Mit Metasploit decken Firmen aber auch Hacker Sicherheitslücken auf

Das Security-Tool Metasploit lässt sich verwenden, um Unternehmens-Netzwerke zu schützen. Allerdings verwenden auch Cyberkriminelle Metasploit.

Automatisierte Security-Tools sind einer der größten Fortschritte in der IT-Sicherheit. Automatisierung ist aufgrund der wachsenden Komplexität von Netzwerken und Software und den damit verbundenen Bedrohungen notwendig geworden. Das Konzept ist aber nicht neu. Das Security Administrator Tool for Analyzing Networks (SATAN) hat 1995 den Umbruch bei Security-Tools ausgelöst. Seitdem wurde Automatisierung immer weiter entwickelt und beinhaltet zum Beispiel Binär- und Malware- Analysen, Sandboxes, Schwachstellen- und Code-Scanner.

Speziell bei der automatisierten Schwachstellenanalyse ist die Arbeit mit dem Metasploit Framework zu einer der populärsten Methoden und für Unternehmen ein kritisches Tool geworden, um ihr Netzwerk zu verteidigen. Leider findet Metasploit so gut Sicherheitslücken, dass viele Cyberkriminelle es ebenfalls nutzen. Sie setzen das Tool ein, um verwundbare Systeme zu finden und diese zu kompromittieren.

In diesem Beitrag erläuter ich, wie Metasploit funktioniert und warum Firmen es einsetzen sollten. Zudem erkläre ich, wie Sie entsprechende Kontrollmaßnahmen entwerfen und sicherstellen, dass Angreifer nicht mit Metasploit in Ihr Unternehmens-Netzwerk eindringen können.

Wie Metasploit funktioniert

Die Open-Source-Software Metasploit wurde 2003 von H. D. Moore entwickelt und dient für automatische Penetration-Tests. Wurde ein neuer Exploit entdeckt, wird dieser von Rapid7 und den über 200.000 Anwender katalogisiert. Jeder, der Metasploit verwendet, kann den Exploit anschließend für Tests einsetzen und überprüfen, ob das System für diesen anfällig ist.

Metasploit lässt sich mit dem Metasploit Framework erweitern, wobei die kontrollierende Schnittstelle eine Security-Lücke identifiziert, diese ausnutzt, Informationen zum Exploit liefert und bei manchen Interfaces auch Reports zur Verfügung stellt. Das Metasploit Framework importiert Daten von einem Schwachstellen-Scanner und nutzt diese Details, um verwundbare Hosts und deren Sicherheitslücken zu identifizieren. Danach startet die Software einen Angriff und verwendet einen sogenannten Payload, um das System zu kompromittieren. Security-Administratoren können dies mithilfe des Metasploit Web Interfacse managen, das verschiedene Schnittstellen bietet. Hierzu gehören Kommandozeilen-basierte Tools, Web-basierte GUIs und kommerzielle Tools.

Angreifer können die Ergebnisse des Schwachstellen-Scanns in Armitage, einem Open-Source-Security-Tool im Metasploit Framework, importieren. Auf diese Weise lassen sich Security-Lücken mit den Metasploit-Modulen aufdecken. Sobald die Schwachstelle identifiziert ist, kann aber auch ein Angreifer einen entsprechenden Exploit verwenden und das System angreifen. Somit erlangt der Cyberkriminelle unter Umständen Zugriff auf eine Shell oder kann den das Client-Programm Meterpreter in Metasploit starten, um das System zu kontrollieren.

Payloads sind Befehle für das Ausführen des Exploits auf dem lokalen System, sobald der Zugriff erreicht wurde. Das kann eine Dokumentation und eine Datenbank von Techniken beinhalten, um nach der Entdeckung der Schwachstelle einen funktionierenden Exploit zu entwickeln. Die Payload-Datenbank enthält Module, um Passwörter aus dem lokalen System zu extrahieren, weitere Software zu installieren oder die Hardware zu kontrollieren, wie es bereits existierende Tools (Back Orifice, BO2K) tun.

