Digispark – die USB Rubber Ducky Alternative (Teil3)

Im ersten Teil des Tutorials wurde beschrieben, wie eine Entwicklungsumgebung für den Digispark unter Window eingerichtet werden kann. Im darauf folgenden Artikel habe ich gezeigt, dass der Digispark einen USB Rubber Ducky ersetzen kann. Auch wenn die Platine viel kleiner ist und längst nicht die Möglichkeiten des Ducky hat, konnten wir den „15 Sekunden Passwort Hack“ mit ihr umsetzen.

Die Platine lässt sich auch für Penetrationstests unter Linux einsetzen, wie das folgende Beispiel zeigen wird. Folgendes Szenario wäre denkbar:

Auf einem Linux System wird Ubuntu mit grafische Oberfläche eingesetzt. Sobald die Platine in eine freie USB-Schnittstelle gesteckt wird, beginnt der PC einen Schadcode vom Angreifer herunterzuladen. Dieser wird auf dem Linux-System ausgeführt damit eine permanente (reverse) Verbindung zum Angreifer hergestellt. Da dieser Verbindung aus verschiedenen Gründen schon mal unterbrochen werden kann, ist eine Schleife eingebaut, die diese Verbindung nach einer vorgegebenen Zeitspanne neu einrichtet. Man hat quasi eine Hintertür (Backdoor) im Linux-System geschaffen, die immer erneuert wird. Egal ob der Angreifer sich im lokalen Netzwerk oder im Internet befindet – er hat immer eine permanente Meterpreter-Verbindung und kann mit den Rechten des angemeldeten Nutzers weitere Befehle ausführen (Post-Exploitation).

Der Angreifer nutzt Kali Linux in der aktuellen Version, das Metasploit-Framework und Apache als Webserver. Auf dem Linux-System wird Ubuntu 16.04 LTS und Unity eigesetzt. Dieses Szenario lässt sich auch mit wenigen Änderungen auf einem Linux-Server einsetzen.

WeiterlesenDigispark – die USB Rubber Ducky Alternative (Teil3)

Metasploit Unleashed – ein kostenloser Kurs

Zugegeben – dieser Kurs wird schon seit längerer Zeit angeboten und ständig aktualisiert. Jetzt präsentiert Offensive Security die umfassendste und aktuellste Version auf ihrer Webseite unter Beteiligung der Autoren des Metasploit Buches von No Starch Press.

Dieser Kurs ist ein idealer Ausgangspunkt für alle, die den Umgang mit dem Metasploit Framework erlernen wollen, ohne viel Geld auszugeben. Die einzelnen Module sind strukturiert aufgebaut und mit Beispielen bestückt, die die Anwendung nachvollziehbar machen.

Gleichzeitig läßt es sich als Referenz für erfahrene Penetrationstester und Sicherheitsexperten nutzen, die einfach nochmal die Syntax der umfangreichen Befehle nachschlagen wollen.

Offensive Security bittet um eine Spende für benachteiligte Kinder in Ostafrika. Schon mit  $ 9,00 kann man ein Kind in dieser Region einen Monat lang ernähren. Jeder Betrag ist willkommen.

 

Veil-Evasion Auxiliary macro_converter

Makro-Viren sind eigentlich ein wenig in die Tage gekommen. Glaubt ihr das wirklich? Im Gegenteil – aktuell  sind wieder verstärkt Angriffe zu verzeichnen. Auch wenn Makros seit geraumer Zeit in Office standartmäßig deaktiviert sind, gibt es viele Nutzer, die diese Anweisungen bzw. Deklarationen weiter nutzen wollen. Viele haben den Standart geändert und Makros wieder aktiviert bzw. lassen sich eine Meldung anzeigen, wenn Makro in einem Office-Dokument enthalten sind. Diese können dann mit einem Mausklick aktiviert werden.

