Security-Tools – Das Metasploit-Framework (Teil 3)

Metasploit als Remote-Control-Tool und Backdoor einsetzen

11.01.2010 | Autor / Redakteur: Marcell Dietl / Stephan Augsten

Das Metasploit-Framework lässt sich nahezu unbemerkt auch auf entfernten Systemen ausführen.
Das Metasploit-Framework lässt sich nahezu unbemerkt auch auf entfernten Systemen ausführen.

Moderne Spionage über das Internet kostet Unternehmen und Regierungen jährlich mehrere Milliarden Euro. Um wertvolle Informationen zu sammeln, versuchen Angreifer möglichst unentdeckt zu bleiben. Mit Metasploit lassen sich derartige Szenarien realistisch simulieren, um gezielt Strategien zur Abwehr zu entwickeln.

Anfang des Jahrzehnts galten Computerwürmer als größte Gefahr im Internet. Die Autoren von Viren wie MyDoom, Netsky und Bagle bekämpften sich gegenseitig und versuchten sich durchzusetzen. Ihnen ging es vor allem um ihr eigenes Ego. Doch den Autoren moderner Würmer ist Geld wichtiger geworden, als bloße Sabotage.

Das von kanadischen Forschern entdeckte „Ghostnet“ passt in keine der beiden Kategorien. Es umfasste nur wenige hundert Rechner, von denen sich jedoch viele in sensiblen Institutionen befanden; vorwiegend Botschaften und Ministerien asiatischer Länder. Einige Experten sprechen daher vom ersten – aufgedeckten – politisch motivierten Botnetz.

Um über einen langen Zeitraum unentdeckt zu bleiben und erlangte Rechte zu erweitern, bedienen sich Angreifer verschiedener Taktiken. Zum einen gibt es passive Techniken wie das Lesen der Tastatureingaben oder des Datenstroms. Bei Veränderungen an Log-Einträgen oder anderen relevanten Stellen gehen sie hingegen aktiv vor.

Metasploit bietet viele Funktionen, um ein derartiges Szenario realistisch abzubilden. Obwohl es nicht zu diesem Zweck entwickelt wurde lässt es sich problemlos zum Remote Administration Tool (RAT) umfunktionieren, um konzeptionelle Schwachstellen aufzudecken.

Metasploit als eigenständigen Payload versenden

Je mehr Verbindungen bei einem Sicherheitstest von außen in das interne Netz aufgebaut werden, desto größer ist die Gefahr entdeckt zu werden. Um diesem Problem beizukommen, entwickelte Rob Fuller das deploymsf-Plugin. Dieses kleine Ruby-Skript lässt sich lokal abspeichern und über die Metasploit-Konsole nutzen. Als Eingabe erwartet es eine auf Cygwin basierende Version des Frameworks.

Je nach Größe der exe-Datei generiert das Plugin einen Payload, der zwischen 5 und 13 MB umfasst und auf ein bereits infiltriertes System übertragen wird. Gelingt das Starten des enorm großen Codes, öffnet sich das vertraute Eingabefenster (Prompt) der MSF-Konsole.

Mit einer minimalen Anzahl an offenen Verbindungen steht dem Tester so der komplette Funktionsumfang von Metasploit zur Verfügung. Diese Technik zum Kompromittieren weiterer Instanzen aus einer bereits vorhandenen wird als „Pivoting“ bezeichnet.

Um derart riesige Payloads zu vermeiden, empfehlen die Entwickler jedoch den Einsatz von Routing-Tabellen. Diese werden – unabhängig vom System – innerhalb des Frameworks gesetzt. Voraussetzung ist mindestens eine offene Verbindung zu einem anderen System, auch als „Session“ bezeichnet. Diese dient anschließend als Sprungbrett in das andere Subnetz.

Seite 2: Spuren verwischen und forensische Analysen erschweren

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2042782 / Schwachstellen-Management)