Veritas backup exec 20.3 crack - Crack Key For U

23.09.2021 4 Comments

veritas backup exec 20.3 crack  - Crack Key For U

u latio n. D irecto rate. De pu ty. C h ie f. Exe The regulation of the offshore petroleum industry is a key element in the. Det Norske Veritas Ltd. BSCAT is a registered trademark of DNV. The BSCAT method manual is The license key determines what you get to see – BowTieXP. If you have any questions regarding any item of business on the Agenda for this 151840 05/10/2012 003138 CAL MAT PW PATCH TRUCK MATERIALS 337.79 337.79.

You can watch a thematic video

How to Permanently Activate Veritas Backup Exec 2020 for free--Veritas Backup License Activation-- _sslv2: server still supports SSLv2 3128/tcp open http-proxy Squid webproxy 2.6.STABLE18 MAC Address: 00:02:B3:8E:03:8A (Intel) Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port Device type: firewall Running: IPCop Linux 2.4.X OS details: IPCop firewall 1.4.10 – 1.4.21 (Linux 2.4.31 – 2.4.36) Network Distance: 1 hop Service Info: OS: Linux HOP RTT ADDRESS 1 0.48 ms firewall.victim.org (213.172.16.20) OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/. Nmap done: 1 IP address (1 host up) scanned in 51.92 seconds [email protected]:~#

Bild 3.1: Nmap beim Scannen eines Rechners

48

Kapitel 3 – An den Toren rütteln: Portscanner & Co.

3.2

Lanspy

Anbieter

http://lantricks.com

Preis

-

Betriebssystem(e)

Win2003, WinXP, Win Vista, Win 7

Sprachen

Englisch

Kategorie(n)

Portscanner

Größe

< 2 MB

Usability



Oberfläche Installation

Ja

GUI

x

CMD

Schnittstellen

Know-how



Lanspy ist ein leistungsfähiger und schneller IP-Scanner, der sowohl zur Analyse des eigenen Netzwerks als auch externer Netwerke eingesetzt werden kann. Die Scan-Ergebnisse werden in sehr übersichtlicher Form präsentiert.

Bild 3.2: Übersichtliches Scanresultat des eigenen Heimnetzwerks

3.3 AW Security Portscanner

3.3

49

AW Security Portscanner

Anbieter

www.atelierweb.com

Preis

Trial, ab $ 33,95

Betriebssystem(e)

Windows XP, Win Vista, Win 7

Sprachen

Englisch

Kategorie(n)

Portscanner

Größe

< 2 KB

Usability



Oberfläche Installation

ja Know-how

GUI

x

CMD

Schnittstellen 

Neben ordentlichen Analysewerkzeugen für das lokale Netz (Anzeige von Ports, Routings, IP-Protokollen, Registryeinstellungen fürs Netzwerk, Freigaben, User, Services etc.) verfügt der Scanner auch über ein weitreichendes Angriffsrepertoire, womit er sich in der Mitte zwischen einfachen Portscannern (Superscan) und komplexen SecurityScannern (GFI, OpenVAS, Nessus oder X-Scan) bewegt.

Bild 3.3: Der AW Security Portscanner ist für Angriffs- und Verteidigungszwecke gleich gut geeignet

50

Kapitel 3 – An den Toren rütteln: Portscanner & Co.

3.4

Winfingerprint

Anbieter

http://winfingerprint.com

Preis

-

Betriebssystem(e)

Win2000, WinXP, Win2003, Win NT 4.0

Sprachen

Englisch

Kategorie(n)

Fingerprinting Tool

Oberfläche

Größe

< 2 MB

Ja

Usability



Installation

Know-how

GUI

Schnittstellen

x

CMD

WinPCap



Nach Eingabe einer IP-Liste, einer IP-Range, des Hosts oder der Netzwerkumgebung scannt das Programm andere ans Netz angeschlossene Rechner und gibt – je nach Voreinstellung – einen ausführlichen Report über das Zielsystem, der auch gespeichert werden kann.

Bild 3.4: Beim Abdruck sammeln

3.5 Xprobe2

3.5

51

Xprobe2

Anbieter / Entwickler

http://xprobe.sourceforge.net

Smadav Pro License key -

Betriebssystem(e)

Linux/UNIX, Solaris, FreeBSD, OpenBSD, NetBSD, IRIX

Sprachen

Englisch

Kategorie(n)

OS Fingerprinting Tool

Oberfläche

Größe

< 2 MB

Nein / Ja

Usability



Installation / Kompilation

GUI

CMD x

Schnittstellen

Know-how



Xprobe2 beherrscht aktives Fingerprinting, mit dem das auf dem Zielhost eingesetzte Betriebssystem erkannt werden kann. Dabei kombiniert Xprobe2 verschiedene Methoden unter Benutzung des ICMP-Protokolls von einer errechneten Wahrscheinlichkeit bis hin zur Einbindung einer Signaturdatenbank. Eine neue Version namens XprobeNG (auch als Xprobe2++ bekannt) ist für den Sommer des Jahres 2010 angekündigt. Eine Abfrage, angesetzt auf den geöffneten Port UDP/161 von victim.org •