Natürlich erfinden die Angreifer einige Tricks, um die ahnungslosen Nutzer in die Irre zu führen. Hier ist also eine wenig Aufklärung gefragt.

Penetration Tester sind eine andere Gruppe, die diese Makros nutzen, um in die Netzwerke ihrer Kunden „einzubrechen“.  Aber hier geht man im Auftrag  und  strukturiert vor um die Sicherheitsarchitektur des Kunden zu testen. Dabei wendet man gezielt Social Engineering an und versucht den installierten Virenschutz zu umgehen.

Veil-Evasion ist eine Tool, dass gerade bei der Überwindung des Virenschutzes helfen soll und dazu verschiedene  Verschleierungstechniken anwendet. Im November V-Day 2015 wurde  ein Hilfsmittel (Auxiliar) hinzugefügt, mit dem  sich relativ einfach Makros zu diesem Zweck erstellen lassen. Ziel ist es, durch Nutzung des Makros in einem Office Dokument eine (reverse) Netzwerkverbindung vom Opfer-PC zum Angreifer zu errichten und damit vom Virenschutz unbemerkt weitere Befehle auszuführen (Post-Exploitation).

WeiterlesenVeil-Evasion Auxiliary macro_converter

Matasploit-Framework auf Ubuntu 14.04 installieren

Die Installations des Metasploit-Frameworks auf einem Ubuntu-Server kann sich teilweise sehr Komplex sein. Im Netz kursieren diverse Anleitungen, die den Vorgang ausführlich beschreiben und eine Schritt für Schritt Anleitung darstellen sollen. Hier einige Beispiele:

http://samiux.blogspot.com/2015/08/howto-metasploit-framework-on-ubuntu.html
http://www.darkoperator.com/installing-metasploit-in-ubunt/

Für mich hat aber tatsächlich die von Rapid7 selbst herausgegebene Anleitung am Besten funktioniert. Dies zeige ich nun hier Schritt für Schritt;

Zunächst werden einige notwendige Pakete installiert. Dabei ist wichtig, dass man nicht als root arbeitet, sondern sich mit einem alternativen Nutzer anmeldet. Werden administrative Rechte benötigt, so arbeitet man in diesem Fall mit sudo.

WeiterlesenMatasploit-Framework auf Ubuntu 14.04 installieren

Windows Backdoors über Scheduled Tasks einrichten – Fun mit Powershell Teil 3

Welcher Penetrationstester hat folgende Situation noch nicht erlebt:  Man versucht in mühsamer Kleinarbeit einen Windows-Host zu penetrieren. Erst nach mehreren Fehlversuchen konnte die Sicherheitsarchitektur überwunden werden. Jetzt gelingt es, über eine Sicherheitslücke Nutzerrechte auf einem System zu erhalten.  Aber plötzlich bricht aus irgendeinem Grund die Verbindung zum Client zusammen. Auch die Sicherheitslücke kann bis zum nächsten Neustart des Gerätes nicht mehr genutzt werden.  Nach dem Neustart stellt man fest, dass die Lücke bereits gepacht ist und auf diesem Weg keine eindringen mehr möglich ist.

In dieser Situation wäre es schön gewesen, wenn man gleich nach Erlangen der Nutzerrechte eine Hintertür (Backdoor) eingerichtet hätte, die sich in bestimmten Zeitabständen selbstständig beim Angreifer meldet und dabei eine permanente Verbindung aufbaut.  In der Fachsprache wird dies auch als „Persistence“ bezeichnet.

In diesem Beitrag möchte ich zeigen, wie eine Backdoor mittels Veil-Evasion erstellt wird und wie  man „Persistence“ über Windows-Autostart bzw. unter Verwendung  von Scheduled Tasks erzeugt.

