Security-Hersteller analysiert Hacking-Angriffe

LulzSec machte Webserver per Remote File Inclusion zu Mega-Bots

05.07.2011 | Redakteur: Stephan Augsten

Lehren ziehen: Um den Schutz von Webanwendungen zu erhöhen, lohnt ein Blick auf die Hacking-Attacken durch LulzSec.
Lehren ziehen: Um den Schutz von Webanwendungen zu erhöhen, lohnt ein Blick auf die Hacking-Attacken durch LulzSec.

Mit ihren Attacken gegen Sony Pictures und die CIA hat sich die Hacker-Gruppe LulzSec bis zu ihrer offiziellen Auflösung am 26. Juni 2011 einen zweifelhaften Ruhm erarbeitet. Nun gilt es, aus dem Vorgehen der Vereinigung etwas zu lernen, meint Imperva. Der Security-Hersteller hat aus Chat-Protokollen die wichtigsten Hacking-Techniken von LulzSec hergeleitet.

Imperva hat das im Guardian veröffentlichte IRC-Chat-Protokoll der Hacker-Gruppe LulzSec Zeile für Zeile analysiert, um die Tools und Techniken der Gruppierung nachzuvollziehen. LulzSec, auch bekannt als Lulz Security, verstand sich demnach besonders gut darauf, Schwachstellen in Anwendungen und Datenbanken auszunutzen.

Spezielle Malware-Kenntnisse sind laut Imperva hierfür nicht notwendig gewesen. Vielmehr folgten die Hacking-Angriffe dem allgemeinen Trend, auf direkte Angriffe gegen Firewalls und andere Sicherheitsmechanismen im Netzwerk zu verzichten.

Zwei wichtige Hacking-Techniken für LulzSec waren SQL Injection und Cross Site Scripting. In dem Blog-Eintrag geht Imperva jedoch nicht weiter auf diese Angriffsarten ein, da sich hierzu bereits umfassende Hinweise und Best Practices im Internet fänden.

Server-Botnetz mittels Remote File Inclusion

Dafür geht Imperva ausführlich auf die Remote File Inclusion (RFI) ein, für LulzSec die dritte wichtige Hacking-Technik. Entsprechende Sicherheitslücken finden sich in Skript-basierenden Webanwendungen, die Benutzereingaben nicht ausreichend prüfen. Auf diesem Weg ist es deshalb möglich, zusätzlichen Code in ein laufendes Webserver-Skript einzubinden.

Normalerweise werden solche Angriffe verwendet, um Webanwendungen zu kontrollieren und Daten abzufangen. LulzSec jedoch nutzte die Remote File Inclusion, um Webserver mit Bot-Programmen zu infizieren und per UDP-Flooder DDoS-Attacken gegen Webseiten wie die des CIA zu starten.

Dieses Vorgehen ist wesentlich effizienter, als ein eigenes Botnetz aufzubauen: Laut Imperva entspricht ein infizierter Server ungefähr 3.000 Bot-Rechnern. Wenn es LulzSec – wie im besagten Chat-Protokoll erwähnt – tatsächlich gelungen ist, 8.000 Server zu kompromittieren, entspräche dies einer Leistung von rund 2,5 Millionen PCs.

Weitere Informationen zu Remote File Inclusions und möglichen Gegenmaßnahmen (PDF, 202 KB) finden sich auch in einem entsprechenden Whitepaper von Imperva.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2052219 / Mobile- und Web-Apps)