Keylogger ohne Administratorrechte installieren

[Morfio]

Hallo zusammen,

bei einer Firma, die für uns Websites erstellt hat, wurde auf deren Servern eingebrochen. Letztlich war die Aussage, dass die Angreifer (aus Russland und der Schweiz) sich mit unseren Kennwörtern angemeldet haben und dort Unsinn trieben.

Aussage dieser Webfirma war jetzt, dass der Kennwortdiebstahl über einen Keylogger passierte, der wohl auf einem unserer Macs drauf war, sich bei einem Neustart aber von selbst löschen soll, so dass keine Spuren übrig bleiben.

Auf dem Macs hat niemand außer der EDV-Abteilung Administrationsrechte.

Gibt es solche Keylogger, die ohne Adminrechte laufen? Wie schätzt ihr die Situation ein? Könnte das so sein?

Ich schließe das letztlich kategorisch aus, aber was mein Ihr?

Viele Grüße

Morfio

 

[Lor-Olli]

Es wäre der erste Keylogger, den man ohne physischen Zugriff oder Adminrechten auf einem Mac installieren kann - ich halte das für eine Ausrede. Es gibt mittlerweile einige Keylogger für den Mac, einige wurden an amerikanischen Schulen installiert, genau wie einige iSight-Cams manipuliert wurden (keine LED leuchtet im Betrieb), aber das war nur direkt am Rechner möglich.

Die Frage die sich stellt: Wer hat bei Euch die Macs aufgesetzt, ist absolut auszuschließen, dass einige Macs mit Adminrechten laufen (z.B. versehentlich nach Wartungsarbeiten)? Gibt es physischen Zugriff von verschiedenen Leuten auf die Rechner? Wie ist das interne Netz aufgestellt (drahtlos/wLan/gesichert)? Ich habe schon so einiges gesehen, was "kategorisch" unmöglich schien - menschliches Versagen kommt IMMER vor! (Ich habe mal versehentlich ein falsches Passwort eingestellt und 20 Macs lahmgelegt - wenigstens hatte keiner Zugriff…)

 

[win2mac]

Was ist das denn für eine lustige 'Webfirma'?
Solche Ausreden muß ich in mein Repertoire aufnehmen.

Gruß

win2mac

 

[Hausbesetzer]

Also die letzten Jahre gab es so unglaublich viele Flash und Java lücken, die unerlaubte Ausführung von Code erlaubten... Das macht schon Sinn.
Ausserdem wer sagt denn, dass der Keylogger auf dem Mac war? JEDES Netzwerkgerät im Netzwerk kann bei einem FTP Zugriff das Passwort von jedem Mac aus dem Netzwerk mitschneiden.

Aber letztendlich will die Firma nur den schwarzen Peter abgeben - falls die die Zugangsdaten ebenfalls hatten.

 

[wegus]

Bei den Sicherheitslücken in modernen Browsern, die ja beizeiten auch halbe Betriebssysteme sind, würde mich das eher gar nicht wundern!

Ähnliches ist gerade letzte Woche mit unserem Firmen-Account bei einer großen Web-Börse passiert und die Zugangsdaten hat vermutlich auch niemand herausgegeben...obwohl da beinahe wöchentlich Phishingmails dazu eingehen!
Wenn die sagen können mit welchem Account das passiert ist, dann würde ich das ernst nehmen. Keylogger sind da sicher nur eine Erklärung, Phishing oder ehemalige Mitarbeiter können eine Andere sein.

 

[usls1]

… der wohl auf einem unserer Macs drauf war, sich bei einem Neustart aber von selbst löschen soll, so dass keine Spuren übrig bleiben.
…

Clever so eine Aussage zu machen.

 

[David X]

bei einer Firma, die für uns Websites erstellt hat, wurde auf deren Servern eingebrochen. Letztlich war die Aussage, dass die Angreifer (aus Russland und der Schweiz) sich mit unseren Kennwörtern angemeldet haben und dort Unsinn trieben.

Gut, diese Aussage ist ja leicht nachzuvollziehen. Habt ihr Server-Logs gezeigt bekommen, die dies belegen?

Aussage dieser Webfirma war jetzt, dass der Kennwortdiebstahl über einen Keylogger passierte, der wohl auf einem unserer Macs drauf war, sich bei einem Neustart aber von selbst löschen soll, so dass keine Spuren übrig bleiben.

Jetzt wird es komisch. Haben die Zugriff auf eure Logs gehabt oder wie kommen die auf die Idee, so etwas zu behaupten? Es gibt so viele Möglichkeiten, wie die Angreifer an die Usernamen und Passwörter gekommen sein können (Keylogger auf euren Macs, Brute Force, Man in the Middle, schlecht verschlüsselte Passwörter beim Serverbetreiber, etc.), dass man das eigentlich nur durch vertrauensvolle Zusammenarbeit von beiden Seiten aus herausfinden kann.

