Kali Linux nach Installation anpassen

Die Distribution Kali Linux ist kürzlich in der Version 2018.4 erschienen. Die Software ist auf Sicherheits- und Penetrationstests von IT-Systemen spezialisiert. Derzeit sind über 600 Tools integriert.  Das von Offensive Security betriebene Open-Source-Projekt richtet sich überwiegend an professionelle Anwender, wird aber auch zunehmend von privaten Anwendern genutzt.

Kali Linux basiert auf Debian und lässt sich leicht installieren. Downloads sind für verschiedene Hardwareversionen und Architekturen verfügbar. Zusätzlich stellt Offensive Security virtuelle Umgebungen von Kali Linux für VMware und VirtualBox zum Herunterladen bereit.

In diesen Beitrag zeige ich, wie man in neun Schritten die Sicherheit dieser Distribution erhöht, Einstellungen anpasst und einige nützliche Werkzeuge hinzufügt.

WeiterlesenKali Linux nach Installation anpassen

USB-Angriffe auf einem Windows-System erschweren

Normalerweise arbeitet jeder Nutzer auf einem Windows System mit Benutzerrechten. Sobald eine Anwendung erweiterte Berechtigungen benötigt, wird ein Dialogfeld angezeigt. Hier muss der Nutzer nun bestätigen, dass das aufgerufene Programm mit administrativen Rechten ausgeführt werden kann. Im Gegensatz zu einem Linux-Betriebssystem sieht Windows standardmäßig hierfür nur ein Ja/Nein Abfrage vor.

Diesen Umstand machen sich nun die diversen BadUSB-Geräte, wie Rubber Ducky, Bash Bunny, Digispark oder MalDuino zu Nutze. Auf dieser Webseite werden Sie viele Beispiele finden, in denen dieser Zustand ausgenutzt wird. Mit einem kurzen Skript lassen sich so administrative Rechte auf Windows-PCs  erlangen.

In diesem Beitrag zeige ich, wie Sie Ihr System mit einer kleinen Änderung in der Windows-Registry vor diesen Angriffen dauerhaft schützen können.

WeiterlesenUSB-Angriffe auf einem Windows-System erschweren

Antivirus-Evasion in Metasploit 5

Es ist ein ständiges Katz-und-Maus-Spiel, das sich die Entwickler von Virenschutzlösungen und Penetrationstester liefern. Die Zeiten, in denen Antiviruslösungen auf rein signaturbasierenden Prüfungen setzten, sind längst vorbei. Moderne Programme verfügen über verhaltens- und cloudbasierte Erkennungen, Heuristik und Sandboxen.

Aus Sicht der Penetrationstester gibt es mehrere Ansätze, um Virenschutzlösungen zu umgehen. In der Vergangenheit flossen diese Techniken in Programme wie z.B. Veil-Evasion, msfvenom (Metasploit Framework) und dem Empire Framework ein.

Wer sich umfassend mit der Materie befasst wird feststellen, dass der Defender in Windows 10 die Erkennungsrate deutlich erhöht hat. Auch die früher so einfach durchzuführenden Angriffe mittels Powershell laufen immer öfter ins Leere. In vielen Fällen wird schon der erzeugte Payload vom Defender als Schadcode eingestuft und nicht ausgeführt.

Mit Metasploit 5 läutet Rapid7 in diesem Wettkampf eine neue Runde ein. In der Betaversion des Frameworks stellen die Entwickler ein neues Modul vor, dass bekannte Techniken mit neuen Ansätzen kombiniert. So wird die zukünftige Version einen C Compiler enthalten, der direkt aus Metaploit aufgerufen werden kann. Außerdem wird der so erzeugte Quellcode nach dem Zufallsprinzip generiert, verschlüsselt und mit weiteren Verschleierungstechniken angereichert.

Die so generierte Windows PE- Datei (.exe) lässt sich  sofort auf dem Zielsystem einsetzen und mit den bekannten Payloads (z.B. Meterpreter) und Ressource-Dateien kombinieren.

In diesem Beitrag zeige ich, wie Sie Metasploit 5 in der Beta-Version installieren und das neue Module anwenden.

WeiterlesenAntivirus-Evasion in Metasploit 5

Was wissen Google und Apple über mich?

