2170313

Hacker-Check: So testen Sie Ihren PC mit Metasploit

09.02.2016 | 10:23 Uhr |

Testen Sie Ihren Rechner und Ihr Mobilgerät auf Sicherheitslücken mit genau den Hacking-Tools, die auch Profis verwenden. Wir zeigen, wie das geht und wie Sie Ihre Hardware danach besser schützen.

Professionelle Hacker nutzen ausgefeilte Angriffs-Tools, um in Computersysteme einzudringen. Wir zeigen, wie Sie selber diese Tools gegen Ihre eigenen Geräte nutzen und damit die Schwachstellen in Ihrem Netzwerk aufdecken. Wenn Sie diese dann schließen, sind Sie in Zukunft gegen Angriffe von Profi-Hackern viel besser geschützt.

Penetrationstests per Frameworks: Drei Anbieter für Angriffs-Tools

Profi-Hacker verwenden für ihre Angriffe auf Netzwerke und Rechner in den meisten Fällen spezielle Frameworks. Diese versammeln unter einer Oberfläche alle erforderlichen Tools für möglichst viele verschiedene Attacken. Teil des Frameworks sind auch die sogenannten Exploits. Das sind Programme oder zumindest Codeteile, die neu entdeckte Sicherheitslücken in Software ausnutzen können.

In der digitalen Sicherheitsindustrie gibt es drei große Frameworks. Zum einen handelt es sich dabei um die rein kommerziellen Frameworks von Immunity und Core Security sowie das System Metasploit. Letzteres startete 2003 als Open-Source-Projekt mit gerade mal elf Exploit-Codes. Über die Jahre hat sich die Zahl der vorhandenen Exploits in Metasploit besonders durch die freiwillige Mitarbeit von Sicherheitsforschern auf aktuell rund 1500 erhöht.

Seit einigen Jahren wird Metasploit von der Firma Rapid 7 auch in zwei kommerziellen Varianten vertrieben. Die immer noch verfügbare, kostenlose Community-Version ist ebenfalls über Rapid 7 erhältlich.

Mit einem solchen Generator erstellen Sie eine Postadresse inklusive passender Telefonnummer und einer Wegwerfadresse für die USA. Die Angaben sind nötig, um einen Lizenzschlüssel von Rapid 7, dem Anbieter von Metasploit zu bekommen.
Vergrößern Mit einem solchen Generator erstellen Sie eine Postadresse inklusive passender Telefonnummer und einer Wegwerfadresse für die USA. Die Angaben sind nötig, um einen Lizenzschlüssel von Rapid 7, dem Anbieter von Metasploit zu bekommen.

Sogar das BSI empfiehlt Penetrationstests

Bei Angriffen mithilfe von speziellen Hacking-Systemen denken die meisten Leute an Kriminelle, die sich illegal Zugang zu Computersystemen verschaffen möchten. Tatsächlich aber werden Frameworks wie Metasploit völlig legitim und legal eingesetzt. Und zwar immer dann, wenn entweder der Administrator eines Netzwerks diese Angriffe zu Testzwecken auf das eigene System ausführt oder ein Sicherheitsunternehmen im Auftrag einer Firma die Firmennetzwerke angreift.

Wenn Sie zu Hause selbst ein Netzwerk mit PC, NAS und Mobilgeräten betreiben, sind Sie Ihr eigener Administrator. Entsprechend dürfen auch Sie ganz legal mit Metasploit Ihre eigene IT angreifen, um auf diese Weise Schwachstellen in den Geräten aufzudecken.

Siehe auch: Sicherheit für USB-Sticks: Das müssen Sie wissen

Sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt solche Testangriffe (Penetrationstests) und hat eine Anleitung dazu veröffentlicht. Darin beschreibt das BSI die folgenden fünf Schritte als ideale Vorgehensweise für Pentests:

1. Informationsbeschaffung: Über welche IP-Adressen ist das Ziel erreichbar?

2. Scan des Zielsystems: Welche Dienste/Programme lassen sich von der Seite des Angreifers aus ansprechen (Portscan)?

3: System-und Anwendungserkennung: Analyse der angebotenen Dienste des Systems, etwa FTP-Server, mit dem Ziel, genaue Programmversionen zu erfahren oder zu erraten.

