BA-Forschungsseminar im Fern-Studium „Forensic Engineering“ An der Hochschule Wismar

zu dem Thema:

Auskundschaften von Informationen

Firma Apex Systems, Inc.

Eingereicht am: 17.06.2019 von: XX/XX/XX Gruppe: HH XX Immatrikulationsnummer: XX / XX / XX

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen

Inhaltsverzeichnis Vorwort ...... 2 Aufgabenstellung...... 2 Aufgabe 1 ...... 3 Aufgabe 2 ...... 3 Reconnaissance: Open Source Intelligence (OSINT) ...... 3 Operations-Security (OpSec) ...... 4 Aufgabe 3 ...... - 5 - Allgemeine Firmeninformationen ...... - 5 - E-Mailadressen ...... - 6 - Subdomains ...... - 9 - Stellenangebote des Unternehmens ...... - 11 - Weitere Infrastrukturerkennungen ...... - 13 - Der OSINT LifeCycle ...... - 15 - Dokumenten und Metadaten-Recherche ...... - 17 - OSINT Webseiten ...... - 18 - Aufgabe 4 ...... - 20 - Aufgabe 5 ...... - 25 -

i

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen

Vorwort

Da Informationsrecherchen sehr zeitintensiv sein können, wurde im Team intern besprochen, dass wir nicht mehr als 2 h pro Phase investieren werden wollen. Während der Recherche wurde bewusst auf automatisierte Skripte wie theHarvester, recon-ng, chomp oder blackwidow verzichtet. Lediglich Skripte für den vollständigen Asynchronen Zonentransfer (DNS) oder einer WAF Erkennung (Web Application Firewall), kamen zum Einsatz.

Aufgabenstellung

1. Wählen Sie eine Institution, ein Unternehmen, ein Verein, ein Shop oder ähnliches! 2. Recherchieren Sie im Internet nach aktuellen Werkzeugen, mit denen man Footprinting- Recherchen durchführen kann! Dokumentieren Sie die gefundenen Tools und nutzen Sie diese anhand einer Beispiel-Domain. Listen Sie alle Informationen auf, die Sie über das Unternehmen, die Institution, etc. gefunden haben. 3. Formulieren Sie Google-Abfragen, die oben genannte Informationen bzgl. Des Unternehmens, der Institution, etc. (versuchen zu) liefern! Dokumentieren Sie diese! 4. Recherchieren Sie im Dark web, welche Informationen Sie zu dem Unternehmen, der Institution, etc. gefunden haben. Installieren Sie einen TOR-Browser, um eine Dark Web- Suche durchzuführen. 5. Dokumentieren Sie Ihr Vorgehen im Dark Web und die gefundenen Informationen!

2

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen Aufgabe 1

Scope zur Projektdurchführung: Wir haben uns für das ausländische Unternehmen „Apex Systems“ mit der folgenden Domain entschieden: https://www.apexsystems.com

Aufgabe 2

Mit dieser Hausarbeit will man den Studenten vermitteln, wie die Herangehensweise eines typischen Hacker-Angriffs in der Realität auszusehen hat. Dazu betrachtet man zunächst die sogenannten „Cyber Attack Modelle/Frameworks“ von diversen renommierten Unternehmen, die in der IT- Sicherheit tätig sind wie z.B. MITRE, Gartner, Lockheed Martin oder Mandiant FireEye.

Diese Frameworks wurden entwickelt, um Angriffe zu erkennen und nachzuvollziehen. Wir betrachten nur die erste sogenannte „Reconnaissance“-Phase (Recon) der MITRE ATT & CK-Matrix. In dieser Phase geht es um die methodische Informationsgewinnung mit dem Ziel der Angriffsvorbereitung. Es gibt auch in den späteren Phasen eine erneute Reconnaissance, jedoch beschäftigt sich dies mit dem Ausspähen interner Netzinformationen.

Reconnaissance: Open Source Intelligence (OSINT)

Open Source Intelligence (OSINT) ist ein Begriff aus der Welt der Nachrichtendienste, bei dem für die Nachrichtengewinnung Informationen aus frei verfügbaren, offenen Quellen gesammelt werden, um durch Analyse der unterschiedlichen Informationen verwertbare Erkenntnisse zu gewinnen.