-p (specify portnumber, protocol and state)

bringt folgendes Ergebnis:

[email protected]:~# xprobe2 -p udp:161:open victim.org Xprobe2 v.0.3 Copyright (c) 2002-2005 [email protected], [email protected], [email protected] [+] Target is victim.org [+] Loading modules. [+] Following modules are loaded: [x] [1] ping:icmp_ping – ICMP echo discovery module [x] [2] ping:tcp_ping – TCP-based ping discovery module [x] [3] ping:udp_ping – UDP-based ping discovery module [x] [4] infogather:ttl_calc – TCP and UDP based TTL distance calculation [x] [5] infogather:portscan – TCP and UDP PortScanner [x] [6] fingerprint:icmp_echo – ICMP Echo request fingerprinting module [x] [7] fingerprint:icmp_tstamp – ICMP Timestamp request fingerprinting module [x] [8] fingerprint:icmp_amask – ICMP Address mask request fingerprinting module [x] [9] fingerprint:icmp_port_unreach – ICMP port unreachable fingerprinting module [x] [10] fingerprint:tcp_hshake – TCP Handshake fingerprinting module [x] [11] fingerprint:tcp_rst – TCP RST fingerprinting module [x] [12] fingerprint:smb – SMB fingerprinting module

52

Kapitel 3 – An den Toren rütteln: Portscanner & Co.

[x] [13] fingerprint:snmp



SNMPv2c fingerprinting module

[+] 13 modules registered [+] Initializing scan engine [+] Running scan engine [-] ping:tcp_ping module: no closed/open TCP ports known on victim.org. Module test failed [-] No distance calculation. victim.org appears to be dead or no ports known [+] Host: victim.org is up (Guess probability: 66%) [+] Target: victim.org is alive. Round-Trip Time: 0.01510 sec [+] Selected safe Round-Trip Time value is: 0.03021 sec [-] fingerprint:tcp_hshake Module execution aborted (no open TCP ports known) [-] fingerprint:smb need either TCP port 139 or 445 to run Recv() error: Connection refused [-] fingerprint:snmp: RecvTimeout() failed! [+] Primary guess: [+] Host victim.org Running OS: "Microsoft Windows 2003 Server Standard Edition" (Guess probability: 100%) [+] Other guesses: [+] Host victim.org Running OS: "Microsoft Windows 2003 Server Enterprise Edition" (Guess probability: 100%) [+] Host victim.org Running OS: "Microsoft Windows XP SP2" (Guess probability: 100%) [+] Host victim.org Running OS: "Microsoft Windows 2000 Workstation" (Guess probability: 100%) [+] Host victim.org Running OS: "Microsoft Windows 2000 Workstation SP1" (Guess probability: 100%) [+] Host victim.org Running OS: "Microsoft Windows 2000 Workstation SP2" (Guess probability: 100%) [+] Host victim.org Running OS: "Microsoft Windows 2000 Workstation SP3" (Guess probability: 100%) [+] Host victim.org Running OS: "Microsoft Windows 2000 Workstation SP4" (Guess probability: 100%) [+] Host victim.org Running OS: "Microsoft Windows 2000 Server" (Guess probability: 100%) [+] Host victim.org Running OS: "Microsoft Windows 2000 Server Service Pack 1" (Guess probability: 100%) [+] Cleaning up scan engine [+] Modules deinitialized [+] Execution completed. [email protected]:~#

Bild 3.5: Xprobe2 ermittelt das Betriebssystem des Remoterechners

3.6 p0f

3.6

53

p0f

Anbieter

http://lcamtuf.coredump.cx/p0f.shtml

Preis

-

Betriebssystem(e) Linux/UNIX, Solaris, FreeBSD, NetBSD, Sprachen OpenBSD, Mac OS X, AIX und Windows

Englisch

Kategorie(n)

Passives Fingerprinting-Tool

GUI

Größe

< 2 MB

Usability



Installation / Kompilation Know-how

Oberfläche Nein / Ja

CMD

x

Schnittstellen



Das Tool p0f dient der passiven Erkennung der im Einsatz befindlichen Betriebssysteme. Hierzu analysiert p0f die Struktur der empfangenen TCP/IP-Pakete des Netzwerkstroms (oder durch mittels tcpdump im Vorfeld gewonnenen Materials) und nimmt auf Grundlage seiner Datenbank eine Zuordnung vor. In unserem Beispiel wird p0f mit folgendem Parameter gestartet: •

