Im Februar 2023 beobachtete ein Forschungsteam des Zscaler ThreatLabz eine Kampagne gegen eine Regierungsorganisation, bei der die Angreifer ein neues Framework namens Havoc einsetzten. Die Software ist ein quelloffenes und hoch entwickeltes Command-and-Control-Framework (C2-Framework), das als Alternative zu kostenpflichtigen Optionen wie Cobalt Strike und Brute Ratel angesehen wird. Es beherrscht verschiedene Umgehungstechniken wie indirekte Syscalls und Sleep Obfuscation und ist damit in der Lage, auch die Sicherheitsmechanismen aktueller Windows- Versionen zu umgehen. Zurzeit befindet sich das Framework noch in einer heißen Entwicklungsphase, hauptverantwortlich ist der junge Entwickler 5pider.
In dieser zweiteiligen Artikelserie beschreibe ich, wie das Havoc Framework in einer Red-Team-Kampagne oder einem Penetrationstest zum Einsatz kommen kann. Dieser erste Teil beschäftigt sich mit der Installation, dem Aufbau und dem grundsätzlichen Umgang mit Listenern, Payloads und Modulen.
Im Heft 05/2024 erscheint der zweite Teil des Artikels. Dieses Tutorial gibt einen Überblick über die Möglichkeiten, die Havoc in einem kompromittierten System bietet.