WeiterlesenWindows Backdoors über Scheduled Tasks einrichten – Fun mit Powershell Teil 3

Frag doch den Nutzer nach seinem Passwort! – Fun mit Windows Powershell Teil 2

In einem Penetrationstest sind manchmal die einfachsten Angriffe auch die erfolgreichsten. Der eine oder andere hatte vielleicht schon mal die Situation, dass er zwar Zugriff auf einen Windows-PC erlangte, aber ihm auf Grund der zur Verfügung stehenden Rechte, kein erweiteter Zugriff auf das System möglich war. Vielleicht brachten auch alle  Exploits bzw. Techniken nicht den gewünschten Erfolg. In einem solchen Fall könnte man den Nutzer doch einfach nach seinem Passwort fragen.

Wie soll das gehen? Man benötigt auf alle Fälle Zugriff auf das System in Form einer Shell (Meterpreter ist nicht unbedingt erforderlich).  Die Idee ist nun mittels Powershell ein Fenster zu erzeugen, das den Nutzer auffordert seine Nutzerdaten einzugeben. Einverstanden – er wird es möglicherweise versuchen zu schließen ohne etwas einzutragen. Was ist wenn das Fenster  aber immer wieder hoch kommt? Der Nutzer wird irgendwann entnervt aufgeben und etwas eintragen. Das muss erstmal nicht richtig sein. Der Pentester wird aber die eingegebene Daten auf Validität prüfen und bei falschen Angaben nochmal das Fenster bein Nutzer einblenden lassen. Ich persönlich bin der Meinung, dass in dieser Situation eine große Anzahl der Nutzer hier ihren Nutzernamen und Passwort eintragen um endlich in Ruhe weiterarbeiten zu können.

WeiterlesenFrag doch den Nutzer nach seinem Passwort! – Fun mit Windows Powershell Teil 2

Eine Backdoor im Office Dokument – Fun mit Windows Powershell Teil 1

Windows Powershell ist, nicht erst seit kurzem,  ein interessantes Betätigungsfeld für Penetrationstester. Es ist also nicht verwunderlich, dass sich mehr und mehr Nutzer mit dem leistungsfähigen Tool befassen, um ihre Arbeit zu erleichtern und  Abläufe zu automatisieren.

Mit der  auf dem .NET-Framework basierenden Umgebung ist man in der Lage, Behle auf der Kommandozeile ausführen. Darüber hinaus lassen sich die Kommandos, wie aus Unix/Linux bereits bekannt, mit Pipes verknüpfen bzw. zu kurzen Skripten zusammenfassen.

Schon für die Betriebssysteme Windows XP, Windows Server 2003 und Windows Vista bestand die Möglichkeit,  diese Anwendung herunterzuladen und zu nutzen. Seit Windows 7 ist die Version 2.0 vorinstalliert.

Diese standardmäßige Verfügbarkeit macht Windows Powershell  auch für Angreifer interessant.  Für sie bestehen  auf den „Opfer-PC“ komplette Umgebungen, auf denen nur noch die eigenen Skripte gestartet werden müssen.  Virenschutzprogramme  sind  oftmals nicht in der Lage, diesen Programmcode als Schadsoftware zu entlarven.

Vielen  Administratoren ist nicht bewusst, welches Potenzial die Client-PC mit installiertem Windows Powershell besitzen und welche versteckten Gefahren in dieser Anwendung lauern.

Das bereits hier vorgestellte Veil-Framework nutzt Powershell-Skripte  um, in Zusammenarbeit mit dem Metasploit-Framework, Angriffe zu verschleiern bzw. Virenschutzprogramme zu umgehen.

In diesem Blog wird gezeigt, wie man Metasploit-Payload in Office Dokumente einbettet und so eine Backdoor zu einem Windows-System schaffen kann. Wir werden zunächst Payload mit Hilfe des Veil-Frameworks erstellen und diesen dann  in einem Excel-Dokument einbetten.  Hierzu machen wir uns die Makro-Funktionalität von Excel und Windows Powershell zu nutze.

