Ein seltsames Paar – iX Kompakt 2014 – Security

In diesem Artikel beschreibe ich, welchen Wettstreit sich Penetrationstester (u.a. auch mit Hilfe von Metasploit) und die Hersteller von Virenschutzsoftware liefern. Die eine Seite versucht Angriffstechniken zu entwickeln, die durch die andere Seite durch immer neue Methoden zur Erkennung von Schadsoftware beantwortet werden. Beide Partner liefern sich somit einen Wettstreit, der zur Verbesserung der Schutzmaßnahmen für IT-Systeme beitragen kann.
In einem praktischen Teil wird im Artikel beschrieben, wie mit Hilfe des Projektes „Veil-Evasion“ Metasploit-Payload erstellet werden kann, um Virenschutzsoftware zu umgehen. Es wurden fünf Windows-Systeme mit installiertem Virenschutz in einer gesicherten virtuellen Umgebung getestet. Im Test kommen Kali Liunx, das Metasploit-Framework und die grafische Oberfläche Armitage zum Einsatz.

 

Ein_seltsames_Paar

 

 

Backdoor-Factory mit Veil-Evasion und Metasploit nutzen

Bereits im Buch “Penetration Testing mit Metasploit” bin ich im Kapitel 5.9  auf das folgende Thema eingegangen. Hier wurde  versucht, in das Programm BgInfo.exe von Windows Sysinternals ein Trojanisches Pferd einzubetten. Im folgenden Beitrag möcht ich zeigen, dass sich auch auf diesem Gebiet einiges getan hat und das die Möglichkeiten zur Verschleierung solcher Angriffe immen noch unterschätz werden. Viele Anwender wiegen sich in Sicherheit und hoffen, dass solche Angriffe vom installierten Virenschutzprogramm bzw. der Fierwall erkannt und abgewehrt werden.

Die im Buch beschrieben Methode war recht umständlich und das so erzeugte Trojanische Pferd wurde auch von vielen Virenschutzprogrammen erkannt. Hier wird gezeigt, wie man die Tools Backdoor-Factory und Veil-Evasion nutzen kann, um die Arbeit eines Penetration Testers zu erleichten.

Mehr …

Metasploit-Konsole – Datenbank nicht verfügbar

Nach einer neuen Installation von Kali Linux kann es vorkommen, dass die Datenbank von der Metasploit-Konsole nicht ansprechbar ist.

Hier hilft, die Konfigurationsdatei in das Verzeichnis /root/.msf4/ zu kopieren:

cp /opt/metasploit/apps/pro/ui/config/database.yml /root/.msf4/
									

Nach erneutem Aufruf der Metasploit-Konsole sollte nun die Verbindung zur Datenbank verfügbar sein. Der db_status Befehl gibt darüber Auskunft.

       =[ metasploit v4.10.0-2014082101 [core:4.10.0.pre.2014082101 api:1.0.0]]
+ -- --=[ 1339 exploits - 808 auxiliary - 228 post        ]
+ -- --=[ 340 payloads - 35 encoders - 8 nops             ]
+ -- --=[ Free Metasploit Pro trial: http://r-7.co/trymsp ]

msf > db_status 
[*] postgresql connected to msf3
msf > 

									

Browser Exploitation Framework (Beef) + Metasploit in Kali Linux nutzen

Hinter dem  Browser Exploitation Framework (Beef) verbirgt sich mittlerweile ein leistungsfähiges Tool for Penetration Tester, das sich auf die Prüfung der Sicherheit von Browsern spezialisiert hat. Im Gegensatz zu anderen Tools konzentriert sich das Framework auf Schwachstellen die im Internet Explorer, Firefox, Safari, Google Chrome etc. verfügbar sind. Der Anwender kann dadurch prakische Client-Side-Angriffe starten, die Sicherheit der Browser und die evtl. Auswirkungen auf das zu prüfende Netzwerk beurteilen.

beef_logo

Bereits im Buch (Seite 195, Kapitel 5.12) bin ich auf die Installation von Beef eingegangen. Hier wird nun gezeigt, wie man das Browser Exploitation Framework mittels Kali Linux in Zusammenwirken mit Metasploit nutzen kann.

