Schwarzer (Hash) Peter: Wer mit den Hunden schläft, …

von Dennis Jürgensen am 09.11.2017 08:45:00

...steht mit den Flöhen auf. So oder so ähnlich könnte die Pointe des nachfolgenden Szenarios sehr trefflich lauten. Denn wer das Risiko der Verwendung schwacher Kennwort-Hashes kennt und keine Gegenmaßnahmen ergreift, der darf sich nicht über entstandene Schäden wundern. Wie schnell das gehen kann, verdeutlicht das nachfolgende Szenario.

 

Schwarzer-Hash-Peter-Blog.jpeg

Es ist der eine Morgen Mitte August 2017, an dem Pjotr Melnikow morgens seinen Wecker ausmacht, aufsteht und wie jeden Morgen seinen Kaffee aufsetzt. Die nächste Handlung wirkt ebenfalls sehr routiniert und eingespielt: Der Griff zur Fernbedienung. Das ZDF Morgenmagazin ist schnell gefunden und läuft wie jeden Morgen so ganz nebenbei. Pjotr kommt gebürtig aus Moskau, arbeitet aber schon seit über 15 Jahren in Deutschland. Allerdings steht seine Zukunft in den Sternen, denn das Unternehmen für das er jahrelang tätig war, droht die Insolvenz. Auf einmal wird er hellhörig, als über seinen Arbeitgeber im Morgenmagazin berichtet wird. Der Bericht macht ihn fassungslos und sauer.

Sein ehemaliger Chef, den er nicht einmal kennengelernt hat soll für weitere 4 Jahre sein Gehalt plus Boni und Ausgleichszahlungen erhalten.

Das ist der Punkt an dem Pjotr einen Entschluss fasst und seinen langjährigen Freund in Minsk anruft. Gemeinsam schmieden sie einen Plan, der schon sehr bald in die Tat umgesetzt werden soll. Pjotr fährt einige Tage später nach dem Telefonat zur Arbeit und weiß, dass seine Tage in dem Unternehmen gezählt sind. In naher Zukunft soll Schluss sein und niemand kann ihm sagen, wie es weitergehen soll. Das ist die perfekte Gelegenheit seiner Wut und Enttäuschung freien Lauf zu lassen.

Nach der Sicherheitskontrolle am Eingang zum Werksgelände macht er noch einen kleinen Abstecher in die Kaffeeküche, um die neusten Gerüchte von seinen Kollegen zu erfragen. Soweit alles beim Alten. Die Ungewissheit hat sich längst unter allen Kollegen breitgemacht. Pjotr geht also weiter und bleibt kurz in Gedanken versunken vor seinem Türschild stehen:

Pjotr Melnikow
Buchhaltung
SAP Accounting

 

Heute soll der entwickelte Plan in die Tat umgesetzt werden. Er öffnet wie gewöhnlich das Logonpad von SAP und meldet sich mit seinen Anmeldedaten am SAP an. Vorangegangene Projekte erforderten eine Berechtigung auf die SE16, die ihm entsprechend nie entzogen wurden und das macht sich Pjotr heute zu Nutze. Eine gewisse Affinität zur IT hatte er schon immer und nach dem Telefonat mit seinem Freund in Minsk ist ihm vieles noch deutlicher geworden. Aus dem Telefonat weiß er, dass sich in der USR02 alle SAP Benutzer inklusive der gehashten Passwörter befinden. Allerdings möchte er nicht wild irgendwelche Passwörter knacken, sondern hat ein klares Ziel vor Augen.

Aus einem der Projekte kann er sich noch an die Diskussion über die Beantragung von "SAP_ALL" und den damit verbundenen Risiken erinnern. Damals hatte man die Diskussion sogar zum CTO eskaliert, der allerdings dafür bekannt war knapp angebunden zu sein und die weitreichenden "SAP_ALL" Berechtigungen leichtfertig abzusegnen. Zähneknirschend musste einer der Admins den Benutzer daraufhin einrichten.