4. Recherche nach Schwachstellen: Nachdem bekannt ist, welche Programme und Systeme erreichbar sind, lässt sich nach Sicherheitslücken zu diesen Programmen suchen.

5. Ausnutzung der Schwachstellen: Im letzten Schritt findet dann der tatsächliche Angriff statt, der im schlimmsten Fall den kompletten Zugriff auf das Zielsystem zur Folge hat.

Die vollständige Empfehlung des BSI finden Sie hier . Andere Empfehlungen listen weitere Schritte auf und nennen vor allem die Zeitpunkte, an denen der Penetrationstester mit der Zielfirma, das heißt seinem Auftraggeber, Rücksprache hält. Denn nur in seltenen Fällen findet ein Blindtest statt, bei dem die IT-Verantwortlichen des Zielsystems nicht wissen, dass sie von Pentestern angegriffen werden. Wesentlich häufiger sind diese wenigstens über den Zeitpunkt des Angriffs informiert. Zumindest jedoch hat ein gründlicher Austausch von Kontaktdaten (Telefonnummern, Mailadressen) auf beiden Seiten stattgefunden. Das ist notwendig, damit man sich im Ernstfall, wenn beispielsweise Systeme ausfallen, über die Gründe austauschen kann.

Wenn Sie selbst Ihre eigenen Systeme angreifen, bleiben die fünf oben genannten Schritte dennoch gültig. Denn auch Sie müssen ja wissen, über welche IP-Adresse Ihre Geräte erreichbar sind, und sehr wahrscheinlich werden auch Sie nicht auswendig wissen, welcher FTP-Server auf Ihrem NAS läuft.

Das komplette Schutzpaket 30% günstiger: Kaspersky Total Security Multi-Device 2016 für nur 48,95 statt 69,95 - für 3 Geräte und 1 Jahr!

Wenn Sie wissen möchten, wie viele Angriffscodes, etwa Exploits, Auxiliaries und Payloads in Ihrer Metasploit-Installation stecken, hilft der Befehl banner.
Vergrößern Wenn Sie wissen möchten, wie viele Angriffscodes, etwa Exploits, Auxiliaries und Payloads in Ihrer Metasploit-Installation stecken, hilft der Befehl banner.

So bekommen Sie das Hacker-System Metasploit

Damit Sie mit dem Testen Ihrer Systeme loslegen können, brauchen Sie das Framework Metasploit. Zuverlässig funktioniert der Download der Gratis-Version von Metasploit über den kommerziellen Anbieter Rapid 7 . Wählen Sie auf der Download-Seite die Version Metasploit Community.

Der Hersteller ist an Ihren Daten interessiert und natürlich auch daran, Ihnen die Pro-Version zu verkaufen. Deshalb schiebt er Ihnen vor dem Download eine Registrierungsmaske unter. Weil die Firma die Software nur innerhalb der USA verkaufen darf, sind auch nur Registrierungen mit entsprechender Adresse und Telefonnummer möglich. Wer keine Skrupel hat, hier falsche Angaben zu machen, der kann sich über die Website http://de.fakenamegenerator.com eine US-amerikanische Adresse erzeugen lassen. Wenn Sie die Einweg-Mailadresse des Fakegenerators verwenden wollen, klicken Sie mit der rechten Maustaste auf den Link „Klicken Sie hier, um diese E-Mail-Adresse zu verwenden“ und wählen Sie „Im neuen Tab öffnen“. So können Sie ebenfalls die übrigen Adressdaten der Seite kopieren und haben gleichzeitig einen Browser-Tab offen, auf dem der Posteingang der Wegwerf-Mailadresse angezeigt wird. Rapid 7 sendet daraufhin den Lizenz-Key für Metasploit. Dieser ist für die Nutzung der kostenlosen Community-Version zwar nicht erforderlich, bringt aber Vorteile, etwa die webbasierte Oberfläche der Pro-Version. Wer keine Fake-Adresse nutzen möchte, lädt Metasploit Framework Open Source von der Webseite herunter.

