Nmap Scanergebnisse im csv-Format ausgeben

Für viele Anwender ist Nmap als Open-Source-Werkzeug das Tool der Wahl, wenn große Netzwerke schnell und zuverlässig gescannt werden müssen. Darüber hinaus  kann Nmap Betriebssysteme und Dienste  erkennen und über die Nmap Scripting Engine (NSE) zusätzliche Prüfungen auf einem IT-System durchführen.  Als Alternative dazu könnte man das  Tool masscan ansehen. Dieser sehr schnelle  Portscanner reicht aber lange nicht an den Funktionsumfang von Nmap heran.

Nmap ist in der Lage die Scanergebnisse in verschiedensten Formaten auszugeben. Die wichtigsten sind nachfolgen kurz dargestellt:

  • -oN <filespec> (normale Ausgabe)
  • -oX <filespec> (XML-Ausgabe)
  • -oG <filespec> (grepbare Ausgabe)
  • -oA <basename> (Ausgabe in allen Formaten)

Leider  besteht keine automatische Möglichkeit, sie Ausgabe in eine Tabellenkalkulation (wie. z.B. Excel) einzulesen, bzw. als csv-Datei auszugeben. Hierzu werden zusätzliche Tools benötigt, die sich aber ohne Probleme in eine Kommandozeile integrieren und ausführen lassen.

Mehr …

Download Kali Linux VMware und VirtualBox images

Offensive Security stellt auf der Webseite fertige virtuelle Umgebungen für VMWare und Virtualbox zum Download zu Verfügung. So lassen sie sich sehr schnell in die eigene Umgebung einbinden. Man spart sich den zeitintensiven Installationsprozess und erhält lauffähige virtuelle Maschinen. Nach dem Export sind nur noch wenige Schritte nach dem ersten Start auszuführen. Hier sollte das Standardpasswort (toor) geändert und ein neues Schlüsselpaar für den ssh-server generiert werden. Das kann mit folgenden Befehlen erledigt werden:

passwd
rm /etc/ssh/ssh_host_*
dpkg-reconfigure openssh-server
service ssh restart
									

 

Kali Linux Raspberry Pi SD-Speicherplatz vergrößern

Wer die vorgefertigten Abbilder von Kali Linux für den Raspberry Pi nutzen möchte, der wird auf der Webseite des Herstellers aktuell drei Images zum Download vorfinden.

Schreibt man ein Abbild mit dem Befehl dd nach folgender Anleitung auf die SD-Speicherkarte, so wird  man zunächst nur auf ca. 1,2 GB der Kapazität zurückgreifen können.

root@kali:~# df -h
Dateisystem    Größe Benutzt Verf. Verw% Eingehängt auf
rootfs          2,9G    1,5G  1,2G   56% /
/dev/root       2,9G    1,5G  1,2G   56% /
devtmpfs        460M       0  460M    0% /dev
tmpfs            93M    468K   93M    1% /run
tmpfs           5,0M    4,0K  5,0M    1% /run/lock
tmpfs           186M       0  186M    0% /run/shm
root@kali:~# 

									

Mehr …

OpenVAS 8.0 in Kali Linux installieren

Das Open Vulnerability Assessment System (OpenVAS) ist in der Version 8.0 erschienen. Nun sind auch aktualisierte Pakete für Kali-Linux vorhanden. Dieser Beitrag zeigt die schrittweise Installation. Ich habe mich entschieden, die Installation mit dem Kommando openvas-check-setup durchzuführen. Das Programm geht somit schrittweise vor. Es muss immer der als „FIX“ angegebene  Befehl als nächstes ausgeführt werden bis die Installation komplett abgeschlossen ist. Dies ist nach 10 Prüfungen der Fall.

Die offizielle Webseite beschreibt eine andere Lösung, die auch funktionieren könnte.