Ansonsten wären ja auch mal ein paar ausführlichere Infos zur genaueren Beurteilung nett. Was für Macs, welches OS X, ist Gatekeeper schon vorhanden, falls ja, wie ist es eingestellt, wie sieht euer Netzwerk-Layout aus, was sagen eure Logfiles auf den Macs und auf der (hoffentlich vorhandenen) Firewall, habt ihr IDS, IPS oder gar NSM am Start?

Du sprichst von eurer EDV-Abteilung, gibt es da niemand, der wirklich Ahnung hat, so dass du hier nachfragen musst?

Es wäre der erste Keylogger, den man ohne physischen Zugriff oder Adminrechten auf einem Mac installieren kann - …

Metasploit-Modul, das läuft als Ruby-Skript im RAM. Ist nach einem Neustart also weg.

 

[Tzunami]

Mich würde mal interessieren welche Firmware die auf ihrer Glaskugel haben, damit die euch erzählen können was auf euren Rechnern, in Eurer Firma eine angebliche Schadsorftware gemacht hat.

Ich sage zwar nicht das sowas nicht möglich wäre, aber um so eine Aussage zu machen, müsste man sämtliche Protokolle und andere Hinweise, auf allen Rechnern in eurem Netzwerk zusammentragen und untersuchen. Dann ist aber noch nicht mal sichergestellt das man etwas findet.

Haben die euch Zugriffsprotokolle gegeben, die belegen das der Zugriff von euch kam?

 

[Lor-Olli]

@David X, das es möglich ist einen Keylogger sich selbst löschen zu lassen ist nicht unmöglich, ABER ihn zu installieren ohne physischen Zugriff oder Zutun des Users? (Nebenbei kann der Ruby-Keylogger keine Passwörter in Passwort-Inputs erkennen)

" Note: The method used by this keylogger (GetKeys()) does not return characters entered in password inputs. A kernel extension is needed for this (to bypass Apple's SecureTextEntry protection by hooking straight into the keyboard device), or you would have to inject code into the host process."

Möglich ist so einiges, bisher sind mir die "Behaupter" aber immer den Beweis / jeden Beweis schuldig geblieben. Die Aussage dieser WebFirma halte ich schlicht für unverschämt, obwohl natürlich bequem - für den Schuld-Von-Mir-Verweis. Wir wissen allerdings auch nicht wie die EDV-Abteilung arbeitet, die EDV Abteilung in der Firma meiner musste / sollte für einen Laptop einen sicheren Zugang (VPN) installieren. In der Firma getestet, ok, vor Ort wo benötigt lief nichts, sie hatten den Rechner schlicht für das Firmeninterne Netz konfiguriert und auch nur so getestet . Meine Frau ist lediglich mit Datenbanken sehr fit, DEN Fehler fand aber sogar sie…

Fazit: Bis ich einen Keylogger sehe / nachgewiesen bekomme, der sich ohne Adminrechte und ohne physischen Zugriff auf den Rechner sowie ohne Zutun des Users, vielleicht sogar noch ferninstalliert, sage ich: Gibt es nicht!

 

[Hausbesetzer]

"Wenn ich die Augen schließe, sieht mich keiner mehr hihihi"
SCNR

 

[David X]

Ich habe ja nicht behauptet, dass die das Teil hier benutzt haben. Dass er SecureTextEntry nicht umgehen kann, wie alle Keylogger, die sich im User-Home ohne Admin-Passwort installieren lassen, ist mir mehr als bekannt. Wenn der Nutzer aber sichere Tastatureingabe im Terminal nicht aktiviert hat, lassen sich z.B. dort die Passwörter loggen. Das Teil ist also in manchen Szenarien äußerst hilfreich.

Faktor User bzw. Mensch:
Diese Argumentation habe ich noch nie so richtig verstanden. Google Hacking, per Shodan gefundene Systeme, alle Formen des Social Engineering, falsch konfigurierte Netzwerke, schlechte Firewall-Regeln, veraltete, nicht erneuerte oder gepatchte Hardware, nicht gepatchte Betriebssysteme, veraltete, vom Hersteller nicht mehr unterstützte Betriebssysteme, Bugs in Betriebssystemen und Applikationen, Exploit-Händler wie z.B. VUPEN Security, etc. - alles Wege Netzwerke und/oder Computer zu hacken und alle beruhen auf menschlichen Fehlern bzw. bauen darauf auf. In letzter Konsequenz ist bei jedem erfolgreichen Hack ein Mensch daran Schuld, dass der Hack möglich war. So, what?

Dass die Webhoster hier billig jede Verantwortung von sich weisen, finde ich ja auch frech. Mal sehen, ob sich der TE nochmal meldet und meine Fragen beantwortet…