Die Reconnaissance-Phase kann man in Aktiv und Passiv unterscheiden. Bei der passiven Aufklärung erfolgt keine direkte Interaktion mit dem Ziel Netzwerk. Die Quell-IP-Adresse und -Aktivitäten des „Angreifers“ werden nicht protokolliert (z. B. Google Dorkings). Es ist für das Ziel schwierig, wenn nicht unmöglich, passive Aufklärungen von normalem Datenverkehr zu unterscheiden.

Die passive Aufklärung kann man in eine direkte und indirekte Aufklärung unterteilen. Die direkte Aufklärung beinhaltet die normalen Interaktionen, die auftreten, wenn ein Angreifer mit der Zielorganisation interagiert (auf einer erwarteten Weise). Bei der indirekten Aufklärung findet keinerlei Wechselwirkung mit der Zielorganisation (Webseite) statt, da man sich aus öffentlichen Quellen bedient. 3

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen Beispiel: Ein Angreifer ruft die Webseite des Unternehmens auf, schaut sich die einzelnen Seiten an und lädt sich Dokumente für seine weiteren Studien herunter. Diese Interaktionen sind erwartete Benutzeraktivitäten und werden selten als eine Vorbereitung für einen Angriff erkannt.

Die aktive Aufklärung beinhaltet direkte Anfragen oder andere Interaktionen (z. B. Port-Scanning, Banner Grabbing/OS-Footprinting usw.), die jedoch Systemalarme (IDS/IPS) auslösen können. Diese Alarm-Informationen könnten zur Identifizierung eines Angreifers verwendet werden. Daher benötigt die aktive Aufklärung zusätzliche Techniken (sogenannte OpSec), damit der Angreifer unentdeckt bleibt.

Nachfolgend ist eine (nicht vollständige) Übersicht zum Themenkomplex OSINT.

Operations-Security (OpSec)

Der Begriff OpSec (Operations Security) bezeichnet Methoden und standardisierte Handlungsabläufe, mit denen man sich vor der Entdeckung schützt. Wenn Spuren nicht systematisch verwischt werden bzw. eine schlechte OpSec betrieben wird, eröffnen sich Chancen für die Attribution. Daher werden bei Recherchearbeiten grundlegende Maßnahmen angewandt. Diese beinhalten unter anderen die Verschleierung der eigenen Netzwerkadressen durch Anonymisierungsdienste und mehrere Schichten von Kontrollservern, sowie die Modifizierung des Browser-Footprints.

4

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen

Aufgabe 3 Allgemeine Firmeninformationen

Zu Beginn der Recherche wurde die Webseite https://www.apexsystems.com aufgerufen. Dort wurden unter anderem die Lokation (Firmensitz), sowie die Kontakt-Mailadresse ausfindig gemacht. Der Aufbau der Mailadresse (Domain Part @apexsystems.com) hilft uns später, mittels gezielten Google-Dorking-Befehlen, E-Mailadressen von Mitarbeitern zu finden. Diese können dann für Spear- Phishing genutzt werden.

Apex Systems, Inc.

Lokation: 4400 Cox Rd. Ste. 200, Glen Allen, Virginia, 23060, United States Angestellte: 700 Industrie: Human Resources & Staffing, Business Services. Adresse: SIC Codes: 73, 736 , NAICS Codes: 56, 56131 Telefonen: (804) 342-9090 Fax: (804) 254-7290 Webseite: www.apexsystems.com

- 5 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen E-Mailadressen

Im vorherigen Schritt haben wir die E-Mailadresse [email protected] extrahiert. Nun wollen wir die E-Mailadressen der Angestellten herausfinden. Diese könnte man benutzen, um an Soziale-Profile/Netzwerke zu kommen, die dann für eine Spear-Phishing oder „Watering hole attack“ genutzt werden.

Der Google Dorking Befehl “@apexsystems.com“ lieferte uns folgendes Ergebnis:

Doppelten Anführungsstriche in der Search Bar: Es wird genau nach dem String gesucht, der zwischen den Anführungszeichen angegebenen ist und nicht nach einem Vorkommen der Wörter in beliebiger Reihenfolge.

Während der Recherche wurden diverse Webbrowser auf unterschiedlichen Distributionen (Windows 10, Mac, Debian…) und unterschiedliche Geo-Lokationen (mittels VPN) verwendet.

- 6 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen Der ursprüngliche Google Dorking Befehl “@apexsystems.com“ wurde unter anderem mit Befehlen wie “@apexsystems.com“ xing oder linkdin, facebook, erweitert. Die gefunden Ergebnisse wurden anschließend in eine SQLite-Datenbank gespeichert.

