Eine MS-Office Hintertür mit Merlin

Die in Windows 10 integrierte Sicherheitssoftware Defender kann in vielen Tests sehr gute Ergebnisse vorweisen. Darum braucht sich diese kostenlose Sicherheitslösung vor der Konkurrenz nicht mehr zu verstecken. Die Schutzwirkung kann durchaus mit den Produkten von F-Secure, Kaspersky, Bitdefender, Symantec oder Trend Micro gleichgesetzt werden. Auch ich kann Windows Defender meine Empfehlung aussprechen und setze auf meinen produktiven Windows-Geräten keine zusätzliche kommerzielle Virenschutzsoftware mehr ein.

Es hat ein wenig gedauert, bis Microsoft diesen Entwicklungsstand erreicht hat. In Zukunft müssen sich die Dritthersteller sputen, wenn sie Ihre Produkte noch gewinnbringend an den Mann/Frau bringen wollen. Aus meiner Sicht können Windows 10 Nutzer schon heute mit gutem Gewissen ausschließlich auf den Windows 10 Defender setzen.

Was für Windows 10 Nutzer eine gute Nachricht ist, bereitet Sicherheitsforschern und Penetrationstestern zunehmend Kopfzerbrechen. Sie müssen sich ständig neue Techniken ausdenken, um den Virenschutz von Windows 10 zu umgehen. So hatten sie z.B. noch vor gut einem Jahr mit den Post-Exploitation-Frameworks Veil-Evasion oder Empire die Möglichkeit, Payloads zu erzeugen, die vom Windows Defender nicht erkannt wurden. Auch die diversen Powershell-Payloads werden nun zunehmend enttarnt.

Penetartionstester setzen zunehmend auf eigene Tools bzw. führen neue Techniken ein, um ihre Arbeit erledigen zu können. Ich habe in den zwei vorangegangenen Beiträgen die Post-Exploitation Plattform Merlin vorgestellt. Im ersten Teil ging es vorrangig um die Installation der Software und die Erstellung der Server und Agenten. Im zweiten Teil habe ich gezeigt, wie Sie in Sessions mit den Agenten interagieren und die bereits vorhandenen Module aufrufen können.

In diesem Beitrag zeige ich, wie Sie eine Hintertür in MS-Powerpoint einrichten und eine Session zum Merlin-Server erzeugen. Auch wenn diese Hintertür derzeit für den Windows Defender unsichtbar ist, so wird es wohl nur eine Frage der Zeit sein, bis auch hier eine passende Signatur erstellt wird. Das ewige Katz-und-Maus-Spiel zwischen den Entwicklern von Sicherheitslösungen und den Sicherheitsforschern bzw. Angreifern bleibt somit erhalten.

WeiterlesenEine MS-Office Hintertür mit Merlin

Merlin – Post Exploitation über HTTP/2 (Teil2)

Im ersten Teil habe ich gezeigt, wie Sie Merlin installieren und die derzeit verfügbaren Agenten kompilieren bzw. einsetzen können. In diese zweiten Teil werden Sie weitere Agenten erstellen und sie an Ihre Penetration Testing Umgebung anpassen. Darüberhinaus werden wir Sessions erzeugen und die derzeit vorhandenen Module auflisten.

DLL-Agenten erstellen

Im vorangegangenen Beitrag hatten wir bereits im dritten Schritt eine DLL-Agenten erstellt in einem zufällig generierten Verzeichnis unter data/temp/v0.6.0/ abgespeichert. Um diese DLL aber in Ihrer Umgebung nutzen zu können, müssen Sie die vorhandene Datei main.go für Ihre Zwecke anpassen und sie noch einmal kompilieren. Wechseln Sie dazu in das Verzeichnis cmd/merlinagentdll und ändern die folgende Zeile nach Ihren Wünschen ab. Die Variable „URL“ sollte die IP-Adresse oder den Domainnamen ihres Merlin-Servers und den dazugehörigen Port enthalten.

WeiterlesenMerlin – Post Exploitation über HTTP/2 (Teil2)

Merlin – Post Exploitation über HTTP/2 (Teil1)

Was bedeutet Post Exploitation über HTTP/2 eigentlich? Der HTTP/2-Standard wurde im Mai 2015 verabschiedet. Das Hauptziel war die Vermeidung von Zeitverlusten durch Latenz. HTTP/2 ist vollständig abwärtskompatibel, was die schnelle Verbreitung unterstützt. Die wichtigsten Verbesserungen gegenüber der Vorgängerversion sind:

  • Mit HTTP/2 wird die Kommunikation zwischen Browser und Server über eine einzige Verbindung abgewickelt. Dadurch werden unnötige Datenverbindungen vermieden und höhere Geschwindigkeiten erzeugt.
  • Durch Kompression der Kopfzeilen lassen sich die Header drastisch in der Größe reduzieren. Damit müssen weniger Daten ausgetauscht werden.
  • Eine schnellere Kommunikation zwischen Browser und Server wird erreicht, indem der Server dem Browser bereits Daten schickt, bevor er dieses angefordert hat. Darüber hinaus kann der Browser dem Server mitteilen, welche Daten für ihn wichtiger sind und diese zuerst anfordern.

