:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Überblick zu Metasploit Metasploit macht jeden zum Hacker
Wie bauen Angreifer eigentlich ihre Attacken? Das Metasploit-Framework liefert eine Antwort. Das vielseitige Werkzeug erlaubt das Erstellen von Angriffspaketen, samt passender Payloads zur Attacke auf unterschiedlichste Ziele.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Das Erstellen von Angriffen ist die große Kunst der digitalen Kriegsführung. Von Hand ist das enorm komplex, aber wie bei den vielen anderen Programmierprojekten gibt es Hilfe durch Frameworks. In diesem Fall ist es Metasploit, ein unglaublich vielseitiges und mächtiges Werkzeug. Selbst Anfänger können damit in kurzer Zeit digitale Angriffe erstellen und sich in Systeme hacken. Eine Metasploit-Attacke besteht im Grunde aus drei Komponenten: Dem Exploit, der Zugang zum System verschafft, der Payload, die nach dem erfolgreichen Angriff nachgeladen wird und aus den Post-Modulen, die definieren, was nach der Attacke geschieht. Wie in einem Baukasten lassen sich verschiedene Angriffe über das Framework zusammenfügen, je nachdem, was man gerade benötigt.
Der große Vorteil von Metasploit ist, dass auch die Nutzer der kostenlosen Community-Version Zugriff auf die Datenbank mit Exploits erhalten. Diese ist gut gefüllt, selbst Angriffe wie Eternalblue lassen sich mit wenigen Klicks integrieren. Der Hersteller Rapid7 hat einen sehr guten Guide, der durch Installation und die ersten Schritte führt. Eine kleine Anmerkung für Kali-Nutzer: Vor dem ersten Start von Metasploit muss die Postgresql-Datenbank gestartet werden. Das geht über den Befehl “service postgresql start”. Über die Eingabe von “ss -ant” lässt sich verifizieren, ob die Datenbank gestartet wurde. Die Metasploit-Datenbank selbst wird mit “msfdb init” geladen.
:quality(80)/images.vogel.de/vogelonline/bdb/1256000/1256024/original.jpg "Welche Möglichkeiten und Tools Kali Linux für Sicherheitsüberprüfungen bietet, zeigen wir in diesem Tool-Tipp und in 90 Sekunden im Video. (cendeced - stock.adobe.com)")
Tool-Tipp: Kali Linux
Mit Kali Pentests durchführen und Sicherheitslücken finden
MSFconsole: Die Zentrale des Frameworks
Das Herzstück von Metasploit ist die MSFconsole. Über diese lassen sich alle Funktionen steuern, Angriffe starten und die Datenbank administrieren. In die Konsole kommt man über die Eingabe “msfconsole”. Anschließens startet ein kurzer Check, ob alle wichtigen Komponenten verfügbar sind. Nach der Begrüßung durch eine wechselnde Willkommensgrafik erhält man den Eingabe-Prompt, davor sollte “msf” stehen. Eine Übersicht zu allen Kommandos liefert der Befehl “help”. Über “exit” oder “quit” kann man die Konsole wieder verlassen.
Grundsätzlich ist die Bedienung ziemlich intuitiv. Module jeder Art werden über “use” und danach den Pfad zum Modul geladen. Woher bekommt man aber das passende Modul? Dabei hilft die Suchfunktion “search”. Diese ist ebenfalls sehr intuitiv zu nutzen und besteht aus “search Such-Operator:Suchbegriff”. Alternativ lassen sich Module und Exploits in der Datenbank von Rapid7 suchen und den Pfad anschließend in Metasploit übernehmen.
Auxiliary: Kleine Helfer
Bevor man an die eigentliche Attacke geht, braucht man ein Ziel. Diese kann man über jedes beliebige Tool in Kali finden alternativ lassen sich Opfer direkt aus Metasploit herausfinden. Dazu kommen zahlreiche andere Funktionen, etwa lässt sich der Netzwerk-Scanner nmap direkt innerhalb von Metasploit starten. Zusätzlich gibt es Scanner für Ports, für SMB und viele andere Anwendungsfälle.
