iX 04/2024 Post-Exploitation-Framework Havoc

Im Februar 2023 beobachtete ein Forschungsteam des Zscaler ThreatLabz eine Kampagne gegen eine Regierungsorganisation, bei der die Angreifer ein neues Framework namens Havoc einsetzten. Die Software ist ein quelloffenes und hoch entwickeltes Command-and-Control-Framework (C2-Framework), das als Alternative zu kostenpflichtigen Optionen wie Cobalt Strike und Brute Ratel angesehen wird. Es beherrscht verschiedene Umgehungstechniken wie indirekte Syscalls und Sleep Obfuscation und ist damit in der Lage, auch die Sicherheitsmechanismen aktueller Windows- Versionen zu umgehen. Zurzeit befindet sich das Framework noch in einer heißen Entwicklungsphase, hauptverantwortlich … Weiterlesen

iX 03/2024 BoodHound CE: Beutezug durch die Windows-Domäne

Der Bloodhound, bekannt für seine Fähigkeit, Gerüchen zu folgen und seine Beute aufzuspüren, hat im digitalen Zeitalter ein Upgrade erhalten. Hier wird sein elektronisches Pendant vorgestellt: ein Netzwerkanalysewerkzeug, das die Suche nach möglichen Angriffsvektoren automatisiert. Es ist nicht nur ein Hilfsmittel für Angreifer, die nach Schwachstellen suchen und sie ausnutzen, sondern auch ein mächtiges Werkzeug für Verteidiger, die ihr digitales Territorium schützen wollen. In diesem Artikel stelle ich die BloodHound Community Edition vor, die im … Weiterlesen

iX 12/2023 – Pentesting mit der Starkiller-GUI

Das Empire Framework wurde 2021 mit einer grafischen Benutzeroberfläche ausgestattet. Die Entwickler um Vincent Rose (Vinnybod) haben dem Framework nun neues Leben eingehaucht, nachdem BC Security das Projekt übernommen hat. Der Sprung auf Version 5.0 sollte eigentlich nur eine verbesserte REST-API bringen, um einige Mängel der ursprünglichen API zu beheben. Es stellte sich jedoch heraus, dass dies umfangreiche Änderungen am Kerncode erforderte. Es folgte eine groß angelegte Umstrukturierung, aus der eine grafische Benutzeroberfläche hervorging. Die Entwickler tauften … Weiterlesen

iX 05/2023 – BadUSB-Stick mit WLAN

Spätestens seit der Sicherheitskonferenz BlackHat im Jahr 2014 ist klar, dass die USB-Schnittstelle an unseren Computern nicht so sicher ist, wie von der Computerindustrie behauptet. Damals zeigten diedrei Sicherheitsforscher Karsten Nohl, Jakob Lell und Sascha Krißler der Weltöffentlichkeit ihre Methode, herkömmliche USB-Geräte mit einer speziellen Firmware zu manipulieren und als Angriffswaffe zu missbrauchen. Kurze Zeit später schossen weitere Ansätze für Keystroke-Injection- Angriffe wie Pilze aus dem Boden. Besonders beliebt waren in diesem Zusammenhang USB-Geräte, die … Weiterlesen

iX 01/2023 – Post-Exploitation für .NET

Wer das englische Wörterbuch bemüht, um das Wort „Covenant“ nachzuschlagen, wird eine Reihe von Übersetzungen finden. Welche Bedeutung der Entwickler Ryan Cobb allerdings im Sinn hatte, wird offenkundig sein Geheimnis bleiben. Hat man sich mit dem Framework aber etwas näher beschäftigt, so wird einem die Aussage Abkommen, Bündnis oder Vertrag hinsichtlich der Kollaborationsfähigkeit der Software plausibel erscheinen.  Auf der Projektseite beschreiben die Entwickler ihre Anwendung als „.Net Command und Control Framework“, das darauf abzielt, die … Weiterlesen

iX – 09/2022 Sliver – ein OS-Framework für Red Teams

Wer den Begriff “Sliver” nachschlägt, wird als deutsche Übersetzung “Splitter” oder “Lichtschein” finden. Vielleicht haben die Entwickler bei der Namensfindung auch an den gleichnamigen US-amerikanischen Spielfilm aus dem Jahr 1993 gedacht. In meinem neusten Artikel erkläre ich, wie Sliver von Read Teams installiert und eingesetzt werden kann. Hierbei handelt es sich um ein plattformübergreifendes Open-Source-Tool, das Sie bei Ihren Penetrationstests unterstützen kann. Besonderen Dank möchte ich dem Team der iX und speziell Ute Roos für … Weiterlesen

Das Post-Exploitation-Framework Empire neu auferstanden – iX 01/2021

Bereits 2015 legte der PowerShell Post-Exploitation Agent Empire offen, wie hoch das Angriffspotential auf Windows-Systeme über die integrierte PowerShell ist. Denn mit Empire können Angreifer PowerShell-Hintergrundprozesse ausführen, ohne dass der Anwender etwas davon merkt. Nicht nur deshalb schätzten Penetrationstester das modular aufgebauten Empire-Framework, sondern auch weil seine Client-Server-Architektur eine verschlüsselte Kommunikation zwischen den einzelnen Komponenten erlaubt. Der in der iX 01/2021 veröffentlichte Artikel beschreibt die neuen Möglichkeiten der dritten Version des Frameworks, das nun mit … Weiterlesen

iX 01/2020 – Postexploitation mit Koadic und Merlin

Post-Exploitation Frameworks sind immer dann gefragt, wenn Penetra­tionstester schon Zugriff auf ein System im Zielnetz haben und von dort aus Angriffe auf weitere Systeme oder Netzwerksegmente durchführen wollen. Dabei müssen Pentester in der Wahl ihrer Mittel und Methoden auf dem neuesten Stand bleiben. Sie lernen nicht zuletzt von den Angreifern und passen ihre Werkzeuge den jeweiligen Gegebenheiten und aktuellen Angriffsszenarien an. In der iX 01/2020 zeigen ich Ihnen, wie sie die Postexploitation Frameworks Koadic und … Weiterlesen

iX 07/19 Rot gegen Blau – Locked Shields 2019

Vielen IT-Sicherheitsspezialisten wird noch unbekannt sein, dass die estnische Hauptstadt Tallinn nicht nur das wirtschaftliche und kulturelle Zentrum des Landes ist, sondern auch einen wesentlichen Beitrag zur Verteidigung im Cyberraum leistet. Die militärischen Führer haben hier das NATO Cooperative Cyber Defence Centre of Excellence (kurz CCDCOE) eingerichtet. Der Beitrag in der iX 07/19 beschreibt die im April 2019 durchgeführte Übung „Locked Shields“. Sie wurde in Kooperation mit den estnischen, finnischen und amerikanischen Streitkräften organisiert und … Weiterlesen

Diese Seite verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Mit der weiteren Verwendung stimmst du dem zu.

Datenschutzerklärung