Am Anfang der Installation steht, wie immer, ein Update auf die aktuelle Version.

apt-get update && apt-get dist-upgrade

Mehr …

Adobe Flash Player ByteArray UncompressViaZlibVariant Use After Free

Im Adobe Flash Player 16.0.0.287 und früheren Versionen für Windows und Macintosh wurde eine kritische Sicherheitslücke (CVE-2015-0311) entdeckt und durch Adobe am 22.01.2015 gemeldet. Ein erfolgreicher Angriff könnte zum Absturz der Applikation führen und einem Angreifer die Übernahme des betroffenen Systems ermöglichen.

Rapid7 hat zum Test der Schwachstelle einen Exploit entwickelt, dessen Handhabung ich in diesem Blog kurz vorstellen möchte.

Das nachfolgende Video zeigt wie man den Exploit mit Hilfe einer Ressource-Datei starten kann. Auf dem Testsystem ist Windows 7 und der Internet Explorer installiert. Läuft alles wie geplant, so erhält der Angreifer eine Meterpreter-Session über Port 443.

Mehr …

Exploit Pack in Kali Linux installieren

ExploitPack bringt eine übersichtliche grafische Benutzeroberfläche mit und hat derzeit ca. 300 Exploits für Windows, Linux und Mac OSX integriert.  Es setzt eine Java 8 Installation voraus. Bisher gibt es kein Paket für Kali Linux. In absehbarer Zeit scheint hier auch nichts geplant zu sein. Der folgende Beitrag zeigt, wie man ExploitPack unter Kali Linux schon jetzt  installieren kann.

Im ersten Schritt muss zunächst Java 8 in Kali Linux installiert werden. Dazu fügen wir einige Quellen hinzu. Die Installation kann abhängig von der Internetverbindung ein wenig dauern.  Mit dem abschließenden Befehl sollte dann die neue Version angezeigt werden.

Mehr …

Veil-Evasion in Armitage einbinden

Cortana ist eine Skriptsprache für Armitage und Cobalt Srike.  Der Entwickler Raphael  Mudge liefert hier eine Möglichkeit, die von ihm erstellte Penetrationstesting-Software zu erweitern und diese mit den neusten Erkenntnissen  auszustatten.

In diesem Blog werde ich zeigen,  wie man diese Skripte nutzen kann, um Armitage mit dem Veil-Framework zu verbinden.

Mehr …

Kali Linux USB Persistenz Option

Ab Version 1.0.7 verfügt Kali Linux über eine Persistenz Option. Hiermit ist es möglich, Änderungen an Dateien und Einstellungen über einen Neustart hinaus zu erhalten. Somit werden z.B. getätigte Sprach- und Netzwerkeinstellungen gespeichert und bei einem Reboot des Systems wiederverwendet.

Das Hinzufügen von Persistenz zu einem Kali Abbild ist in der Dokumentation ausführlich beschrieben. Hier werden wir es Schritt für Schritt auf einem USB-Stick mit 16 GB durchführen. Als Grundlage nutzen wir eine lauffähige 32bit Version von Kali Linux (Version 1.0.9a), die auf einem PC installiert ist.

Mehr …

Datenverkehr auf einem entfernten Server aufzeichnen

Manchmal ist es notwendig den Datenverkehr auf einem Server oder einer Appliance zu überwachen oder für eine bestimmte Zeit zu begutachten. Dabei kommt es nicht selten vor, dass diese Geräte sich nicht unmittelbar in der Nähe des Administrators befinden und nur über eine Remote-Verbindung (z.B. über ssh) erreichbar sind. Hier wir eine Möglichkeit vorgestellt, wie man den Datenstrom mittels ssh, tcpdump und Wireshark überwachen kann.

Die folgende Darstellung zeigt einen entfernten Linux-Server (IP-Adresse 10.0.0.80), der aus einem lokalen Netzwerk überwacht werden soll.

Mehr …

Kali, das Sicherheits-Linux in iX 01/2015

In der iX 01/2015 sind zwei Artikel über Kali Linux von mir veröffentlicht. Im Beitrag „Kali Linux für Administratoren – Drachenritt“ beschreibe ich, wie auch Administratoren die Linux-Distribution für Penetrationstester nutzen können. Aufgezeigt werden u.a. Möglichkeiten und Methoden zum Scannen von lokalen und mobilen Netzwerken und die Durchführung von Schwachstellenscans. Der Beitrag ist  eher als Einführung in das Thema gedacht.

