Suchen

Security-Hersteller analysiert Hacking-Angriffe LulzSec machte Webserver per Remote File Inclusion zu Mega-Bots

| Redakteur: Stephan Augsten

Mit ihren Attacken gegen Sony Pictures und die CIA hat sich die Hacker-Gruppe LulzSec bis zu ihrer offiziellen Auflösung am 26. Juni 2011 einen zweifelhaften Ruhm erarbeitet. Nun gilt es, aus dem Vorgehen der Vereinigung etwas zu lernen, meint Imperva. Der Security-Hersteller hat aus Chat-Protokollen die wichtigsten Hacking-Techniken von LulzSec hergeleitet.

Firma zum Thema

Lehren ziehen: Um den Schutz von Webanwendungen zu erhöhen, lohnt ein Blick auf die Hacking-Attacken durch LulzSec.
Lehren ziehen: Um den Schutz von Webanwendungen zu erhöhen, lohnt ein Blick auf die Hacking-Attacken durch LulzSec.
( Archiv: Vogel Business Media )

Imperva hat das im Guardian veröffentlichte IRC-Chat-Protokoll der Hacker-Gruppe LulzSec Zeile für Zeile analysiert, um die Tools und Techniken der Gruppierung nachzuvollziehen. LulzSec, auch bekannt als Lulz Security, verstand sich demnach besonders gut darauf, Schwachstellen in Anwendungen und Datenbanken auszunutzen.

Spezielle Malware-Kenntnisse sind laut Imperva hierfür nicht notwendig gewesen. Vielmehr folgten die Hacking-Angriffe dem allgemeinen Trend, auf direkte Angriffe gegen Firewalls und andere Sicherheitsmechanismen im Netzwerk zu verzichten.

Zwei wichtige Hacking-Techniken für LulzSec waren SQL Injection und Cross Site Scripting. In dem Blog-Eintrag geht Imperva jedoch nicht weiter auf diese Angriffsarten ein, da sich hierzu bereits umfassende Hinweise und Best Practices im Internet fänden.

Server-Botnetz mittels Remote File Inclusion

Dafür geht Imperva ausführlich auf die Remote File Inclusion (RFI) ein, für LulzSec die dritte wichtige Hacking-Technik. Entsprechende Sicherheitslücken finden sich in Skript-basierenden Webanwendungen, die Benutzereingaben nicht ausreichend prüfen. Auf diesem Weg ist es deshalb möglich, zusätzlichen Code in ein laufendes Webserver-Skript einzubinden.

Normalerweise werden solche Angriffe verwendet, um Webanwendungen zu kontrollieren und Daten abzufangen. LulzSec jedoch nutzte die Remote File Inclusion, um Webserver mit Bot-Programmen zu infizieren und per UDP-Flooder DDoS-Attacken gegen Webseiten wie die des CIA zu starten.

Dieses Vorgehen ist wesentlich effizienter, als ein eigenes Botnetz aufzubauen: Laut Imperva entspricht ein infizierter Server ungefähr 3.000 Bot-Rechnern. Wenn es LulzSec – wie im besagten Chat-Protokoll erwähnt – tatsächlich gelungen ist, 8.000 Server zu kompromittieren, entspräche dies einer Leistung von rund 2,5 Millionen PCs.

Weitere Informationen zu Remote File Inclusions und möglichen Gegenmaßnahmen (PDF, 202 KB) finden sich auch in einem entsprechenden Whitepaper von Imperva.

Artikelfiles und Artikellinks

(ID:2052219)