Wer eine verschlüsselte Netzwerkverbindung zu einem entfernten Gerät herstellen möchte, der wird in der Regel „Secure Shell“ oder SSH benutzen. In den meisten Fällen reicht hier eine Verbindung über die Konsole aus, um z.B. Konfigurationsdateien zu bearbeiten. Muss aber die grafische Oberfläche eines Programms auf dem entfernten Gerät genutzt werden, kommt man um eine sogenannte Display-Umleitung nicht umhin.
Die allgemeine Vorgehensweise wird hier für die Betriebssysteme Windows, macOS und Linux kurz erläutert. Wir gehen bei diesem Beispiel davon aus, dass von den jeweiligen Betriebssystemen eine Verbindung zu Kali Linux geöffnet und das Programm Zenmap genutzt werden soll. Da dieser Netzwerkscanner zur optimalen Arbeit administrative Rechte benötigt, sollte ein Zugriff als root möglich sein.
Als Human Interface Device (HID) wird eine Geräteklasse für
Computer bezeichnet, mit denen die Anwender über den USB-Standard interagieren.
Bei diesen Geräten handelt es sich vorrangig um Tastaturen, Mäuse oder
Joysticks. Für die Kommunikation wurde ein anwendungsspezifischer Kanal
geschaffen, der beliebige Daten zum USB-Gerät weiterleitet. Die notwendigen
Treiber sind oft bereits im Betriebssystem vorhanden und werden bei Anschluss
eines solchen Gerätes an die USB-Schnittstelle automatisch geladen. Die
angeschlossenen Devices lassen sich über Produkt-, Hersteller- und Seriennummer
eindeutig identifizieren.
Bei einem klassischen USB-HID-Angriff geben sich die
angeschlossenen Geräte als Tastatur aus. Über verschiedene Skripte lassen sich
nun weitere Befehle „eintippen“, die dann im Kontext des angemeldeten Nutzers
ausgeführt werden. Auf dem angegriffenen System lassen sich z. B. Hintertüren
installieren, Dokumente oder Passwörter stehlen oder über den UAC-Dialog
erweiterte Rechte auf dem PC erlangen.
Viele Firmen haben die Gefahr erkannt, die von diesen
Geräten ausgehen und haben ein Schnittstellenmanagement eingeführt. Oftmals reichen aber die getroffenen
IT-Sicherheitsmaßnahmen nicht aus, um der Bedrohung effektiv zu begegnen. In vielen Fälle werden zwar unbekannte
USB-Geräte (wie USB-Sticks, Kameras oder externe Speichermedien) geblockt, aber
der Anschluss von USB-Tastaturen nicht effektiv ausgeschlossen. In größeren
Unternehmen scheut man den höheren administrativen Aufwand bzw. versucht das
entstandene Restrisiko durch organisatorische Maßnahmen auszugleichen.
In diesem Beitrag geht es darum, wie man sich vor Keystroke-Injection Angriffen schützen kann bzw. wie Angreifer trotz getroffener Sicherheitsmaßnahmen zum Erfolg kommen.
In vielen Beiträge wird empfohlen, den Greenbone Security Scanner unter Kali Linux zu installieren. Für mich bildet aber ein schlanker Linux Server (z.B. Ubuntu 18.04 LTS) die besserer Grundlage. In diesem Beitrag werde ich die Installation in wenigen Schritten aufzeigen.
Zunächst benötigten Sie das aktuelle Softwareimage, das Sie hier herunterladen können. Beachten Sie dabei, dass es sich tatsächlich um die Server-Version mit Langzeitsupport (LTS) handelt. Hiermit werden Updates bis April 2023 gewährleistet.
Auf die Installation selbst möchte ich hier nicht weiter eingehen. Sie sollten aber darauf achten, dass tatsächlich ein schlankes Ubuntu gewählt wird. OpenVAS wird sich dann später nur die Pakete und Abhängigkeiten auswählen, die die Software unbedingt benötigt.
Microsoft-Office ist auf Grund des hohen Bekanntheitsgrades bei Angreifern ein beliebtes Ziel, um private Computer oder Plattformen in Unternehmen anzugreifen. Sehr gern wird daher von Sicherheitsexperten empfohlen, auf andere Office-Produkte wie OpenOffice oder LibreOffice auszuweichen.
Aber auch hier lauern gefahren, die nicht zu unterschätzen sind. Leider tauchen auch bei diesem Produkten immer wieder Schwachstellen auf, die Zugriff auf das Betriebssystem gestatten und das Einschleusen von Schadsoftware ermöglichen. In diesem Beitrag hatte ich bereits darüber berichtet.
