PC Magazin mit Film DVD Rettung per USB (Vorschau)
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
31<br />
Installation angelegte Miniatur-Betriebssystem,<br />
verfügt über die Reparaturfunktionen,<br />
ist jedoch für den OSK-Hack ungeeignet. Der<br />
<strong>PC</strong> muss <strong>mit</strong> der Boot-<strong>DVD</strong> gestartet werden.<br />
Dazu muss häufig die Boot-Reihenfolge im<br />
BIOS des Systems verändert werden. Wurde<br />
das BIOS so konfiguriert, dass der Rechner<br />
immer zuerst von der Festplatte startet und<br />
hat der Anwender sein BIOS zusätzlich <strong>mit</strong> einem<br />
Passwort geschützt, so wird es wiederum<br />
schwerer, diesen Angriff auszuführen.<br />
Startet der Rechner von der <strong>DVD</strong>, so wird der<br />
Angreifer natürlich keine Neuinstallation von<br />
Windows durchführen. Er wird das erste Dialogfenster<br />
Windows installieren noch <strong>mit</strong><br />
Weiter quittieren. Im zweiten Dialogfenster<br />
wird er aber nicht Jetzt installieren, sondern<br />
die Computerreparaturoptionen im unteren,<br />
linken Fensterbereich auswählen.<br />
Dann analysieren die Systemwiederherstellungsoptionen<br />
die lokalen Festplatten und<br />
suchen nach dort vorhandenen Windows-<br />
Installationen. Findet das Programm mehrere<br />
Windows-Installationen auf dem Computer,<br />
so muss der Anwender das gewünschte Windows<br />
in der Auswahlliste markieren. Dabei<br />
bleibt die obere Option Verwenden Sie Wiederherstellungstools…<br />
ausgewählt.<br />
Schritt 2 Die Umbenennung<br />
Hat der Angreifer vom passenden Boot-<br />
Medium gestartet, so erscheint die Auswahl<br />
der Systemwiederherstellungsoptionen. Hier<br />
kann er die Eingabeaufforderung ganz unten<br />
in der Auswahl starten und auf der Kommandozeile<br />
nun nacheinander die folgenden Befehle<br />
eingeben:<br />
c:<br />
cd windows\system32<br />
copy osk.exe osk2.exe<br />
del osk.exe<br />
copy cmd.exe osk.exe<br />
Das ist ein entscheidender Teil des Angriffs:<br />
Üblicherweise ist ein derartiges Umbenennen<br />
von Systemdateien unter Windows nicht möglich.<br />
Aber die Eingabeaufforderung in den<br />
Systemwiederherstellungsoptionen besitzt<br />
die dazu nötigen Zugriffsrechte und so kann<br />
die ausführbare Datei für die Eingabeaufforderung<br />
<strong>mit</strong> dem Namen der Bildschirmtastatur<br />
versehen werden.<br />
Schritt 3 Reboot<br />
Danach wird der Computer über Neu starten<br />
wie gewohnt gebootet. Im Anmeldedialog<br />
von Windows ist dann unten links in der Ecke<br />
das blaue Symbol Erleichterte Bedienung zu<br />
sehen. Es erscheint das Dialogfenster Erleichterte<br />
Bedienung <strong>mit</strong> der Auswahl Text ohne<br />
Tastatur eingeben (Bildschirmtastatur). Wird<br />
Kleine, unauffällige<br />
Anwendung <strong>mit</strong> großer<br />
Wirkung: die so<br />
genannte Bildschirmtastatur<br />
(OSK – On<br />
Screen Keyboard).<br />
diese Auswahl vorgenommen, so erscheint<br />
nach der von uns vorgenommenen Manipulation<br />
nun nicht mehr wie von Microsoft geplant<br />
die Bildschirmtastatur, sondern die Eingabeaufforderung,<br />
die nun <strong>mit</strong> den hohen Rechten<br />
des SYSTEM-Kontos arbeitet. Der Fehlertext,<br />
dass kein Meldungstext für die Meldungsnummer<br />
0x8 gefunden werden konnte, darf<br />
