Gut und Böse liegen manchmal nah beieinander. Sicherheitsexperten nutzen Grey-Hat-Werkzeuge zur Überprüfung von Computern und Netzwerken. Doch auch Cyberkriminelle schätzen diese wirkungsvollen Instrumente –Beispiele einer missbräuchlichen Nutzung sind etwa MegaCortex- und Snatch-Ransomware.
Grey Hat Tools sind Software-Kits, die oft von Penetration-Testern oder Red Teams genutzt werden, um Attacken mit gutartigen Payloads zu erzeugen und so die Sicherheit von Computer und Netzwerk zu testen.
In den meisten Bereichen des Lebens existiert zwischen Schwarz und Weiß auch noch ein Graubereich. Und so gibt es auch bei der Malware-Erkennung eine Grauzone, die etwa Hacking-Tools, schlecht gestaltete oder leicht ausnutzbare Anwendungen oder auch fragwürdige Adware umfasst. Zahlreiche Apps, die in diese Grauzone fallen, schädigen nicht direkt System oder Anwender, aber allein die Gegenwart dieser Dateien auf einem Computer kann den gesamten Sicherheitszustand schwächen. Das wiederum vermag andere Attacken zu erleichtern. Einige Tools öffnen zusätzliche Kommunikationswege, beinhalten ungewollte Hintertüren oder machen es Übeltätern schlichtweg einfacher, Module von nicht vertrauenswürdigen Quellen herunterzuladen und auszuführen, oder sogar neue ausnutzbare Software-Fehler einzubauen.
Normalerweise warnt Anti-Viren-Software den Nutzer, wenn sie Dateien entdeckt, die in diese Grauzone fallen, also nicht per se Schadsoftware sind, aber dieser nutzen können. Manchmal lässt die Sicherheitssoftware auch zu, dass man die Erkennung unterdrückt, wenn ein Administrator das damit verbundene Risiko für akzeptabel hält.
Grey Hat Tools sind Software-Kits, die oft von Penetration-Testern oder so genannten Red Teams genutzt werden, um Attacken mit gutartigen Payloads zu erzeugen und so die Sicherheit von Computer und Netzwerk zu testen.
Die Mehrheit der Grey-Hat-Werkzeuge versucht, Payloads einer bestimmten ausführbaren Datei, eines Shellcodes oder eine Skriptsprache zu verschleiern, um der Erkennung durch Antiviren-Software zu entgehen. Andere Grey-Hat-Tools können Bibliotheken mit gängigen Exploit-Techniken, Keylogging, Anti-Debugging-Techniken oder Code zur Erkennung einer Sandbox, virtuellen Umgebung oder Befehlsemulation bereitstellen. Einige Tools helfen lediglich bei der Erleichterung der Kommunikation mit einem Command -and-Control-Server (C2), indem sie ein Framework für die Client-Server-Kommunikation mit einem bestimmten Angriffsziel bieten.
Die meisten dieser Kits sind frei erhältlich und werden auf Community Source Control Repositories wie GitHub und SourceForge veröffentlicht. Andere sind kommerziell erhältlich und werden von professionellen Pentestern zur Durchführung von Sicherheitsaudits angeboten. Diese Art von Tools haben oft einen Haftungsausschluss, wie die Software zum Testen von Computer- oder Netzwerk-Sicherheit zu nutzen ist. Und zwar von jemanden, der für diese Aufgabe vom PC- oder Netzwerk-Besitzer beauftragt ist. Die Entwickler der Tools übernehmen keine Verantwortung für jegliche unrechtmäßige Nutzung ihrer Komponenten.
Kriminelle verwenden ebenfalls Grey Hat Tools
Diese Kits werden auch von Cyberkriminellen eingesetzt, um Schadsoftware zu entwickeln oder zu aktivieren. Während eine große Menge an mittelmäßiger Malware diese Grey-Hat-Produkte unverändert nutzt – Fachterminus „out of the box“ – gibt es auch kreative Entwickler, die die bestehenden Tools modifizieren, um ihre Fähigkeiten zu erweitern oder es für Sicherheitssoftware noch schwieriger zu machen, diese zu entdecken.
Diese Art von (kriminellen) Nutzern scheren sich wenig um die verschiedenen Lizenzvereinbarungen, Rechte an geistigem Eigentum oder die oben genannten Vorgaben der Tool-Entwickler zum bestimmungsgemäßen Gebrauch.
