Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Pentesting: Proxy trojanisiert Datei-Downloads

05.06.2014

 zur Newsdatenbank home

Zumeist arbeitet das Pentesting-Tool BDFProxy wie ein normaler Webproxy und leitet einfach den Datenverkehr durch. Jedoch zeigt es sich von einer anderen Seite, wenn der Client des Nutzers eine Binärdatei anfordert: Es fängt den Transfer und lädt die Datei zunächst komplett herunter. Es versucht anschließend, in die Datei eine Metasploit-Payload zu injizieren und gibt das Ergebnis schließlich an den Client weiter. BDFProxy kann sowohl Linux- als auch Windows-Binaries - modifizieren, sowohl 32- als auch 64-Bit.

Potenziell ist jeder Datei-Download, der vom Nutzer über den Proxy durchgeführt wird, verseucht. Auch Updates, die von Anwendungen automatisch heruntergeladen werden, sind davon betroffe. Allerdings wird die modifizierte Datei nur ausgeführt, wenn sie dann vom Programm nicht ausreichend überprüft wird. Freilich ist nach der Trojanisierung eine digitale Signatur hinfällig.

Der Client muss nicht mal konfiguriert werden, damit der Datenverkehr durch den Proxy läuft. Der Pentester kann den Client per ARP-Spoofing anweisen sämtlichen Traffic an das Analysesystem, auf dem BDFProxy läuft, zu schicken, wenn er sich im gleichen Netz befindet. Die hinzugefügte Payload öffnet eine Backdoor, wenn das modifizierte Binary ausgeführt wird. Dabei handelt es sich um reverse_shell_tcp von Metasploit, worüber der Client dann beliebige Befehle entgegennimmt.

Insbesondere bei der Nutzung nicht vertrauenswürdiger Netze wie Hotspots muss man auf alles gefasst sein, wie das Tool zeigt. Die Nutzung ist nicht ganz trivial: Mit nur leicht abgewandelter Standardkonfiguration konnten bei einem kurzen Test die modifizierten Binaries nicht auf einem System mit Windows 8.1 ausgeführt werden.

Wenn möglich sollte man eine Datei in nicht vertrauenswürdigen Netzen über HTTPS herunterladen oder gleich den gesamten Datenverkehr durch einen verschlüsselten VPN-Tunnel schicken, um sicherzustellen, dass sie nicht auf dem Transportweg verändert wurde. Programme wie BDFProxy können nämlich in verschlüsselten Datenverkehr ohne weiteres auch nicht eingreifen, da sie den Datenstrom ent- und wieder verschlüsseln müssen. Letzteres mit einem Zertifikat, welches zu einer Warnmeldung im Browserführt, dem das Opfer in spe höchstwahrscheinlich nicht vertraut.

(mt, hannover)

(siehe auch Heise-News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89