an dieser Stelle einfach ignoriert werden.<br />
Schritt 4 Neuer Admin<br />
Um nun einen neuen Benutzer in Windows<br />
anzulegen, wird der Anwender den Befehl<br />
net user /add<br />
eingeben. Soll beispielsweise<br />
der Benutzer meanguy <strong>mit</strong> dem<br />
Passwort Password$ angelegt<br />
werden, so ist folgendes Kommando<br />
einzugeben:<br />
net user meanguy Password$<br />
/add<br />
Um wirklich alle Aktivitäten auf<br />
dem Computer durchführen zu<br />
können, muss dieser Nutzer nun<br />
der Gruppe der Lokalen Administratoren hinzugefügt<br />
werden:<br />
net localgroup administratoren meanguy<br />
/add<br />
Die Eingabeaufforderung kann nun durch einen<br />
Mausklick auf das Schließen-Symbol oder<br />
durch Eingabe von exit geschlossen werden.<br />
Nach einem Neustart erscheint die Auswahl<br />
der möglichen Benutzer inklusive meanguy.<br />
Schritt 5 Aus der Ferne <strong>mit</strong>lesen<br />
Während der Anmeldung am Desktop des<br />
<strong>PC</strong>s besitzt der zusätzliche Administrator<br />
nun alle erdenklichen Möglichkeiten: Freigaben<br />
anlegen und <strong>mit</strong> Zugriffsrechten für sich<br />
selbst belegen, Daten von Benutzern kopieren,<br />
Remote-Desktop-Zugriffsrechte erlangen<br />
oder zusätzliche Programme installieren. Es<br />
versteht sich von selbst, dass er durch weitreichende<br />
Anpassungen natürlich die Gefahr<br />
erhöht, entdeckt zu werden.<br />
Schritt 6 Unsichtbar machen<br />
Ein zusätzlicher Benutzer in der Auswahl, zumal<br />
<strong>mit</strong> dem von uns so passend gewählten<br />
Namen, dürfte jedem noch so wenig <strong>PC</strong>-erfahrenen<br />
Anwender schnell auffallen. Deshalb<br />
muss dieser Benutzer nun versteckt werden<br />
und sein Name vom Anmeldebildschirm verschwinden.<br />
Das gelingt durch eine Modifikation<br />
der Windows-Registry.<br />
Der Angreifer startet jetzt das<br />
Programm regedit und öffnet<br />
den Pfad HKEY_LOCAL_MA-<br />
CHINE\Software\Microsoft\<br />
WindowsNT\CurrentVersion\<br />
Winlogon.<br />
Er klickt danach in der linken<br />
Baumstruktur auf den Eintrag<br />
Winlogon und legt dort durch<br />
einen Rechtsklick einen neuen Schlüssel <strong>mit</strong><br />
dem Namen SpecialAccounts an. In diesem<br />
neuen Schlüssel legt er anschließend in der<br />
linken Struktur ebenfalls durch einen Rechtsklick<br />
einen weiteren neuen Schlüssel namens<br />
UserList an. Nun wird im rechten Fenster<br />
durch ein Rechtsklick im leeren Bereich ein<br />
neuer DWORD (32bit) Wert erstellt und <strong>mit</strong><br />
dem Namen des unerlaubten Administrators<br />
belegt. Dabei steht der Wert 0 in der Spalte<br />
Daten dafür, dass der Benutzer unsichtbar ist<br />
(sichtbar ist Wert 1). Wichtig für die von uns<br />
geplante Zugriffsmöglichkeit: Ob sichtbar,<br />
oder nicht – über das Netzwerk können diese<br />
Anmeldedaten für Zugriffe auf den <strong>PC</strong> immer<br />
genutzt werden und der Nutzer direkt am<br />
Schützen Sie<br />
Ihr Notebook<br />
durch Verschlüsselung<br />
der Festplatte<br />
Der erste entscheidende<br />
Schritt beim<br />
Angriff: Nach dem<br />
Start von der <strong>DVD</strong> wird<br />
nicht das Windows-<br />
System installiert,<br />
sondern der Angreifer<br />
wählt die Computerreparaturoptionen<br />
aus.<br />
www.pc-magazin.de <strong>PC</strong> <strong>Magazin</strong> 4/2012