Für den zweiten Artikel „NetHunter: Kali Linux für Android-Smartphones und -Tablets – Drachenei“  habe ich NetHunter auf einem  Nexus 7 installiert und beschreibe wie man Kali Linux auf diesem Android-Gerät einrichtet und anwendet.

iX01_15

 

 

Kali Linux Nethunter

Dieses auf der Basis von Adroid erstellte Plattform ist für Penetartionstester gedacht, die bereits Kali Linux genutzt haben und die Vorteile besonders im mobilen Einsatz schätzen.

Nethunter „verwandelt“ das Google Nexus zu einem Gerät, dass Angriffe auf drahtlose Netzwerke ermöglicht und darüber hinaus auch als BAD-USB-Gerät geeignet ist.

Die Steuerung kann direkt vom Nexus erledigt werden. Man hat aber auch die Möglichkeit, das Gerät Remote zu administrieren. Dies kann per SSH, über eine VNC-Verbindung oder über die Software von Drittanbietern (wie z.B. Teamleiter Quick Support) erfolgen.

Für die komfortable Bedienung wurde ein Menü und eine Webinterface geschaffen. Hiermit lassen sich vorkonfigurierte Tools starten aber auch bekannte Kali Linux Befehle aufrufen.

Mehr …

Kali Linux – Nutzer hinzufügen bzw. löschen

Im folgenden Beispiel wird gezeigt, wie man mit wenigen Schritten einen neuen Nutzer in Kali Linux anlegen kann. Hier wird der Nutzer asmith erstellt und in die Gruppe sudo übernommen:

1.  Neuen Nutzer erzeugen. -m  erstellt ein Homeverzeichnis für den Nutzer

2. Passwort festlgen

3. Nutzer in die Gruppe (-G) sudo hinzufügen (-a)

4. Standardshell auf /bin/bash festlegen (-s)

root@kali32109:~# useradd -m asmith
root@kali32109:~# passwd asmith
Enter new UNIX password: 
Retype new UNIX password: 
passwd: password updated successfully
root@kali32109:~# usermod -a -G sudo asmith
root@kali32109:~# chsh -s /bin/bash asmith
root@kali32109:~# 
									

Der eben erstelle Nutzer kann folgendermaßen gelöscht werden:

userdel -r asmith

Mit der Option -r werden alle Dateien und das Home-Verzeichnis gelöscht.

Ein seltsames Paar – iX Kompakt 2014 – Security

In diesem Artikel beschreibe ich, welchen Wettstreit sich Penetrationstester (u.a. auch mit Hilfe von Metasploit) und die Hersteller von Virenschutzsoftware liefern. Die eine Seite versucht Angriffstechniken zu entwickeln, die durch die andere Seite durch immer neue Methoden zur Erkennung von Schadsoftware beantwortet werden. Beide Partner liefern sich somit einen Wettstreit, der zur Verbesserung der Schutzmaßnahmen für IT-Systeme beitragen kann.
In einem praktischen Teil wird im Artikel beschrieben, wie mit Hilfe des Projektes „Veil-Evasion“ Metasploit-Payload erstellet werden kann, um Virenschutzsoftware zu umgehen. Es wurden fünf Windows-Systeme mit installiertem Virenschutz in einer gesicherten virtuellen Umgebung getestet. Im Test kommen Kali Liunx, das Metasploit-Framework und die grafische Oberfläche Armitage zum Einsatz.

 

Ein_seltsames_Paar

 

 

Backdoor-Factory mit Veil-Evasion und Metasploit nutzen

Bereits im Buch „Penetration Testing mit Metasploit“ bin ich im Kapitel 5.9  auf das folgende Thema eingegangen. Hier wurde  versucht, in das Programm BgInfo.exe von Windows Sysinternals ein Trojanisches Pferd einzubetten. Im folgenden Beitrag möcht ich zeigen, dass sich auch auf diesem Gebiet einiges getan hat und das die Möglichkeiten zur Verschleierung solcher Angriffe immen noch unterschätz werden. Viele Anwender wiegen sich in Sicherheit und hoffen, dass solche Angriffe vom installierten Virenschutzprogramm bzw. der Fierwall erkannt und abgewehrt werden.