Aus zeitlichen Gründen wurde keine Verifikation der Such-Ergebnisse vorgenommen. Eine Beispielrecherche ([email protected]) zeigt jedoch, dass unter den gefunden E- Mailadressen, auch Fake-Accounts stecken können. Ein System, welches zur Einschätzung des Wertes einer Information benutzt werden könnte, wäre das „4x4- System“ (1. Semester, Kriminalistik).

Beispielverifikation: Zur Überprüfung, ob es wirklich eine [email protected] gibt, wurde das Linkedin- Profilfoto in der Google-Bildersuche verwendet.

- 7 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen

Hier sieht man, dass das Profilfoto bei diversen Nutzernamen auftaucht. Da diese Namen in der Regel alle bei Apex Systems arbeiten, kann man vermuten, dass es sich hierbei um ein „Fake- Account/Honey-Profile“, vom Apex Systems Incident Response Team, handelt.

- 8 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen

Subdomains

Nachdem wir E-Mailadressen ausfindig gemacht haben, schauen wir uns die Infrastruktur der Firma an. Als erstes suchen wir nach Subdomains. Dazu wurde folgender Suchbegriff als Ausgangspunkt verwendet:

site:apexsystems.com -site:www.apexsystems.com

Dieser wurde im Laufe der Recherche immer weiter mit dem Befehl -inurl: verfeinert, um die gefunden Ergebnisse zu reduzieren, wie z.B.:

-inurl:www -inurl:itcareers

Die verfeinerten Anfrage-Ergebnisse waren erfolgreich, da sich unter den Treffern auch ältere (nicht gepflegte) Subdomains befanden. Diese können als Einstiegspunkt für einen Angriff dienen.

Hier ein Beispielauszug der Subdomains:

 digital.apexsystems.com  2017.apexsystems.com  cloudeast.apexsystems.com  connectwest.apexsystems.com  mediasuite.apexsystems.com  video.apexsystems.com - 9 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen Eine Verifikation der Subdomains wurde durch Betrachtung des Web-Zertifikats vorgenommen. Dort findet man im Reiter „Subject Alternative Name“ kurz SAN (Alternativer Antragstellername), Subdomains, die für das Zertifikat auch gültig sind.

Zusätzlich wurde die robots.txt der Hauptdomain angesehen, um interessante Unterverzeichnisse zu entdecken, welche von Suchmaschinen nicht gecrawlt werden sollen.

- 10 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen Stellenangebote des Unternehmens

Um einen besseren Überblick der eingesetzten Technologien (Hard- und Software) der Firma zu erhalten, wurde nach offen Stellen des IT-Administrators gesucht.

- 11 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen Im Jobportal glassdoor.de wurden wir unter anderem auf eine „Windows Systems Administrator“ Stelle aufmerksam, die Erfahrungen im Bereich der Windows Serveradministration voraussetzt. Diese Information kann in der „Weaponize“-Angriffsphase dazu dienen, gezielte Exploits für das Betriebssysteme vorzubereiten.

- 12 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen Weitere Infrastrukturerkennungen

Über Befehle wie „Name Server look up“ (nslookup) konnten viele weitere Informationen über die Infrastruktur gesammelt werden. Beispielsweise wird der SaaS Cloud-Provider Bullhorn und Symantec Messagelabs eingesetzt. Es wurde auch das XenMobile (Citrix) Portal und der DNS-Token aufgelistet, sowie eine neue interessante Domain (apexsystemsinc.com).

- 13 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen Es ist auch zu erkennen, dass man nie direkt auf den Webserver der Firma Apex Systems zugreift, sondern auf den Dyn-DNS Anbieter Oracle dynect. Dieser wird zum Schutz der Infrastruktur (DDOS Protektion, IP Leaking…) eingesetzt. Zur Überprüfung, ob eine WAF eingesetzt wird, wurde das Skript Wafw00f verwendet.

Anschließend wurde ein DNS Zonentransfer und die Bestimmung der BIND (Berkeley Internet Name Domain) Version vorgenommen.

- 14 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen Der OSINT LifeCycle

Die zuvor gewonnen Informationen wurden zur wiederholten Recherche für E-Mailadressen, Subdomains, Stellenangeboten usw. verwendet. Die Reconnaissance-Phase ist somit ein sich ständig wiederholender Kreislauf und keine starr abzuarbeitende Checkliste.

