PenTesters Framework auf Ubuntu MATE installieren

Das PenTesters Framework (PTF) ist eine von David Kennedy  in der Programmiersprache Python geschriebene Anwendung, die vorrangig für Debian und Ubuntu-Systeme entwickelt wurde. Mit Hilfe dieses Werkzeuges lassen sich verschiedene Tools für Penetrationstests in Verzeichnissen zusammenfassen und aktualisieren.

Das so zusammengetragene Toolset vereinigt regelmäßig eingesetzte Werkzeuge (Module) in einer zentralen Umgebung, die sich für die eigene Nutzung erweitern lassen.

Für einen ersten Test werden wir PTF in einer virtuellen Umgebung auf einem Ubuntu-MATE-System (64 bit) installieren.

WeiterlesenPenTesters Framework auf Ubuntu MATE installieren

Windows Keylogger mittels Word Makro und Empire

Vor fast genau einem Jahr hatte ich gezeigt, wie man mittels des „Empire Frameworks“ ein Makro erzeugen und in MS-Powerpoit einbinden kann.

Mich hat heute interessiert, ob diese Methode bereits von Virenschutzprogrammen aktuell erkannt und ein Angriff damit automatisch verhindert wird. Als Testkandidat habe ich Symantec Endpoint Protection gewählt.

Die Installation von „Empire“ auf Kali Linux erfolgte mittels git ohne Probleme. Mittlerweile sind dort zwei „Stager“ („macro“ und „scrambled_macro“) vorhanden, mit denen Makros erzeugt werden können.

Der Stager „macro“ erzeugt ein VBA Skript, dass in MS-Office Dokumente eingebunden werden kann. „Scrambled_macro“ ist eine weiterentwickelte Variante. Durch Obfuscation wird versucht, den Programmcode schwer verständlich oder unlesbar zu machen.  Virenschutzprogramme sollen dadurch getäuscht bzw. in Ihrer Arbeit behindert werden.

Wer mehr über das Empire Framework erfahren will, den empfehle ich meine Artikelserie in der iX 05/2016, 06/2016 und 07/2016.

Tatsächlich fiel auf, dass die mit beiden Methoden erstellten Makros, durch den Virenschutz aktuell erkannt werden.

WeiterlesenWindows Keylogger mittels Word Makro und Empire

Digispark – die USB Rubber Ducky Alternative (Teil4)

In den vorangehenden Beiträgen wurde gezeigt, wie man mit Hilfe des Attiny85 Mikrocontrollers „Digispark“ Penetrationstests unter Windows und Linux durchführen kann. Auch unter macOS Sierra lässt sich die Platine einsetzen. Folgendes Szenario wäre denkbar:

Bei Einstecken des Digispark in eine freie USB-Schnittstelle in einem Mac werden alle Dokumente eines bestimmten Ordners an den Angreifer per E-Mail übermittelt.

Wenn man AppleScript als Hilfsmittel verwendet, lässt sich unser Szenario relativ leicht umsetzen. Es setzt voraus, dass der Mac über eine Verbindung ins Internet verfügt. Zunächst wird das Skript von Webserver des Angreifers heruntergeladen, dann ausgeführt und die gefundenen Dokumente schließlich per E-Mail übermittelt.

WeiterlesenDigispark – die USB Rubber Ducky Alternative (Teil4)

Digispark – die USB Rubber Ducky Alternative (Teil3)

Im ersten Teil des Tutorials wurde beschrieben, wie eine Entwicklungsumgebung für den Digispark unter Window eingerichtet werden kann. Im darauf folgenden Artikel habe ich gezeigt, dass der Digispark einen USB Rubber Ducky ersetzen kann. Auch wenn die Platine viel kleiner ist und längst nicht die Möglichkeiten des Ducky hat, konnten wir den „15 Sekunden Passwort Hack“ mit ihr umsetzen.

Die Platine lässt sich auch für Penetrationstests unter Linux einsetzen, wie das folgende Beispiel zeigen wird. Folgendes Szenario wäre denkbar:

Auf einem Linux System wird Ubuntu mit grafische Oberfläche eingesetzt. Sobald die Platine in eine freie USB-Schnittstelle gesteckt wird, beginnt der PC einen Schadcode vom Angreifer herunterzuladen. Dieser wird auf dem Linux-System ausgeführt damit eine permanente (reverse) Verbindung zum Angreifer hergestellt. Da dieser Verbindung aus verschiedenen Gründen schon mal unterbrochen werden kann, ist eine Schleife eingebaut, die diese Verbindung nach einer vorgegebenen Zeitspanne neu einrichtet. Man hat quasi eine Hintertür (Backdoor) im Linux-System geschaffen, die immer erneuert wird. Egal ob der Angreifer sich im lokalen Netzwerk oder im Internet befindet – er hat immer eine permanente Meterpreter-Verbindung und kann mit den Rechten des angemeldeten Nutzers weitere Befehle ausführen (Post-Exploitation).