Es ist sehr wichtig, dass Sicherheitslösungen die Systeme vor Angriffen schützen, die diese Tools ermöglichen, denn sie werden in einer Vielzahl von Attacken verwendet. Zunehmend wichtig für Sicherheitsprodukte ist auch, nicht nur die spezifische Attacke zu identifizieren, die vom originalen Tool-Kit verwendet wird, sondern auch eine umfassende Erkennung zu entwickeln, die die in der Angriffskette verwendeten Methoden oder Techniken generisch identifizieren kann. Auf diese Weise kann ein Analyst einen Weg finden, die Variationen der Methoden zu erkennen, die unweigerlich folgen, sobald Kriminelle beginnen, ein bestimmtes Werkzeug mit grauem Hut zu benutzen.
Die Mehrheit der Grey Hat Tools verwendet eine der wenigen Kernwerkzeuge, um den initialen Shellcode, die Payloads oder die Komponente zu generieren, die dann von einem sekundären Werkzeug weiterverwendet werden Dies führt zu einer Abhängigkeitskette, in der Werkzeug A eine Voraussetzung für Werkzeug B ist.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die drei von den SophosLabs beobachteten, beliebtesten Core Tools.
(Bild: Sophos)
Einige Grey Hat Tools installieren eine gesamte Reihe anderer Grey-Hat-Werkzeuge, um verschiedene Methoden zu verknüpfen oder unterschiedliche Typen von Code-Verschleierung zu schichten. Diese gängigen erforderlichen Komponenten nennen wir Core Tools.
Das nebenstehende Diagramm zeigt die von den SophosLabs beobachteten drei beliebtesten Core Tools und den Prozentsatz der Core-Tool-Erkennungen in Kundenumgebungen, die Signatur-Elemente enthalten, die mit diesem Tool erzeugt wurden oder von diesem Tool inspiriert wurden.
Metasploit
Von den Kernwerkzeugen sind Komponenten, die als Teil des Metasploit-Frameworks entstanden sind, das bei weitem häufigste Werkzeug im Grey Hat Werkzeugkasten. In in 73 Prozent der Fälle, in denen wir bei einer Infektion die Verwendung Art von Grey Hat Tools entdeckt und verboten haben, kam es zum Einsatz.
Die Gründe für die Beliebtheit sind:
Es ist frei erhältlich, und vorinstalliert in Kali Linux Distributionen.
Es beinhaltet SDK ähnliche Komponenten (MSFVenom), die von anderen Werkzeugen aufgerufen werden können, um die Generierung von angepasstem Shellcode zu erleichtern.
Es enthält eine modulare Meterpreter-Komponente, die in andere Tools gepackt werden kann und es Angreifern ermöglicht, Metasploit selbst als C2-Server zu verwenden.
Cobalt Strike
Cobalt Strike ist das drittliebste Core Tool mit vielen ähnlichen Funktionen wie Metasploit. Wir haben Cobalts Komponenten in echter Schadsoftware angetroffen, aber da es keine open source ist und nur an die Pentester-Community direkt verkauft wird, ist es wahrscheinlich schwieriger für die Grey Hat Anbieter, seine Komponenten in Derivaten zu verwenden.
Ein Beispiel für eine Cobalt-Komponenten Attacke ist die MegaCortex Ransomware, die ein Beacon enthält, das zur Rückverbindung mit einem Cobalt-Strike-Server mit einer Reverse-Shell verwendet wird. Diese Art von Reverse Shell Verbindung zum angegriffenen System sind bei vielen Grey Hat Tools üblich. Angreifer nutzen die Fähigkeit des Tools, in Situationen, in denen sich das Ziel hinter NAT-Gateways und Firewalls befindet (was, um fair zu sein, die meisten von ihnen sind), aus der Ferne auf ein System zuzugreifen. Diese Verbindung kann auch mit nur einem kleinen Block Shellcode (oft weniger als 100 Bytes groß) hergestellt werden.
Die Snatch-Ransomware ist ein anderes Beispiel, bei dem Schadsoftware eine Grey Hat Tool Komponente in einer bösartigen Attacke verwendet. Wie MegaCortex verwendet auch Snatch Cobalt Strike, um eine Reverse-Shell-Verbindung zum Zielsystem zu ermöglichen. Sobald die Reverse-Shell-Verbindung wieder mit einem Cobalt-Strike-Hörer verbunden ist, kann der Angreifer Cobalt Strike verwenden, um das infizierte System fernzusteuern.
PowerShell Empire
Wir betrachten PowerShell Empire als ein Kernwerkzeug, da es die Quelle vieler bösartiger PowerShell-Skripttechniken ist, die in anderen Grey Hat Tools verwendet werden.