Die Subdomain-Recherche ergab viele Interessante Treffer. Anscheinend ist die Domain apexsysteminc.com für Mitarbeiterausgerichtet, wo hingegen die Domain apexsystems.com für Endverbraucher ausgelegt ist.

- 15 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen Anbei ein Auszug der Subdomains

 bhnpe1.apexsystemsinc.com  m.myapexsys1.apexsystemsinc.com  www1.apexsystemsinc.com  m.coasys2.apexsystemsinc.com  m.myapexsys2.apexsystemsinc.com  ceportal3.apexsystemsinc.com  m.myapexlab.apexsystemsinc.com  mylab.apexsystemsinc.com  web.apexsystemsinc.com  bhprod.apexsystemsinc.com  reqboard.apexsystemsinc.com  cloud.apexsystemsinc.com  autodiscover.ce.apexsystemsinc.com  meetme.apexsystemsinc.com  expe.apexsystemsinc.com  share.apexsystemsinc.com  m.coaupg.apexsystemsinc.com  m.myapexupg.apexsystemsinc.com

Eine besonders Interessante Subdomain stellt bhprod.apexsystemsinc.com da. Es handelt sich hierbei anscheinend um den Einsatz einer Seite in der Produktionsumgebung. In der Regel haben Firmen auch eine Abnahme- bzw. Test-Umgebung, welche meist weniger gesichert ist.

Ein Probeaufruf der Testumgebung liefert zwar keine Webseite, jedoch die derzeitig eingesetzte Squid Proxyversion. Diese Information kann für die der „Weaponize“-Angriffsphase genutzt werden und zum initialen Foothold dienen. Man kann nun in Datenbanken wie Exploit-DB nach aktuellen Squid Schwachstellen suchen. Derzeit ist die aktuelle Squid Stable-Version 4.7, auf der Webseite wird jedoch Version 3.5.27 (von 2017) eingesetzt.

- 16 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen Dokumenten und Metadaten-Recherche

Neben den bereits genannten Infrastrukturinformationen, wurde auch nach Dokumenten (PDF, XLS, TIFF) der Firma gesucht. Man findet unter anderem Handbücher und Anleitungen für Externe- Mitarbeiter, aber auch Interessante Meta-Informationen wie E-Mailadressen und Klarnamen.

- 17 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen OSINT Webseiten

Abschließend zur OSINT-Recherche wurden Webseiten besucht, welche öffentliche Daten und Archiv Informationen bereitstellen.

- 18 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen

- 19 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen

Aufgabe 4

Die Suche im Dark Web beginnt mit der Installation des Tor Browsers, durch den der Aufruf sogenannter Onion-URLs möglich wird. Über die Webseite „The Hidden Wiki“ kann man eine Übersicht über bekannte Dark Net Webseiten erhalten. Die aktuelle URL des Hidden Wikis lässt sich mit einer einfachen Suche im Surface Web ausfindig machen:

Auf der nachfolgenden Seite ist neben einer Sammlung anderer Links auch die Onion-URL von The Hidden Wiki zu finden:

Die Startseite von The Hidden Wiki besteht aus einer übersichtlichen Liste bekannter Seite im Dark Net. Die angebotenen Links reichen von augenscheinlich harmlosen Angeboten wie Suchmaschinen bis hin zu offenkundig rechtswidrigen Angeboten wie Plattformen für den Drogenhandel.

- 20 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen

Für unsere Recherche erscheinen die Kategorien „Introduction Points“ und „Whistleblowing“ am relevantesten. Die folgenden URLs werden für erste Suchanfragen zu Apex Systems verwendet:

 Torch: http://xmh57jrzrnw6insl.onion/  Not Evil: http://hss3uro2hsxfogfq.onion/  Doxbin: http://doxbinjs77uawbbl.onion/  SecureDrop: http://secrdrop5wyphb5x.onion/  WikiLeaks: http://wlupld3ptjvsgwqw.onion/

Von den aufgelisteten URLs waren zum Zeitpunkt der Recherche lediglich die Seiten „Torch“, „Doxbin“ und „Not Evil“ erreichbar. Mit den folgenden Suchbegriffen wurden die Suchen jeweils durchgeführt:

 apex systems  “apex systems“  apexsystems  apexsystems.com

Die Suchmaschinen „Torch“ und „Not Evi“ lieferten für die Suchbegriffe entweder unrelevante oder gar keine Ergebnisse.