Aktuell läßt sich mit Hilfe von LibreLogo, der in LibreOffice integrierten Python-Umgebung, beliebiger Programmcode innerhalb eines Office-Dokuments ausführen. Der Empfänger eines solchen Dokuments erhält keine Warnmeldung, die auf möglichen Schadcode in dieser Datei hinweist.
Es sind alle Versionen von LibreOfiice bis zur Version 6.2.5 und die gängigen Betriebssysteme, wie Windows, Linux und macOS betroffen. Die „Document Foundation“ hat entsprechende Advisories veröffentlicht.
Im Folgenden zeige ich, wie man mit Hilfe des Metasploit-Frameworks ein solches LibreOffice-Dokument erzeugt und eine Meterpreter-Session erlangt.
Diese Verfahren bietet sich an, wenn Sie Let‘s-Encrypt-Zertifikate z.B. für Koadic auf einem lokalen Linux-PC (z.B mit Ubuntu) erstellen wollen, um diese dann später auf einen Server zu übertragen.
Ich gehen davon aus, dass Sie einen Domainnamen registriert haben, den Sie für diesen Vorgang nutzen können.
cd /opt
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
git clone https://github.com/Myria-de/get-letsencrypt-cert.git
cd get-letsencrypt-cert
Hier finden Sie ein Installationsskript getcert.sh, das Sie nach Ihren Wünschen im dafür vorgesehenen Abschnitt anpassen:
LEBIN=/opt/letsencrypt/letsencrypt-auto # hier ihr Let's Encrypt Installationsverzeichnis eintragen!
#########################
# passen Sie die folgenden Parameter an
country=DE # Ihr Land, beispielsweise DE
state="Germany" # Ihr Staat, beispielsweise Germany
town="Berlin" # Ihre Stadt beispielsweise Berlin
email=meine@domain.net # Ihre E-Mail-Adresse
DAYS_REMAINING=90 # Verbleibende Tage bis zur Erneuerung
#########################
Vielen IT-Sicherheitsspezialisten wird noch unbekannt sein, dass die estnische Hauptstadt Tallinn nicht nur das wirtschaftliche und kulturelle Zentrum des Landes ist, sondern auch einen wesentlichen Beitrag zur Verteidigung im Cyberraum leistet. Die militärischen Führer haben hier das NATO Cooperative Cyber Defence Centre of Excellence (kurz CCDCOE) eingerichtet.
Der Beitrag in der iX 07/19 beschreibt die im April 2019 durchgeführte Übung „Locked Shields“. Sie wurde in Kooperation mit den estnischen, finnischen und amerikanischen Streitkräften organisiert und ist die derzeit weltweit größte Live Fire Cyber Defence Exercise.
SMB (Server Message Block) ist ein Protokoll, das in lokalen Netzwerken für die Übertragung von Daten zwischen einem Client und einem Server verantwortlich ist. Ursprünglich wurde es dazu eingesetzt, um in Windows-Netzwerken Dateien und Verzeichnisse freizugeben bzw. Druckdienste zu realisieren. Aber auch unter Linux existiert eine Schnittstelle (Samba), die es ermöglicht mit Windows-Clients Daten über TCP/IP auszutauschen. Standardmäßig verläuft die Kommunikation über TCP Port 445. Falls Sie aber NetBIOS Funktionen (Network Basic Input Output System) zur Namensauflösung benutzen wollen, sollten sie die Ports 137, 138 UDP und 137, 139 TCP freigeben.
SMB-Bruteforce-Angriffe werden im Rahmen eines
Penetrationstests eingesetzt, um die Wirksamkeit der Kennwortrichtlinien zu
überprüfen bzw. potenzielle Angriffsmethoden zu identifizieren. Dabei wird versucht, systematisch und
automatisch, Benutzernamen- und Passwortkombinationen zu erraten. Ziel dabei
ist, gültige Anmeldedaten zu finde, die sich als Zugang zu einem Zielnetzwerk
nutzen lassen.
Das Metasploit Framework stellt diverse Module bereit, die Sie für Ihre Tests nutzen können.
Der P4wnP1, entwickelt von MaMe82, hat sich als universelles Werkzeug bewährt, mit dem Sie solche Tests durchführen können. Im folgenden Beitrag erläutere ich, wie Sie automatisiert eine Datei mit potentiellen Passworten erstellen und den P4wnP1 so einrichten, dass er automatisiert nach dem richtigen Passwort sucht und damit einen Windows 10 PC entsperrt.
Unser YouTube Kanal hat die erste Schallmauer durchbrochen. Seit gestern haben sich 1000 Nutzer registriert. Das spornt uns an, weitere interessante Videos zu machen. Vielleicht kann der eine oder andere Beitrag dazu dienen, die komplexen Zusammenhänge zu verstehen bzw. Anregungen für eigene Tests zu geben.
Die Versionen vor 6.0.7 und 6.1.3 von LibreOffice sind anfällig gegen Macro-Angriffe. Dafür haben die Entwickler von Metasploit einen Exploit entwickelt, der eines der mitgelieferten Python-Skripte nutz und den gefährlichen Programmcode mittels Mouse-Over-Effekt ausführt. In den Standardeinstellungen funktioniert das ohne Nachfrage.
Das in LibreOffice enthaltene Skript pydoc.py enthält die Funktion tempfilepager, die Argumente an os.system übergibt, wodurch die Remote Code Execution ermöglicht wird.
Im folgenden Beitrag erläutere ich, wie Sie den Exploit nutzen können.
In vorangegangenen Beiträgen habe ich gezeigt, wie Sie den P4wnP1 effektiv als USB-Angriffsplattform einsetzen können. Durch das Einbinden von Ducky Skripten lässt sich das Werkzeug auch sehr gut mit anderen Post-Exploitation-Frameworks kombinieren. Obwohl der P4wnP1 mit einer RAT-ähnlichen Komponente (RAT = Remote Admin Tool) ausgestattet ist, sollte jeder Penetration Tester an alternativen Methoden interessiert sein. Nicht selten kommt es vor, dass die etablierte Vorgehensweise nicht greift oder externe Einflüsse eine erfolgreiche Penetrierung des Zielsystems verhindern.
Im Folgenden zeige ich, wie Sie mit Hilfe des Post-Exploitation-Frameworks Koadic, dem P4wnP1 und der neunen Version von Mimikatz, das Logon-Passwort in Klartext aus Windows 10 (1809) auslesen können und damit eine flexible Hintertür zum Zielsystem nutzen.
Das Szenario
Das Zielsystem hat Windows 10 installiert, verfügt über alle aktuellen Updates und ist mit dem Windows Defender vor aktuellen Angriffen geschützt. Auf dem PC ist ein Nutzer eingerichtet, der mit Hilfe der Benutzerkontensteuerung (UAC) bei Bedarf lokale administrative Rechte erhalten kann.
Der Angreifer hat eine WLAN-Verbindung zum P4wnP1 und unterhält gleichzeitig eine SSH-Verbindung zu einem externen Server, auf dem das Post-Exploitation-Framework Koadic installiert ist.
Im ersten Teil habe ich gezeigt, wie der P4wnP1 installiert wird und man eine Verbindung ins Internet herstellen kann. In diesem zweiten Teil werde ich demonstrieren, wie Sie mit Hilfe der Ducky Skripte ein flexibles Werkzeug für Ihre Penetration Tests erzeugen und dazu die eingebaute Backdoor-Funktionalität des P4wnP1 nutzen können.
Um zu zeigen, wie Sie Ducky Skripte mit Hilfe des P4wnP1 anwenden,
werden wir in diesem Szenario den Windows Defender in Windows 10 auf dem
Zielsystem abschalten. Nachdem Sie weitere Test durchgeführt haben, kann der
Schutz mit einem weiteren Skript wieder eingeschaltet werden.
Für unsere Vorhaben benötigen wir zwei Ducky Skripte, die auf dem P4wnP1 platziert werden müssen. Für diese Zwecke steht das Verzeichnis P4wnP1/DuckyScripts/ bereit. Ähnliche Skripte habe ich für einen früheren Beitrag geschrieben. Wie müssen sie nur noch für den P4wnP1 einpassen.
In diesem Szenario nutzen wir die WLAN-Funktionalität des P4wnP1 aus. Der Penetration Tester muss sich also nicht unmittelbar am Zielsystem befinden, sondern kann seine Testumgebung in (WLAN)-Reichweite platzieren. Von hier kann er dann den P4wnP1 fernsteuern bzw. die notwendigen Skripte starten.
In diesem Blog wurden bereits die Penetration Testings Tools von Hak 5 ausführlich vorgestellt. Darüber hinaus werden Sie hier viele Anregungen für den Einsatz diese Werkzeuge und die entsprechenden Payloads für den USB Rubber Ducky bzw. Bash Bunny finden.
Die Zeit ist aber nicht stehengeblieben. So haben sich weitere USB-Angriffsplattformen auf der Basis des Arduino entwickelt. In dieser Rubrik stechen vor allem der Malduino und Digispark hervor.
Ganz besonders interessant finde ich aber das Projekt von mame82. Hinter der als P4wnP1 bezeichnete USB-Angriffsplattform verbirgt sich ein angepasster Raspberry Pi Zero bzw. Raspberry Pi Zero W, die als Human Interface Device (HID) und für Netzwerkangriffe eingesetzt werden können.
Rapid7 hat nach langer Entwicklungszeit am 10.01.2019 Metasploit 5.0 veröffentlicht. Die neue Version enthält einige wichtige neue Funktionen. Das Unternehmen geht außerdem davon aus, dass es einfacher zu bedienen und leistungsfähiger sein wird.
Zu den wichtigsten Änderungen der neuen Version gehören u.a. neue APIs für Datenbanken und Automatisierung.
Damit mehrere Metasploit-Konsolen und
externe Tools mit dem Framework interagieren können, kann die neueste Version
die PostgreSQL-Datenbank nun selbst als RESTful-Dienst ausführen.
APIs für Datenbanken und Automatisierung, neue Module, Sprachunterstützung
Die neue Version des Frameworks implementiert eine neue JSON-RPC-API, die die Integration mit neuen Tools und Sprachen vereinfacht. Das Entwicklungsteam integrierte das Automatisierungsprotokoll der Plattform mit einem gemeinsamen Webservice-Framework für die Datenbank- und Automatisierungs-APIs.
Bisher konnten nur die diversen Scanner auf verschiedene Subnetze oder Netzwerkbereiche eingesetzt werden. Mit der neuen Version wird es nun auch möglich, Exploit-Module auf mehrere Ziele gleichzeitig auszuführen.
Die neueste Version enthält außerdem
effizientere Suchfunktionen für Module, die Unterstützung für externe Module
von Go, Python und Ruby sowie eine neue Metashell-Funktion.
Bereits im Oktober 2018 hatten die Entwickler den neuen Modultyp Evasion angekündigt. Er soll Code und Payloads vor Antivirenprodukten verbergen und so eine erfolgreiche Penetrierung gewährleisten. Derzeit existieren zwei Module, die sich gegen den Windows Defender richten. Nutzern soll es nun möglich sein, eigene Mutationen von Payloads zu erzeugen und persistente Dienste zu generieren.
Neuer Releasezyklus
Die Entwickler bei Rapid7 haben angekündigt, zukünftig einen neuen Releasezyklus einzuführen. Künftig wird es einen stabilen und einem instabilen Zweig gebe. So lassen sich Neuerungen schneller testen und zielsicherer integrieren.
Eine Übersicht aller Neuerungen finden Sie in den Release Notes auf GitHub und auf der Webseite von Rapid7.
Es wird wohl noch eine Weile dauern bis Kali Linux ein Update bereitstellt. Wer Metasploit 5 jetzt schon ausprobieren möchte, der kann den Nightly Installer nutzen, um auf die neue Version umzusteigen. Bei meinem Test wurde die dort verfügbare Version 4 einfach mit der neuen Version überschrieben.
Die in Windows 10 integrierte Sicherheitssoftware Defender kann in vielen Tests sehr gute Ergebnisse vorweisen. Darum braucht sich diese kostenlose Sicherheitslösung vor der Konkurrenz nicht mehr zu verstecken. Die Schutzwirkung kann durchaus mit den Produkten von F-Secure, Kaspersky, Bitdefender, Symantec oder Trend Micro gleichgesetzt werden. Auch ich kann Windows Defender meine Empfehlung aussprechen und setze auf meinen produktiven Windows-Geräten keine zusätzliche kommerzielle Virenschutzsoftware mehr ein.
Es hat ein wenig gedauert, bis Microsoft diesen Entwicklungsstand erreicht hat. In Zukunft müssen sich die Dritthersteller sputen, wenn sie Ihre Produkte noch gewinnbringend an den Mann/Frau bringen wollen. Aus meiner Sicht können Windows 10 Nutzer schon heute mit gutem Gewissen ausschließlich auf den Windows 10 Defender setzen.
Was für Windows 10 Nutzer eine gute Nachricht ist, bereitet Sicherheitsforschern und Penetrationstestern zunehmend Kopfzerbrechen. Sie müssen sich ständig neue Techniken ausdenken, um den Virenschutz von Windows 10 zu umgehen. So hatten sie z.B. noch vor gut einem Jahr mit den Post-Exploitation-Frameworks Veil-Evasion oder Empire die Möglichkeit, Payloads zu erzeugen, die vom Windows Defender nicht erkannt wurden. Auch die diversen Powershell-Payloads werden nun zunehmend enttarnt.
Penetartionstester setzen zunehmend auf eigene Tools bzw. führen neue Techniken ein, um ihre Arbeit erledigen zu können. Ich habe in den zwei vorangegangenen Beiträgen die Post-Exploitation Plattform Merlin vorgestellt. Im ersten Teil ging es vorrangig um die Installation der Software und die Erstellung der Server und Agenten. Im zweiten Teil habe ich gezeigt, wie Sie in Sessions mit den Agenten interagieren und die bereits vorhandenen Module aufrufen können.
In diesem Beitrag zeige ich, wie Sie eine Hintertür in MS-Powerpoint einrichten und eine Session zum Merlin-Server erzeugen. Auch wenn diese Hintertür derzeit für den Windows Defender unsichtbar ist, so wird es wohl nur eine Frage der Zeit sein, bis auch hier eine passende Signatur erstellt wird. Das ewige Katz-und-Maus-Spiel zwischen den Entwicklern von Sicherheitslösungen und den Sicherheitsforschern bzw. Angreifern bleibt somit erhalten.
Im ersten Teil habe ich gezeigt, wie Sie Merlin installieren und die derzeit verfügbaren Agenten kompilieren bzw. einsetzen können. In diese zweiten Teil werden Sie weitere Agenten erstellen und sie an Ihre Penetration Testing Umgebung anpassen. Darüberhinaus werden wir Sessions erzeugen und die derzeit vorhandenen Module auflisten.
DLL-Agenten erstellen
Im vorangegangenen Beitrag hatten wir bereits im dritten Schritt eine DLL-Agenten erstellt in einem zufällig generierten Verzeichnis unter data/temp/v0.6.0/ abgespeichert. Um diese DLL aber in Ihrer Umgebung nutzen zu können, müssen Sie die vorhandene Datei main.go für Ihre Zwecke anpassen und sie noch einmal kompilieren. Wechseln Sie dazu in das Verzeichnis cmd/merlinagentdll und ändern die folgende Zeile nach Ihren Wünschen ab. Die Variable „URL“ sollte die IP-Adresse oder den Domainnamen ihres Merlin-Servers und den dazugehörigen Port enthalten.
Was bedeutet Post Exploitation über HTTP/2 eigentlich? Der HTTP/2-Standard wurde im Mai 2015 verabschiedet. Das Hauptziel war die Vermeidung von Zeitverlusten durch Latenz. HTTP/2 ist vollständig abwärtskompatibel, was die schnelle Verbreitung unterstützt. Die wichtigsten Verbesserungen gegenüber der Vorgängerversion sind:
Mit HTTP/2 wird die Kommunikation zwischen Browser und Server über eine einzige Verbindung abgewickelt. Dadurch werden unnötige Datenverbindungen vermieden und höhere Geschwindigkeiten erzeugt.
Durch Kompression der Kopfzeilen lassen sich die Header drastisch in der Größe reduzieren. Damit müssen weniger Daten ausgetauscht werden.
Eine schnellere Kommunikation zwischen Browser und Server wird erreicht, indem der Server dem Browser bereits Daten schickt, bevor er dieses angefordert hat. Darüber hinaus kann der Browser dem Server mitteilen, welche Daten für ihn wichtiger sind und diese zuerst anfordern.
Die Entwickler des Post Exploitation Frameworks „Merlin“ setzen darauf, dass durch die verwendete TLS-Verschlüsselung die Kommunikation zwischen Server und Agenten im Verborgenen bleibt und auch die derzeit verfügbarer Firewall- und IDS/IPS-Lösungen das neue Protokoll noch nicht verstehen bzw. auswerten können. Die Kombination aus Verschlüsselung und fehlender Protokollunterstützung soll es ermöglichen, die Inspektionen zu umgehen und „unter dem Radar zu fliegen“.
Die auch als „Command & Control Tool“ bezeichnete Software ist noch in der Entwicklungsphase und liegt derzeit in der Beta-Version 0.6.0 vor. Ähnlich wie das Empire Framework setzt Merlin auf die konsequente Umsetzung der Agent-Server-Strategie. Dabei nutzen die Entwickler Googles Programmiersprache Go. Verschiedene Agenten und Server liegen bereits vor bzw. können selbst kompiliert werden. Wer möchte, der kann die fertiggestellten Post-Exploitation-Module für Windows und Linux sofort einsetzen.
In diesen Beitrag beschreibe ich, wie Sie Merlin herunterladen, installieren und kompilieren. Nachdem wir eine erste Verbindung zwischen Client und Server hergestellt haben, werden ich zeigen, wie Sie die bereits bestehenden Module einsetzen können.
