Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.556 Produkten

Ronald Eikenberg 49

Pentesting: Proxy trojanisiert Datei-Downloads

Ein neues Pentesting-Tool demonstriert die Gefahren, die in öffentlichen Netzen lauern: Es fängt Datei-Downloads ab und baut eine Hintertür ein.

Das Pentesting-Tool BDFProxy arbeitet zumeist wie ein normaler Webproxy und leitet den Datenverkehr einfach durch. Fordert der Client des Nutzers jedoch eine Binärdatei an, zeigt es sich von einer anderen Seite: Es fängt den Transfer und lädt die Datei zunächst komplett herunter. Anschließend versucht es, eine Metasploit-Payload in die Datei zu injizieren und gibt das Ergebnis schließlich an den Client weiter. BDFProxy kann sowohl Windows- als auch Linux-Binaries modifizieren, jeweils sowohl 32- als auch 64-Bit.

Anzeige
BDFProxy bei der Arbeit

Jeder Datei-Download, den der Nutzer über den Proxy durchführt, ist potenziell verseucht. Das betrifft auch Updates, die von Anwendungen automatisch heruntergeladen werden. Die modifizierte Datei wird dann allerdings nur ausgeführt, wenn sie vom Programm nicht ausreichend überprüft wird. Eine digitale Signatur ist nach der Trojanisierung freilich hinfällig.

Damit der Datenverkehr durch den Proxy läuft, muss der Client nicht mal konfiguriert werden. Befindet sich der Pentester im gleichen Netz, kann er den Client per ARP-Spoofing anweisen, sämtlichen Traffic an das Analysesystem zu schicken, auf dem BDFProxy läuft. Wird das modifizierte Binary ausgeführt, öffnet die hinzugefügte Payload eine Backdoor. Es handelt sich dabei um reverse_shell_tcp von Metasploit. Darüber nimmt der Client dann beliebige Befehle entgegen.

Das Tool zeigt, dass man insbesondere bei der Nutzung nicht vertrauenswürdiger Netze wie Hotspots auf alles gefasst sein muss. Ganz trivial ist die Nutzung nicht: Bei einem kurzen Test mit nur leicht abgewandelter Standardkonfiguration konnten die modifizierten Binaries auf einem System mit Windows 8.1 nicht ausgeführt werden.

Um sicherzustellen, dass eine Datei nicht auf dem Transportweg verändert wurde, sollte man sie in nicht vertrauenswürdigen Netzen, wenn möglich, über HTTPS herunterladen oder gleich den gesamten Datenverkehr durch einen verschlüsselten VPN-Tunnel schicken. In verschlüsselten Datenverkehr können nämlich auch Programme wie BDFProxy nicht ohne weiteres eingreifen – sie müssen den Datenstrom ent- und wieder verschlüsseln, letzteres mit einem Zertifikat, dem das Opfer in spe höchstwahrscheinlich nicht vertraut. Dies führt zu einer Warnmeldung im Browser. (rei)

49 Kommentare

Themen:

Anzeige
  1. WannaCry & Co.: So schützen Sie sich

    WannaCry & Co. – So schützen Sie sich

    Nach WannaCry ist vor dem nächsten Erpressungstrojaner. Was Gefährdete jetzt tun sollten, wie Sie sich vor Nachahmern schützen können und welche Optionen bleiben, wenn der Verschlüsselungstrojaner schon zugeschlagen hat.

  2. Malware mit Apple-Entwicklerzertifikat spioniert HTTPS-Traffic aus

    Malware mit Apple-Entwicklerzertifikat spioniert HTTPS-Traffic aus

    Eine neue macOS-Malware namens DOK macht derzeit die Runde und gibt vor, ein System-Update zu sein.

  3. Krypto-Trojaner RedBoot infiziert MBR und zerstört Dateien

    Krypto-Trojaner RedBoot infiziert MBR und zerstört Dateien

    Eine neue Ransomware treibt ihr Unwesen im Master Boot Record von Windows-PCs. Darüber hinaus verschlüsselt sie auch Dateien – ohne jedoch einen Weg zur Entschüsselung zu bieten.

  4. Überall sofort produktiv: Die besten Web-Apps und portablen Programme

    Überall sofort produktiv: Die besten Web-Apps und portablen Programme

    Auf jedem Rechner so arbeiten, als wäre es Ihr eigener: Das klappt mit ein bisschen Vorbereitung ganz wunderbar. Online werkeln Sie im Browser und offline mit portablen Anwendungen.

  1. Datenverkehr von iPhone und Mac überwachen

    Schnüffel-Apps iPhone

    Viele Apps funken mehr Daten nach Hause als nötig, welche das sind, ist für den Nutzer kaum ersichtlich. Wir zeigen, wie Sie mit Hilfe eines Web-Proxys Einblick in die Datenverbindungen ihrer iOS- und macOS-Apps erhalten – und dadurch auch Schnüffel-Apps aufspüren.

  2. Android fernsteuern - so klappt's mit PC und Mac

    Sie wollen Ihr Smartphone nutzen, ohne es jedes Mal in die Hand zu nehmen? Kein Problem! Wir stellen Ihnen zwei Apps vor.

  3. Daten in der Cloud sicher verschlüsseln

    Wer Daten in die Cloud legt, kann nie sicher sein, dass kein Dritter mitliest. Wichtige Daten sollten separat verschlüsselt werden. Wir zeigen, wie's geht.

  1. Neuer europäischer Satellit Sentinel-3B beobachtet die Erde

    Neuer europäischer Satellit Sentinel-3B beobachtet die Erde

    Wie blau sind die Meere, wie grün ist das Land? Ein neuer Satellit schließt daraus auf den Zustand der Erde. Doch der Start ist auch das Ende eines ungewöhnlichen russisch-europäischen Friedensprojektes.

  2. Honda Monkey ist zurück

    Honda Monkey

    Die Honda Monkey ist der schlagende Beweis dafür, dass Größe bei der Legendenbildung keine Rolle spielt. Die Fan-Szene, die sich um das Bonsai-Bike entwickelt hat, nahm vor allem in Japan, aber auch in Amerika und Europa absurde Züge an. Retro ist in, Honda legt seine Monkey neu auf

  3. Datenschutzgrundverordnung in kleinen Firmen: DSGVO? – Nie gehört

    Datenschutzgrundverordnung in kleinen Firmen: DSGVO? – Nie gehört

    Die neuen Datenschutzbestimmungen nehmen auch kleinste Unternehmer in die Pflicht. Sind sie darauf vorbereitet? Die Uhr tickt. Bei Verstößen drohen empfindliche Bußgelder. Doch Grund zur Panik gibt es nicht, meinen Datenschützer.

  4. Licht für autonome Autos: LG übernimmt für 1,1 Milliarden Euro Beleuchtungsspezialist ZKW

    Licht für autonome Autos: LG übernimmt für 1,1 Milliarden Euro Beleuchtungsspezialist ZKW

    Mit Hilfe der Übernahme des österreichischen Unternehmens ZKW will LG eine weltweite Führungsrolle in der Beleuchtung für selbstfahrende Autos übernehmen.

Anzeige