Document Properties Profiling - Herangehensweise zur Automatisierung

Document Properties Profiling

Herangehensweise zur Automatisierung

Marc Ruef
von Marc Ruef
Lesezeit: 7 Minuten

Im Rahmen von Footprinting und Web Application Penetration Tests weisen wir gut und gerne darauf hin, wenn auf einem Server Dokumente dargeboten werden, die (technische) Hinweise auf die Zielumgebung gewähren. Dies sind beispielsweise Hinweise auf die genutzte Software für das Generieren von PDF-Dokumenten oder in Word-Dokumenten als Autor angegebene Windows-Benutzernamen. Ein Angreifer kann diese Informationen nutzen, um sich im Rahmen eines technischen oder psychologischen Angriffs einen grundlegenden Vorteil zu verschaffen.

Gegenwärtig sind wir im Lab darum bemüht, die Auswertungen auf dieser Ebene systematisch zu professionalisieren. Das Sammeln von interessanten Dokumenten kann entweder durch ein Fetching des Servers (z.B. mit wget) oder durch ein erweitertes Footprinting mit einer Suchmaschine wie Google geschehen. Um beispielsweise alle Dateien mit der Erweiterung *.doc auf dem Server fbi.gov anzuzeigen, ist die folgende Suchabfrage erforderlich:

site:fbi.gov filetype:doc

Durch ein Parsing der Links der jeweiligen Suchresultate (169 Stück, Stand 05.06.2009) kann in einem zweiten Schritt der Download initiiert werden. Hierfür bietet sich der Google Parser von goohackle.com an: Er liefert die Links in einer simplen Auflistung, die direkt in ein Skript übernommen werden kann. Wird die Liste beispielsweise in die Datei namens fbidocs.txt abgespeichert, kann sie durch den folgenden Aufruf mit wget eingelesen und die entsprechenden Dateien heruntergeladen werden (von den 169 Resultaten standen effektiv nur 146 Dateien bereit):

wget -i fbidocs.txt

Durch ein eigens angefertigtes Skript können nun die Dokumenteigenschaften ausgelesen werden. Die Office-Formate von Microsoft lassen sich durch ein VBScript (VBS) mit dem folgenden Code-Snipplet auslesen (das gezeigte Beispiel liest den initialen Autor eines Word-Dokuments aus):

Set oApp = WScript.CreateObject("Word.Application")
Set oDoc = oApp.Documents.Open(sFile)
WScript.Echo sFile & " (" & oDoc.BuiltInDocumentProperties("Author") & ")"
oDoc.Close
oApp.Quit
Set oDoc = Nothing
Set oApp = Nothing

Die Resultate solcher Auswertungen ist jeweils in vielerlei Hinsicht – alleine schon wenn man sich auf den Inhalt des Felds “Author” konzentriert – interessant. Hinweise dieser Art können bei einer genaueren Betrachtung anfallen:

Das Auswerten der auf fbi.gov gefundenen Dokumente ist nicht minder uninteressant. Die drei populärsten Autoren sind mrwalker (106 mal), Janine (16 mal) und ddweese (14 mal). Als vermeintliche Realnamen sind Reva J. Davis, Joyce M. Board und C. Michael Riley aufgetaucht. Das Sondieren von potentiellen Benutzernamen ist nicht einfach, wobei sich hier AGJCEPPA, agmjlill und dlpost am ehesten anbieten.

Extrahierung von Autoren aus Word-Dokumenten von fbi.gov

Im Übrigen scheinen diverse Nachrichtendienste eine strikte Richtlinie bezüglich der Veröffentlichung von Dokumenten auf ihren Webseiten zu haben. Mossad, NSA und CIA bieten gar keine Word-Dokumente an. Da trifft man ab und an lediglich auf Excel-Dateien. Ein Grossteil der Daten wird bevorzugt als PDF-Dokumente weitergegeben (siehe Tabelle). Diese lassen sich aber genauso auswerten.

Seite DOC XLS PDF
cia.gov 0 0 2740
dia.mil 6 0 154
fbi.gov 169 2880 2690
nga.mil 102 30 1350
nro.gov 31 0 44
nsa.gov 0 0 6620

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Hochschulen, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Haben Sie Interesse an einem Penetration Test?

Unsere Spezialisten kontaktieren Sie gern!

×
Cyber Threat Intelligence

Cyber Threat Intelligence

Marc Ruef

3D Printing

3D Printing

Marc Ruef

Contact Tracing App DP3T

Contact Tracing App DP3T

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv