OSX persistent Backdoor mit Empire Framework und Bash Bunny

Post-Exploitation Frameworks werden immer dann eingesetzt, wenn Penetrationstester schon Zugriff auf ein Zielnetzwerk haben und von hier weitere Angriffe auf dem IT-Gerät oder im Netzwerk ausführen möchten.Ich habe in diesem Zusammenhang schon mehrfach über das Empire Framework berichtet. Es ist seit seiner Vorstellung während der BSides in Las Vegas im Juli 2015 ständig weiterentwickelt worden.Zum gegenwärtigen Zeitpunkt liegt das Werkzeug in der Version 2.1 vor. Mittlerweile sind die bisherigen Projekte PowerShell Empire und Python EmPyre … Weiterlesen

Eine Dropbox für das Empire Framework

Penetrationstester müssen sich manchmal mit Szenarien befassen in denen der ausgehende Datenverkehr in Netzwerken blockiert oder sehr stark eingegrenzt wird. Häufig existieren dann nur bestimmte Freigaben auf freigegebene Webseiten (Whitelists) oder zu bestimmten externen Servern. Ist dies der Fall, so können evtl. gesteuerte Zugriffe per DNS oder über File-Sharing-Services wie Dropbox bzw. Google Docs einen Datenaustausch ins externe Netzwerk (oder Internet) ermöglichen. In diesem Blogeintrag möchte ich mich mit der Möglichkeit befassen, Dropbox als Plattform … Weiterlesen

MS-Powerpoint Backdoor mit Empire Framework

Das Empire-Framework wurde erstmalig dem interessierten Publikum auf der IT-Security Konferenz BSides im August 2015 in Las Vegas vorgestellt. Das Werkzeug setzt das  Konzept von sogenannten „Listeners“, „Stagers“ und „Agents“  konsequent um. Alle zusammen schaffen die Möglichkeit Windows-Systeme zu penetrieren. Dabei kommt eine verschlüsselte Verbindung zum Nutzer und eine flexiblen Architektur zur Anwendung. Die Installation ist in Kali Linux mit wenigen Befehle erledigt: cd /opt git clone https://github.com/PowerShellEmpire/Empire.git cd Empire ./setup/install.sh ./empire Das folgende Video zeigt wie ein … Weiterlesen

Das Post-Exploitation-Framework Empire neu auferstanden – iX 01/2021

Bereits 2015 legte der PowerShell Post-Exploitation Agent Empire offen, wie hoch das Angriffspotential auf Windows-Systeme über die integrierte PowerShell ist. Denn mit Empire können Angreifer PowerShell-Hintergrundprozesse ausführen, ohne dass der Anwender etwas davon merkt. Nicht nur deshalb schätzten Penetrationstester das modular aufgebauten Empire-Framework, sondern auch weil seine Client-Server-Architektur eine verschlüsselte Kommunikation zwischen den einzelnen Komponenten erlaubt. Der in der iX 01/2021 veröffentlichte Artikel beschreibt die neuen Möglichkeiten der dritten Version des Frameworks, das nun mit … Weiterlesen

USB-Rubber-Ducky Payload mit dem Empire-Framework erzeugen

In diesem kurzen Beitrag werde ich zeigen, wie man mit Hilfe des Empire-Frameworks Payload für den USB-Rubber-Ducky erzeugen kann. Den nachfolgenden Angriff auf mein ThinkPad konnte der Virenschutz, in diesem Fall Avast Free, nicht verhindern. Das folgende Video zeigt, wie zunächst eine Listener und danach mit dem Befehl usestager ein Payload für den USB-Rubber-Ducky erzeugt wird. Das so gefertigte Skript wird als inject.bin Datei auf dem Ducky gespeichert. Mein ThinkPad musste für den ersten Versuch … Weiterlesen

Windows Keylogger mittels Word Makro und Empire

Vor fast genau einem Jahr hatte ich gezeigt, wie man mittels des „Empire Frameworks“ ein Makro erzeugen und in MS-Powerpoit einbinden kann. Mich hat heute interessiert, ob diese Methode bereits von Virenschutzprogrammen aktuell erkannt und ein Angriff damit automatisch verhindert wird. Als Testkandidat habe ich Symantec Endpoint Protection gewählt. Die Installation von „Empire“ auf Kali Linux erfolgte mittels git ohne Probleme. Mittlerweile sind dort zwei „Stager“ („macro“ und „scrambled_macro“) vorhanden, mit denen Makros erzeugt werden können. Der … Weiterlesen

Entermesser iX 06/2016 – Powershell Empire

Nachdem im ersten Teil des Tutorials vorrangig die Installation und die Handhabung des Empire-Frameworks vorgestellt wurde, zeige ich im Artikel „Entermesser“, wie man ein Netzwerk erkunden kann und wichtige Informationen sammelt.  In diesem Zusammenhang werden Rechte eskaliert um administrativen Zugriff auf das Windows-System zu erlangen. Außerdem wird der Fachbegriff „Lateral Movement“ (seitliche Bewegung) erläutert und eine Auswahl wichtiger Module des Frameworks vorgestellt.

Hacking & Security – Zweite Auflage endlich erschienen

Auch bei uns hat Corona die Planung ein wenig durcheinandergebracht. Umso erfreulicher ist es, dass die zweite Auflage von „Hacking & Security“ aus dem Rheinwerk Verlag nun endlich in den Regalen steht. Ich freue mich mit allen Autoren über die gelungene Arbeit und möchte mich besonders bei Christoph Meister für das Lektorat bedanken. Wir haben das Buch nicht nur als neue Auflage herausgebracht, sondern es in vielen Punkten erweitert. Ich persönlich bin für folgende Themen … Weiterlesen