Über die Webseite http://network-tools.com ist es möglich, zu einer Webadresse die zugehörige IP-Adresse zu erfahren.
Vergrößern Über die Webseite http://network-tools.com ist es möglich, zu einer Webadresse die zugehörige IP-Adresse zu erfahren.

So installieren Sie das Hacker-System auf einem Testrechner

Rechner: Um Ihre eigene IT anzugreifen, sollten Sie einen Testrechner nutzen. Im Idealfall hat dieser eine eigene Verbindung zum Internet. Denn der Test soll ja überprüfen, ob Sie vom Internet aus angreifbar sind. Wenn der Testrechner über WLAN verfügt, dann lässt sich eine eigene Internetverbindung beispielswei-se über Ihr Smartphone herstellen. Voraussetzung ist, dass Ihr Mobilfunkprovider Tethering unterstützt. Wie Sie diese Verbindung aufbauen, erklärt diese ausführliche Schritt-für-Schritt-Anleitung .

Linux: Metasploit gibt es als 32-Bit-sowie als 64-Bit-Version für Linux auf der Website www.metasploit.com . Wer sich gut mit Linux auskennt, der kann die Distribution Kali-Linux nutzen. Es handelt sich dabei um eine auf Pentests optimierte Linux-Version. Sie enthält bereits das komplette Metasploit Framework. Dies hat den Vorteil, dass schon alle Abhängigkeiten der Metasploit-Pakete erfüllt sind. Ein Punkt, der nicht zu unterschätzen ist. Um Metasploit unter Kali zu nutzen, starten Sie zunächst die beiden Init-Scripts:

sudo /etc/init.d/postgresql start
sudo /etc/init.d/metasploit start

Im Anschluss daran starten Sie die Metasploit-Konsole über den Befehl

msfconsole

Alternative: Die Version Metasploitable ist speziell für die Virtualisierungs-Software Virtualbox gemacht und erlaubt ein schnelles Kennenlernen des Frameworks. Sie lässt sich per Virtualbox unter Linux oder Windows einsetzen. Wer sich eher unter Windows zu Hause fühlt, kann auch die im Folgenden besprochene Metasploit-Version für Windows verwenden.

Windows 10: Die neuen Sicherheitsfunktionen im Überblick

Windows: Bei der Installation von Metasploit für Windows hilft ein gewohnter Assistent. Übernehmen Sie idealerweise die Voreinstellungen und belassen Sie als Installationsverzeichnis „C:\metasploit“. Der Assistent weist Sie auch darauf hin, dass Sie die Firewall und das Antivirenprogramm deaktivieren müssen. Beides ist zwingend erforderlich, damit Metasploit seine Arbeit erledigen kann. Die Software bringt viele Exploit-Codes mit, die auch von tatsächlich im Internet verbreiteten Viren verwendet werden. Der Virenwächter würde diesen Code finden und löschen. Das Framework würde somit nicht mehr komplett funktionieren. Darum ist es am einfachsten, Metasploit auf einem Testrechner zu installieren, auf dem kein Antivirenprogramm installiert ist. Sollte dann etwas mit der Software schiefgehen oder sich – unabhängig von dieser Tätigkeit – ein PC-Schädling von jemand anderem einschleusen, lässt sich der Testrechner jederzeit plattmachen. Selbstverständlich sollten sich auf einem Test-PC keine persönlichen Daten befinden, die ein Virus stehlen kann. Falls Sie keinen eigenen Test-PC zur Verfügung haben, stellen Sie Ihr Antivirenprogramm einfach so ein, dass es den Ordner „C:\metasploit“ nicht scannt.