Mehr …

Veil in Kali Linux mittels GitHub installieren

Das Veil-Framework besteht derzeit aus folgenden Projekten:

  • Veil-Catapult
  • Veil-Evasion
  • Veil-Pillage
  • Veil-PowerView

Die einzelnen Komponenten lassen sich nun vollständig in Kali Linux mittels GitHub integrieren. Das Herunterladen und die Installation der notwendigen Abhängigkeiten kann je nach verfügbarer Bandbreite etwas Zeit in Anspruch nehmen.

cd /usr/share/
git clone https://github.com/Veil-Framework/Veil
cd Veil
./update.sh
apt-get install winbind
									

Mit Fully Automated Nagios Drucker überwachen

Dieser Beitrag ist eine Ergänzung zu den bereits veröffentlichten Howtos über FAN (Full Automated Nagios). Hier wird nun erläutert, wie man Drucker in die Überwachung mittels Nagios einbinden kann.

Leider stellt FAN keine Skripte zur Überwachung von Druckern bereit. Sucht man aber in Nagios Exchange, so wird man schnell fündig.

Ich werde hier zeigen, wie man folgende Skripte in FAN einbinden kann:

Die Praxis wird später zeigen, welches Skript für welchen Drucker geeignet ist. Um diese Skripte in FAN einbinden zu können, müssen drei Schritte ausgeführt werden.

  • Herunterladen der Nagios Plugins  und Speicherung in das Nagios-Verzeichnis
  • Erstellen eines neuen Kommandos in Centreon
  • Erstellen eines Services in Centreon

Mehr …

Nexpose in Kali Linux installieren

Nexpose ist eine Schwachstellenmanagement-Software, die Netzwerkumgebungen oder einzelene Hosts auf Sicherheitslücken prüfen kann. Sie wird von Rapid7 in folgenden Versionen vertrieben:

  • Enterprise – für mittlere und große Unternehmen
  • Consultant – für Sicherheitsberatungsunternehmen
  • Express – für kleine Unternehmen
  • Community – als freie Version für einzelne Nutzer

Die einzelnen Versionen unterscheiden sich im Umfang der bereitgestellten Features und um die Anzahl der zu prüfenden IP-Adressen. Die Community-Version erlaubt z.B.  nur das scannen von 32 IP-Adressen.  Dies ist zu Testzwecken und für die Nutzung in kleineren Netzwerken aber eine durchaus brauchbare Anzahl.  Für alle Versionen benötigt man einen Produkt-Schlüssel, der nach  der Installation  bei der ersten Nutzung abgefragt wird.

Hier wird gezeigt, wie man die freie Version (Nexpose Community) in Kali Linux installieren und nutzen kann.

Mehr …

Ist ein neuer USB-Virus geboren?

Die Nutzung von USB-Geräten lässt sich aus dem heutigen Alltag nicht mehr wegdenken. Mit großer Selbstverständlichkeit werden sie genutzt. Kaum einer macht sich Gedanken, dass diese Geräte auf dem eigenen Computer großen Schaden anrichten können.

Vielleicht kennt jemand den USB-Stick „Rubber Ducky“ aus dem Hak5-Shop. Dahinter verbirgt sich kein echter USB-Stick sondern ein programmierbarer Computer, der sich gegenüber dem PC als Tastatur ausgibt. Mittels eines speziellen Toolkits lassen sich Skripte und Payloads erstellen, mit denen man z.B. administrativen Zugriff auf einen PC erhält oder andere Manipulationen an der installierten Software und dem Betriebssystem vornehmen kann.

Der Ansatz von Karsten Nohl und Jakob Lell (präsentiert auf der Blackhat 2014) ist etwas anders. Sie manipulieren die Firmware von regulären USB-Sticks, um sie dann als „Milicious USB-Device“ auf PC einzusetzen. Das eingesetzte Betriebssystem spielt dabei keine Rolle.

Beide haben mittels Reverse Engineering eine Möglichkeit gefunden, die vom Hersteller auf USB-Geräten eingesetzte Firmware auszulesen, nach ihren Bedürfnissen zu verändern und sie dann wieder auf die Geräte zurückzuschreiben. Da bei USB-Speichersticks nur Controller von drei Herstellern zum Einsatz kommen, hatten sich schon andere Forscher mit dem Thema beschäftigt. Dies erleichterte natürlich die Arbeit ein wenig.

