PenTesters Framework auf Ubuntu MATE installieren

Das PenTesters Framework (PTF) ist eine von David Kennedy  in der Programmiersprache Python geschriebene Anwendung, die vorrangig für Debian und Ubuntu-Systeme entwickelt wurde. Mit Hilfe dieses Werkzeuges lassen sich verschiedene Tools für Penetrationstests in Verzeichnissen zusammenfassen und aktualisieren.

Das so zusammengetragene Toolset vereinigt regelmäßig eingesetzte Werkzeuge (Module) in einer zentralen Umgebung, die sich für die eigene Nutzung erweitern lassen.

Für einen ersten Test werden wir PTF in einer virtuellen Umgebung auf einem Ubuntu-MATE-System (64 bit) installieren.

WeiterlesenPenTesters Framework auf Ubuntu MATE installieren

Windows Keylogger mittels Word Makro und Empire

Vor fast genau einem Jahr hatte ich gezeigt, wie man mittels des „Empire Frameworks“ ein Makro erzeugen und in MS-Powerpoit einbinden kann.

Mich hat heute interessiert, ob diese Methode bereits von Virenschutzprogrammen aktuell erkannt und ein Angriff damit automatisch verhindert wird. Als Testkandidat habe ich Symantec Endpoint Protection gewählt.

Die Installation von „Empire“ auf Kali Linux erfolgte mittels git ohne Probleme. Mittlerweile sind dort zwei „Stager“ („macro“ und „scrambled_macro“) vorhanden, mit denen Makros erzeugt werden können.

Der Stager „macro“ erzeugt ein VBA Skript, dass in MS-Office Dokumente eingebunden werden kann. „Scrambled_macro“ ist eine weiterentwickelte Variante. Durch Obfuscation wird versucht, den Programmcode schwer verständlich oder unlesbar zu machen.  Virenschutzprogramme sollen dadurch getäuscht bzw. in Ihrer Arbeit behindert werden.

Wer mehr über das Empire Framework erfahren will, den empfehle ich meine Artikelserie in der iX 05/2016, 06/2016 und 07/2016.

Tatsächlich fiel auf, dass die mit beiden Methoden erstellten Makros, durch den Virenschutz aktuell erkannt werden.

WeiterlesenWindows Keylogger mittels Word Makro und Empire

Veil-Evasion Auxiliary macro_converter

Makro-Viren sind eigentlich ein wenig in die Tage gekommen. Glaubt ihr das wirklich? Im Gegenteil – aktuell  sind wieder verstärkt Angriffe zu verzeichnen. Auch wenn Makros seit geraumer Zeit in Office standartmäßig deaktiviert sind, gibt es viele Nutzer, die diese Anweisungen bzw. Deklarationen weiter nutzen wollen. Viele haben den Standart geändert und Makros wieder aktiviert bzw. lassen sich eine Meldung anzeigen, wenn Makro in einem Office-Dokument enthalten sind. Diese können dann mit einem Mausklick aktiviert werden.

Natürlich erfinden die Angreifer einige Tricks, um die ahnungslosen Nutzer in die Irre zu führen. Hier ist also eine wenig Aufklärung gefragt.

Penetration Tester sind eine andere Gruppe, die diese Makros nutzen, um in die Netzwerke ihrer Kunden „einzubrechen“.  Aber hier geht man im Auftrag  und  strukturiert vor um die Sicherheitsarchitektur des Kunden zu testen. Dabei wendet man gezielt Social Engineering an und versucht den installierten Virenschutz zu umgehen.

Veil-Evasion ist eine Tool, dass gerade bei der Überwindung des Virenschutzes helfen soll und dazu verschiedene  Verschleierungstechniken anwendet. Im November V-Day 2015 wurde  ein Hilfsmittel (Auxiliar) hinzugefügt, mit dem  sich relativ einfach Makros zu diesem Zweck erstellen lassen. Ziel ist es, durch Nutzung des Makros in einem Office Dokument eine (reverse) Netzwerkverbindung vom Opfer-PC zum Angreifer zu errichten und damit vom Virenschutz unbemerkt weitere Befehle auszuführen (Post-Exploitation).

WeiterlesenVeil-Evasion Auxiliary macro_converter