- 21 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen

Bei der Seite „Doxbin“ handelt es sich im Gegensatz zu allgemeinen Suchmaschinen um eine Datenbank, in der personenbezogene Daten über Einzelpersonen und Personengruppen sowie sensible Daten von Unternehmen abgelegt werden.

- 22 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen Die Verwendung der zuvor genannten Suchbegriffe für Apex Systems führte jedoch zu keinen Ergebnissen.

Auf der Suche nach weiteren Quellen wird auf die zu Beginn im Surface Web gefundene Seite „Hidden Wiki“ zurückgegriffen. Dort sind weitere Seiten zu finden, die sowohl Einstiegspunkte als auch bestimmte Dienste im Dark Net bieten. Die folgenden Seiten werden im nächsten Anlauf zur Recherche herangezogen:

 All You’re Base: http://3fyb44wdhnd2ghhl.onion/  TorDir: http://dppmfxaacucguzpc.onion  TorLinks: http://torlinkbgs6aabns.onion/  OnionDir: http://dirnxxdraygbifgc.onion/  OnionList: http://jh32yv5zgayyyts3.onion/  TorProject Media: http://p3igkncehackjtib.onion/  TorProject Archive: http://j6im4v42ur6dpic3.onion  All You’re Wiki: http://3fyb44wdhnd2ghhl.onion/  Onion Wiki: http://wiki5kauuihowqi5.onion/  ParaZite: http://kpynyvym6xqi7wz2.onion/

Von den genannten Seiten waren „All You’re Base“, „TorDir“, „TorProject Media“, „TorProject Archive“, „All You’re Wiki“ und „ParaZite“ nicht erreichbar zum Zeitpunkt der Recherche. Bei den Seiten soll es sich ausschließlich um Suchmaschinen und Linkverzeichnisse für das Dark Web handeln, es waren jedoch nur die Seite zu den Linkverzeichnissen erreichbar.

- 23 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen

In den Linkverzeichnissen wurden die folgenden Seiten für weitere Recherchen ausgesucht:

 Deepsearch: http://hpuuigeld2cz2fd3.onion/  Searx: http://5plvrsgydwy2sgce.onion/  Grizzly Search: http://grizzlykijswtj2x.onion  VisiTOR: http://visitorfifjwl377.onion/

Bei den ausgesuchten Seiten handelt es sich nun ausschließlich um Suchmaschinen. Die Suchmaschine „Searx“ war die einzige Seite, die zum Zeitpunkt der Recherche erreichbar war. Leider konnte die Suche aufgrund eines Fehlers mit Google CAPTCHA nicht durchgeführt werden, obwohl JavaScript für diesen Aufruf aktiviert wurde.

- 24 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen Aufgabe 5

Fazit für die Suche im Dark Net: Die Suche im Surface Web bzw. Deep Web war für die Suche nach Informationen über Apex Systems wesentlich nützlicher. Ein Großteil der Services im Dark Web war nicht bzw. nicht zu bestimmten Tageszeiten erreichbar, was die Navigierbarkeit und die Recherchen erheblich einschränkte.

Streng genommen konnten wir über das Dark Web keine zusätzlichen Erkenntnisse gewinnen. Hauptgrund dafür könnte sein, dass die relevanten Informationen keinen Anlass hatten, sich im Dark Web zu verbergen. Wir vermuten, dass sich die Situation bei Vorhandensein von Whistleblowern oder Leaks in einer bestimmten Firma verändern würde. Bei Apex Systems scheint dies zumindest nicht der Fall zu sein.

Wir möchten an dieser Stelle dennoch auf eine Variante eingehen, durch die man bei Vorhandensein von Leaks auf Quellen im Darknet stoßen kann. Hierbei bedient man sich an Onlinediensten im regulären Web, die der anonymen Veröffentlichung von Text über eigene, einfache URLs funktionieren.

Die bekannteste Plattform ist „Pastebin“. Mit speziellen Suchmaschinenanfragen lassen sich Links finden, die Einstiegspunkte in das Darknet zu bestimmten Leaks beinhalten.

- 25 -

GRUPPE HH5 Informationsrecherche im Internet: Auskundschaften von Informationen

Nachfolgend ein mögliches Ergebnis auf Pastebin, das eine generische Sammlung an Links zum Darknet enthält. Darunter befinden sich beispielsweise Prüfungsinhalte zu Zertifikaten, eBooks mit entferntem Kopierschutz, Hacking Foren und Plattformen, auf denen Schadsoftware ausgetauscht werden.

- 26 -