Während der Präsentation zeigen sie, wie ein USB-Stick durch einstecken in einem Windows-PC infiziert wird. Danach wird der gleiche USB-Sticks in einem Linux-PC genutzt der somit dieses Betriebssystem infiziert. Der neue „USB-Virus“ ist geboren.

Mehr …

Mit Fully Automated Nagios Windows Server überwachen – Teil 3

In Teil 1 wurde vorgestellt, wie man Fully Automated Nagios (FAN) installiert und den SNMP-Dienst auf Windows Servern und Clients aktiviert. Im zweiten Teil wurde gezeigt, wie man “Services” einrichten und so bestimmte Windows -Komponenten überwachen kann. Im dritten und letzten Teil soll kurz demonstriert werden, wie man mittels Nagvis die Prüfergebnisse visualisieren kann.

Was ist Nagvis? Nagvis versteht sich als Addon für das Netzwerkmanagement-System Nagios. Mit Hilfe dieser Erweiterung ist man in der Lage, IT-Prozesse und  Zustände innerhalb einer Netzwerkinfrastruktur zu visualisieren.  Auf der Webseite kann man Screenshots einsehen, die zeigen wie flexibel es gehandhabt werden kann. Interessant ist u.a. auch die Integration von Nagios-Ereignisse in Bildern.

Mehr …

Mit Fully Automated Nagios Windows Server überwachen – Teil 2

Im ersten Teil ging es um die Installation von Fully Automated Nagios (FAN). Außerdem wurde gezeigt, wie man den SNMP-Dienst in Windows Server einrichten und Communitynamen festlegen kann.

In diesem Blog möchte ich zeigen, wie man einzelne Komponenten der Windows Server und Clients mit FAN überwachen kann.  Im einzelnen werden wir “Services” für folgende Abfragen in der Weboberfläche von Centreon anlegen:

  • Laufwerke (Füllstand in %)
  • Auslastung der CPU
  • Auslastung des RAM
  • Überwachung von  Diensten (z.B Webserver, FTP-Service, Telnet etc.)
  • Überwachung von Prozessen (z.B. winlogon.exe, mmc.exe)

Mehr …

Mit Fully Automated Nagios Windows Server überwachen – Teil 1

Fully Automated Nagios (FAN)  ist eine einfache Lösung mit der Netzwerke kleiner und mittlerer Unternehmen überwacht werden können. Schon nach kurzer  Einarbeitungszeit können gute Ergebnisse erziehlt werden. FAN liegt als iso-Image in einer 32bit und 64bit Version vor und kann somit relativ einfach in eine virtuelle Umgebung integriert werden. Ich habe das Produkt mittels VirtualBox getestet. FAN in der Version 2.4 enthält folgende  Komponenten:

  • Nagios als Kernsystem für das Monitoring
  • Centreon - Das Webinterface zur Konfiguration und Steuerung von Nagios
  • Nagvis - Zur Darstellung von Statusinformatioen

Im ersten Teil diese Beitrages wird es um die Installation von Fully Automated Nagios und die Einrichtung des SNMP-Dienstes auf Windows-Servern gehen. Der zweite Teil beschäftigt sich mit der Handhabung der Weboberfläche von Centron. Im dritten Teil möchte ich zeigen, wie man die Ergebnisse visualisiert mittels Nagvis darstellen kann.

 

Mehr …

OpenVAS in Kali Linux 1.0.8 installieren

Was ist OpenVAS? Auf der eigenen Webseite wir er als „Der weltweit fortschrittlichste Open Source Schwachstellen-Scanner und –Manager“ angepriesen.

Weiter wird erläutert: „Das Open Vulnerability Assessment System (OpenVAS) ist ein Framework aus mehreren Diensten und Werkzeugen die zusammen eine umfangreiche und mächtige Lösung für Schwachstellen-Scanning und Schwachstellen-Management darstellen.“

In einem früheren Post hatte ich die Installation von OpenVAS in Backtrack 5 erläutert. Kali Linux hat als Nachfolger auch OpenVAS integriert. Auch wenn die Herangehensweise ähnlich ist, wird hier die Installation Schritt für Schritt gezeigt.

Mehr …

Hopping Meterpreter Through PHP

Im Weekly Metasploit Update hat Tod Beardsley von Rapid 7 einen neuen Payload vorgestellt, der es erlaubt Netzwerkverbindungen mittels PHP über einen Webserver zu tunneln.

