Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Ronald Eikenberg 49

Pentesting: Proxy trojanisiert Datei-Downloads

Ein neues Pentesting-Tool demonstriert die Gefahren, die in öffentlichen Netzen lauern: Es fängt Datei-Downloads ab und baut eine Hintertür ein.

Das Pentesting-Tool BDFProxy arbeitet zumeist wie ein normaler Webproxy und leitet den Datenverkehr einfach durch. Fordert der Client des Nutzers jedoch eine Binärdatei an, zeigt es sich von einer anderen Seite: Es fängt den Transfer und lädt die Datei zunächst komplett herunter. Anschließend versucht es, eine Metasploit-Payload in die Datei zu injizieren und gibt das Ergebnis schließlich an den Client weiter. BDFProxy kann sowohl Windows- als auch Linux-Binaries modifizieren, jeweils sowohl 32- als auch 64-Bit.

BDFProxy bei der Arbeit
BDFProxy bei der Arbeit Vergrößern
Jeder Datei-Download, den der Nutzer über den Proxy durchführt, ist potenziell verseucht. Das betrifft auch Updates, die von Anwendungen automatisch heruntergeladen werden. Die modifizierte Datei wird dann allerdings nur ausgeführt, wenn sie vom Programm nicht ausreichend überprüft wird. Eine digitale Signatur ist nach der Trojanisierung freilich hinfällig.

Damit der Datenverkehr durch den Proxy läuft, muss der Client nicht mal konfiguriert werden. Befindet sich der Pentester im gleichen Netz, kann er den Client per ARP-Spoofing anweisen, sämtlichen Traffic an das Analysesystem zu schicken, auf dem BDFProxy läuft. Wird das modifizierte Binary ausgeführt, öffnet die hinzugefügte Payload eine Backdoor. Es handelt sich dabei um reverse_shell_tcp von Metasploit. Darüber nimmt der Client dann beliebige Befehle entgegen.

Das Tool zeigt, dass man insbesondere bei der Nutzung nicht vertrauenswürdiger Netze wie Hotspots auf alles gefasst sein muss. Ganz trivial ist die Nutzung nicht: Bei einem kurzen Test mit nur leicht abgewandelter Standardkonfiguration konnten die modifizierten Binaries auf einem System mit Windows 8.1 nicht ausgeführt werden.

Um sicherzustellen, dass eine Datei nicht auf dem Transportweg verändert wurde, sollte man sie in nicht vertrauenswürdigen Netzen, wenn möglich, über HTTPS herunterladen oder gleich den gesamten Datenverkehr durch einen verschlüsselten VPN-Tunnel schicken. In verschlüsselten Datenverkehr können nämlich auch Programme wie BDFProxy nicht ohne weiteres eingreifen – sie müssen den Datenstrom ent- und wieder verschlüsseln, letzteres mit einem Zertifikat, dem das Opfer in spe höchstwahrscheinlich nicht vertraut. Dies führt zu einer Warnmeldung im Browser. (rei)

49 Kommentare

Themen:

Anzeige
  1. Dateilose Infektion: Einbruch ohne Spuren

    Internet-Kriminelle setzen vermehrt auf dateilose Infektionen

    Sicherheitsforscher warnen, dass vermutlich die Carbanak-Gang einen neuen Trick verwendet, der viele Schutz- und Analyse-Programme ins Leere laufen lässt. Sie brechen in Computer und Netze ein, ohne dass dabei verdächtige Dateien auf der Platte landen.

  2. Gratis-CA StartEncrypt beginnt mit Sicherheitsproblemen

    StartCom SSLFail

    In der kürzlich gestarteten Gratis-CA StartEncrypt sollen zahlreiche Sicherheitslücken geklafft haben, durch die man unter anderem an valide Zertifikate für Google, Facebook und Dropbox kam.

