Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Ronald Eikenberg 49

Pentesting: Proxy trojanisiert Datei-Downloads

Ein neues Pentesting-Tool demonstriert die Gefahren, die in öffentlichen Netzen lauern: Es fängt Datei-Downloads ab und baut eine Hintertür ein.

Das Pentesting-Tool BDFProxy arbeitet zumeist wie ein normaler Webproxy und leitet den Datenverkehr einfach durch. Fordert der Client des Nutzers jedoch eine Binärdatei an, zeigt es sich von einer anderen Seite: Es fängt den Transfer und lädt die Datei zunächst komplett herunter. Anschließend versucht es, eine Metasploit-Payload in die Datei zu injizieren und gibt das Ergebnis schließlich an den Client weiter. BDFProxy kann sowohl Windows- als auch Linux-Binaries modifizieren, jeweils sowohl 32- als auch 64-Bit.

BDFProxy bei der Arbeit
BDFProxy bei der Arbeit Vergrößern
Jeder Datei-Download, den der Nutzer über den Proxy durchführt, ist potenziell verseucht. Das betrifft auch Updates, die von Anwendungen automatisch heruntergeladen werden. Die modifizierte Datei wird dann allerdings nur ausgeführt, wenn sie vom Programm nicht ausreichend überprüft wird. Eine digitale Signatur ist nach der Trojanisierung freilich hinfällig.

Damit der Datenverkehr durch den Proxy läuft, muss der Client nicht mal konfiguriert werden. Befindet sich der Pentester im gleichen Netz, kann er den Client per ARP-Spoofing anweisen, sämtlichen Traffic an das Analysesystem zu schicken, auf dem BDFProxy läuft. Wird das modifizierte Binary ausgeführt, öffnet die hinzugefügte Payload eine Backdoor. Es handelt sich dabei um reverse_shell_tcp von Metasploit. Darüber nimmt der Client dann beliebige Befehle entgegen.

Das Tool zeigt, dass man insbesondere bei der Nutzung nicht vertrauenswürdiger Netze wie Hotspots auf alles gefasst sein muss. Ganz trivial ist die Nutzung nicht: Bei einem kurzen Test mit nur leicht abgewandelter Standardkonfiguration konnten die modifizierten Binaries auf einem System mit Windows 8.1 nicht ausgeführt werden.

Um sicherzustellen, dass eine Datei nicht auf dem Transportweg verändert wurde, sollte man sie in nicht vertrauenswürdigen Netzen, wenn möglich, über HTTPS herunterladen oder gleich den gesamten Datenverkehr durch einen verschlüsselten VPN-Tunnel schicken. In verschlüsselten Datenverkehr können nämlich auch Programme wie BDFProxy nicht ohne weiteres eingreifen – sie müssen den Datenstrom ent- und wieder verschlüsseln, letzteres mit einem Zertifikat, dem das Opfer in spe höchstwahrscheinlich nicht vertraut. Dies führt zu einer Warnmeldung im Browser. (rei)

49 Kommentare

Themen:

Anzeige
  1. Dateilose Infektion: Einbruch ohne Spuren

    Internet-Kriminelle setzen vermehrt auf dateilose Infektionen

    Sicherheitsforscher warnen, dass vermutlich die Carbanak-Gang einen neuen Trick verwendet, der viele Schutz- und Analyse-Programme ins Leere laufen lässt. Sie brechen in Computer und Netze ein, ohne dass dabei verdächtige Dateien auf der Platte landen.

  2. Gratis-CA StartEncrypt beginnt mit Sicherheitsproblemen

    StartCom SSLFail

    In der kürzlich gestarteten Gratis-CA StartEncrypt sollen zahlreiche Sicherheitslücken geklafft haben, durch die man unter anderem an valide Zertifikate für Google, Facebook und Dropbox kam.

  3. WannaCry & Co.: So schützen Sie sich

    WannaCry & Co. – So schützen Sie sich

    Nach WannaCry ist vor dem nächsten Erpressungstrojaner. Was Gefährdete jetzt tun sollten, wie Sie sich vor Nachahmern schützen können und welche Optionen bleiben, wenn der Verschlüsselungstrojaner schon zugeschlagen hat.

  4. Malware mit Apple-Entwicklerzertifikat spioniert HTTPS-Traffic aus

    Malware mit Apple-Entwicklerzertifikat spioniert HTTPS-Traffic aus

    Eine neue macOS-Malware namens DOK macht derzeit die Runde und gibt vor, ein System-Update zu sein.

  1. Die Neuerungen von Linux 4.11

    Linux-Kernel 4.11

    Die neue Kernel-Version unterstützt moderne Stromspartechniken besser und kann so die Akkulaufzeit steigern. Die Entwickler haben Grundlagen gelegt, um auf x86-64-Systemen bald bis zu 1 Petabyte Arbeitsspeicher ansprechen zu können. Die nächste Kernel-Version bringt zudem eine Technik, um die 3D-Beschleunigung von Radeon-GPUs in VMs nutzen zu können. Auch die Unterstützung für den Raspberry Pi wird besser.

  2. Erpressungstrojaner und Mac-Malware: Schützen statt zahlen

    An der Tastatur

    Bislang konnten sich Mac-Nutzer relativ sicher fühlen. Inzwischen kursierte aber die erste Ransomware im Netz, die auch OS X infiziert. Sie verschlüsselt Daten und erpresst Lösegeld vom Anwender. Mac & i zeigt, wie Sie sich generell vor Malware schützen können und nennt die Hintergründe.

  3. Forensik-Tools patzen bei neuer Windows-Kompression

    Forensik-Tools patzen bei neuer Windows-Kompression

    Mit Hilfe einer noch weitgehend unbekannten Dateikompression namens "Compact OS" könnten sich Schad-Programme und andere Beweismittel einer forensischen Untersuchung eines PCs entziehen. Wir haben sechs Standard-Forensik-Tools getestet.

  1. TT Isle of Man 2017

    TT Isle of Man feierte 2017 ihr 110. Jubiläum und die Zuschauer strömten wie eh und je zu Tausenden auf die idyllische Insel in der Irischen See. Wegen der Verletzung von Altmeister John McGuiness lief es auf ein Duell zwischen Ian Hutchinson und Michal Dunlop hinaus. Doch es gab auch einige Überraschungen

  2. Fahrbericht: VW Tiguan 2.0 TSI Allspace

    Der VW Tiguan der zweiten Generation, der sich seit 2016 zu ungeahnter Beliebtheit aufschwingt, kommt im November in einer Langversion zu uns. In den USA kommt er unter der schlichten Bezeichnung VW Tiguan bereits in diesem Sommer auf den Markt. Wir konnten ihn dort bereits kurz ausprobieren

Anzeige