-i device – listen on this device

[email protected]:~# p0f -i eth0 p0f – passive os fingerprinting utility, version 2.0.8 (C) M. ZalewskiW. Stearns [email protected] p0f: listening (SYN) on 'eth0', 262 sigs (14 generic, cksum 0F1F5CA2), rule: 'all'. 192.168.2.100:60784 – Linux 2.6 (newer, 2) (up: 2476 hrs) -> 192.168.1.100:3551 (distance 1, link: ethernet/modem) 192.168.1.100:59579 – Linux 2.6 (newer, 3) (up: 148 hrs) -> 81.169.145.136:110 (distance 0, link: ethernet/modem) 192.168.1.55:1073 – Linux 2.6, seldom 2.4 (older, 4) (up: 18 hrs) -> 192.168.1.100:445 (distance 0, link: ethernet/modem) 192.168.1.225:1279 – Windows 2000 SP4, XP SP1+ -> 192.168.1.100:139 (distance 0, link: ethernet/modem) 192.168.1.217:1034 – Windows 2000 SP4, XP SP1+ -> 92.122.212.138:80 (distance 0, link: ethernet/modem) 192.168.1.10:1471 – Windows 2000 SP4, XP SP1+ -> 63.245.209.58:80 (distance 0, link: ethernet/modem) 192.168.1.10:1474 – Windows 2000 SP4, XP SP1+ -> 193.99.144.85:80 (distance 0, link: ethernet/modem) 192.168.1.225:1282 – Windows 2000 SP4, XP SP1+ -> 85.183.249.137:80 (distance 0, link: ethernet/modem) 192.168.1.217:1042 – Windows 2000 SP4, XP SP1+ -> 192.168.1.229:5900 (distance 0, link: ethernet/modem) 192.168.2.100:46922 – Linux 2.6 (newer, 2) (up: 2476 hrs) -> 192.168.1.100:3551 (distance 1, link: ethernet/modem) ^C

54

Kapitel 3 – An den Toren rütteln: Portscanner & Co.

+++ Exiting on signal 2 +++ [+] Average packet ratio: 17.00 per minute. [email protected]:~#

Bild 3.6: p0f bei der Erkennung von im Netzwerk befindlichen Betriebssystemen

In folgendem Beispiel wird p0f mit einem durch tcpdump gewonnenen Logfile des Netzwerkverkehrs konfrontiert: •

-s file – read packets from tcpdump snapshot

[email protected]:~# p0f -s tcpdump_pcap.log p0f – passive os fingerprinting utility, version 2.0.8 (C) M. ZalewskiW. Stearns [email protected] p0f: listening (SYN) on 'tcpdump_pcap.log', 262 sigs (14 generic, cksum 0F1F5CA2), rule: 'all'. 192.168.2.100:60784 – Linux 2.6 (newer, 2) (up: 2476 hrs) -> 192.168.1.100:3551 (distance 1, link: ethernet/modem) 192.168.1.100:59579 – Linux 2.6 (newer, 3) (up: 148 hrs) -> 81.169.145.136:110 (distance 0, link: ethernet/modem) 192.168.1.55:1073 – Linux 2.6, seldom 2.4 (older, 4) (up: 18 hrs) -> 192.168.1.100:445 (distance 0, link: ethernet/modem) 192.168.1.225:1279 – Windows 2000 SP4, XP SP1+ -> 192.168.1.100:139 (distance 0, link: ethernet/modem) 192.168.1.217:1034 – Windows 2000 SP4, XP SP1+ -> 92.122.212.138:80 (distance 0, link: ethernet/modem) [+] End of input file. [email protected]:~#

Bild 3.7: p0f bei der nachträglichen Analyse durch tcpdump gewonnenen Materials

3.7

Abwehr – generelle Tipps

Nach derzeitigem Stand des Wissens sind reine Portscans, z. B. via Nmap, nur schwer abzuwehren. Da das damit verbundene Sicherheitsrisiko minimal ist – wenn wir Standardabwehrmaßnahmen bestehend aus Hardware- oder Desktop-Firewall als vorhanden voraussetzen –, sollte nur intensiven Portscans (im Minutenbereich) Beachtung geschenkt werden, da hier möglicherweise Vorbereitungen für einen gezielten Einbruch getroffen werden. Sehr oft werden auch Portscans durchgeführt, um infizierte Rechner zu identifizieren bzw. zu koordinieren. Nicht unumstritten ist im Übrigen die Legalität12 von Portscans auf fremde Serveranlagen.

12

http://www.sans.org/reading_room/whitepapers/legal/the_ethics_and_legality_of_port_ scanning_71?show=71.php&cat=legal

55

4

Proxy & Socks

Proxy oder Proxyserver sind die Datenverkehrsvermittler für Computernetze; sie klinken sich für gewöhnlich zwischen Client (z. B. Internetbrowser) und Server ein, mit dem Ziel, den Datentransfer zu protokollieren, zu beschleunigen oder zu anonymisieren. Speziell für letzteren Zweck wurden JAP (Java Anon Proxy) und TOR (Tor’s Onion Routing) entwickelt. Sie anonymisieren Webbrowsing, Instant Messaging, IRC, SSH, EMail, P2P und andere Dienste. Wer sich also weitgehend anonym im Netz bewegen möchte, wird um den Einsatz dieser oder ähnlicher Produkte nicht herumkommen. Populäre Proxies laufen auf verschiedenen Ports, darunter: •