Damit wir uns nicht falsch verstehen – ich bin auch begeisterter Nutzer von Apple und Google und deren Produkten. Wie selbstverständlich legen heutzutage Nutzer Accounts bei diesen Firmen an und nutzen diese täglich. Jedem ist zumindest bekannt, dass die Firmen Interesse daran haben, Nutzerdaten aufzuzeichnen bzw. zu speichern. Viele Daten werden auch dazu verwendet, um die Funktionalität von Programmen aufrechtzuerhalten bzw. die angebotenen Dienste zu verbessern.  Natürlich lässt sich mit diesen Daten auch Geld verdienen, was unschwer am Beispiel von Google zu erkennen ist.

Der Begriff des „gläsernen Nutzers“ ist fast jedem ein Begriff. Vielen Internet-Usern ist aber trotzdem nicht bewusst, welchen Spuren sie heutzutage im Internet hinterlassen.

Für viele Anwender wird es immer schwerer zu überblicken, was aufgezeichnet wird und welche Daten wie verwendet werden. Ich muss ehrlich zugeben, dass ich sehr erstaunt darüber war, was in meinem Account bei Google alles aufgezeichnet und über Monate hinweg gespeichert war.  Der Dienst hatte die Browserverläufe, die Suchhistorie, die genutzten Geräte, die Profildaten, Sprachnachrichten und Standorte aufgezeichnet.

Klar ist alles in den Nutzerbestimmungen von Google und Co. festgelegt. Sie stimmen ausdrücklich der Nutzung der Daten zu, wenn Sie sich für diesen Dienst entscheiden.

Ich lege jedem Leser aber trotzdem ans Herz, diese Daten mal einzusehen. Vielleicht fassen Sie ja auch den Entschluss, diese Daten zu löschen bzw. die Sammelwut einzudämmen.

In diesem Beitrag zeige ich Ihnen, wie Sie die gespeicherten Daten bei Apple und Google einsehen und ggf. löschen.

WeiterlesenWas wissen Google und Apple über mich?

Windows Defender abschalten

Die Windows Defender Antivirus-Features wurden in der Vergangenheit ständig verbessert. Der mittels Metasploit-Framework (Msfvenom) erstellte Payload, wird in der Regel zuverlässig erkannt. Für Penetrationstester und Red Teams wird es zunehmend schwerer, den in der Cloud bereitgestellten Schutz einschließlich der verhaltensbasierenden/heuristischen Erkennung zu umgehen.

Für Administratoren existieren eine Reihe von Möglichkeiten, um Windows Defender zu administrieren und die Software den eigenen Anforderungen anzupassen.

Angreifer versuchen zunehmend ihre vorhanden Payloads so abzuändern, dass sie einer Prüfung wiederstehen können. Hier wenden sie neue Methoden für die Verschlüsselung des Codes bzw. des Datenverkehres aber auch der absichtlichen Veränderung von Programmcode (Obfuskation) an.

In diesem Beitrag beschreibe ich, wie Sie mit Hilfe des USB-Rubber-Ducky und Digispark den Windows Defender in Windows 10 abschalten können. Voraussetzung ist, dass der Angreifer/ Penetrationstester lokal Zugang zum Opfer-PC hat und der verwendete Nutzer administrative Rechte auf dem lokalen System besitzt. Dieser Angriff sollte somit in zentral administrierten Netzwerken nicht zum Erfolg führen, da hier der reguläre Nutzer seine Rechten nicht so einfach mit Hilfe der Benutzerkontensteuerung (UAC) eskalieren kann.

In der Literatur und im Internet lassen sich mehrere Möglichkeiten finden, um den Windows Defender abzuschalten. Für dieses Beispiel habe ich die Möglichkeit mittels PowerShell gewählt.

Zur Konfiguration der Windows-Defender Scans und Updates existieren eine Reihe von Parametern, die im Windows IT Pro Center eingesehen werden können. Die hier aufgeführten Optionen sind selbsterklärend.

WeiterlesenWindows Defender abschalten

Kali Linux und Metasploit minimalistisch

Vielleicht ist es dem einen oder anderen schon mal passiert. Man möchte schnell etwas testen und hat keine passende virtuelle Maschine bei der Hand bzw. möchte an den vorhandenen nichts ändern um später ein Snapshot aufspielen zu müssen.