PowerShell Empire wird nicht unbedingt in der gleichen Weise wie viele der anderen Tools verwendet. Das Angriffsframework enthält eine große Sammlung von Vorlagenmethoden, die kopiert und in anderen Tools verwendet werden. Auch wenn PowerShell Empire nicht der ursprüngliche Ursprung für alle darin enthaltenen Skriptquellen gewesen sein mag, betrachten wir es aufgrund seiner Beliebtheit in den Communities dennoch als ein Kernwerkzeug.
Viele Grey Hat Tools nutzen Payloads oder Listeners von den oben genannten Kernwerkzeugen. Werkzeuge für die Sekundärstufe enthalten oft Shellcode oder andere Komponenten, die von einem der Core Tools generiert wurden, fügen aber weitere Schichten der Verschleierung oder Funktionalität hinzu.
Es ist wichtig zu beachten, dass Angreifer in einigen Fällen mehr als ein Werkzeug verwenden. Dies kann zu einigen Ungenauigkeiten bei der Nachverfolgung führen, da wir das Muster nur mit den Bausatzmerkmalen in Verbindung bringen, die in der letzten Verarbeitungsebene in der Baukastenkette verwendet wurden.
Es ist oft schwierig zu bestimmen, wie viel Prozent der Entdeckungen interne Sicherheitsaudits sind und wie viel Prozent der Entdeckungen ein böswilliger Angriff in diesen Zahlen ausmacht. Wenn wir uns die Entdeckungen im Laufe der Zeit ansehen, sehen wir, dass die Audits in unmittelbarer Nähe, mit den gleichen Werkzeugen und in der gleichen Netzwerk- oder Kundenumgebung durchgeführt werden.
Häufig können signifikante Spitzen in den Entdeckungen auf die Durchführung von Audits durch Penetrationstester hinweisen. Dies kann jedoch von Toolkit zu Toolkit variieren. Einige sind in der Gemeinschaft der Malware-Autoren beliebter, während andere bei den Red Teams beliebter sind.
Fazit
Die Verwendung des Grey Hat Tools in den Pentestern-Communities und die Anpassungen dieser Tools, wie sie bei Malware verwendet werden, zu verstehen, hilft maßgeblich dabei, Trends in der Bedrohungslandschaft besser zu verstehen. Es hilft uns auch, besser vorherzusagen, welche neuen Methoden und Payloads in Zukunft wahrscheinlich beliebt sein werden.
Wir gehen auch für die nahe Zukunft davon aus, dass der Einsatz von Techniken zur Umgehung von Powershell weiterhin beliebt sein wird, ebenso wie der Einsatz von WMI und anderen unkonventionellen Methoden zum Erreichen von Persistenz. Wir erwarten auch neue und verbesserte Methoden zur Kodierung von Shellcode Payloads sowie Versuche, der In-Memory-Erkennung der verschiedenen C2-Call-back Agents zu entgehen.
Über den Autor: Michael Veit ist Technology Evangelist bei Sophos.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/8c/ac/8cac73858dc3e0a92d16b3a3dc2ff90f/83560637.jpeg "Mit der Integration von kali Linux in das Windows-Subsystem für Linux (WSL) können Admins einfacher die Sicherheit in modernen Microsoft-Netzwerken testen. (Bild: Offensive Security)")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400474/original.jpg "(Offensive Security)")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400475/original.jpg "(Offensive Security)")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400476/original.jpg "(Offensive Security)")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400477/original.jpg "(Offensive Security)")
:quality(80)/images.vogel.de/vogelonline/bdb/1683600/1683633/original.jpg "Metasploitable ist ein absichtlich verwundbares Windows- oder Linux-System, auf dem angreifbare Dienste laufen. Damit können Sicherheitsexperten digitale Angriffe nachvollziehen. (Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3b/06/3b06f1d5902a48e4ee3a04559f95291a/0128577587v2.jpeg "Die Schwachstelle CVE-2025-55182 in React Server Components erlaubt Remote Code Execution und nachgelagerte Linux-Backdoors. React und Next.js liefern Fixes, die sofort ausgerollt werden sollten. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/d6/4cd6247fd8e19ee15c029da7c0cf1fdf/0123877054v2.jpeg "Die chinesische Ransomware-Bande Ghost greifen mit ausgefeilten Taktiken, Techniken und Prozeduren (TTP) staatliche Einrichtungen an und Organisationen, die kritische nationale Infrastrukturen bereitstellen. (Bild: zephyr_p - stock.adobe.com)")