WeiterlesenEine Backdoor im Office Dokument – Fun mit Windows Powershell Teil 1

Lokale Netzwerkangriffe: LLMNR und NBTNS Poisoning

Wenn man Windows-Betriebssysteme in einem Netzwerk nutzt, so sind standardmäßig Link-Local Multicast Name Resolution (LLMNR) und NetBIOS Name Service (NBTNS) aktiviert.

LLMNR ist ein Protokoll, das IPv6 und IPv4-Hosts ermöglicht, eine Namensauflösung benachbarte Computer ohne einen DNS-Server oder DNS-Client-Konfiguration zu gewährleisten.

Das NBTNS Protokoll ist im Grunde dasselbe wie LLMNR aber funktioniert nur auf IPv4-Hosts. Auf Computern unter Windows XP wurden z. B. beim Dienst Datei- und Druckerfreigabe der NetBIOS-Name verwendet. Beim Starten des Computers registrierte dieser Dienst einen eindeutigen NetBIOS-Namen auf der Grundlage des Computernamens.

In einem lokalen Netzwerk senden  Windows-PC Broadcast-Nachrichten aus, wenn sie nach Ressourcen (wie z.B. einer Freigabe auf einem Dateiserver) suchen. In der Regel werden in diesem Zusammenhang die für  den Authentisierungsprozess relevante Daten übermittelt.

Ist ein Angreifer im lokalen Netzwerk in der Lage, sich als eine Ressource auszugeben, so können wichtige Informationen (wie z.B User-ID und eine Challenge/Response Passwort in Form eines Hashwertes abgegriffen werden.

Diese Daten können dann mit Hilfe  verschiedenster Tools (z.B. John the Ripper oder Hashcat) entschlüsselt und für einen Login in den Windows-PC verwendet werden.

WeiterlesenLokale Netzwerkangriffe: LLMNR und NBTNS Poisoning

Adobe Flash Player ByteArray UncompressViaZlibVariant Use After Free

Im Adobe Flash Player 16.0.0.287 und früheren Versionen für Windows und Macintosh wurde eine kritische Sicherheitslücke (CVE-2015-0311) entdeckt und durch Adobe am 22.01.2015 gemeldet. Ein erfolgreicher Angriff könnte zum Absturz der Applikation führen und einem Angreifer die Übernahme des betroffenen Systems ermöglichen.

Rapid7 hat zum Test der Schwachstelle einen Exploit entwickelt, dessen Handhabung ich in diesem Blog kurz vorstellen möchte.

Das nachfolgende Video zeigt wie man den Exploit mit Hilfe einer Ressource-Datei starten kann. Auf dem Testsystem ist Windows 7 und der Internet Explorer installiert. Läuft alles wie geplant, so erhält der Angreifer eine Meterpreter-Session über Port 443.

WeiterlesenAdobe Flash Player ByteArray UncompressViaZlibVariant Use After Free

Backdoor-Factory mit Veil-Evasion und Metasploit nutzen

Bereits im Buch „Penetration Testing mit Metasploit“ bin ich im Kapitel 5.9  auf das folgende Thema eingegangen. Hier wurde  versucht, in das Programm BgInfo.exe von Windows Sysinternals ein Trojanisches Pferd einzubetten. Im folgenden Beitrag möcht ich zeigen, dass sich auch auf diesem Gebiet einiges getan hat und das die Möglichkeiten zur Verschleierung solcher Angriffe immen noch unterschätz werden. Viele Anwender wiegen sich in Sicherheit und hoffen, dass solche Angriffe vom installierten Virenschutzprogramm bzw. der Fierwall erkannt und abgewehrt werden.

Die im Buch beschrieben Methode war recht umständlich und das so erzeugte Trojanische Pferd wurde auch von vielen Virenschutzprogrammen erkannt. Hier wird gezeigt, wie man die Tools Backdoor-Factory und Veil-Evasion nutzen kann, um die Arbeit eines Penetration Testers zu erleichten.

WeiterlesenBackdoor-Factory mit Veil-Evasion und Metasploit nutzen