Der Angreifer nutzt Kali Linux in der aktuellen Version, das Metasploit-Framework und Apache als Webserver. Auf dem Linux-System wird Ubuntu 16.04 LTS und Unity eigesetzt. Dieses Szenario lässt sich auch mit wenigen Änderungen auf einem Linux-Server einsetzen.

WeiterlesenDigispark – die USB Rubber Ducky Alternative (Teil3)

Digispark – die USB Rubber Ducky Alternative (Teil2)

Im ersten Teil dieses Tutorials wurde gezeigt, wie man eine „Enwicklungsumgebung“ für die Mikrocontroller-Entwicklungsplatine Digispark unter Windows einrichtet. Nun wollen wir die kleine Platine für Penetrationstests einsetzen.

Derzeit ist eine Header-Datei verfügbar, die alle Tastenkombinationen und Befehle enthält. Leider wird derzeit nur eine US-Tastatur unterstützt. Um die Platine für den deutschspachigen Raum nutzbar zu machen, kann man aber einen kleinen Trick anwenden.

Die zur Verfügung stehende Skriptsprache unterscheidet sich zwar etwas vom Duckyscript, ist aber ähnlich leicht zu verstehen und einzusetzen. Hier einige wichtige Befehle:

Tasten- und Tastenkombinationen:
DigiKeyboard.sendKeyStroke(KEY_V)
DigiKeyboard.sendKeyStroke(KEY_R, MOD_GUI_LEFT)
DigiKeyboard.sendKeyStroke(KEY_M, MOD_GUI_LEFT | MOD_SHIFT_LEFT)
DigiKeyboard.sendKeyStroke(KEY_DELETE, MOD_ALT_RIGHT | MOD_CONTROL_LEFT)

Eingabe von Zeichenketten:
DigiKeyboard.println(„mspaint“)

Verzögerungen in Millisekunden:
DigiKeyboard.delay(5000)

WeiterlesenDigispark – die USB Rubber Ducky Alternative (Teil2)

Linux Cryptsetup Schwachstelle

Die Sicherheitsforscher Hector Marco & Ismael Ripoll von der Cybersecurity Group der Polytechnischen Universität Valencia haben eine schwerwiegende Schwachstelle entdeckt, die  root-Zugriffe auf  verschlüsselte Linux-Systeme ermöglichen. Betroffen sind u.a. Debian, Ubuntu, Fedora und deren Ableger.

Durch eine Lücke in Cryptsetup erhält man bei mehrmaliger falscher Passwort-Eingabe Zugriff auf eine einfache Nutzerumgebung  mit eingeschränkten administrativen Rechten. In dieser BusyBox-Shell können  zahlreiche Linux-Befehle ausgeführt werden, die sich u.a. zu einer Rechterweiterung missbrauchen lassen.

Eine detaillierte Beschreibung der unter CVE-2016-4484 aufgeführten Schwachstelle findet man hier. Um das Problem zu beseitigen  können Anwender ihr System so konfigurieren, dass es nach der Eingabe von mehreren falschen Passwörtern den Bootprozess unterbricht. Das notwendige Vorgehen kann hier nachgelesen werden.

WeiterlesenLinux Cryptsetup Schwachstelle

Der 15 Sekunden Passwort-Hack

Der USB Rubber Ducky ist seit längerer Zeit auf dem Markt und kann im Online Shop bestellt werden. Das Team um Darren Kitchen hat mittlerweile  viele Anwendungsmöglichkeiten  erschlossen und die dazugehörigen  Skripte ins Netz gestellt. Aktuell wird eine Methode beschrieben, die Passwörter aus Windows-PC ausliest und an einen Webserver übermittelt. Das Team ist stolz, dass die „Gummiente“  in der US-Serie „Mr. Robot“  Einzug gehalten hat. Aus diesem Grund wurde ein Blogeintrag erstellt, der Schritt für Schritt einen möglichen Angriff auf Stand-Alone PC/Laptops aufzeigt. Der „Passwort-Hack“ soll innerhalb von 15 Sekunden abgeschlossen sein.

