Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!

Für eine Stellenanzeige hat sich der Bundesnachrichtendienst etwas Besonderes ausgedacht: eine Forensik Challenge, bei der Interessierte ihre Fähigkeiten testen können. Damit Golem.de-Leser, die sich beim BND bewerben wollen, es etwas leichter haben, haben wir die Challenge gelöst.

Artikel von Hanno Böck veröffentlicht am
Bezahlung nach TVöD Bund in der Entgeltgruppe 14 und eine tarifliche Sonderzulage von 400 Euro monatlich: Wie wär's mit einem Job beim BND?
Bezahlung nach TVöD Bund in der Entgeltgruppe 14 und eine tarifliche Sonderzulage von 400 Euro monatlich: Wie wär's mit einem Job beim BND? (Bild: BND/Screenshot: Golem.de)

Der BND sucht Verstärkung in Sachen Cyber. Um künftige Mitarbeiter vorab auf ihre Fähigkeiten zu testen, steht auf der BND-Webseite eine Herausforderung bereit: Die sogenannte Forensik Challenge besteht aus einer Image-Datei eines kompromittierten Systems.

Virtualbox-Image eines kompromittierten Systems

Inhalt:
  1. Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
  2. Script-Injection in PHP-Webseite
  3. Remote-Shell in gelöschter Webserver-Logdatei
  4. Gab es einen Inside-Hacker?

Laut der beiliegenden PDF-Datei handelt es sich um das Image eines Servers einer Versicherungsgesellschaft eines befreundeten Nachrichtendienstes. Das Root-Passwort wurde geändert, und wir erfahren noch, dass der Hacker einen Account mit einem trivialen Passwort (hacker/abcd1234) angelegt hat, und dass die Administratoren möglicherweise Passwörter ungeschützt ablegen.

Das Image wird als ZIP-Datei bereitgestellt, darin befindet sich eine Ova-Datei. Dieses Format gehört zur Virtualisierungssoftware Virtualbox und lässt sich damit starten. Alternativ lässt sich die Ova-Datei auch mit Tar entpacken, und wir erhalten eine vmdk-Datei. Diese lässt sich auch mit QEMU verwenden. Da QEMU nicht in der Lage ist, vmdk-Dateien mit Schreibzugriff zu verwenden, erstellen wir hierfür eine Snapshot-Datei.

Um das System zu analysieren, wollen wir zunächst selbst Root-Zugriff. Der Bootmanager hat keinen Passwortschutz, damit können wir einfach die Boot-Kommandozeile editieren und ein init=/bin/bash anfügen. So überspringen wir den normalen Init-Vorgang und haben direkt eine Bash-Shell. Nun müssen wir lediglich die Root-Partition schreibbar mounten (mount -o remount,rw /) und können uns selbst ein neues Root-Passwort setzen (passwd). Anschließend rufen wir noch sync auf, beenden QEMU und starten neu.

Stellenmarkt
  1. Abteilungsleiter (m/w/d) IT/IT-Entwicklung
    BayernInvest Kapitalverwaltungsgesellschaft mbH, München
  2. Systemadministrator*in (m/w/d)
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
Detailsuche

Wie wir später herausfinden, hätte es auch eine andere Möglichkeit gegeben, Root-Zugriff zu erlangen: Der Benutzeraccount "hacker", dessen Passwort wir kennen, darf via Sudo den Befehl dhclient ausführen. Dieser wiederum emöglicht das Ausführen von Skripten. Wir können spekulieren, dass der Hacker sich hier selbst eine Möglichkeit verschaffen wollte, wiederum Root-Zugriff zu erlangen, sollte man versuchen, ihn auszusperren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Script-Injection in PHP-Webseite 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


Aktuell auf der Startseite von Golem.de
Gesetz tritt in Kraft
Die Uploadfilter sind da

Ab sofort haften große Plattformen für die Uploads ihrer Nutzer. Zu mehr Lizenzvereinbarungen hat das bei der Gema noch nicht geführt.
Ein Bericht von Friedhelm Greis

Gesetz tritt in Kraft: Die Uploadfilter sind da
Artikel
  1. Mercedes-Benz: Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos
    Mercedes-Benz
    Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos

    Mehr Elektroautos bei Daimler bedeuten nach Ansicht der Chefetage weniger Arbeitsplätze. Grund sei der einfachere Einbau eines Elektromotors.

  2. VW, BMW, Daimler: Jedes sechste Elektroauto ist von deutschem Hersteller
    VW, BMW, Daimler
    Jedes sechste Elektroauto ist von deutschem Hersteller

    Das Elektroauto gewinnt an Fahrt bei den deutschen Herstellern und Autokäufern. Bei Angebot und Nachfrage dominiert China.

  3. Sicherheitslücken: Zoom zahlt 85 Millionen US-Dollar an Kunden
    Sicherheitslücken
    Zoom zahlt 85 Millionen US-Dollar an Kunden

    Zoom soll Kunden mit falschen Sicherheitsversprechen in die Irre geführt und Daten mit Facebook ausgetauscht haben.

Loading... 05. Mai 2017

Mag ja solche Challenges und würde sie gerne, wie vorgesehen lösen, also nicht über den...

digidax 05. Apr 2017

In welcher Datei wurde der Logeintrag: 192.168.1.11 - - [23/Nov/2016:10:13:32 +0100...

N3X 04. Apr 2017

Hallo Golem Team, ihr schreibt, dass es für einen Angreifer nicht möglich sei zu...

N3X 03. Apr 2017

hat hiermit recht wenig zu tun. Schau dir mal die VM an, und wie die Auth. abläuft. Du...

ClausWARE 21. Mär 2017

Also das Fazit am ende ließt sich nicht gerade wie Wrbung für den BND.



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Acer XB323UGP (WQHD, 170Hz) 580,43€ • Acer XV340CKP (UWQHD, 144 Hz) 465,78€ • Razer BlackShark V2 + Base Station V2 Chroma 94,98€ • Mega-Marken-Sparen bei MM • Saturn: 1 Produkt zahlen, 2 erhalten • Alternate (u. a. AKRacing Core EX-Wide SE 248,99€) • Fallout 4 GOTY 9,99€ [Werbung]
    •  /