Security-Tools – Das Metasploit-Framework (Teil 3)

Metasploit als Remote-Control-Tool und Backdoor einsetzen

Das Metasploit-Framework lässt sich nahezu unbemerkt auch auf entfernten Systemen ausführen.

Moderne Spionage über das Internet kostet Unternehmen und Regierungen jährlich mehrere Milliarden Euro. Um wertvolle Informationen zu sammeln, versuchen Angreifer möglichst unentdeckt zu bleiben. Mit Metasploit lassen sich derartige Szenarien realistisch simulieren, um gezielt Strategien zur Abwehr zu entwickeln.

Das von kanadischen Forschern entdeckte „Ghostnet“ passt in keine der beiden Kategorien. Es umfasste nur wenige hundert Rechner, von denen sich jedoch viele in sensiblen Institutionen befanden; vorwiegend Botschaften und Ministerien asiatischer Länder. Einige Experten sprechen daher vom ersten – aufgedeckten – politisch motivierten Botnetz .

Um über einen langen Zeitraum unentdeckt zu bleiben und erlangte Rechte zu erweitern, bedienen sich Angreifer verschiedener Taktiken. Zum einen gibt es passive Techniken wie das Lesen der Tastatureingaben oder des Datenstroms. Bei Veränderungen an Log-Einträgen oder anderen relevanten Stellen gehen sie hingegen aktiv vor.

Metasploit bietet viele Funktionen, um ein derartiges Szenario realistisch abzubilden. Obwohl es nicht zu diesem Zweck entwickelt wurde lässt es sich problemlos zum Remote Administration Tool (RAT) umfunktionieren, um konzeptionelle Schwachstellen aufzudecken.

Metasploit als eigenständigen Payload versenden

Je mehr Verbindungen bei einem Sicherheitstest von außen in das interne Netz aufgebaut werden, desto größer ist die Gefahr entdeckt zu werden. Um diesem Problem beizukommen, entwickelte Rob Fuller das deploymsf-Plugin. Dieses kleine Ruby-Skript lässt sich lokal abspeichern und über die Metasploit-Konsole nutzen. Als Eingabe erwartet es eine auf Cygwin basierende Version des Frameworks .

Je nach Größe der exe-Datei generiert das Plugin einen Payload, der zwischen 5 und 13 MB umfasst und auf ein bereits infiltriertes System übertragen wird. Gelingt das Starten des enorm großen Codes, öffnet sich das vertraute Eingabefenster (Prompt) der MSF-Konsole.

Mit einer minimalen Anzahl an offenen Verbindungen steht dem Tester so der komplette Funktionsumfang von Metasploit zur Verfügung. Diese Technik zum Kompromittieren weiterer Instanzen aus einer bereits vorhandenen wird als „Pivoting“ bezeichnet.

Um derart riesige Payloads zu vermeiden, empfehlen die Entwickler jedoch den Einsatz von Routing-Tabellen . Diese werden – unabhängig vom System – innerhalb des Frameworks gesetzt. Voraussetzung ist mindestens eine offene Verbindung zu einem anderen System, auch als „Session“ bezeichnet. Diese dient anschließend als Sprungbrett in das andere Subnetz.

Seite 2: Spuren verwischen und forensische Analysen erschweren