Merlin – Post Exploitation über HTTP/2 (Teil1)

Was bedeutet Post Exploitation über HTTP/2 eigentlich? Der HTTP/2-Standard wurde im Mai 2015 verabschiedet. Das Hauptziel war die Vermeidung von Zeitverlusten durch Latenz. HTTP/2 ist vollständig abwärtskompatibel, was die schnelle Verbreitung unterstützt. Die wichtigsten Verbesserungen gegenüber der Vorgängerversion sind:

  • Mit HTTP/2 wird die Kommunikation zwischen Browser und Server über eine einzige Verbindung abgewickelt. Dadurch werden unnötige Datenverbindungen vermieden und höhere Geschwindigkeiten erzeugt.
  • Durch Kompression der Kopfzeilen lassen sich die Header drastisch in der Größe reduzieren. Damit müssen weniger Daten ausgetauscht werden.
  • Eine schnellere Kommunikation zwischen Browser und Server wird erreicht, indem der Server dem Browser bereits Daten schickt, bevor er dieses angefordert hat. Darüber hinaus kann der Browser dem Server mitteilen, welche Daten für ihn wichtiger sind und diese zuerst anfordern.

Die Entwickler des Post Exploitation Frameworks „Merlin“ setzen darauf, dass durch die verwendete TLS-Verschlüsselung die Kommunikation zwischen Server und Agenten im Verborgenen bleibt und auch die derzeit verfügbarer Firewall- und IDS/IPS-Lösungen das neue Protokoll noch nicht verstehen bzw. auswerten können.  Die Kombination aus Verschlüsselung und fehlender Protokollunterstützung soll es ermöglichen, die Inspektionen zu umgehen und „unter dem Radar zu fliegen“.

Die auch als „Command & Control Tool“  bezeichnete Software ist noch in der Entwicklungsphase und liegt derzeit in der Beta-Version 0.6.0 vor. Ähnlich wie das Empire Framework setzt Merlin auf die konsequente Umsetzung der Agent-Server-Strategie. Dabei nutzen die Entwickler Googles Programmiersprache Go. Verschiedene Agenten und Server liegen bereits vor bzw. können selbst kompiliert werden. Wer möchte, der kann die fertiggestellten Post-Exploitation-Module für Windows und Linux sofort einsetzen.

In diesen Beitrag beschreibe ich, wie Sie Merlin herunterladen, installieren und kompilieren. Nachdem wir eine erste Verbindung zwischen Client und Server hergestellt haben, werden ich zeigen, wie Sie die bereits bestehenden Module einsetzen können.

WeiterlesenMerlin – Post Exploitation über HTTP/2 (Teil1)

Antivirus-Evasion in Metasploit 5

Es ist ein ständiges Katz-und-Maus-Spiel, das sich die Entwickler von Virenschutzlösungen und Penetrationstester liefern. Die Zeiten, in denen Antiviruslösungen auf rein signaturbasierenden Prüfungen setzten, sind längst vorbei. Moderne Programme verfügen über verhaltens- und cloudbasierte Erkennungen, Heuristik und Sandboxen.

Aus Sicht der Penetrationstester gibt es mehrere Ansätze, um Virenschutzlösungen zu umgehen. In der Vergangenheit flossen diese Techniken in Programme wie z.B. Veil-Evasion, msfvenom (Metasploit Framework) und dem Empire Framework ein.

Wer sich umfassend mit der Materie befasst wird feststellen, dass der Defender in Windows 10 die Erkennungsrate deutlich erhöht hat. Auch die früher so einfach durchzuführenden Angriffe mittels Powershell laufen immer öfter ins Leere. In vielen Fällen wird schon der erzeugte Payload vom Defender als Schadcode eingestuft und nicht ausgeführt.

Mit Metasploit 5 läutet Rapid7 in diesem Wettkampf eine neue Runde ein. In der Betaversion des Frameworks stellen die Entwickler ein neues Modul vor, dass bekannte Techniken mit neuen Ansätzen kombiniert. So wird die zukünftige Version einen C Compiler enthalten, der direkt aus Metaploit aufgerufen werden kann. Außerdem wird der so erzeugte Quellcode nach dem Zufallsprinzip generiert, verschlüsselt und mit weiteren Verschleierungstechniken angereichert.

Die so generierte Windows PE- Datei (.exe) lässt sich  sofort auf dem Zielsystem einsetzen und mit den bekannten Payloads (z.B. Meterpreter) und Ressource-Dateien kombinieren.

In diesem Beitrag zeige ich, wie Sie Metasploit 5 in der Beta-Version installieren und das neue Module anwenden.

WeiterlesenAntivirus-Evasion in Metasploit 5

Virenschutz umgehen mit Phantom-Evasion

Phantom Evasion ist ein in Python geschriebenes interaktives Werkzeug, mit dem Virenschutzprogramme umgangen werden können. Mit Hilfe von verschiedenen Techniken und des Programms msfvenom des Metasploit Frameworks, lassen sich so verschiedene Payloads erzeugen. Somit wird Penetrationstestern ein Werkzeug an die Hand gegeben, mit dem sie polymorphen Code erstelle bzw. Sandbox-Umgebungen „austricksen“ können. Ab der Version 1.1 enthält das Programm einen „Post-Exploitation“ Anteil. Hiermit lässt sich z.B. auf einem Zielsystem dauerhaft Schadcode platzieren.

In diesem Blogeintrag werde ich die Installation von Phantom Evasion auf Kali Linux erläutern.

Abhängigkeiten installieren

Der Autor hat das Tool so programmiert, dass es hervorragend mit der Kali Linux zusammenarbeitet und dort beim ersten Programmstart automatisch eingerichtet wird. Folgende Programme und Bibliotheken sollten installiert sein:

• Metasploit-Framework
• mingw-64
• gcc
• apktool
• strip
• wine
• zipalign
• ibc6-dev-i386

WeiterlesenVirenschutz umgehen mit Phantom-Evasion

Veil in Kali Linux mittels GitHub installieren

Das Veil-Framework besteht derzeit aus folgenden Projekten:

  • Veil-Catapult
  • Veil-Evasion
  • Veil-Pillage
  • Veil-PowerView

Die einzelnen Komponenten lassen sich nun vollständig in Kali Linux mittels GitHub integrieren. Das Herunterladen und die Installation der notwendigen Abhängigkeiten kann je nach verfügbarer Bandbreite etwas Zeit in Anspruch nehmen.

cd /usr/share/
git clone https://github.com/Veil-Framework/Veil
cd Veil
./update.sh
apt-get install winbind
									

Update: 04.02.2015

apt-get  install winbind
cd /usr/share/
git clone https://github.com/Veil-Framework/Veil
cd Veil
./Install.sh -c