Die Entwickler vom Mimikatz haben eine neue Version ihrer Software veröffentlicht. Nachdem das Auslesen der Passwörter in Klartext unter Windows 10 (1803 und 1809) und damit der Passwort Hack nicht mehr funktionierte, mussten sie reagieren.
In diesem Beitrag erkläre ich, wie man Windows 10 Passwörter in Klartext mit Hilfe des USB Rubber Ducky auslesen kann.
Die Entwickler bei Microsoft haben natürlich sofort reagiert und das zum Download angebotene Programm als Malware eingestuft. Der Windows Defender erkennt die Software als Behavior:Win32/Mikatz.gen!C bzw. HackTool:Win32/Mimikatz.E
Dies erschwert natürlich den Einsatz ein wenig. Mir fallen spontan zwei Möglichkeiten ein, die Software auf einem aktuellen Windows 10-System zu testen. Man könnte z.B. den mitgelieferten Quellcode nutzen, ihn ein wenig verändern und dann neu kompilieren. Ein Angreifer könnte auch den Virenschutz temporär abschalten, um Mimikatz einzusetzen. Da ich in einem früheren Test diesen Weg bereits gewählt hatte, entscheide ich mich für die zweite Möglichkeit. Als Hilfsmittel kommt wieder der USB Rubber Ducky zum Einsatz.
Die Distribution Kali Linux ist kürzlich in der Version 2018.4 erschienen. Die Software ist auf Sicherheits- und Penetrationstests von IT-Systemen spezialisiert. Derzeit sind über 600 Tools integriert. Das von Offensive Security betriebene Open-Source-Projekt richtet sich überwiegend an professionelle Anwender, wird aber auch zunehmend von privaten Anwendern genutzt.
Kali Linux basiert auf Debian und lässt sich leicht installieren. Downloads sind für verschiedene Hardwareversionen und Architekturen verfügbar. Zusätzlich stellt Offensive Security virtuelle Umgebungen von Kali Linux für VMware und VirtualBox zum Herunterladen bereit.
In diesen Beitrag zeige ich, wie man in neun Schritten die Sicherheit dieser Distribution erhöht, Einstellungen anpasst und einige nützliche Werkzeuge hinzufügt.
Normalerweise arbeitet jeder Nutzer auf einem Windows System mit Benutzerrechten. Sobald eine Anwendung erweiterte Berechtigungen benötigt, wird ein Dialogfeld angezeigt. Hier muss der Nutzer nun bestätigen, dass das aufgerufene Programm mit administrativen Rechten ausgeführt werden kann. Im Gegensatz zu einem Linux-Betriebssystem sieht Windows standardmäßig hierfür nur ein Ja/Nein Abfrage vor.
Diesen Umstand machen sich nun die diversen BadUSB-Geräte, wie Rubber Ducky, Bash Bunny, Digispark oder MalDuino zu Nutze. Auf dieser Webseite werden Sie viele Beispiele finden, in denen dieser Zustand ausgenutzt wird. Mit einem kurzen Skript lassen sich so administrative Rechte auf Windows-PCs erlangen.
In diesem Beitrag zeige ich, wie Sie Ihr System mit einer kleinen Änderung in der Windows-Registry vor diesen Angriffen dauerhaft schützen können.
Es ist ein ständiges Katz-und-Maus-Spiel, das sich die Entwickler von Virenschutzlösungen und Penetrationstester liefern. Die Zeiten, in denen Antiviruslösungen auf rein signaturbasierenden Prüfungen setzten, sind längst vorbei. Moderne Programme verfügen über verhaltens- und cloudbasierte Erkennungen, Heuristik und Sandboxen.
Aus Sicht der Penetrationstester gibt es mehrere Ansätze, um Virenschutzlösungen zu umgehen. In der Vergangenheit flossen diese Techniken in Programme wie z.B. Veil-Evasion, msfvenom (Metasploit Framework) und dem Empire Framework ein.
Wer sich umfassend mit der Materie befasst wird feststellen, dass der Defender in Windows 10 die Erkennungsrate deutlich erhöht hat. Auch die früher so einfach durchzuführenden Angriffe mittels Powershell laufen immer öfter ins Leere. In vielen Fällen wird schon der erzeugte Payload vom Defender als Schadcode eingestuft und nicht ausgeführt.
Mit Metasploit 5 läutet Rapid7 in diesem Wettkampf eine neue Runde ein. In der Betaversion des Frameworks stellen die Entwickler ein neues Modul vor, dass bekannte Techniken mit neuen Ansätzen kombiniert. So wird die zukünftige Version einen C Compiler enthalten, der direkt aus Metaploit aufgerufen werden kann. Außerdem wird der so erzeugte Quellcode nach dem Zufallsprinzip generiert, verschlüsselt und mit weiteren Verschleierungstechniken angereichert.
