Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Ronald Eikenberg 49

Pentesting: Proxy trojanisiert Datei-Downloads

Ein neues Pentesting-Tool demonstriert die Gefahren, die in öffentlichen Netzen lauern: Es fängt Datei-Downloads ab und baut eine Hintertür ein.

Das Pentesting-Tool BDFProxy arbeitet zumeist wie ein normaler Webproxy und leitet den Datenverkehr einfach durch. Fordert der Client des Nutzers jedoch eine Binärdatei an, zeigt es sich von einer anderen Seite: Es fängt den Transfer und lädt die Datei zunächst komplett herunter. Anschließend versucht es, eine Metasploit-Payload in die Datei zu injizieren und gibt das Ergebnis schließlich an den Client weiter. BDFProxy kann sowohl Windows- als auch Linux-Binaries modifizieren, jeweils sowohl 32- als auch 64-Bit.

BDFProxy bei der Arbeit
BDFProxy bei der Arbeit Vergrößern
Jeder Datei-Download, den der Nutzer über den Proxy durchführt, ist potenziell verseucht. Das betrifft auch Updates, die von Anwendungen automatisch heruntergeladen werden. Die modifizierte Datei wird dann allerdings nur ausgeführt, wenn sie vom Programm nicht ausreichend überprüft wird. Eine digitale Signatur ist nach der Trojanisierung freilich hinfällig.

Damit der Datenverkehr durch den Proxy läuft, muss der Client nicht mal konfiguriert werden. Befindet sich der Pentester im gleichen Netz, kann er den Client per ARP-Spoofing anweisen, sämtlichen Traffic an das Analysesystem zu schicken, auf dem BDFProxy läuft. Wird das modifizierte Binary ausgeführt, öffnet die hinzugefügte Payload eine Backdoor. Es handelt sich dabei um reverse_shell_tcp von Metasploit. Darüber nimmt der Client dann beliebige Befehle entgegen.

Das Tool zeigt, dass man insbesondere bei der Nutzung nicht vertrauenswürdiger Netze wie Hotspots auf alles gefasst sein muss. Ganz trivial ist die Nutzung nicht: Bei einem kurzen Test mit nur leicht abgewandelter Standardkonfiguration konnten die modifizierten Binaries auf einem System mit Windows 8.1 nicht ausgeführt werden.

Um sicherzustellen, dass eine Datei nicht auf dem Transportweg verändert wurde, sollte man sie in nicht vertrauenswürdigen Netzen, wenn möglich, über HTTPS herunterladen oder gleich den gesamten Datenverkehr durch einen verschlüsselten VPN-Tunnel schicken. In verschlüsselten Datenverkehr können nämlich auch Programme wie BDFProxy nicht ohne weiteres eingreifen – sie müssen den Datenstrom ent- und wieder verschlüsseln, letzteres mit einem Zertifikat, dem das Opfer in spe höchstwahrscheinlich nicht vertraut. Dies führt zu einer Warnmeldung im Browser. (rei)

49 Kommentare

Themen:

Anzeige
  1. Dateilose Infektion: Einbruch ohne Spuren

    Internet-Kriminelle setzen vermehrt auf dateilose Infektionen

    Sicherheitsforscher warnen, dass vermutlich die Carbanak-Gang einen neuen Trick verwendet, der viele Schutz- und Analyse-Programme ins Leere laufen lässt. Sie brechen in Computer und Netze ein, ohne dass dabei verdächtige Dateien auf der Platte landen.

  2. WannaCry & Co.: So schützen Sie sich

    WannaCry & Co. – So schützen Sie sich

    Nach WannaCry ist vor dem nächsten Erpressungstrojaner. Was Gefährdete jetzt tun sollten, wie Sie sich vor Nachahmern schützen können und welche Optionen bleiben, wenn der Verschlüsselungstrojaner schon zugeschlagen hat.

  3. Malware mit Apple-Entwicklerzertifikat spioniert HTTPS-Traffic aus

    Malware mit Apple-Entwicklerzertifikat spioniert HTTPS-Traffic aus

    Eine neue macOS-Malware namens DOK macht derzeit die Runde und gibt vor, ein System-Update zu sein.

  4. Threema will Web-Client Anfang 2017 freischalten

    Threema will Web-Client Anfang 2017 freischalten

    Die Macher des Schweizer Krypto-Messengers Threema testen zurzeit ihren Web-Client. Die Variante für Android-Nutzer konnte heise online bereits kurz ausprobieren.

  1. Der Tor-Browser: Unzensiert im Darknet surfen

    Mit dem Tor-Browser unzensiert im Darknet surfen - wir zeigen dir, wie's geht.

  2. Ein Heimnetzwerk einrichten - so geht's

    Netzwerk

    In einem Heimnetzwerk können alle Geräte miteinander sprechen und Daten tauschen. Das spart Zeit und Arbeit. Die Einrichtung ist simpel.

  3. Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

    An der Tastatur

    Bislang konnten sich Mac-Nutzer relativ sicher fühlen. Inzwischen kursierte aber die erste Ransomware im Netz, die auch OS X infiziert. Sie verschlüsselt Daten und erpresst Lösegeld vom Anwender. Mac & i zeigt, wie Sie sich generell vor Malware schützen können und nennt die Hintergründe.

  1. Nach dem Scheitern von "Jamaika": Politisches Neuland

    Sondierungsgespräche: Der FDP reißt der Geduldsfaden, sie lässt die Regierungsbildung scheitern. Deutschland in der Krise

  2. Die Bilder der Woche (KW 45) - Interessantes im Alltäglichen

    Die Bilder der Woche (KW 45) - Interessantes im Alltäglichen

    Gute Bilder brauchen nicht immer spektakläre Foto-Locations Manchmal tut es auch eine Außentreppe, eine U-Bahn-Station oder eine Bahnunterführung.

Anzeige