Mit Metasploit das Netzwerk absichern

Metasploit als Teil einer Schwachstellen-Management-Software, kann verifizieren, dass Schwachstellen beseitigt wurden, zum Beispiel durch einen Patch, eine veränderte Konfiguration oder Kontrollmechanismen. Ist zum Beispiel ein Patch noch nicht verfügbar und das Deaktivieren einer Funktionen sichert das Netzwerk ab, lässt sich Metasploit einsetzen, um sicherzustellen, ob diese Strategie funktioniert. Mit Metasploit können Sie zudem überprüfen, ob der Exploit von den Security-Tools entdeckt wurde.

Ein weiteret Vorteil von Metasploit ist, dass es demonstriert, wie einfach es ist, in ein System einzudringen und es zu kompromittieren. Sie finden unter Umständen eine Remote-Schwachstelle auf einem Ziel-System. Mit Metasploit können Sie eine Payload konfigurieren, um eine Remote-Shell auf dem angegriffenen Host zu öffnen. Ein Cyberkrimineller hat somit die Möglichkeit, Daten zu stehlen oder einen Keylogger zu installieren. Verwenden Sie Metasploit für automatische Penetrations-Tests, sparen Sie sich viel Arbeit und Zeit. Somit können Sie sich auf Bereiche konzentrieren, in denen tiefere Analysen notwendig sind.

Metasploit wird in Unternehmen oftmals eingesetzt, um die Entscheidungen beim Patch- und Schwachstellen-Management zu fällen. Sobald ein Metasploit-Modul für eine bestimmte Security-Lücke erscheint, können Firmen den bestimmten Patch mit höherer Priorität behandeln. Gerade in einer Zeit der sogenannten „Script Kiddies“, die diese Systeme mit den gleichen Instrumenten angreifen können, ist das wichtig. Gibt es ein Metasploit-Modul für eine Security-Lücke, sollte der Patch dafür ganz oben auf der Todo-Liste des Unternehmens stehen.

Gegen Metasploit verteidigen

Wie bei jedem IT-Security-Tool gilt auch für Metasploit, dass sich damit gutes wie auch schlechtes betreiben lässt. Cyberkriminelle können Metasploit einsetzen, um Exploits zu identifizieren und unautorisiert in Firmensysteme und -Netzwerke einzudringen.

Gegen Angriffe mit Metasploit verteidigen Sie sich am besten, wenn Sie Standard-Security-Kontrollen einsetzen. Dazu gehören unter anderem das Einspielen von Patches, die Nutzung von Applikationen und Prozessen mit geringen Privilegien und die Begrenzung von Netzwerkzugriffen für vertrauenswürdige Hosts.

Sie finden eine Übersicht mit Maßnahmen auf den Websites des SANS-Instituts und des Open Web Application Security Projects (OWASP). Sie können einen Metasploit-Angriff im Netzwerk entdecken, solange die „Encode“-Option nicht verwendet wurde. Das verhindert, dass Netzwerkverkehr von einem Intrusion Detection System (IDS) erkannt wird. Sie sollten außerdem bedenken, dass sich Metasploit möglicherweise identifizieren lässt, wenn Sie nach Anomalien im Netzwerk schauen. Außerdem können Sie ein Host-basiertes Erkennungs-Tool einsetzen, um zu erkennen, ob ausführbare Metasploit-Dateien auf dem System laufen.

Sie können mit Metasploit ein Netzwerk schützen oder es angreifen. Natürlich lassen sich mit Metasploit Security-Lücken erkennen und entsprechende Verteidigungsmaßnahmen installieren. Sie dürfen aber niemals vergessen, dass die Angreifer auf das gleiche Tool Zugriff haben und damit die gleichen Security-Lücken identifizieren.

Über den Autor:

Nick Lewis ist Sicherheitsbeauftragter der Saint Louis University. Lewis hat 2005 seinen Master of Science in Informationssicherung an der Norwich University und 2002 in Telekommunikation an der Michigan State University abgeschlossen. Bevor er 2011 bei der Staint Louis University anfing, arbeitete Lewis an der University of Michigan und im Boston Children's Hospital. Zudem war er für Internet2 und die Michigan State University tätig.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Juli 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Hacker-Tools und -Techniken, Untergrundseiten, Hacker-Gruppen

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close