Die Entwickler des Post Exploitation Frameworks „Merlin“ setzen darauf, dass durch die verwendete TLS-Verschlüsselung die Kommunikation zwischen Server und Agenten im Verborgenen bleibt und auch die derzeit verfügbarer Firewall- und IDS/IPS-Lösungen das neue Protokoll noch nicht verstehen bzw. auswerten können.  Die Kombination aus Verschlüsselung und fehlender Protokollunterstützung soll es ermöglichen, die Inspektionen zu umgehen und „unter dem Radar zu fliegen“.

Die auch als „Command & Control Tool“  bezeichnete Software ist noch in der Entwicklungsphase und liegt derzeit in der Beta-Version 0.6.0 vor. Ähnlich wie das Empire Framework setzt Merlin auf die konsequente Umsetzung der Agent-Server-Strategie. Dabei nutzen die Entwickler Googles Programmiersprache Go. Verschiedene Agenten und Server liegen bereits vor bzw. können selbst kompiliert werden. Wer möchte, der kann die fertiggestellten Post-Exploitation-Module für Windows und Linux sofort einsetzen.

In diesen Beitrag beschreibe ich, wie Sie Merlin herunterladen, installieren und kompilieren. Nachdem wir eine erste Verbindung zwischen Client und Server hergestellt haben, werden ich zeigen, wie Sie die bereits bestehenden Module einsetzen können.

WeiterlesenMerlin – Post Exploitation über HTTP/2 (Teil1)

Bash Bunny – Auslesen von WLAN Passwörtern

Im letzen Beitrag wurde hier der Bash Bunny vorgestellt. Derzeit existieren bereits eine große Anzahl an fertigen Skripten für die verschiedensten Anwendungsbereiche.

Die als Payloads bezeichneten Anwendungen sind in einer Bibliothek zusammengefasst und sollten zunächst auf dem Bash Bunny übertragen werden. Dazu lädt man alle Verzeichnisse als Zip-Datei von github.com herunter und überträgt die ausgepackten Dateien und Verzeichnisse auf den Bash Bunny.

Folgende Dateien und Verzeichnisse sind relevant:

  • docs – Kurzdokumentation (Qick-Reference) mit wichtigen Informationen zu Einstellungen und Nutzung
  • languages – verschieden Spracheinstellungen in Dateiform
  • payloads – wichtige Erweiterungen, alle derzeit verfügbaren Payloads als Bibliothek, Beispielskripte in den Switchen 1 und 2

Im Wurzelverzeichnis kann in der Datei config.txt eine globale Einstellung für die zu verwendende Sprache vorgenommen werden. Für die deutsche Sprache ist hier DUCKY_LANG de einzutragen.

WeiterlesenBash Bunny – Auslesen von WLAN Passwörtern

Bash Bunny – Die weltweit fortschrittlichste Plattform für USB-Angriffe

Der Bash Bunny von Hak5 ist eine fortschrittliche Angriffsplattform für Penetrationstester. Das IT-Gerät emuliert in sekundenschnelle Gigabit-Ethernet und serielle Schnittstellen und kann als Flash-Speicher oder Tastatur an beliebige Hardware angeschlossen werden. Damit eröffnet sich ein breiter Angriffsvektor, der im Post-Exploitation Prozess zur Verteilung von Daten und Exploits bzw.  zur Installation von Hintertüren unabhängig vom Betriebssystem genutzt werden kann.

Mit einem einfachen Umschalter lässt sich der Bash Bunny von Setup-Modus in Angriffsmodus versetzen. Die so mit einer einfachen Skriptsprache  erstellte Datei im Flash-Laufwerk, wird nach Anschluss an einem Computer z.B. in Tastaturbefehle umgewandelt und ausgeführt.  Der jeweilige Zustand des Gerätes bzw. der Angriffsfortschritt sind über ein Multi-Color-LED ablesbar.

Die Hardwareausstattung kann sich für die Größe des Gerätes sehen lassen. So verfügt es über eine Quad-Core-CPU und eine 8 GB SSD der Desktop-Klasse. Der interner RAM-Speicher ist mit  512 MB bemessen.

Bash Bunny technische Daten:

  • Quad-core ARM Cortex A7
  • 32 K L1/512 K L2 Cache
  • 512 MB DDR3 Memory
  • 8 GB SLC NANO Disk

WeiterlesenBash Bunny – Die weltweit fortschrittlichste Plattform für USB-Angriffe