Die im Buch beschrieben Methode war recht umständlich und das so erzeugte Trojanische Pferd wurde auch von vielen Virenschutzprogrammen erkannt. Hier wird gezeigt, wie man die Tools Backdoor-Factory und Veil-Evasion nutzen kann, um die Arbeit eines Penetration Testers zu erleichten.

Mehr …

Metasploit-Konsole – Datenbank nicht verfügbar

Nach einer neuen Installation von Kali Linux kann es vorkommen, dass die Datenbank von der Metasploit-Konsole nicht ansprechbar ist.

Hier hilft, die Konfigurationsdatei in das Verzeichnis /root/.msf4/ zu kopieren:

cp /opt/metasploit/apps/pro/ui/config/database.yml /root/.msf4/
									

Nach erneutem Aufruf der Metasploit-Konsole sollte nun die Verbindung zur Datenbank verfügbar sein. Der db_status Befehl gibt darüber Auskunft.

       =[ metasploit v4.10.0-2014082101 [core:4.10.0.pre.2014082101 api:1.0.0]]
+ -- --=[ 1339 exploits - 808 auxiliary - 228 post        ]
+ -- --=[ 340 payloads - 35 encoders - 8 nops             ]
+ -- --=[ Free Metasploit Pro trial: http://r-7.co/trymsp ]

msf > db_status 
[*] postgresql connected to msf3
msf > 

									

Browser Exploitation Framework (Beef) + Metasploit in Kali Linux nutzen

Hinter dem  Browser Exploitation Framework (Beef) verbirgt sich mittlerweile ein leistungsfähiges Tool for Penetration Tester, das sich auf die Prüfung der Sicherheit von Browsern spezialisiert hat. Im Gegensatz zu anderen Tools konzentriert sich das Framework auf Schwachstellen die im Internet Explorer, Firefox, Safari, Google Chrome etc. verfügbar sind. Der Anwender kann dadurch prakische Client-Side-Angriffe starten, die Sicherheit der Browser und die evtl. Auswirkungen auf das zu prüfende Netzwerk beurteilen.

beef_logo

Bereits im Buch (Seite 195, Kapitel 5.12) bin ich auf die Installation von Beef eingegangen. Hier wird nun gezeigt, wie man das Browser Exploitation Framework mittels Kali Linux in Zusammenwirken mit Metasploit nutzen kann.

Mehr …

Veil in Kali Linux mittels GitHub installieren

Das Veil-Framework besteht derzeit aus folgenden Projekten:

  • Veil-Catapult
  • Veil-Evasion
  • Veil-Pillage
  • Veil-PowerView

Die einzelnen Komponenten lassen sich nun vollständig in Kali Linux mittels GitHub integrieren. Das Herunterladen und die Installation der notwendigen Abhängigkeiten kann je nach verfügbarer Bandbreite etwas Zeit in Anspruch nehmen.

cd /usr/share/
git clone https://github.com/Veil-Framework/Veil
cd Veil
./update.sh
apt-get install winbind
									

Update: 04.02.2015

apt-get  install winbind
cd /usr/share/
git clone https://github.com/Veil-Framework/Veil
cd Veil
./Install.sh -c
									

Mit Fully Automated Nagios Drucker überwachen

Dieser Beitrag ist eine Ergänzung zu den bereits veröffentlichten Howtos über FAN (Full Automated Nagios). Hier wird nun erläutert, wie man Drucker in die Überwachung mittels Nagios einbinden kann.

Leider stellt FAN keine Skripte zur Überwachung von Druckern bereit. Sucht man aber in Nagios Exchange, so wird man schnell fündig.

Ich werde hier zeigen, wie man folgende Skripte in FAN einbinden kann:

Die Praxis wird später zeigen, welches Skript für welchen Drucker geeignet ist. Um diese Skripte in FAN einbinden zu können, müssen drei Schritte ausgeführt werden.