:quality(80)/images.vogel.de/vogelonline/bdb/1359300/1359357/original.jpg "Kali Linux bringt alles mit, um Netzwerke auf Herz und Nieren abzuklopfen. (Offensive Security)")
Kali Linux Workshop, Teil 2
Informationen sammeln mit Kali Linux
Exploits: Einbruchswerkzeug
Richtig spannend wird es mit den Exploits. Diese sind die klassischen, fertigen Angriffspakete, die rund um bekannte Sicherheitslücken gebaut wurden. Ein Klassiker in Windows XP ist beispielsweise MS08-067, eine SMB-Lücke, die direkten Zugang zur Konsole in Windows liefert. Eine andere gute Wahl gegen Windows-Systeme ist MS17-010, die Eternalblue-Attacke. Neben der Suchfunktion lassen sich Exploits auch über den Befehl “Show Exploits” anzeigen lassen. Zu jedem Eintrag gibt es eine Wertung, etwa normal, good, great oder excellent. Dieser beschreibt, wie wertvoll eine Attacke ist. Über den Befehl “use” sowie den Pfad zum Exploit lädt man den Angriff. Ist ein Exploit geladen, lassen sich zahlreiche neue Optionen. “Show Targets” etwa zeigt, gegen welche Ziele ein Angriff taugt. “Show Payloads” zeigt die Payloads, die dieses Exploit unterstützt. “Show Options” gibt alle möglichen Optionen aus, “Show Evasion” zeigt Möglichkeiten, wie eine Entdeckung verhindert werden kann. Je nach Exploit müssen Ziel-Host und andere Daten eingeben werden.
Payload: Was tun auf dem Ziel?
Ist der Exploit gewählt, geht es jetzt um die Payload. Wie oben erwähnt zeigt “Show Payloads” alle kompatiblen Payloads. Grundsätzlich gibt es mehrere verschiedene Versionen: Inline, Stager oder Meterpreter. Inline ist eine einzelne Payload, die direkt nach der Attacke geladen wird. Stager lädt die Daten Stück für Stück nach und baut dabei eine Verbindung zum Angreifer auf. So lassen sich speziell auf das Zielsystem zugeschnittene Funktionen nachladen. Ein Sonderfall ist Meterpreter. Das ist im Grunde eine Shell auf dem Zielsystem, mit der unglaublich viele Funktionen möglich sind. Der Unterschied zu andren Exploits ist vielleicht so am einfachsten erklärt: Inline- oder Stager-Payloads sind automatisiert und weisen dem gehackten Ziel eine bestimmte Funktion zu. Meterpreter schafft dem Angreifer eine vielseitige Basis, von der aus er weitere Systeme in diesem Netzwerk attackieren kann.
Egal welche Payload man wählt, über den Befehl “set” und den Pfad zur Payload wird die entsprechende Ladung ausgewählt. Alternativ kann Metasploit auch selbst eine Payload automatisiert wählen. Sobald alle Entscheidungen getroffen wurden, müssen die Ziele via “set RHOST” definiert werden. Sind alle Einstellungen erledigt, lässt sich der Angriff per “exploit” auslösen.
Post: Nach dem Angriff
Sobald das jeweilige System infiltriert ist, kommen die Post-Module zum Einsatz. Diese regeln, was nach der Infektion geschieht. Meterpreter bringt dabei zahlreiche Funktionen mit, alternativ lassen sie sich auch einzeln nachladen. Dazu gehören etwa Keylogger zum Mitschneiden von Eingaben oder Module, die das Netzwerk nach weiteren Zielen durchsuchen.
Fazit
Dieser Beitrag kratzt lediglich an der Oberfläche von Metasploit. Die Datenbank mit Modulen ist riesig, ständig kommen neue hinzu. Außerdem muss man weder fertige Exploits noch Payloads nehmen, sondern kann beides selbst schreiben. Meterpreter ist ein Tool, das selbst fast eine komplette Artikelserie rechtfertigt. Was Metasploit aber enorm gut macht: Es nimmt die Einstiegshürde für digitale Attacken und entzaubert Hacking ein wenig. Mit etwas IT-Wissen hat man in wenigen Stunden das erste System gehackt (natürlich eins unter der eigenen Kontrolle). Es eignet sich auch dazu, Vorgesetzten zu zeigen, wie einfach solche Attacken sind. Wer mehr zu der Lösung lernen will, sollte die Videos von Rapid7 ansehen und vielleicht eins der vielen Bücher zu Metasploit lesen.
Hinweis: Mit Metasploit ist man schnell im illegalen Bereich. Angriffe sollte man nur gegen Systeme durchführen, die man selbst kontrolliert - etwa in einem virtualisierten Testnetzwerk.
(ID:45221792)
:quality(80)/images.vogel.de/vogelonline/bdb/1950200/1950260/original.jpg "Für zwei der Sicherheitslücken, die Microsoft zum April-Patchday 2022 schließt, sind Exploits für Windows schon öffentlich bekannt und werden bereits ausgenutzt! (Microsoft)")
:quality(80)/images.vogel.de/vogelonline/bdb/1917400/1917476/original.jpg "In diesem Video-Tipp zeigen wir, wie man mit der PowerShell Patches herunterladen, installieren, deinstallieren und anzeigen kann. (Alexander Limbach - stock.adobe.com)")