Mit dem Befehl search suchen Sie nach Modulen in Metaspolit. Der Befehl unterstützt Filter, etwa name, type und path. Eine komplette Liste erhalten Sie über search -h.
Vergrößern Mit dem Befehl search suchen Sie nach Modulen in Metaspolit. Der Befehl unterstützt Filter, etwa name, type und path. Eine komplette Liste erhalten Sie über search -h.

Der Installationsassistent von Metasploit fragt Sie auch, über welchen Port Sie das Tool später ansprechen wollen. Hier können Sie den Vorschlag 3790 übernehmen. Auf jeden Fall müssen Sie sich Ihre Wahl merken. Übernehmen Sie die übrigen Vorschläge des Assistenten und beenden Sie die Installation. Die rund 185 MB große Installationsdatei ist stark komprimiert und verschlüsselt. Bis alles entpackt und installiert ist, dauert es insbesondere auf älteren PCs einige Minuten. Sie beenden die Installation per Klick auf „Finish“. Danach startet Ihr Standardbrowser und zeigt eine lokal gespeicherte Infoseite an. Diese erklärt Ihnen, dass die eigentliche Weboberfläche von Metasploit Pro mit einem SSL-Zertifikat geschützt ist, das Ihr Browser als unsicher einstufen wird. Die Meldung Ihres Browsers müssen Sie ignorieren, um auf den lokalen Webserver von Metasploit zugreifen zu können. Dorthin gelangen Sie über den angezeigten Link https://localhost:3790 . Die Adresse ist eine andere, wenn Sie sich für einen anderen Port entschieden hatten.

Im nächsten Schritt müssen Sie einen beliebigen Benutzernamen und ein Passwort angeben, um ein Konto in Metasploit anzulegen. Im Anschluss daran werden Sie nach dem Lizenz-Key gefragt, den Sie per Mail nach dem Download zugeschickt bekommen hatten. Dieser Schritt ist notwendig, um auf die Weboberfläche von Metasploit zuzugreifen. Diese gehört zum kommerziellen Teil der Software und bietet ein paar übersichtliche Werkzeuge an. Zwingend für die Nutzung von Metasploit sind der Key und die Weboberfläche allerdings nicht. Auch in diesem Ratgeber gehen wir ausschließlich auf die Nutzung der Konsole ein, also der Eingabeaufforderung von Metasploit.

Lernen Sie die Metasploit-Konsole kennen

Nach der Installation von Metasploit für Windows startet automatisch der Browser mit Zugriff auf die kommerzielle Metasploit-Weboberfläche. Universell ist jedoch die Nutzung von Metasploit mittels Konsole. Starten Sie diese über „Windows-Logo -> Alle Programme/Alle Apps -> Metasploit -> Metasploit Console“. Daraufhin öffnet sich die Eingabeaufforderung des Frameworks. Beim ersten Start müssen Sie einige Zeit warten, bis alle Dienste gestartet sind. Wenn die Konsole bereit ist, erscheint als Prompt „msf >“ für Metasploit Framework. Dort geben Sie wie in der Windows CMD (Eingabeaufforderung) oder der Bash unter Linux Befehle ein, die Sie mit der Taste Enter starten. Die wichtigsten Befehle stellen wir hier vor.

Banner: Beim Start der Konsole werden zuletzt die Zahl der verfügbaren Exploits (rund 1500), Auxiliaries (rund 950) und Payloads (gut 400) angezeigt. Möchten Sie diese Anzeige erneut aufrufen, geben Sie banner ein. Exploits sind Code, mit dem eine Schwachstelle ausgenutzt wird. Auxiliary-Module helfen dabei, Informationen über das Zielsystem einzuholen. Das beginnt bei DNS-Abfragen, geht über einfache Portscanner und endet bei speziellen Scannern, etwa für FTP-Server. Payload bezeichnet den eigentlichen Schadcode. Er wird zumeist über den Exploit-Code in das Zielsystem gebracht und ermöglicht dort zum Beispiel den Zugriff von außen oder sammelt interne Daten und sendet diese an den Pentester zurück.

