Howto Archive - Seite 11 von 13

Symantec Antivirus für Linux testen

23/08/201617/02/2014

In den ersten beiden Teilen habe ich gezeigt, wie man Symantec AntiVirus für Linux auf einem Ubuntu-Server installieren und aktualisieren kann.

Im dritten und letzten Teil wollen wir nun den Virenschutz auf dem Ubuntu-Server testen. Dazu erstellen wir uns drei Dateien, die „Trojanische Pferde“ enthalten. Dabei werden zwei Dateien (trojan.pdf und trojan.bin) mit dem Metasploit-Framework und eine (trojan.exe) mittels des Veil-Frameworks angelegt.

Da der Virenschutz mit „Auto-Protect“ Funktion versehen ist, sollte im Idealfall keine Datei auf das Zielsystem gelangen und sofort eliminiert werden.

Virenschutz auf Ubuntu-Server 12.04.4 64bit installieren-Teil2

21/03/201616/02/2014

Im ersten Teil des Beitrages haben wir den Virenschutz auf einem Linux-Server installiert. Nun wird gezeigt wie man die Virendefinitionen aktuell halten kann.

Virendefinitionen aktualisieren

Wenn man Symatec Antivirus für Linux erfolgreich installiert hat, findet man im Verzeichnis /opt/Symantec/virusdefs veraltete Virendefinitionen. Für unseren Test wollen wir diese erst mal auf den aktuellen Stand bringen. Dafür werden wir zwei verschiedene Methoden einsetzen:

Java LiveUpdate
Intelligent Updater

Um Java Live Update nutzen zu können, müssen wir zuerst Oracle Java auf dem Linux-Server installieren.

Virenschutz auf Ubuntu-Server 12.04.4 64bit installieren-Teil1

21/03/201616/02/2014

Jetzt werden sich einigen Leser fragen: „Warum soll ich Virenschutz auf einem Linux-Server installieren?“. Wenn man bedenkt, dass Linux-Server z.B. als Fileserver eingesetzt werden und hier möglicherweise auch Windows-Dateien gespeichert sind, macht eine regelmäßige automatische Überprüfung durchaus Sinn. In diesen Beitrag möchte ich die Installation eines Virenschutzes auf einem Linux-Sever erläutern. Als Linux-Distribution wird Ubuntu 12.04.4 LTS und als Virenschutz Symantec AntiVirus für Linux verwendet.

In diesem ersten Teil des Beitrages werden wir den Virenschutz auf dem Server installieren und im zweiten Teil zeigen, wie die Virendefinitionen aktualisiert werden können.

Metasploit Virustotal Checks

23/08/201619/01/2014

Das Metasploit-Framework und die Software Veil haben nun Möglichkeiten implementiert, selbst erstellte oder mit Schadcode versehene Dateien über den Dienst „VirusTotal“ zu untersuchen. Durch diesen Test kann geprüft werden, ob die Virenschutzprogramme der verschiedenen Hersteller die übersandte Datei als Malware einstuft oder nicht.

Die Abfrage ist unter Voraussetzung einer Internetverbindung über die Kommandozeile möglich. Dabei nutzen beide Programme die API von VirusTotal. Dabei ist eine unterschiedliche Herangehensweise bei der Übermittlung von Daten an diesen Dienst zu beobachten.

Das Metasploit-Framework übermittelt die gesamte Datei an VirusTotal und erhält eine konkrete Aussage, ob in der übermittelten Software Schadcode erkannt wurde und wie diese vom jeweiligen Hersteller bezeichnet wird. In den Nutzerbedingungen von VirusTotal ist festgelegt, dass sie diese Dateien weitergeben und verwenden dürfen. Es ist somit nicht auszuschließen, dass Daten an die jeweiligen Firmen zur weiteren Analyse weitergeleitet werden.

ATT Mobile Hotspot WPA Cracking

23/08/201606/01/2014

Vor nicht zu langer Zeit hatte ich die Gelegenheit einen mobilen Hotspot von AT&T zu testen. Er ist mit einer SIM-Karte ausgestattet. Der Nutzer ist somit in der Lage, die über WLAN mit dem Hotspot verbundenen Geräte an das schnelle mobile Internet (LTE) anzubinden.

Das Gerät wird standartmäßig mit einer WPA2-Verschlüsselung ausgeliefert. Das generierte Passwort bestand allerding nur aus acht Ziffern. Mir fiel auf, dass kaum ein Nutzer diese Standartwerte änderte und fast alle mit dem werkseitig generierten Passwort ins Internet gingen.

Für mich stellte sich nun die Frage, mit welcher Sicherheit die Nutzer nun unterwegs sind und wie lange ein Angreifer braucht, um dieses Passwort herauszubekommen.

Mit Veil Virenschutz umgehen

27/01/201422/12/2013

Die Entwickler um Chris Truncer haben es sich zur Aufgabe gemacht, Virenschutz zu umgehen. Dies soll Penetrationstestern helfen ihre Tools und Programme einzusetzen, ohne dass das sie daran von auf dem Client PC installierten Virenschutzprogramme gehindert werden. Dies hilft die eigentlichen Sicherheitslücken auf Systemen und in Netzwerken zu erkennen und zu eliminieren.

Mit dem Metasploit-Framework sind Penetrationstester in der Lage, Payloads zu erzeugen und Exploits zu entwickeln. In der Vergangenheit wurden aber die mit diesem Framework erzeugten Payloads von den diversen Virenschutzprogrammen nach und nach erkannt.

