS

Der BND sucht Verstärkung in Sachen Cyber. Um künftige Schlapphüte bereits vorab auf ihre Fähigkeiten zu testen, steht auf der BND-Webseite eine Herausforderung bereit. Die Forensik Challenge (Mischung von Deutsch und Englisch sind BND-Original) besteht aus einer Image-Datei eines kompromittierten Systems.


Virtualbox-Image eines kompromittierten Systems

Laut der beiliegenden PDF-Datei handelt es sich um das Image eines Servers einer Versicherungsgesellschaft eines befreundeten Nachrichtendienstes. Das Root-Passwort wurde geändert und wir erfahren noch, dass der Hacker einen Account mit einem trivialen Passwort (hacker/abcd1234) angelegt hat und dass die Administratoren möglicherweise Passwörter ungeschützt ablegen.

Das Image wird als ZIP-Datei bereitgestellt, darin befindet sich eine ova-Datei. Dieses Format gehört zur Virtualisierungssoftware Virtualbox und lässt sich damit starten. Alternativ lässt sich die ova-Datei auch mit tar entpacken und wir erhalten eine vmdk-Datei. Diese lässt sich auch mit QEMU verwenden. Da QEMU nicht in der Lage ist, vmdk-Dateien mit Schreibzugriff zu verwenden, erstellen wir hierfür eine Snapshot-Datei.

Um das System zu analysieren, wollen wir natürlich zunächst selbst Root-Zugriff. Der Bootmanager hat keinen Passwortschutz, damit können wir einfach die Boot-Kommandozeile editieren und ein init=/bin/bash anfügen. Damit überspringen wir den normalen Init-Vorgang und haben direkt eine Bash-Shell. Nun müssen wir lediglich die Root-Partition schreibbar mounten (mount -o remount,rw /) und können uns selbst ein neues Root-Passwort setzen (passwd). Anschließend rufen wir noch sync auf, beenden QEMU und starten neu.

Wie wir später herausfinden, hätte es auch eine andere Möglichkeit gegeben, Root-Zugriff zu erlangen: Der Benutzeraccount „hacker“, dessen Passwort wir kennen, darf via Sudo den Befehl dhclient ausführen. Dieser wiederum emöglicht das Ausführen von Skripten. Wir können spekulieren, dass der Hacker sich hier selbst eine Möglichkeit verschaffen wollte, wiederum Root-Zugriff zu erlangen, sollte man versuchen, ihn auszusperren.

Read more on: Source

Kommentare sind deaktiviert