Show und Search: Der Befehl show listet sämtliche verfügbare Module sowie Exploits Ihrer Metasploit-Installation auf. Dies geht für die Exploits etwa über show exploits. Weitere Optionen erhalten Sie dann über show -h. Diese Liste ist allerdings sehr lang und übersteigt bei den Exploits die Standardanzeigekapazität der Konsole. Wenn Sie also auf der Suche nach einem passenden Exploit für ein Zielsystem sind, ist der Befehl search besser geeignet. Er bietet unter anderem die Optionen type und name. Vermuten Sie bei Ihrem Zielsystem beispielsweise eine Lücke in einer Dateifreigabe über SMB (Server Message Block), suchen Sie so nach verfügbaren Exploits:

search type:exploit name:smb

Sämtliche Optionen von search erhalten Sie über search -h.

Die Suche nach Exploits für FTP-Server liefert etwa einen Angriffscode für das Tool Quick FTP. Diese Lücke ist zwar schon alt, doch es gibt ja noch recht viele alte Rechner.
Vergrößern Die Suche nach Exploits für FTP-Server liefert etwa einen Angriffscode für das Tool Quick FTP. Diese Lücke ist zwar schon alt, doch es gibt ja noch recht viele alte Rechner.

Umgang mit Modulen – use, set, back: Jedes Modul in Metasploit bringt unterschiedliche Optionen mit. Für Exploits müssen Sie meistens die Adresse des Zielsystems angeben und welche Payload mitgeschickt werden soll. Bei Auxiliary-Modulen geben Sie in der Regel auch eine Zieladresse oder einen Adressbereich ein.

Möchten Sie ein Modul, das Sie beispielsweise über den Search-Befehl gefunden haben, zur Konfiguration auswählen, verwenden Sie einfach den Befehl use Modulpfad/Modulname. Ein Modul aus der Search-Liste lässt sich übrigens mithilfe der Maus markieren und im Anschluss daran über „Edit -> Paste“ in die Befehlszeile (msf >) einfügen. Unsere Suche von oben nach Exploit und smb hat beispielsweise den Exploit „quick_tftp_pro_mode“ geliefert. Der ist zwar von 2008, hat allerdings die Bewertung „good“. Wenn also eine alte Version von Quick TFT laufen sollte, dann stehen die Chancen nicht schlecht, dass dieser Exploit funktioniert und eine Payload einschleusen kann. Um den Exploit zu konfigurieren, geben Sie ihn anschließend folgendermaßen ein:

msf >use exploit/windows/tftp/quick_tftp_pro_mode

Der Prompt wechselt in das Modul:

msf exploit (quick_tftp_pro _mode) >

Um herauszufinden, welche Optionen ein Modul bietet, geben Sie show options ein.

msf exploit (quick_tftp_pro_mode) > show options

Typische Optionen für einen Exploit sind RHOST und RPORT, was die IP-Adresse und den Port des anzugreifenden Systems meint. Um die Optionen zu ändern, verwenden Sie den Befehl set parameter option. In unserem Beispiel sieht das dann so aus:

msf exploit (quick_tftp_pro_mode) > set RHOST 178.254.10.72

Um die Konfiguration eines Moduls zu verlassen, geben Sie back ein. Der Prompt springt danach auf „msf >“ zurück.

Wenn Sie in Metasploit ein Angriffs-oder Scanmodul geladen haben, lassen Sie sich über den Befehl show options die Einstellmöglichkeiten für das Modul anzeigen.
Vergrößern Wenn Sie in Metasploit ein Angriffs-oder Scanmodul geladen haben, lassen Sie sich über den Befehl show options die Einstellmöglichkeiten für das Modul anzeigen.