Die so generierte Windows PE- Datei (.exe) lässt sich sofort auf dem Zielsystem einsetzen und mit den bekannten Payloads (z.B. Meterpreter) und Ressource-Dateien kombinieren.
In diesem Beitrag zeige ich, wie Sie Metasploit 5 in der Beta-Version installieren und das neue Module anwenden.
Damit wir uns nicht falsch verstehen – ich bin auch begeisterter Nutzer von Apple und Google und deren Produkten. Wie selbstverständlich legen heutzutage Nutzer Accounts bei diesen Firmen an und nutzen diese täglich. Jedem ist zumindest bekannt, dass die Firmen Interesse daran haben, Nutzerdaten aufzuzeichnen bzw. zu speichern. Viele Daten werden auch dazu verwendet, um die Funktionalität von Programmen aufrechtzuerhalten bzw. die angebotenen Dienste zu verbessern. Natürlich lässt sich mit diesen Daten auch Geld verdienen, was unschwer am Beispiel von Google zu erkennen ist.
Der Begriff des „gläsernen Nutzers“ ist fast jedem ein Begriff. Vielen Internet-Usern ist aber trotzdem nicht bewusst, welchen Spuren sie heutzutage im Internet hinterlassen.
Für viele Anwender wird es immer schwerer zu überblicken, was aufgezeichnet wird und welche Daten wie verwendet werden. Ich muss ehrlich zugeben, dass ich sehr erstaunt darüber war, was in meinem Account bei Google alles aufgezeichnet und über Monate hinweg gespeichert war. Der Dienst hatte die Browserverläufe, die Suchhistorie, die genutzten Geräte, die Profildaten, Sprachnachrichten und Standorte aufgezeichnet.
Klar ist alles in den Nutzerbestimmungen von Google und Co. festgelegt. Sie stimmen ausdrücklich der Nutzung der Daten zu, wenn Sie sich für diesen Dienst entscheiden.
Ich lege jedem Leser aber trotzdem ans Herz, diese Daten mal einzusehen. Vielleicht fassen Sie ja auch den Entschluss, diese Daten zu löschen bzw. die Sammelwut einzudämmen.
In diesem Beitrag zeige ich Ihnen, wie Sie die gespeicherten Daten bei Apple und Google einsehen und ggf. löschen.
Die Windows Defender Antivirus-Features wurden in der Vergangenheit ständig verbessert. Der mittels Metasploit-Framework (Msfvenom) erstellte Payload, wird in der Regel zuverlässig erkannt. Für Penetrationstester und Red Teams wird es zunehmend schwerer, den in der Cloud bereitgestellten Schutz einschließlich der verhaltensbasierenden/heuristischen Erkennung zu umgehen.
Für Administratoren existieren eine Reihe von Möglichkeiten, um Windows Defender zu administrieren und die Software den eigenen Anforderungen anzupassen.
Angreifer versuchen zunehmend ihre vorhanden Payloads so abzuändern, dass sie einer Prüfung wiederstehen können. Hier wenden sie neue Methoden für die Verschlüsselung des Codes bzw. des Datenverkehres aber auch der absichtlichen Veränderung von Programmcode (Obfuskation) an.
In diesem Beitrag beschreibe ich, wie Sie mit Hilfe des USB-Rubber-Ducky und Digispark den Windows Defender in Windows 10 abschalten können. Voraussetzung ist, dass der Angreifer/ Penetrationstester lokal Zugang zum Opfer-PC hat und der verwendete Nutzer administrative Rechte auf dem lokalen System besitzt. Dieser Angriff sollte somit in zentral administrierten Netzwerken nicht zum Erfolg führen, da hier der reguläre Nutzer seine Rechten nicht so einfach mit Hilfe der Benutzerkontensteuerung (UAC) eskalieren kann.
In der Literatur und im Internet lassen sich mehrere Möglichkeiten finden, um den Windows Defender abzuschalten. Für dieses Beispiel habe ich die Möglichkeit mittels PowerShell gewählt.
Zur Konfiguration der Windows-Defender Scans und Updates existieren eine Reihe von Parametern, die im Windows IT Pro Center eingesehen werden können. Die hier aufgeführten Optionen sind selbsterklärend.