Mit der Software Veil (engl. für Schleier) ist der Anwender nun in der Lage, Payloads in Form von Skripten oder ausführbaren Dateien zu erzeugen, die von Virenschutzprogrammen nicht mehr so leicht zu erkennen sind. Die Entwickler finden immer neuere Techniken, um ihr Ziel durchzusetzen.

Die Software ist in Python programmiert und kann in Kali Linux genutzt werden. Der nachfolgende Beitrag erklärt die Einrichtung der aktuellen Version. Außerdem werden Payloads erstellt, die dann auf einem Windows 7 PC mit installiertem Virenschutz (McAffee) getestet werden.

Kali-Linux unter VirtualBox einrichten

29/10/201717/03/2013

Kali-Linux lässt sich problemlos unter VirtualBox einrichten. Bei der Installation der Guest-Edition muss man allerdings einiges beachten. Zunächst richtet man Kali-Linux unter VirtualBox als neue virtuelle Maschine ein. Eine gute Anleitung findet man z.B. hier.

Bei der Installation wird man aufgefordert das root Passwort einzugeben. Nach dem Neustart meldet man sich als root an und sollte als erstes die Guest-Edition von VirtualBox einrichten. Hier geht man wie folgt vor.

Starten sie zunächst die Gastinstallation mittels klick auf Ändern – Gasterweiterung installieren. Nun wird die notwendige Software als CD-Image bereitgestellt.

Schwachstelle im UPnP-Dienst

04/02/201303/02/2013

Üblicherweise wird Universal Plug and Play (UPnP) zur Ansteuerung von Geräten im lokalen Netzwerk genutzt. Dies können sowohl Audio-Geräte als auch Drucker, Router, NAS-Geräte bzw. Haushaltssteuerungen sein. Mit diesem Protokoll lassen sich Steuerbefehle über ein IP-basierendes Netzwerk austauschen und somit die Kommunikation zwischen den einzelnen Geräten komfortabel und ohne großen Konfigurationsaufwand gestalten.

Normalerweise stellt dieser Dienst in einem lokalen Netzwerk kein Problem dar. Problematisch wird es aber, wenn diese Geräte nicht nur auf Anfragen aus dem lokalen Netz antworten, sondern auch aus dem Internet.

Rapid7 fand bei eigenen Recherchen heraus, dass über 80 Millionen Geräten (sie sprechen von einzelnen IP-Adressen) über das Internet erreichbar sind. Betroffen sind davon laut Rapid7 Geräte von über 1500 Herstellern. Darunter fallen z.B. D-Link, Fujitsu, Huawei, Logitech, Netgear, Siemens, Sony, TP-Link und Zyxel. Bislang sollen Geräte von AVM (z.B. FritzBox) und der Deutschen Telekom nicht betroffen sein.

Somit bekommen potenzielle Angreifer die Gelegenheit, vorhandene Schwachstellen der Firmware der einzelnen Geräte auszunutzen und so möglicherweise in das lokale Netzwerk einzudringen.

Etwa 40 bis 50 Millionen Geräte sollen nach Rapid7 mit UPnP-Schwachstellen behaftet sein. Viele wurden schon in den letzten 12 Jahren entdeckt und diskutiert. Trotzdem setzen viele Hersteller die fehlerhafte Software als Firmware in ihren Produkten ein bzw. empfanden es nicht als notwendig, die Fehler zu beseitigen.

Backtrack 5 R3 – Metasploit und GitHub

19/01/201318/01/2013

Die Metasploit-Entwickler nutzen schon seit etwa einem guten Jahr GitHub als Plattform zur Verwaltung des Quellcodes. Alle Anwender konnten aber weiterhin SVN nutzen. Dies hat aber in der letzten Zeit immer wieder zu Problemen geführt. Nutzer von Backtrack 5 R3 werden beim nächsten Upgrade des Systems automatisch auf das Git-System umgestellt.

Virtalbox und phpvirtualbox updaten

18/01/201308/01/2013

Im Buch habe ich den Aufbau einer Testumgebung mittels Virtualbox und phpvirtualbox beschrieben. Dabei wurde Ubuntu 10.04 LTS Lucid mit einem Apache Webserver und PHP5 genutzt. Hier möchte ich das Upgrade auf die aktuelle Version von Virtualbox (im Moment 4.2) und phpvirtualbox (4.2.4) kurz beschreiben.

In einem ersten Schritt werden die bereits installierten Programmpakete aktualisiert und danach die neue Version von Virtualbox installiert. Da wir bereits das Virtualbox-Reposity in das Quellverzeichnis aufgenommen haben (siehe Buch Seite 9), sollte auch die neue Version über den apt-get Befehl verfügbar sein.

apt-get update
apt-get upgrade
apt-get install virtualbox-4.2

Der VirtualBox Extension Pack sollte nun auch erneuert werden. Das Herunterladen und die Installation sollte wie folgt erledigt werden:

cd /home
http://download.virtualbox.org/virtualbox/4.2.6/Oracle_VM_VirtualBox_Extension_Pack-4.2.6-82870.vbox-extpack
VBoxManage extpack install  --replace Oracle_VM_VirtualBox_Extension_Pack-4.2.6-82870.vbox-extpack

Als nächstes wird die aktuelle Version von phpvirtualbox in das home-Verzeichnis heruntergeladen.

cd /home/
wget http://phpvirtualbox.googlecode.com/files/phpvirtualbox-4.2-4.zip