Informationen über das Zielsystem einholen

Ein professioneller Penetrationstester nutzt für die erste Informationsgewinnung alle verfügbaren Quellen. Er prüft etwa über DNS-Abfragen, welche IP-Adressen zu einer Internetadresse gehören und welche weiteren Dienste die Zielfirma anbietet. So hat die Website einer Firma oft eine andere IP-Adresse als spezielle Datendienste, etwa für die Mitarbeiter im Außendienst. Denn die Webseite läuft bei einem Domain-Hoster und der Datendienst auf den eigenen Servern der Firma.

Für den Test Ihrer eigenen IT braucht Sie das alles nicht zu kümmern. Sie müssen lediglich die IP-Adresse Ihres DSL-Routers ermitteln. Diese erfahren Sie über die Weboberfläche Ihres Routers oder über den Speedtest von PC-WELT unter www.speedmeter.de oder über den Browser-Check unter www.browsercheck.pcwelt.de . Auf dieser Webseite finden Sie Ihre IP unter „Externe IP-Adresse“.

Scanning des Systems mit Portscannern: Wenn Sie Ihre IP-Adresse ermittelt haben, können Sie diese mit einem Portscanner untersuchen. So finden Sie heraus, ob Ihr System nach außen hin – also ins Internet – Dienste anbietet. Zum Scannen von IP-Adressen dient zum Beispiel das mächtige Tool Nmap, das in Metasploit integriert ist. Über „nmap IP-Adresse“ erfahren Sie, welche Ports geöffnet sind. Bei Standardports lässt sich automatisch auf den dahinter aktiven Dienst schließen. Dabei sieht der Befehl folgendermaßen aus:

msf >nmap 178.254.10.72

Der Scan dieser privaten Webseite ergab, dass etwa Port 21 offen ist. Somit ist wahrscheinlich ein FTP-Server hinter der IP-Adresse aktiv. Jeder offene Port ist ein potenzielles Angriffsziel und muss genauer untersucht werden.

Per Set-Befehl konfigurieren Sie das geladene Modul. In diesem Fall ist es das Modul „quick_tftp_pro_mode“, dem Sie als Ziel-IP-Adresse 178.254.10.72 mitgeben.
Vergrößern Per Set-Befehl konfigurieren Sie das geladene Modul. In diesem Fall ist es das Modul „quick_tftp_pro_mode“, dem Sie als Ziel-IP-Adresse 178.254.10.72 mitgeben.

Scanning des Systems mit Schwachstellenscannern

Wenn Sie ermittelt haben, welche Adressen und welche Dienste das Ziel bietet, müssen Sie als Nächstes genauere Informationen über das Zielsystem in Erfahrung bringen. Dabei helfen Vulnerabilityscanner. Dies sind Schwachstellenscanner, die Sicherheitslücken in Programmen suchen. Ziel des Schwachstellenscans ist es, anschließend einen Exploit-Code auf die gefundene Schwachstelle loszulassen. Metasploit bietet mehrere Scanner. Eine Liste erhalten Sie mit dem Search-Befehl:

msf >search type:auxiliary

Die Liste ist lang, kann aber mit weiteren Parametern des Search-Befehls gefiltert werden. Wir zeigen hier exemplarisch den Einsatz von TCP Syn. Sie nutzen zunächst den Befehl use:

msf >use scanner/portscan/syn

Der Prompt wechselt in das Modul und sieht daraufhin wie folgt aus:

msf auxiliary(syn) >

Der Show-Befehl zeigt Ihnen die Optionen des Moduls an:

msf auxiliary(syn) >show options

Mit dem Set-Befehl und RHOSTS sowie RPORT legen Sie das Ziel fest, etwa so:

msf auxiliary(syn) >set RHOSTS 178.254.10.72
msf auxiliary(syn) > set RPORTS 20, 21

Der Befehl run startet den Scanvorgang:

msf auxiliary(syn) >run

Das Einholen der Information und das Scannen des Zielsystems sind die wichtigsten Schritte bei einem Penetrationstest. Nur wenn dabei die richtigen Erkenntnisse gewonnen wurden, lässt sich das Ziel im nächsten Schritt mit einem Exploit sowie einer Payload oder einer anderen Methode angreifen.