Port 80, 8000, 8080, 3128 etc. für das HTTP(S)-Protokoll



Port 81, 8001 und 8081 für militärisch genutzte Proxies



Port 1080 für SOCKS-Server



Port 23 für Telnet-Wingate-Server und



Port 21 für FTP-Wingate-Server

Eine gute Vorstellung über anonymisierende Proxies und entsprechende Proxylisten findet man auf www.proxylisten.de. Alternativ ist http://proxy4free.com/index.html eine gute Adresse. Im Gegensatz zu den Internetbrowsern sind aber viele Programme, z. B. Scanner, nicht direkt in der Lage, den Datenverkehr ins Internet über einen anonymisierenden Proxyserver abzuwickeln. Dafür gibt es spezielle Programme, mit denen Portoder Security-Scanner in die Lage versetzt werden, über Socks-Proxies mit den Zielrechnern Kontakt aufzunehmen. Da Socks-Proxies fast alle anonym arbeiten, ist das Risiko, bei einer Scanattacke direkt zur Verantwortung gezogen zu werden, sehr gering. Nach einem ähnlichen Prinzip arbeiten im Prinzip kriminelle Hacker, wenn sie für ihre Aktivitäten wie DDoS-Attacken im Vorfeld aufgebaute Bot-Netze oder Zombierechner einsetzen, die ihnen denselben Anonymisierungsschutz bieten wie externe Proxies. Bevor man Proxies nutzt, braucht man natürlich die Connectdaten: •

IP-Adresse des Proxy



Proxytyp wie HTTP(S), Socks4, Socks5



Port, auf dem der Proxy arbeitet



Gegebenenfalls die Login-Passwort-Kombination



Dafür wiederum gibt es – tagesaktuell – bestimmte Listen mit verfügbaren Proxies, z. B. unter www.proxylisten.de.

56

Kapitel 4 – Proxy & Socks

Bild 4.1: Aktive Proxies finden mit proxy-listen.de

4.1

FreeCap

Anbieter

www.freecap.ru/eng

Preis

Betriebssystem(e)

Windows

Sprachen

Englisch

Kategorie(n)

Socks-Proxy

Oberfläche

GUI

Größe

< 2 MB

Usability



Installation

Nein Know-how

x

CMD

Schnittstellen 

Im Prinzip ein gut nutzbares Programm, wenn man einige wichtige Schritte beherzigt. Der wichtigste ist das Finden eines funktionierenden Proxyservers, den man für seine Zwecke nutzen möchte. Im zweiten Schritt muss man die Anwendung, die man anonym nutzen möchte, in FreeCap konfigurieren, d. h. die Proxydaten entsprechend übernehmen. Theoretisch kann man den erzielbaren Anonymitätsgrad auch durch eine Proxykette steigern, wofür FreeCap eine entsprechende Option bereithält.

4.2 Proxy Finder

57

Bild 4.2: Proxykonfiguration für jedes Programm

4.2

Proxy Finder

Anbieter

www.proxy-tool.com

Preis

Betriebssystem(e)

Windows XP

Sprachen

Englisch

Kategorie(n)

Proxy Tools

Oberfläche

GUI

Größe

< 2 MB

Usability



Installation

Nein Know-how

Ab 29 $ x

CMD

Schnittstellen 

Die Alternative, wenn man sich nicht auf vorgefertigte Proxylisten verlassen will, besteht darin, sie sich selbst zu generieren. Voraussetzung dafür ist ein Tool wie der Proxy-Finder, der das Internet auf freie Proxies scannt. Der Suchbereich ist frei wählbar, ebenso die Ports wie 1080, 8080 etc. Die Portliste kann anschließend im ASCII-Format exportiert werden.

58

Kapitel 4 – Proxy & Socks

Bild 4.3: Proxy Finder: schon nach 30 Sekunden Tausende von Treffern

4.3

Abwehr – generelle Tipps

Proxy-Tools sind per se keine Angriffsinstrumente, aber sie können u. a. benutzt werden, um kriminelle Aktivitäten zu verschleiern. Auf Bürorechnern im Firmennetzwerk haben sie allerdings nichts zu suchen.

59

5

Remote Access Tools (RAT) – Anleitung für Zombie-Macher

Kurz gesagt ist ein Zombie ein Rechner ohne eigene Seele oder etwas weniger poetisch ausgedrückt: ein Rechner, der nicht mehr vollständig von seinem Anwender, sondern von außerhalb kontrolliert und gesteuert wird. Von solchen Rechnern können Daten (Logins, Passwörter, PINs, TANs) transferiert, aber auch DDoS-Attacken gestartet werden – bei minimalen Risiken für den Täter, da er nicht selbst an der Tastatur des TatPCs sitzt. Die hier vorgestellten RATs sind die Luxusausführung und eignen sich speziell für individuelle Aufgaben, z. B. dem Ausspionieren von privaten oder Firmengeheimnissen, während die Wald-und-Wiesen-RATs meistens als Trojaner auf dem PC des ahnungslosen Users landen, z. B. beim Besuchen präparierter Webseiten oder beim Öffnen infizierter Mails. Natürlich kann man diese Tools auch völlig legal einsetzen (wie die Entwickler blauäugig versichern), um seinen eigenen PC aus der Ferne zu steuern. Ähnlich klingende Bezeichnungen sind: Remote Administration Tool oder (eindeutiger) Remote Access Trojan. Gegenüber klassischen Fernwartungstools haben RATs eine differenzierte Tarnfunktion, d. h., sie verstecken sich, ihre Prozesse und Treiber häufig mit Rootkit-Technologie vor den Augen der ahnungslosen RAT-Nutzer. Fast alle RATS bestehen aus zwei Teilen: einem Client, mit dem der Angreifer seine Angriffsziele spezifiziert (Fernsteuerung, Datenübertragung, Keylogger etc.), und der damit erstellten Serverkomponente, die dem Opfer (Victim oder kurz auch »vic« genannt) untergeschoben wird. Nach seiner Installation »lauscht« der RAT-Server auf einem vorbestimmten Port und wartet auf Anweisungen. Die frühesten und in der Szene auch berühmt gewordenen RATs waren Back Orifice (BO2K) und SubSeven (auch Backdoor-G oder kurz Sub7 genannt). Zwar findet man diese Tools noch ab und zu im Netz, in der Szene setzt man allerdings auf leistungsfähigere Tools, die über eine bessere Tarnfunktionalität verfügen und auch hinter dem Rücken von Firewalls und Virenscannern arbeiten können.