  3. WPAD: 20 Jahre altes Protokoll bringt Millionen Nutzer in Gefahr

    WPAD: 20 Jahre altes Protokoll bringt Millionen Nutzer in Gefahr

    Das Protokoll WPAD dient zum automatischen Konfigurieren von Proxies und stellt eine lange bekannte Sicherheitslücke dar. Auf der Sicherheitskonferenz Black Hat hat ein Forscher nun weitere Schwachstellen präsentiert.

  4. MQTT-Protokoll: IoT-Kommunikation von Reaktoren und Gefängnissen öffentlich einsehbar

    MQTT-Protokoll: IoT-Kommunikation von etwa Reaktoren und Gefängnissen öffentlich abrufbar

    Über das Telemetrie-Protokoll MQTT spricht eine unüberschaubare Zahl an IoT-Sensoren in etwa Autos und Flugzeugen mit ihren Servern – unverschlüsselt, ohne Frage nach Passwörtern. Hacker könnten nicht nur mitlesen, sondern Daten auch manipulieren.

  1. Tor einfach nutzen

    Einstieg ins Tor-Netz

    Mit wenigen Klicks surfen Sie anonym über Tor im Netz – ganz gleich, ob unter Windows, Linux oder OS X. Doch es gilt auch ein paar Dinge zu beachten, damit Sie tatsächlich anonym bleiben.

  2. Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

    An der Tastatur

    Bislang konnten sich Mac-Nutzer relativ sicher fühlen. Inzwischen kursierte aber die erste Ransomware im Netz, die auch OS X infiziert. Sie verschlüsselt Daten und erpresst Lösegeld vom Anwender. Mac & i zeigt, wie Sie sich generell vor Malware schützen können und nennt die Hintergründe.

  3. DNSSEC: Lügendetektor fürs LAN

    Einmal eingerichtet, kann man DNSSEC im Windows-Server per Mausklick ein- und ausschalten – praktisch für Experimente.

    Ob PC, Tablet oder Smartphone, kein Netzwerk-Client prüft, ob DNS-Antworten unverfälscht und vertrauenswürdig sind. So können Hacker arglose Nutzer über eingeschleuste DNS-Antworten auf ihre eigenen Websites umleiten, um etwa Passwörter auszuspähen. Dagegen hilft ein Resolver im LAN, der DNS-Antworten mit DNSSEC validiert.

  1. Google Chrome: Blinkender Cursor verschwendet CPU-Ressourcen

    Google Chrome: Blinkender Cursor verschwendet CPU-Ressourcen

    60 fps: Für Hardcore-Spieler gehts nichts unter dieser Frame-Wiederholungsrate. Wenn jedoch ein blinkender Cursor so häufig gerendert wird, dann bringt er nur die CPU unnötig ins Schwitzen.

  2. Geheimakte BND & NSA: Bad Aibling und die "Weltraumtheorie"

    Geheimakte BND & NSA: Bad Aibling und die "Weltraumtheorie"

    Der BND fängt über seine Außenstelle in Bad Aibling Kommunikation ab, die über Satelliten geleitet wird. Damit er die möglichst frei durchsuchen und weitergegeben werden darf, haben sich die Verantwortlichen eine Theorie zurechtgelegt – trotz Protestchen.

  3. Microsoft: Windows-10-Spezialversion für China ist einsatzbereit

    Windows 10

    Der China-Chef von Microsoft, Alain Crozier, hat die seit einem guten Jahr entwickelte Sonderausgabe von Windows 10 für die chinesische Regierung als marktreif bezeichnet. Der Fokus liegt auf Sicherheits- und Kontrollfunktionen.

  4. Datenschutzverstoß: 15.000 Euro Bußgeld wegen Geoscoring

    "Köln an der Ruhr"

    Das Amtsgericht Hamburg hat einen Erlass des Datenschutzbeauftragten Johannes Caspar bestätigt, wonach der Schufa-Konkurrent Bürgel eine Strafe wegen Geoscoring zahlen soll. Die Firma will das Urteil nicht akzeptieren.

Anzeige