Video: Die unglaublichsten Sicherheitslücken im Internet

Angriff des Zielsystems mit einem Exploit

Wenn Sie im Zielsystem einen Dienst ausfindig gemacht haben, der von außen ansprechbar ist und gleichzeitig über eine Sicherheitslücke verfügt, können Sie diese nun mit einem Exploit aus dem Metasploit Framework angreifen. Angenommen, auf unserem Zielsystem (178.254.10.72) läuft unter Port 21 eine alte Version von Quick FTP für Windows XP, dann starten Sie den Exploit so:

msf > use exploit/windows/tftp/quick_tftp_pro_mode
msf exploit (quick_tftp_pro_mode) >set RHOST 178.254.10.72
msf exploit (quick_tftp_pro_mode) >set RPORT 21
msf exploit (quick_tftp_pro_mode) >run
Hier haben wir mit dem Portscanner Nmap, der in Metasploit integriert ist, die IP-Adresse einer Website gescannt. Offen ist unter anderem der Port für den FTP-Server, was ein möglicher Angriffspunkt sein kann.
Vergrößern Hier haben wir mit dem Portscanner Nmap, der in Metasploit integriert ist, die IP-Adresse einer Website gescannt. Offen ist unter anderem der Port für den FTP-Server, was ein möglicher Angriffspunkt sein kann.

Passwortscanner in Metasploit für Angriffe auf Log-ins

Der Angriff auf ein System mit einem Exploit-Code kann zwar sehr wirkungsvoll sein, da man wegen der Schwachstelle zumeist nicht nur die Schutzbarriere des Systems überwindet, sondern auch gleich zusätzlichen, feindlichen Code, die Payload, im System aktivieren kann. Der Nachteil besteht jedoch darin, dass Angriffe mit Exploit-Code oft schiefgehen. Das passiert beispielsweise dann, wenn im Zielsystem doch eine neuere Version der lückenbehafteten Software läuft. Ein Fall, der häufig auftritt, weil viele Scans auf Schwachstellen nicht immer zuverlässige Ergebnisse liefern. Und selbst wenn der Exploit zur Software-Version passt, kann dieser durch ein Sicherungssystem, etwa einen Virenwächter, abgefangen werden.

Deshalb sind bei Penetrationstestern (und bei Hackern) Angriffe auf Passwortsysteme sehr beliebt. Zum einen gibt es ab einer gewissen Netzwerkgröße meistens mehrere Systeme, die mit Passwörtern geschützt werden, zum anderen sind immer wieder Benutzerkonten dabei, für die keine langen und komplexen Passwörter vergeben wurden.

Passwortscanner: Metasploit bietet auch eine ganze Reihe von Passwortscannern für die verschiedenen Dienste. Denn Log-in-Daten sind ja nicht nur auf dem PC für das Windows-Konto erforderlich, sondern für sehr viele weitere Dienste auch. Um bei dem Beispiel mit dem FTP-Server zu bleiben: Viele FTP-Server bieten ja nicht nur Dateien zum öffentlichen Download an, sondern erlauben angemeldeten Nutzern auch den Upload. Diese Benutzerkonten sind natürlich mit einem Passwort geschützt, doch wenn das etwa „Passwort“, „Test123“ oder „asdf“ lautet, hat ein Passwortscanner es schnell geknackt.