Phantom Evasion ist ein in Python geschriebenes interaktives Werkzeug, mit dem Virenschutzprogramme umgangen werden können. Mit Hilfe von verschiedenen Techniken und des Programms msfvenom des Metasploit Frameworks, lassen sich so verschiedene Payloads erzeugen. Somit wird Penetrationstestern ein Werkzeug an die Hand gegeben, mit dem sie polymorphen Code erstelle bzw. Sandbox-Umgebungen „austricksen“ können. Ab der Version 1.1 enthält das Programm einen „Post-Exploitation“ Anteil. Hiermit lässt sich z.B. auf einem Zielsystem dauerhaft Schadcode platzieren.
In diesem Blogeintrag werde ich die Installation von Phantom Evasion auf Kali Linux erläutern.
Abhängigkeiten installieren
Der Autor hat das Tool so programmiert, dass es hervorragend mit der Kali Linux zusammenarbeitet und dort beim ersten Programmstart automatisch eingerichtet wird. Folgende Programme und Bibliotheken sollten installiert sein:
Nun ist es endlich raus! Heute halte ich die ersten Exemplare des Buches „Hacking & Security“ in den Händen, die im Rheinwerk Verlag erschienen sind.
Ich möchte mich an dieser Stelle nochmals beim Verlag und bei allen Autoren für die konstruktive Zusammenarbeit bedanken. Es macht mich stolz, an diesem Buch beteiligt zu sein!
Schon an den guten Vorverkaufszahlen konnten wir das große Interesse der Bücherfreunde ersehen. Ich hoffe, dass Sie beim Lesen dieses umfassenden Handbuchs genauso viel Spaß haben werden, wie wir beim Schreiben hatten.
Eine Leseprobe des von mir erstellten 8. Kapitels (Angriffsvektor USB-Schnittstelle) finden Sie hier. Ich bin auch sehr gerne bereit, Fragen zum Empire-Framework auf diesem Wege zu beantworten.
Vielleicht ist es dem einen oder anderen schon mal passiert. Man möchte schnell etwas testen und hat keine passende virtuelle Maschine bei der Hand bzw. möchte an den vorhandenen nichts ändern um später ein Snapshot aufspielen zu müssen.
Für solche Situationen nutze ich gern eine leichte Kali-Installation in einer VM ohne viel Schnickschnack. Die Entwickler von Kali Linux stellen dafür eine ISO-Datei bereit, die mit ca. 900 MB recht schlank ausfällt. Ein vollwertiges Installation-Image umfasst zum Vergleich mehr als 3 GB.
Im Gegensatz zur Vollversion enthält Kali-Light nur wenige Pakete und kommt mit XFCE als grafische Oberfläche aus.
Selbst diese GUI benötige ich in vielen Fällen nicht, da ich mit ssh auf die virtuelle Maschine zugreifen und alles im Terminal erledigen kann.
Im folgenden Beitrag werde ich zeigen, wie man Kali-Light in einer virtuellen Maschine ohne grafische Oberfläche einrichtet und das Metasploit-Framework installiert.
In diesen kurzen Beitrag möchte ich zeigen, wie Sie in Ihrem eigenen Netzwerk herausfinden können, ob Sie IoT-Geräte verbunden haben, die das Standardpasswort des Herstellers verwenden und somit potenziell anfällig für eine feindliche Übernahme sind.
Dadurch können Sie vermeiden, unfreiwillig an einem Denial-of-Service-Angriff beteiligt zu sein oder für ein Botnet missbraucht zu werden.
Das kostenlose Tool von Rapid7 arbeitet auf der Basis von Perl und ist für Linux und Mac verwendbar.
Den Scanner installieren und einrichten
Ich habe das Tool unter Linux 16.04 LTS getestet. Es benötigt Perl und einige Perl-Pakete, die vorher installiert werden müssen. Nutzen Sie für die vorgeschlagenen Werte um die erforderlichen Pakete einzurichten.
git clone https://github.com/rapid7/IoTSeeker.git
cd IOTSeeker
cpan AnyEvent::HTTP Data::Dumper JSON
Das Netzwerkes kann nach folgendem Beispiel geprüft werden:
Mit dem Shell-Skript backdoor-apk lassen sich einfach und schnell Hintertüren in beliebige Android APK-Dateien einbauen. Dabei kümmert sich das Skript automatisch um folgende Schritte:
Erstellen des Meterpreter Payloads
Dekompilieren der Anwendung
Einbau des Payloads
Obfuscating der APK-Datei
Hinzufügen von Persistence
Erstellen der notwendigen Schlüssel und Signaturen
Erstellen der Metasploit Ressource-Datei
Speicherung der neuen Datei (mit Backdoor) im Verzeichnis original/dist
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen darüber erhalten Sie in unserer Datenschutzerklärung.AkzeptiertAblehnen