Damit hatte Pjotr die perfekten Voraussetzungen für sein Vorhaben geschaffen. Entsprechend interessierten ihn nur die SAP Benutzer mit einem "SAP_ALL" Profil. In dem Telefonat mit seinem Freund hatte er außerdem erfahren, dass die gesuchten Profile in der Tabelle UST04 (Benutzerverwaltung, Berechtigungen) zu finden sind. Als treuer Leser des zapliance Blogs weiß er außerdem von dem Transaktionscode "SQVI", mit dem SAP Tabellen verbunden werden können.

Um sich die anschließende Auswertung zu erleichtern, verwendet er auf Grundlage seiner Vorkenntnisse zusätzliche Selektionsfelder, wie den Profilnamen und die Codeversion, damit im Ergebnis nur die Benutzer mit dem "SAP_ALL" Profil, inklusive der Kennwort-Hashes angezeigt werden. Was die Codeversion damit zu tun hat und warum der Tabellen-Join der beiden Tabellen darauf eingegrenzt werden muss, war ihm nach dem Blog von Dr. Seltsam sofort klar.

Wenige Minuten später zeigte sich die gesamte Ergebnisliste in SAP, sodass Pjotr ganz leicht alle SAP Benutzer inklusive der schwachen Kennwort-Hashes mit "SAP_ALL" Profil als Excel Datei exportieren und seinem Freund in Minsk per Ende-zu-Ende verschlüsseltem Messenger senden konnte. Damit wollte er sichergehen, dass auch im Nachhinein eine Fraud Untersuchung erschwert wird. Der Freund wartete schon auf die Liste und ist als Software Developer sehr versiert im Umgang mit der Amazon AWS Cloud. Nach einer kurzen Google Recherche landete auch er im Blog von zapliance und folgte der beschriebenen Anleitung zum Hacken von SAP Passwörtern. Nach dem erfolgreichen Aufsetzen von HashCat in der Amazon AWS Cloud und dem Hochladen der Kennwort-Hash Liste war es also nur noch eine Frage der Zeit, bis die ersten Passwörter im Klartext erscheinen sollten.

Aufgrund der immensen Rechenleistung in der Cloud musste Pjotr nicht mal bis zum Feierabend warten, bis er drei Kombinationen aus Benutzername und Passwort von seinem Freund aus Minsk erhielt.

Aber was hat Pjotr mit den Anmeldeinformationen denn jetzt vor?

Pjotr bemüht sich weiterhin seine Spuren nicht zu offensichtlich im SAP System zu legen, damit die anschließende Untersuchung möglichst lange dauert und der Rückschluss auf ihn nicht so schnell fällt. Von einem Workshop mit zapliance zur Untersuchung diverser Feststellungen in zap Audit wusste er um die Lieferanten mit hoher Rechnungssumme. Er ändert nun mit den gehackten Anmeldeinformationen, z.B. der Transkation FK02, einfach die Bankverbindung eines Lieferanten und trägt stattdessen die Daten seines Strohmannes ein, den er über zwielichtige Kontakte ausfindig gemacht hatte. Dann heißt es nur noch Abwarten und Tee trinken, bis die Fachabteilung eine der letzten Rechnungen auf das geänderte Konto überweist. Keine Funktionstrennung und kaum Spuren zu seinem Benutzeraccount, bis auf das Extrahieren der Kennwort-Hashes. Das Unternehmen hat zu der Zeit definitiv andere Baustellen in der Abwicklung, sodass Pjotr ausreichend Zeit bleibt, bis der Schwindel auffliegt. In der Zwischenzeit ist er über alle Berge und hat sich ins Ausland abgesetzt, wo sich die Spuren des Geldflusses im Sande verlaufen. Er wurde nie wiedergesehen.

 

Topics: SAP Audit, Cybercrime, Passwort, Cracking, Security, Hash

Blog Kommentar