Mittels des folgenden Versuchsaufbaus soll die Vorgehensweise erläutert werden. Der Test lässt sich innerhalb einer virtuellen Umgebung nachvollziehen. Nutzen Sie die im Buch im Kapitel 2 (Seite 38 ff.) beschriebene Netzwerkkonfiguration unter Einsatz einer Firewall (pfsense).

Die Firewall teilt das Netzwerk in drei Bereiche. Der Angreifer befindet sich im „Internet“ und nutze die IP-Adresse 10.0.0.121. Ein Joomla Webserver befindet ich in der „DMZ“. Hier nutzt er folgende IP-Adresse: 10.0.2.102. Für den Test reicht eine Standartkonfiguration. Außer dem Aufspielen der Datei hop.php muss nichts angepasst werden.

Mehr …

Gemeinsame Promotion von Rapid7 und dbunkt Verlag

Fangen Sie gerade erst mit Metasploit an und brauchen eine Einführung? Oder sind sie ein Metasploit-Profi und brauchen ein gutes Referenzwerk? Kein Problem – Rapid7 macht mit dem d-Punkt Verlag eine gemeinsame Promotion. Bei Rapid7 erhalten Sie für begrenzte Zeit gratis Probekapitel aus zwei deutschsprachigen Metasploit-Büchern. Und falls Sie mehr lesen möchten, erhalten Sie auf beide Bücher sogar bis Ende Mai 2014 einen Rabatt. Einfach hier anmelden.

Viel Spaß beim Lesen!

Nagios 3.5.1 in Ubuntu 12.04 LTS installieren

In diesem kurzen Beitrag möchte ich zeigen, wie man Nagios 3.5.1. in Ubuntu 12.04 installieren kann. Die Installation eines Ubuntu-Server wird hier vorausgesetzt. Es wurden bei der Installation nur OpenSSH und die  LAMP-Pakete ausgewählt.  Ich verwende hier nicht die von der Distribution bereitgestellten Nagios-Pakete, sondern werde Nagios und die Nagios-Plugins vom Quellcode kompilieren.

Mehr …

Symantec Antivirus für Linux testen

In den ersten beiden Teilen habe ich gezeigt, wie man Symantec AntiVirus für Linux auf einem Ubuntu-Server installieren und aktualisieren kann.

Im dritten und letzten Teil wollen wir nun den Virenschutz auf dem Ubuntu-Server testen. Dazu erstellen wir uns drei Dateien, die „Trojanische Pferde“ enthalten.  Dabei werden zwei Dateien (trojan.pdf und trojan.bin) mit dem Metasploit-Framework und eine (trojan.exe) mittels des Veil-Frameworks angelegt.

Da der Virenschutz mit „Auto-Protect“ Funktion versehen ist, sollte im Idealfall keine Datei auf das Zielsystem gelangen und sofort eliminiert werden.

Mehr …

Virenschutz auf Ubuntu-Server 12.04.4 64bit installieren-Teil2

Im ersten Teil des Beitrages haben wir den Virenschutz auf einem Linux-Server installiert. Nun wird gezeigt wie man die Virendefinitionen aktuell halten kann.

 

Virendefinitionen aktualisieren

Wenn man Symatec Antivirus für Linux  erfolgreich installiert hat, findet man  im Verzeichnis /opt/Symantec/virusdefs veraltete Virendefinitionen.  Für unseren Test wollen wir diese erst mal auf den aktuellen Stand bringen.  Dafür werden wir zwei verschiedene Methoden einsetzen:

  • Java LiveUpdate
  • Intelligent Updater

Um  Java Live Update nutzen zu können, müssen wir zuerst Oracle Java auf dem Linux-Server installieren.

Mehr …

Virenschutz auf Ubuntu-Server 12.04.4 64bit installieren-Teil1

Jetzt werden sich einigen Leser fragen: „Warum soll ich Virenschutz auf einem Linux-Server installieren?“.  Wenn man bedenkt, dass Linux-Server z.B. als Fileserver eingesetzt werden und hier möglicherweise auch Windows-Dateien gespeichert sind, macht eine regelmäßige automatische Überprüfung durchaus Sinn.  In diesen Beitrag möchte ich die Installation eines Virenschutzes auf einem Linux-Sever erläutern. Als Linux-Distribution wird Ubuntu 12.04.4 LTS und als Virenschutz Symantec AntiVirus für Linux verwendet.