In Metasploit finden sich entsprechende Scanner in dem Pfad „scanner_login“. Folglich können Sie etwa so danach suchen:

msf >search type:auxiliary path:scanner_login

Beispielhaft zeigen wir hier die Befehlszeilen für den Scanner ftp_login. In den folgenden Zeilen laden wir das Modul, legen danach die Ziel-IP-Adresse fest, bestimmen „admin“ als Zielkonto und laden anschließend als Passwortdatei die Datei „pass.txt“. Entsprechende Passwortdateien kursieren im Internet.

msf >use auxiliary/scanner/ftp/ftp_login
msf auxiliary (ftp_login) >set RHOSTS 178.254.10.72
msf auxiliary (ftp_login) >set USERNAME admin
msf auxiliary (ftp_login) >set PASS_File pass.txt
msf auxiliary (ftp_login) >run

Die Datei „pass.txt“ enthält die Passwörter, die der Scanner ausprobieren soll. Sie müssen die Datei in den Pfad von Metasploit speichern, also standardmäßig „C:\metasploit\“.

Dieser Log-in-Scanner versucht, per Brute-Force in ein Benutzerkonto eines FTP-Servers einzudringen. Unsere Wörterbuchdatei für diesen Test umfasst allerdings nur zwei Passwörter.
Vergrößern Dieser Log-in-Scanner versucht, per Brute-Force in ein Benutzerkonto eines FTP-Servers einzudringen. Unsere Wörterbuchdatei für diesen Test umfasst allerdings nur zwei Passwörter.

Schutz gegen die Angriffe von Metasploit & Co.

Das Framework Metasploit bietet noch zahlreiche weitere Module für das Scannen von Zielsystemen und für den Angriff auf Schwachstellen in Diensten und Software. Viele der Lücken müssen auch gar nicht vom Internet aus ansprechbar sein. Weiß oder vermutet ein Angreifer oder Pentester, dass auf einem Rechner im Zielnetzwerk eine veraltete Version von Word oder Adobe Reader installiert ist, dann kann er dem Benutzer dieses PCs einfach ein verseuchtes Word-Dokument oder eine verseuchte PDF-Datei per Mail zusenden. Für das Erstellen derart verseuchter Dokumente bietet Metasploit ebenfalls etliche Module.

Im Überblick: Hacker-Tools für Profis und Schutzprogramme für jeden

Name

Beschreibung

System

Preis

Avira Free Antivirus

Kostenlose Antiviren-Software

Windows Vista, 7, 8, 10

gratis

Bitdefender Internet Security 2016

Internet-Sicherheitspaket

Windows Vista, 7, 8, 10

49,95 Euro/Jahr

Kali Linux

Hacker-Linux inklusive Metasploit

Linux

gratis

Metasploit Community

Framework für Hacker-Angriffe von Rapid7

Windows Vista, 7, 8, 10

gratis

Metasploitable

Hacker-Framework für Virtualisierungs-Software

Oracle Virtualbox

gratis

Secunia PSI

Update-Tool für Anwenderprogramme

Windows Vista, 7, 8, 10

gratis

Virtualbox

Virtualisierungs-Software

Windows Vista, 7, 8, 10, Linux

gratis

Der Schutz gegen alle Angriffe dieser Art ist eigentlich recht einfach: Installieren Sie immer sämtliche Sicherheits-Updates für Ihre Software. Das betrifft Windows sowie alle Anwenderprogramme. Bieten Sie in Richtung Internet lediglich diejenigen Dienste an, die Sie auch tatsächlich brauchen. Wenn Sie keinen heimischen FTP-Server mit Internetzugriff auf Ihrem NAS benötigen, deaktivieren Sie diesen Zugriff. Schließlich ist eine aktuelle Antiviren-Software immer eine gute Idee ( Antivirus-Software für Windows 10 im Test ). Zwar gibt es eine ganze Reihe von Exploits, die Ihren Code ausschließlich im Arbeitsspeicher des Rechners ablegen und sich damit für die einfachen Dateiscanner von Antiviren-Tools unsichtbar machen. Doch zumindest gegen die Mehrzahl der Payloads schützt ein Antivirenprogramm.

So schützen Sie Ihr Facebook-Konto vor Hackern
0 Kommentare zu diesem Artikel
2170313