Dies ist Grund genug ein wenig tiefer in die Materie einzusteigen. Hier wird Schritt für Schritte erläutert, wie das Skript funktioniert und welche Einschränkungen es gibt.

WeiterlesenDer 15 Sekunden Passwort-Hack

Persistent Backdoor für Windows 10

Hat man erst mal Zugriff auf ein Windows-System erlangt, so lassen sich darüber auch andere Geräte im Netzwerk erkunden. Was ist aber, wenn die Verbindung plötzlich abbricht? Im diesen Fall vorzubeugen, sollte man über „Persistent Backdoors“ nachdenken und sie in der Phase der Post-Exploitation in den Penetrationstest einbauen. Wie dies mit dem Empire-Framework gelingen kann, zeigt das nachfolgende kurze Video.

In diesem speziellen Fall hat der Angreifer bereits eine Verbindung zum Windows-System (Windows 10) hergestellt. Genau genommen ist es eigentlich umgekehrt – auf dem Opfer-PC wurde ein PowerShell-Skript ausgeführt, dass eine Verbindung zum Angreifer initiiert. Zu diesem Zweck wurde der Stager launcher_bat aus dem Framework genutzt.

Um die Backdoor im Windows 10 zu erstellen, wird das Modul persistent/userland/registry eingesetzt. Wie schon der Name andeutet, wird ein zusätzlicher Eintrag in der Windows-Registry angelegt, der  nach einem Neustart des PC und Login des gleichen Nutzers ein PowerShell-Skript ausführt. Damit wird wieder eine Verbindung zum Angreifer hergestellt.

Das Video zeigt auch, wie mit dem Parameter Cleanup dieser Eintrag wieder gelöscht werden kann. Dazu ist einfach das Modul nochmals auszuführen und vorher die Option Cleanup auf true zu setzen.

Bemerkenswert ist außerdem, dass zum Einrichten der Backdoor keine administrativen Rechte auf dem Windows-System benötigt werden und Windows-Defender keine verdächtigen Aktivitäten erkennt.

WeiterlesenPersistent Backdoor für Windows 10

USB-Rubber-Ducky Payload mit dem Empire-Framework erzeugen

In diesem kurzen Beitrag werde ich zeigen, wie man mit Hilfe des Empire-Frameworks Payload für den USB-Rubber-Ducky erzeugen kann. Den nachfolgenden Angriff auf mein ThinkPad konnte der Virenschutz, in diesem Fall Avast Free, nicht verhindern.

Das folgende Video zeigt, wie zunächst eine Listener und danach mit dem Befehl usestager ein Payload für den USB-Rubber-Ducky erzeugt wird. Das so gefertigte Skript wird als inject.bin Datei auf dem Ducky gespeichert.

Mein ThinkPad musste für den ersten Versuch herhalten. Das Skript wurde ohne Probleme in der Windows-Konsole ausgeführt. Danach meldete sich ein neuer „Agent“ in der textbasierenden Oberfläche des Empire-Frameworks . Mit den dort vorhandenen Modulen konnte ich erfolgreich die Rechte eskalieren und die Passwörter auslesen.

Eins habe ich hier gelernt: „Lass deinen PC nicht eine Minute unbeabsichtigt bzw. ungesichert irgendwo stehen!

WeiterlesenUSB-Rubber-Ducky Payload mit dem Empire-Framework erzeugen

MS-Powerpoint Backdoor mit Empire Framework

Das Empire-Framework wurde erstmalig dem interessierten Publikum auf der IT-Security Konferenz BSides im August 2015 in Las Vegas vorgestellt.

Das Werkzeug setzt das  Konzept von sogenannten „Listeners“, „Stagers“ und „Agents“  konsequent um. Alle zusammen schaffen die Möglichkeit Windows-Systeme zu penetrieren. Dabei kommt eine verschlüsselte Verbindung zum Nutzer und eine flexiblen Architektur zur Anwendung.

Die Installation ist in Kali Linux mit wenigen Befehle erledigt:

cd /opt
git clone https://github.com/PowerShellEmpire/Empire.git
cd Empire
./setup/install.sh
./empire

									

Das folgende Video zeigt wie ein „Stager“ als Makro erzeugt und in ein MS-Powerpoint-Dokument eingebettet werden kann. Erstaunlich ist, dass der installierte Virenschutz das Dokument nicht als Virus erkennt und die entsprechenden Aktivitäten danach nicht als Angriff interpretiert. Letztendlich führt dies zur Eskalation der Rechte und gleichzeitig zur Ermittlung des Nutzerpasswortes.

WeiterlesenMS-Powerpoint Backdoor mit Empire Framework