  • Herunterladen der Nagios Plugins  und Speicherung in das Nagios-Verzeichnis
  • Erstellen eines neuen Kommandos in Centreon
  • Erstellen eines Services in Centreon

Mehr …

Nexpose in Kali Linux installieren

Nexpose ist eine Schwachstellenmanagement-Software, die Netzwerkumgebungen oder einzelene Hosts auf Sicherheitslücken prüfen kann. Sie wird von Rapid7 in folgenden Versionen vertrieben:

  • Enterprise – für mittlere und große Unternehmen
  • Consultant – für Sicherheitsberatungsunternehmen
  • Express – für kleine Unternehmen
  • Community – als freie Version für einzelne Nutzer

Die einzelnen Versionen unterscheiden sich im Umfang der bereitgestellten Features und um die Anzahl der zu prüfenden IP-Adressen. Die Community-Version erlaubt z.B.  nur das scannen von 32 IP-Adressen.  Dies ist zu Testzwecken und für die Nutzung in kleineren Netzwerken aber eine durchaus brauchbare Anzahl.  Für alle Versionen benötigt man einen Produkt-Schlüssel, der nach  der Installation  bei der ersten Nutzung abgefragt wird.

Hier wird gezeigt, wie man die freie Version (Nexpose Community) in Kali Linux installieren und nutzen kann.

Mehr …

Ist ein neuer USB-Virus geboren?

Die Nutzung von USB-Geräten lässt sich aus dem heutigen Alltag nicht mehr wegdenken. Mit großer Selbstverständlichkeit werden sie genutzt. Kaum einer macht sich Gedanken, dass diese Geräte auf dem eigenen Computer großen Schaden anrichten können.

Vielleicht kennt jemand den USB-Stick „Rubber Ducky“ aus dem Hak5-Shop. Dahinter verbirgt sich kein echter USB-Stick sondern ein programmierbarer Computer, der sich gegenüber dem PC als Tastatur ausgibt. Mittels eines speziellen Toolkits lassen sich Skripte und Payloads erstellen, mit denen man z.B. administrativen Zugriff auf einen PC erhält oder andere Manipulationen an der installierten Software und dem Betriebssystem vornehmen kann.

Der Ansatz von Karsten Nohl und Jakob Lell (präsentiert auf der Blackhat 2014) ist etwas anders. Sie manipulieren die Firmware von regulären USB-Sticks, um sie dann als „Milicious USB-Device“ auf PC einzusetzen. Das eingesetzte Betriebssystem spielt dabei keine Rolle.

Beide haben mittels Reverse Engineering eine Möglichkeit gefunden, die vom Hersteller auf USB-Geräten eingesetzte Firmware auszulesen, nach ihren Bedürfnissen zu verändern und sie dann wieder auf die Geräte zurückzuschreiben. Da bei USB-Speichersticks nur Controller von drei Herstellern zum Einsatz kommen, hatten sich schon andere Forscher mit dem Thema beschäftigt. Dies erleichterte natürlich die Arbeit ein wenig.

Während der Präsentation zeigen sie, wie ein USB-Stick durch einstecken in einem Windows-PC infiziert wird. Danach wird der gleiche USB-Sticks in einem Linux-PC genutzt der somit dieses Betriebssystem infiziert. Der neue „USB-Virus“ ist geboren.

Mehr …

Mit Fully Automated Nagios Windows Server überwachen – Teil 3

In Teil 1 wurde vorgestellt, wie man Fully Automated Nagios (FAN) installiert und den SNMP-Dienst auf Windows Servern und Clients aktiviert. Im zweiten Teil wurde gezeigt, wie man „Services“ einrichten und so bestimmte Windows -Komponenten überwachen kann. Im dritten und letzten Teil soll kurz demonstriert werden, wie man mittels Nagvis die Prüfergebnisse visualisieren kann.