5.1

Atelier Web Remote Commander

Anbieter

www.atelierweb.com

Preis

Trial, ab 96,95 $

Betriebssystem(e) Win XP, Win 2000, Win2003, Win NT, Win Vista, Win 7

Sprachen

Englisch

Kategorie(n)

Remote Administration

Oberfläche GUI

Größe

< 5 MB

Ja

Usability



Installation /

Know-how

x

Schnittstellen 

CMD

60

Kapitel 5 – Remote Access Tools (RAT) – Anleitung für Zombie-Macher

Der Remote Commander ist im Gegensatz zu den anderen hier vorgestellten Werkzeugen ein offizielles Managementtool zur Überwachung von Remote-PCs. Größter Vorteil: Es muss auf dem zu überwachenden PC nicht installiert werden, es werden keine Treiber und keine zu installierenden Programme auf dem Remote-PC benötigt; selbst eine dort installierte Desktop-Firewall kann den Fernzugriff blockieren. Einzige Voraussetzung: Auf dem »Opfer-PC« muss das Microsoft Network samt Drucker- und Dateifreigabe installiert sein und der Remote Admin braucht für den Zugriff ein Benutzerkonto mit administrativen Rechten.

Bild 5.1: Auf dem Remote-PC können beliebige Manipulationen vorgenommen werden

5.2

Poison Ivy

Anbieter

www.poisonivy-rat.com

Preis

-

Betriebssystem(e) Win XP, Win 2000, Win 2003, Win Sprachen NT

Englisch

Kategorie(n)

RAT

GUI

Größe

< 1 MB

Usability



Oberfläche Installation Know-how

Nein

Schnittstellen 

x CMD

5.3 Turkojan

61

Sehr einfach einzurichtendes Servermodul (für Zielrechner bzw. Victim) inklusive Manual mit einer Vielzahl von Fernsteuerungsmöglichkeiten: File Manager, Registry Editor, Process Manager, Service Manager, Window Manager, Sniffer (zum Abhören aller Verbindungen des Zielrechners nach außen), Key Logger, Screen Shooter etc. Auf Wunsch liefert der Programmautor auch Spezialanpassungen: »A custom version, not detected by any anti-virus products is available for sale.« Im Übrigen ist die komplette Verbindung zum RAT verschlüsselt und passwortgeschützt, sodass kein anderer den Zombierechner nutzen kann.

Bild 5.2: Komfortable All-in-one-Lösung

5.3

Turkojan

Anbieter

www.turkojan.com

Preis

-

Betriebssystem(e)

Win XP, Win 2000, Win 2003, Win NT, Win Vista, Win 7

Sprachen

Deutsch, Englisch, Türkisch

Kategorie(n)

RAT

Oberfläche

GUI

Größe

< 2 MB Installation

Usability



Know-how

Nein

x CMD

Schnittstellen 

Turkojan, das Produkt einer türkischen Hackerschmiede, präsentiert sich multilingual und mit vielen Features, jetzt auch für Windows 7. Der Funktionsumfang ist beträchtlich; im Netz existieren viele Videos, die anschaulich zeigen, wie man sich das Server-

62

Kapitel 5 – Remote Access Tools (RAT) – Anleitung für Zombie-Macher

modul (für den Opfer-PC) zusammenklickt. Es gibt auch eine Private Edition, die gegen die meisten Antivirenprogramme gehärtet ist.

Bild 5.3: Die türkische Variante: derzeit eines der leistungsfähigsten RATs

5.4

Optix Pro

Anbieter

www.evileyesoftware.com

Preis

-

Betriebssystem(e)

Win XP, Win 2000, Win 2003, Win NT

Sprachen

Deutsch, Englisch, Französisch Griech., Italienisch, Arabisch

Kategorie(n)

RAT

Oberfläche

GUI

Größe

< 1 MB

Usability



Installation

x

CMD

Nein Schnittstellen Know-how



Multilinguales, mit vielen Features (wie Firewall- AV-Deaktivierung, CGI-Logger etc.) ausgestattetes Remote Administration Tool. Laut den Entwicklern ist es in der Lage, 73 AV-Tools sowie 37 Personal-Firewalls auszuschalten.