Für solche Situationen nutze ich gern eine leichte Kali-Installation in einer VM ohne viel Schnickschnack. Die Entwickler von Kali Linux stellen dafür eine ISO-Datei bereit, die mit ca. 900 MB recht schlank ausfällt. Ein vollwertiges Installation-Image  umfasst zum Vergleich mehr als 3 GB.

Im Gegensatz zur Vollversion enthält Kali-Light nur wenige Pakete und kommt mit XFCE als grafische Oberfläche aus.

Selbst diese GUI benötige ich in vielen Fällen nicht, da ich mit ssh auf die virtuelle Maschine zugreifen und alles im Terminal erledigen kann.

Im folgenden Beitrag werde ich zeigen, wie man Kali-Light in einer virtuellen Maschine ohne grafische Oberfläche  einrichtet und das Metasploit-Framework installiert.

WeiterlesenKali Linux und Metasploit minimalistisch

IoT-Scanner von Rapid7 – Testen Sie ihr Netzwerk!

In diesen kurzen Beitrag möchte ich zeigen, wie Sie in Ihrem eigenen Netzwerk herausfinden können, ob Sie IoT-Geräte verbunden haben, die das Standardpasswort des Herstellers verwenden und somit potenziell anfällig für eine feindliche Übernahme sind.

Dadurch können Sie vermeiden, unfreiwillig an einem Denial-of-Service-Angriff beteiligt zu sein oder für ein Botnet missbraucht zu werden.

Das kostenlose Tool von Rapid7 arbeitet auf der Basis von Perl und ist für Linux und Mac verwendbar.

Den Scanner installieren und einrichten

Ich habe das Tool unter Linux 16.04 LTS getestet. Es benötigt Perl und einige Perl-Pakete, die vorher installiert werden müssen. Nutzen Sie für die vorgeschlagenen Werte um die erforderlichen Pakete einzurichten.

git clone https://github.com/rapid7/IoTSeeker.git
cd IOTSeeker
cpan AnyEvent::HTTP Data::Dumper JSON
									

Das Netzwerkes kann nach folgendem Beispiel geprüft werden:

 iotScanner.pl 192.168.178.1-192.168.178.254
									

Quelle: Rapid7

Packet Squirrel (Teil3) Passive Monitoring

Bei Passive Monitoring wird der Datenverkehr in einem Netzwerk aufgezeichnet und analysiert, ohne dadurch zusätzlichen Verkehr zu erzeugen. Dabei werden interessante Inhalte mitgeschnitten und extern gespeichert.

Der Packet Squirrel eignet sich hervorragend für unser Experiment, da er sowohl die notwendige Hardware als auch Software mitbringt.

Wir werden in diesem dritten Teil der Artikelserie Programme aus der DSniff-Suite einsetzen, um Login-Daten, Passwörter bzw. Inhalte aus E-Mails, Instant-Messaging- und Chat-Programme aufzuzeichnen.

Vorher möchte ich aber folgendes klarstellen: Natürlich werden mehr und mehr Programme eingesetzt, die eine Verschlüsselung des Datenverkehrs im Netzwerk ermöglichen. Hiermit sollte es für jeden Sniffer schwer sein, relevante Login-Daten bzw. Passwörter mitzulesen. Erfahrene Penetrationstester wissen aber auch, dass sich das Mitschneiden eines Datenstroms über einen bestimmten Zeitraum in jedem Fall auszahlen kann. Neben den fortgeschrittenen Technologien kommen immer wieder veraltete Protokolle zum Einsatz, die die Daten unverschlüsselt übermitteln.
Wie werden folgende Programme auf dem Packet Squirrel einsetzen:

WeiterlesenPacket Squirrel (Teil3) Passive Monitoring

Packet Squirrel (Teil 1) Inbetriebnahme

Das für Administratoren, Penetrationstester und Ethical Hacker gleichmaßen interessante Tool bezeichnet Hak5 kurz als „Pocket sized man-in-the-middle“.

Wer es ausprobieren möchte, der kann es zum Beispiel hier oder hier erwerben.

Dieser Beitrag zeigt, wie man den Packet Squirrel von Hak5 zum ersten Mal  in Betrieb nimmt, ein Firmware-Upgrade durchführt und eine Verbindung  per ssh herstellt.

WeiterlesenPacket Squirrel (Teil 1) Inbetriebnahme