Was ist Nagvis? Nagvis versteht sich als Addon für das Netzwerkmanagement-System Nagios. Mit Hilfe dieser Erweiterung ist man in der Lage, IT-Prozesse und  Zustände innerhalb einer Netzwerkinfrastruktur zu visualisieren.  Auf der Webseite kann man Screenshots einsehen, die zeigen wie flexibel es gehandhabt werden kann. Interessant ist u.a. auch die Integration von Nagios-Ereignisse in Bildern.

Mehr …

Mit Fully Automated Nagios Windows Server überwachen – Teil 2

Im ersten Teil ging es um die Installation von Fully Automated Nagios (FAN). Außerdem wurde gezeigt, wie man den SNMP-Dienst in Windows Server einrichten und Communitynamen festlegen kann.

In diesem Blog möchte ich zeigen, wie man einzelne Komponenten der Windows Server und Clients mit FAN überwachen kann.  Im einzelnen werden wir „Services“ für folgende Abfragen in der Weboberfläche von Centreon anlegen:

  • Laufwerke (Füllstand in %)
  • Auslastung der CPU
  • Auslastung des RAM
  • Überwachung von  Diensten (z.B Webserver, FTP-Service, Telnet etc.)
  • Überwachung von Prozessen (z.B. winlogon.exe, mmc.exe)

Mehr …

Mit Fully Automated Nagios Windows Server überwachen – Teil 1

Fully Automated Nagios (FAN)  ist eine einfache Lösung mit der Netzwerke kleiner und mittlerer Unternehmen überwacht werden können. Schon nach kurzer  Einarbeitungszeit können gute Ergebnisse erziehlt werden. FAN liegt als iso-Image in einer 32bit und 64bit Version vor und kann somit relativ einfach in eine virtuelle Umgebung integriert werden. Ich habe das Produkt mittels VirtualBox getestet. FAN in der Version 2.4 enthält folgende  Komponenten:

  • Nagios als Kernsystem für das Monitoring
  • Centreon – Das Webinterface zur Konfiguration und Steuerung von Nagios
  • Nagvis – Zur Darstellung von Statusinformatioen

Im ersten Teil diese Beitrages wird es um die Installation von Fully Automated Nagios und die Einrichtung des SNMP-Dienstes auf Windows-Servern gehen. Der zweite Teil beschäftigt sich mit der Handhabung der Weboberfläche von Centron. Im dritten Teil möchte ich zeigen, wie man die Ergebnisse visualisiert mittels Nagvis darstellen kann.

 

Mehr …

OpenVAS in Kali Linux 1.0.8 installieren

Was ist OpenVAS? Auf der eigenen Webseite wir er als „Der weltweit fortschrittlichste Open Source Schwachstellen-Scanner und –Manager“ angepriesen.

Weiter wird erläutert: „Das Open Vulnerability Assessment System (OpenVAS) ist ein Framework aus mehreren Diensten und Werkzeugen die zusammen eine umfangreiche und mächtige Lösung für Schwachstellen-Scanning und Schwachstellen-Management darstellen.“

In einem früheren Post hatte ich die Installation von OpenVAS in Backtrack 5 erläutert. Kali Linux hat als Nachfolger auch OpenVAS integriert. Auch wenn die Herangehensweise ähnlich ist, wird hier die Installation Schritt für Schritt gezeigt.

Mehr …

Hopping Meterpreter Through PHP

Im Weekly Metasploit Update hat Tod Beardsley von Rapid 7 einen neuen Payload vorgestellt, der es erlaubt Netzwerkverbindungen mittels PHP über einen Webserver zu tunneln.

Mittels des folgenden Versuchsaufbaus soll die Vorgehensweise erläutert werden. Der Test lässt sich innerhalb einer virtuellen Umgebung nachvollziehen. Nutzen Sie die im Buch im Kapitel 2 (Seite 38 ff.) beschriebene Netzwerkkonfiguration unter Einsatz einer Firewall (pfsense).