5.5 Abwehr – generelle Tipps

63

Bild 5.4: Komfortabel zu bedienendes Builder-Modul

Auf Wunsch kann das Servermodul noch mit UPX verschlüsselt werden.

5.5

Abwehr – generelle Tipps

Abgesehen von der kommerziellen Variante von Web Atelier müssen die meisten RATs auf dem Ziel-PC installiert werden, ohne dass der Benutzer davon etwas ahnt, sei es als Drive-by-Download oder als ausführbarer Mailanhang. Genau hier setzt die Verteidigungsstrategie an. Im Grunde sind Realtime-Scanner und Verhaltensblocker, die zum Toolumfang der gängigen AV-Programme gehören oder auch als Standalone-Lösungen angeboten werden, Pflicht. Von der Fachpresse sehr gut bewertet wurden u. a. die Behavior Blocker bzw. HIPS (Host-based Intrusion and Prevention System): •

Online Armour (Shareware: www.tallemu.com)



ProSecurity (Shareware: www.proactive-hips.com13)



AntiHook 3 (Shareware: www.infoprocess.com.au)

Im Gegensatz zu konventionellen, signaturbasierten AV-Scanner registrieren diese Schutzprogramme Verhaltensauffälligkeiten im System, Keylogger werden ebenso geblockt wie Remote-Verbindungen nach außen.

13

Derzeit ist die Seite nicht zu erreichen bzw. wird umgeleitet auf eine »under construction«. Deshalb wohl nur mit Vorsicht zu genießen.

65

6

Rootkits – Malware stealthen

An sich sind Rootkits ein alter Hut; in der UNIX-Welt existieren sie seit Beginn der 90er-Jahre. Damals wurden sie von Hackern als eine Art Hintertürprogramm eingesetzt, um nicht nur den Hack zu tarnen, sondern um sich auch in Zukunft auf dem gekaperten System mit den Rechten des Systemadminstrators root unbemerkt bewegen zu können. Also mit einfachen Worten: Ein »Wurzelbaukasten« ist eine raffinierte Tarntechnik, mit der ein Angreifer einen fremden PC übernehmen und steuern kann, ohne dass diese Aktivitäten vom User bemerkt würden. Diese Tarntechnik eignet sich besonders gut in Kombination mit RATs und Keyloggern, weswegen eine Grenzziehung zwischen Rootkits und Trojanern in der Praxis nicht immer möglich ist. Nebenbei bemerkt lassen sich mit Rootkits natürlich auch andere Schädlinge tarnen, z. B. Browser-Hijacker oder Adware. Rootkits lassen sich anhand ihrer Angriffspunkte grob in zwei Gruppen unterteilen: •

Userland-Rootkits



Kernel-Rootkits (LKM, KMem)

Die Zugriffssteuerung von Betriebssystemen, die auf der x86-Prozessorfamilie von Intel aufsetzen (z. B. Windows und Linux), setzen zur Zugriffssteuerung auf das Prinzip der Ringe, wobei in Ring 0 der gesamte Kernelcode von Windows residiert und Ring 3 (die Ringe 1 und 2 werden nicht benutzt) für Anwenderprogramme (z. B. Word, Excel, Internet Explorer etc.) reserviert ist. Programmcode, der im Ring 0 oder der Kernelebene ausgeführt wird, verfügt über höhere Privilegien als derjenige, der im Userland (Ring 3) operiert. Zwischen Ring 0 und Ring 3 existieren Schnittstellen, die von der WinAPI realisiert werden und aus den Bibliotheken Advapi.dll, Gui32.dll, Kernel32.dll und Win32.dll bestehen. Da kein Userland-Programm direkt mit dem Kernel kommunizieren kann, werden alle Kernelaufrufe über die WinAPI abgewickelt. Und genau hier ist der Angriffspunkt der Userland-Rootkits. Stark vereinfacht gesagt, machen diese nichts anderes, als ihren Programmcode in Anwenderprogramme zu injizieren, wo sie dann z. B. über die User.dll in den Kernel geladen werden. In der Folge kontrollieren diese Rootkits dann die Kommunikation zwischen Kernel und Userland, d. h. jeder Aufruf des Taskmanagers, des Dateiexplorers oder anderer Programme wird entsprechend gefiltert mit dem Ergebnis, dass Prozesse unsichtbar gemacht, Trojanerports freigegeben, oder die Anwesenheit von weiterer Malware auf dem Rechner verschleiert wird. »Nackte« Rootkits ohne Zusatzfunktionalität sind streng veritas backup exec 20.3 crack - Crack Key For U noch keine Malware; kritisch wird es erst, wenn mit ihrer Stealth-Technologie anderer schädlicher Code (von Würmern, Trojanern, Viren, RATs etc.) vor dem Zugriff durch Viren-/Malware-Scanner versteckt wird.

66

Kapitel 6 – Rootkits – Malware stealthen

Mehr Ressourcen zum Thema – vorzugsweise für den Windows-Bereich (Rootkits, Antirootkits, Sourcecodes, Dokus etc.) – findet man unter: www.rootkit.com.

