Im Rahmen von Footprinting und Web Application Penetration Tests weisen wir gut und gerne darauf hin, wenn auf einem Server Dokumente dargeboten werden, die (technische) Hinweise auf die Zielumgebung gewähren. Dies sind beispielsweise Hinweise auf die genutzte Software für das Generieren von PDF-Dokumenten oder in Word-Dokumenten als Autor angegebene Windows-Benutzernamen. Ein Angreifer kann diese Informationen nutzen, um sich im Rahmen eines technischen oder psychologischen Angriffs einen grundlegenden Vorteil zu verschaffen.

Gegenwärtig sind wir im Lab darum bemüht, die Auswertungen auf dieser Ebene systematisch zu professionalisieren. Das Sammeln von interessanten Dokumenten kann entweder durch ein Fetching des Servers (z.B. mit wget) oder durch ein erweitertes Footprinting mit einer Suchmaschine wie Google geschehen. Um beispielsweise alle Dateien mit der Erweiterung *.doc auf dem Server fbi.gov anzuzeigen, ist die folgende Suchabfrage erforderlich:

site:fbi.gov filetype:doc

Durch ein Parsing der Links der jeweiligen Suchresultate (169 Stück, Stand 05.06.2009) kann in einem zweiten Schritt der Download initiiert werden. Hierfür bietet sich der Google Parser von goohackle.com an: Er liefert die Links in einer simplen Auflistung, die direkt in ein Skript übernommen werden kann. Wird die Liste beispielsweise in die Datei namens fbidocs.txt abgespeichert, kann sie durch den folgenden Aufruf mit wget eingelesen und die entsprechenden Dateien heruntergeladen werden (von den 169 Resultaten standen effektiv nur 146 Dateien bereit):

wget -i fbidocs.txt

Durch ein eigens angefertigtes Skript können nun die Dokumenteigenschaften ausgelesen werden. Die Office-Formate von Microsoft lassen sich durch ein VBScript (VBS) mit dem folgenden Code-Snipplet auslesen (das gezeigte Beispiel liest den initialen Autor eines Word-Dokuments aus):

Set oApp = WScript.CreateObject("Word.Application")
Set oDoc = oApp.Documents.Open(sFile)
WScript.Echo sFile & " (" & oDoc.BuiltInDocumentProperties("Author") & ")"
oDoc.Close
oApp.Quit
Set oDoc = Nothing
Set oApp = Nothing

Die Resultate solcher Auswertungen ist jeweils in vielerlei Hinsicht – alleine schon wenn man sich auf den Inhalt des Felds “Author” konzentriert – interessant. Hinweise dieser Art können bei einer genaueren Betrachtung anfallen:

• Name des initialen Autors (“Author”) und derjenigen Person, die das Dokument zuletzt bearbeitet hat (“Last Author”)
• Wer wieviele/viele Dokumente veröffentlicht
• Wann jemand voraussicht angestellt oder entlassen wurde (vor allem bei firmen-/domainübergreifenden Analysen interessant)
• Konvention für Benutzernamen (z.B. /u\d{6}/g für Benutzer und /a\d{3}/g für Administratoren)

Das Auswerten der auf fbi.gov gefundenen Dokumente ist nicht minder uninteressant. Die drei populärsten Autoren sind mrwalker (106 mal), Janine (16 mal) und ddweese (14 mal). Als vermeintliche Realnamen sind Reva J. Davis, Joyce M. Board und C. Michael Riley aufgetaucht. Das Sondieren von potentiellen Benutzernamen ist nicht einfach, wobei sich hier AGJCEPPA, agmjlill und dlpost am ehesten anbieten.

Im Übrigen scheinen diverse Nachrichtendienste eine strikte Richtlinie bezüglich der Veröffentlichung von Dokumenten auf ihren Webseiten zu haben. Mossad, NSA und CIA bieten gar keine Word-Dokumente an. Da trifft man ab und an lediglich auf Excel-Dateien. Ein Grossteil der Daten wird bevorzugt als PDF-Dokumente weitergegeben (siehe Tabelle). Diese lassen sich aber genauso auswerten.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

• http://goohackle.com/scripts/google_parser.php
• http://www.gnu.org/software/wget/
• http://www.google.com/search?q=site%3Afbi.gov+filetype%3Adoc