Die Firewall teilt das Netzwerk in drei Bereiche. Der Angreifer befindet sich im „Internet“ und nutze die IP-Adresse 10.0.0.121. Ein Joomla Webserver befindet ich in der „DMZ“. Hier nutzt er folgende IP-Adresse: 10.0.2.102. Für den Test reicht eine Standartkonfiguration. Außer dem Aufspielen der Datei hop.php muss nichts angepasst werden.

Mehr …

Gemeinsame Promotion von Rapid7 und dbunkt Verlag

Fangen Sie gerade erst mit Metasploit an und brauchen eine Einführung? Oder sind sie ein Metasploit-Profi und brauchen ein gutes Referenzwerk? Kein Problem – Rapid7 macht mit dem d-Punkt Verlag eine gemeinsame Promotion. Bei Rapid7 erhalten Sie für begrenzte Zeit gratis Probekapitel aus zwei deutschsprachigen Metasploit-Büchern. Und falls Sie mehr lesen möchten, erhalten Sie auf beide Bücher sogar bis Ende Mai 2014 einen Rabatt. Einfach hier anmelden.

Viel Spaß beim Lesen!

Nagios 3.5.1 in Ubuntu 12.04 LTS installieren

In diesem kurzen Beitrag möchte ich zeigen, wie man Nagios 3.5.1. in Ubuntu 12.04 installieren kann. Die Installation eines Ubuntu-Server wird hier vorausgesetzt. Es wurden bei der Installation nur OpenSSH und die  LAMP-Pakete ausgewählt.  Ich verwende hier nicht die von der Distribution bereitgestellten Nagios-Pakete, sondern werde Nagios und die Nagios-Plugins vom Quellcode kompilieren.

Mehr …

Symantec Antivirus für Linux testen

In den ersten beiden Teilen habe ich gezeigt, wie man Symantec AntiVirus für Linux auf einem Ubuntu-Server installieren und aktualisieren kann.

Im dritten und letzten Teil wollen wir nun den Virenschutz auf dem Ubuntu-Server testen. Dazu erstellen wir uns drei Dateien, die „Trojanische Pferde“ enthalten.  Dabei werden zwei Dateien (trojan.pdf und trojan.bin) mit dem Metasploit-Framework und eine (trojan.exe) mittels des Veil-Frameworks angelegt.

Da der Virenschutz mit „Auto-Protect“ Funktion versehen ist, sollte im Idealfall keine Datei auf das Zielsystem gelangen und sofort eliminiert werden.

Mehr …

Virenschutz auf Ubuntu-Server 12.04.4 64bit installieren-Teil2

Im ersten Teil des Beitrages haben wir den Virenschutz auf einem Linux-Server installiert. Nun wird gezeigt wie man die Virendefinitionen aktuell halten kann.

 

Virendefinitionen aktualisieren

Wenn man Symatec Antivirus für Linux  erfolgreich installiert hat, findet man  im Verzeichnis /opt/Symantec/virusdefs veraltete Virendefinitionen.  Für unseren Test wollen wir diese erst mal auf den aktuellen Stand bringen.  Dafür werden wir zwei verschiedene Methoden einsetzen:

  • Java LiveUpdate
  • Intelligent Updater

Um  Java Live Update nutzen zu können, müssen wir zuerst Oracle Java auf dem Linux-Server installieren.

Mehr …

Virenschutz auf Ubuntu-Server 12.04.4 64bit installieren-Teil1

Jetzt werden sich einigen Leser fragen: „Warum soll ich Virenschutz auf einem Linux-Server installieren?“.  Wenn man bedenkt, dass Linux-Server z.B. als Fileserver eingesetzt werden und hier möglicherweise auch Windows-Dateien gespeichert sind, macht eine regelmäßige automatische Überprüfung durchaus Sinn.  In diesen Beitrag möchte ich die Installation eines Virenschutzes auf einem Linux-Sever erläutern. Als Linux-Distribution wird Ubuntu 12.04.4 LTS und als Virenschutz Symantec AntiVirus für Linux verwendet.

In diesem ersten Teil des Beitrages werden wir  den Virenschutz auf dem Server installieren und im zweiten Teil zeigen, wie die Virendefinitionen aktualisiert werden können.