Bild 6.1: Wirkungsweise von Windows-Rootkits

6.1

Oddysee_Rootkit

Anbieter

http://98.15.254.95/RootKits

Preis

-

Betriebssystem(e) Win 2000, Win 2003, Win XP

Sprachen

Englisch

Kategorie(n)

Rootkit

Oberfläche

GUI

Größe

< 20 KB

Usability



Installation

CMD -

Schnittstellen Know-how



Ein sehr schlankes Standalone-Rootkit mit klassischer Funktionalität. Nach dem erstmaligen Programmaufruf wird ein Treiber gestartet, der sich – unsichtbar – in der Registry verankert und jedes Programm, jede Datei, jeden Registryeintrag verbirgt, der mit einem doppelten Unterstrich anfängt. Mit diesem Programm lässt sich so gut wie jede zusätzliche Malware stealthen. Der folgende Screenshot der Registry konnte nur gemacht werden, nachdem das Rootkit mit IceSword manuell deaktiviert wurde.

6.2 Hacker_Defender

67

Bild 6.2: Rootkit, das bei jedem Neustart als Service gestartet wird

6.2

Hacker_Defender

Anbieter

www.rootkit.com

Preis

Betriebssystem(e)

Win 2000, Win 2003, Win XP

Sprachen

Englisch

Kategorie(n)

Rootkit

Oberfläche

GUI

Größe

< 300 KB

Usability



Installation

CMD x

Schnittstellen Know-how



Der Klassiker und eines der am weitesten verbreiteten Rootkits. Er wird mit .ini-Files konfiguriert: •

[Hidden Table]



[Hidden Processes]



[Root Processes]



[Hidden Services]



[Hidden RegKeys]



[Hidden RegValues]



[Startup Run]



[Free Space]



[Hidden Ports] and [Settings]

Bei der Installation wird gleichzeitig ein Backdoor installiert, das einem Angreifer, der sich mit dem richtigen Passwort ausgewiesen hat, eine getarnte Backdoor-Shell einrichtet.

68

Kapitel 6 – Rootkits – Malware stealthen

Bild 6.3: ZoneAlarm unterbindet eine Infektion

6.3

Abwehr – generelle Tipps

Grundsätzlich stellen Rootkits eine der größten Bedrohungen für die Integrität von Rechnern und Netzen dar, da vorhandene Sicherheitsmechanismen wie AV-Programme und Desktop-Firewalls einfach unterlaufen werden. Neueste Rootkits wie Rustock 2010 oder Abkömmlinge der TDL- oder TDSS-Familie sind selbst mit spezialisierten AntiRootkitprogrammen nur schwer zu bekämpfen. Erschwerend kommt hinzu, dass von ca. zwei Dutzend Antirootkits nur ein Drittel für die neueren Windowsversionen Vista und Win 7 geeignet sind; für die 64-Bit-Versionen sind es noch viel weniger (vgl. http://www.antirootkit.com/news.htm) Bei einem Verdacht sollten grundsätzlich mehrere Tools parallel angewendet werden – erstens solche mit automatischer Erkennungsfunktion wie der Blacklight Rootkit Eliminator von F-Secure, zweitens spezielle, aber profunde Systemkenntnisse voraussetzende Werkzeuge wie der Deep System Explorer von DiamondCs oder der Rootkit Unhooker (www.antirootkit.com). Eine weitere Möglichkeit ergibt sich durch einen Datei-Scan. Zu diesem Zweck wird das gesamte Dateisystem einmal unter dem laufenden Betriebssystem und einmal extern (Start von CD oder USB-Stick) gescannt, z. B. mit dem Advanced Checksum Verifier (www.irnis.net) und dann werden die Abweichungen analysiert. So fallen durch diese Methode modifizierte Systemdateien eher auf.

69

7

Security-/VulnerabilityScanner

Im Gegensatz zu den klassischen Portscannern verfügen Security Scanner wie Nessus oder GFI LANguard über weitergehende, datenbankgestützte Möglichkeiten und eine offene, erweiterbare Architektur, um ein Zielsystem nach bekannten sowie brandneuen Schwachstellen zu scannen: •

Dienste



Freigaben



Passwörter / Passwortrichtlinien



Offene Ports



Fehlende Patches in Betriebssystemen sowie installierten Diensten und Programmen

Anhand des Auswertungsprotokolls können Netzwerk- und Systemadministrator nun gezielt die aufgezeigten Sicherheitslücken stopfen. Prinzipiell können Zielsysteme nichtdestruktiv auditiert werden (was die Systemstabilität des Zielsystems während des Testens garantiert) oder der Scanner provoziert gezielt Sicherheitslücken, stößt also gewissermaßen in die Weichteile vor, um sozusagen am lebenden System die real vorhandenen Abwehrmöglichkeiten zu testen. Auch wenn für die meisten Hacker, mindestens aber für Script-Kiddies, solche Werkzeuge überdimensioniert sind oder ein solides Fachwissen voraussetzen, sind die praktischen Gefahren, die von SecurityScannern ausgehen, dennoch nicht zu vernachlässigen.

