MS-Powerpoint Backdoor mit Empire Framework

Das Empire-Framework wurde erstmalig dem interessierten Publikum auf der IT-Security Konferenz BSides im August 2015 in Las Vegas vorgestellt.

Das Werkzeug setzt das  Konzept von sogenannten „Listeners“, „Stagers“ und „Agents“  konsequent um. Alle zusammen schaffen die Möglichkeit Windows-Systeme zu penetrieren. Dabei kommt eine verschlüsselte Verbindung zum Nutzer und eine flexiblen Architektur zur Anwendung.

Die Installation ist in Kali Linux mit wenigen Befehle erledigt:

cd /opt
git clone https://github.com/PowerShellEmpire/Empire.git
cd Empire
./setup/install.sh
./empire

									

Das folgende Video zeigt wie ein „Stager“ als Makro erzeugt und in ein MS-Powerpoint-Dokument eingebettet werden kann. Erstaunlich ist, dass der installierte Virenschutz das Dokument nicht als Virus erkennt und die entsprechenden Aktivitäten danach nicht als Angriff interpretiert. Letztendlich führt dies zur Eskalation der Rechte und gleichzeitig zur Ermittlung des Nutzerpasswortes.

Schreibe einen Kommentar