Mehr …

Payload ausliefern mit Veil und Catapult

Nachdem Christopher Truncer und Will Schroeder das Veil-Framework auf der ShmooCon 2014 präsentiert haben, möchte ich in dem heutigen Beitrag Veil-Catapult vorstellen. Es handelt sich hierbei um ein Framework, das die mit Veil erstellten Payloads an Zielsysteme ausliefert.  Dabei können Zielsysteme mit einzelnen IP-Adressen festgelegt aber auch in Listen zusammengefasst werden.

Zur Demonstration benutze ich ein Testnetzwerk auf der Grundlage von VirtualBox. Dabei kommt  die im Buch (Kapitel 2) beschriebene virtuelle Umgebung zum Einsatz.

Das Ziel ist eine Windows Netzwerk mit drei Windows XP Clients (192.168.222.73-75).  Als Virenschutz ist Symantec Endpoint Protection mit den aktuellen Virensignaturen installiert. Dabei sind einzelne Clients auch mit dem Netzwerkbedrohungsschutz ausgestattet.

Mehr …

Veil Präsentation während der ShmooCon 2014

Christopher Truncer und Will Schroeder hielten diesen interessanten Vortrag während der ShmooCon 2014 in Washington, DC.  Sie präsentierten das Veil-Framework und das neue Payload Delivery Tool „Veil-Catapult“. Der Vortrag beinhaltete zwei Live-Demos.

 

 

 

Metasploit Virustotal Checks

Das Metasploit-Framework und die Software Veil haben nun Möglichkeiten implementiert, selbst erstellte oder mit Schadcode versehene Dateien über den Dienst „VirusTotal“ zu untersuchen. Durch diesen Test kann geprüft werden, ob die Virenschutzprogramme der verschiedenen Hersteller die übersandte Datei als Malware einstuft oder nicht.

Die Abfrage ist unter Voraussetzung einer Internetverbindung über die Kommandozeile möglich. Dabei nutzen beide Programme die API von VirusTotal. Dabei ist eine unterschiedliche Herangehensweise bei der Übermittlung von Daten an diesen Dienst zu beobachten.

Das Metasploit-Framework übermittelt die gesamte Datei an VirusTotal und erhält eine konkrete Aussage, ob in der übermittelten Software Schadcode erkannt wurde und wie diese vom jeweiligen Hersteller bezeichnet wird. In den Nutzerbedingungen von VirusTotal ist festgelegt, dass sie diese Dateien weitergeben und verwenden dürfen.  Es ist somit nicht auszuschließen, dass Daten an die jeweiligen Firmen zur weiteren Analyse weitergeleitet werden.

Mehr …

ATT Mobile Hotspot WPA Cracking

Vor nicht zu langer Zeit hatte ich die Gelegenheit einen mobilen Hotspot von AT&T zu testen. Er ist mit einer SIM-Karte ausgestattet. Der Nutzer ist somit in der Lage, die über WLAN mit dem  Hotspot verbundenen Geräte an das schnelle mobile Internet (LTE) anzubinden.

Das Gerät wird standartmäßig mit einer WPA2-Verschlüsselung ausgeliefert. Das generierte Passwort bestand allerding nur aus acht Ziffern. Mir fiel auf, dass kaum ein Nutzer diese Standartwerte änderte und fast alle mit dem werkseitig generierten Passwort ins Internet gingen.

Für mich stellte sich nun die Frage,  mit welcher Sicherheit die Nutzer nun unterwegs sind und wie lange ein Angreifer braucht, um dieses Passwort herauszubekommen.

Mehr …

Leseproben zur zweiten Auflage

Auf der Webseite der dpunkt.verlag GmbH  sind jetzt Inhaltsangaben und Leseproben zur 2. Auflage meines Besuches „Penetration Testing mit Metasploit“  erschienen. Es wird voraussichtlich ab ersten Juni verfügbar sein.

Hiermit möchte ich mich nochmal ganz besonders bei Christian Kirsch von Rapid7 für die Zusammenarbeit und HD Moore für das Geleitwort zum Buch bedanken.

 

Nach oben

Weitere Links