In diesem ersten Teil des Beitrages werden wir  den Virenschutz auf dem Server installieren und im zweiten Teil zeigen, wie die Virendefinitionen aktualisiert werden können.

Mehr …

Payload ausliefern mit Veil und Catapult

Nachdem Christopher Truncer und Will Schroeder das Veil-Framework auf der ShmooCon 2014 präsentiert haben, möchte ich in dem heutigen Beitrag Veil-Catapult vorstellen. Es handelt sich hierbei um ein Framework, das die mit Veil erstellten Payloads an Zielsysteme ausliefert.  Dabei können Zielsysteme mit einzelnen IP-Adressen festgelegt aber auch in Listen zusammengefasst werden.

Zur Demonstration benutze ich ein Testnetzwerk auf der Grundlage von VirtualBox. Dabei kommt  die im Buch (Kapitel 2) beschriebene virtuelle Umgebung zum Einsatz.

Das Ziel ist eine Windows Netzwerk mit drei Windows XP Clients (192.168.222.73-75).  Als Virenschutz ist Symantec Endpoint Protection mit den aktuellen Virensignaturen installiert. Dabei sind einzelne Clients auch mit dem Netzwerkbedrohungsschutz ausgestattet.

Mehr …

Veil Präsentation während der ShmooCon 2014

Christopher Truncer und Will Schroeder hielten diesen interessanten Vortrag während der ShmooCon 2014 in Washington, DC.  Sie präsentierten das Veil-Framework und das neue Payload Delivery Tool “Veil-Catapult”. Der Vortrag beinhaltete zwei Live-Demos.

 

 

 

Metasploit Virustotal Checks

Das Metasploit-Framework und die Software Veil haben nun Möglichkeiten implementiert, selbst erstellte oder mit Schadcode versehene Dateien über den Dienst „VirusTotal“ zu untersuchen. Durch diesen Test kann geprüft werden, ob die Virenschutzprogramme der verschiedenen Hersteller die übersandte Datei als Malware einstuft oder nicht.

Die Abfrage ist unter Voraussetzung einer Internetverbindung über die Kommandozeile möglich. Dabei nutzen beide Programme die API von VirusTotal. Dabei ist eine unterschiedliche Herangehensweise bei der Übermittlung von Daten an diesen Dienst zu beobachten.

Das Metasploit-Framework übermittelt die gesamte Datei an VirusTotal und erhält eine konkrete Aussage, ob in der übermittelten Software Schadcode erkannt wurde und wie diese vom jeweiligen Hersteller bezeichnet wird. In den Nutzerbedingungen von VirusTotal ist festgelegt, dass sie diese Dateien weitergeben und verwenden dürfen.  Es ist somit nicht auszuschließen, dass Daten an die jeweiligen Firmen zur weiteren Analyse weitergeleitet werden.

Mehr …

ATT Mobile Hotspot WPA Cracking

Vor nicht zu langer Zeit hatte ich die Gelegenheit einen mobilen Hotspot von AT&T zu testen. Er ist mit einer SIM-Karte ausgestattet. Der Nutzer ist somit in der Lage, die über WLAN mit dem  Hotspot verbundenen Geräte an das schnelle mobile Internet (LTE) anzubinden.

Das Gerät wird standartmäßig mit einer WPA2-Verschlüsselung ausgeliefert. Das generierte Passwort bestand allerding nur aus acht Ziffern. Mir fiel auf, dass kaum ein Nutzer diese Standartwerte änderte und fast alle mit dem werkseitig generierten Passwort ins Internet gingen.

Für mich stellte sich nun die Frage,  mit welcher Sicherheit die Nutzer nun unterwegs sind und wie lange ein Angreifer braucht, um dieses Passwort herauszubekommen.

Mehr …

Leseproben zur zweiten Auflage

Auf der Webseite der dpunkt.verlag GmbH  sind jetzt Inhaltsangaben und Leseproben zur 2. Auflage meines Besuches “Penetration Testing mit Metasploit”  erschienen. Es wird voraussichtlich ab ersten Juni verfügbar sein.

Hiermit möchte ich mich nochmal ganz besonders bei Christian Kirsch von Rapid7 für die Zusammenarbeit und HD Moore für das Geleitwort zum Buch bedanken.

 

Nach oben