7.1

X-NetStat Professional

Anbieter

www.freshsoftware.com

Preis

Trial, ab 29,95 $ Single License

Betriebssystem(e)

Win95, Win98, WinME, Win2000, WinXP, Win2003, Win NT 4.0, Win 7

Sprachen

Englisch

Kategorie(n)

Security Scanner

Oberfläche

Größe

< 2 MB

Ja

Usability



Installation

Know-how

GUI

Schnittstellen

x

CMD

WinPCap



Mit X-NetStat verfügt der Benutzer einerseits über mehr Komfort als mit dem windowseigenen Kommandozeilentool Netstat.exe und andererseits über weit mehr Möglichkeiten, sein Netzwerk zu kontrollieren. Auf einen Blick erkennt er, auf welchen Ports

70

Kapitel 7 – Security-/Vulnerability-Scanner

kommuniziert wird, mit wem der eigene PC verbunden ist und er sieht andere Rechner im Netz, die Art des Zugriffs, die Remoteadressen sowie Anzahl und Inhalt (via Sniffer) der gesendeten und empfangenen Datenpakete. Zusätzlich lassen sich gezielt Verbindungen global oder mit selbst erstellten Regeln blockieren. In den Händen eines versierten Verteidigers ist es weniger ein Angriffswerkzeug als ein Analysetool.

Bild 7.1: Alle Netzwerkinformationen im Griff mit X-NetStat

Wenn es beispielsweise einem Angreifer gelingen sollte, seine Daten unbemerkt via DLLInjection in ein anderes Programm durch die Firewall zu schleusen, kann der Verteidiger den geloggten Datenverkehr mit X-NetStat analysieren und die Spuren zurückverfolgen. Weiterhin können gezielt diese Verbindungen so lange blockiert werden, bis weitere Abwehrmaßnahmen greifen.

7.2

GFI LANguard N.S.S.

Anbieter

www.gfisoftware.de

Preis

Freeware Version, ab 320 € (10 IP-Adressen)

Betriebssystem(e)

Windows 2000, Win XP, Win 2003

Sprachen

Deutsch, Englisch, Italienisch

Kategorie(n)

Security-/Vulnerability-Scanner

Oberfläche

Größe

< 20 MB

Ja

Usability



Installation

Know-how

GUI

Schnittstellen 

x CMD

7.3 Nessus

71

Der »Mercedes« unter den Security-Scannern – auch vom Preis – mit ausgezeichnetem Handling, durchdachter Benutzeroberfläche, integriertem Veritas backup exec 20.3 crack - Crack Key For U, Script-Debugger und Status-Monitor. Sinnvoll ist die Anwendung dieses Werkzeugs vor allem bei Sicherheits-Audits, Penetrationstests sowie generell bei der Überprüfung von Schwachstellen in Firmennetzen. Für Hacker ist das Werkzeug zwar auch nützlich, im Endeffekt aber deutlich überdimensioniert.

Bild 7.2: Schwachstellenanalyse mit GFI LANguard

7.3

Nessus

Anbieter / Entwickler

www.nessus.org

Preis

Betriebssystem(e)

Linux/UNIX, FreeBSD, Sprachen Solaris, Mac OS X, Windows

Kategorie(n)

Netzwerkscanner / Vulnerability-Scanner

Oberfläche

Größe

< 120 MB

Nein / Ja

Usability



Installation / Kompilation

Know-how

kommerziell: $1,200 pro Jahr Englisch GUI

Schnittstellen

x

CMD x

Amap, Nmap



Nessus ist ein mächtiger Vulnerability-Scanner für mittlerweile zahlreiche Plattformen mit derzeit etwa 35.000 unterschiedlichen Plugins. Das Nessus-Paket basiert grundsätz-

72

Kapitel 7 – Security-/Vulnerability-Scanner

lich auf dem Client/Server-Prinzip: Der Serverdienst läuft auf einem Rechner, auf dem sich entweder ein lokaler oder ein entfernter Client verbinden kann. GUI-Clients sind für viele Plattformen verfügbar, zudem lässt sich Nessus über einen Web-Browser steuern. Nach Beginn der Sitzung besteht die Möglichkeit, eine Vielzahl an Parametern zu definieren, etwa Ziele, Abhängigkeiten, Scanner und Plugins. Die Plugins, die regelmäßig erweitert und vom Hersteller heruntergeladen werden können, ermöglichen die Aufdeckung diverser Sicherheitslücken der zu scannenden Hosts. Nessus speichert die Ergebnisse in einer Datenbank, ein Export in XML (.nessus), HTML und NBE (CVS) ist möglich.

Bild 7.3: Der NessusServer-Manager unter Windows

7.4 Open Vulnerability Assessment System / OpenVAS

73

Bild 7.4: Nessus-Report als HTML-Datei

7.4

Open Vulnerability Assessment System / OpenVAS

Anbieter / Entwickler

www.openvas.org

Preis

-

Betriebssystem(e)

Linux, FreeBSD

Sprachen

Englisch

Kategorie(n)

Netzwerkscanner / Vulnerability-Scanner

Oberfläche

Größe

< 120 MB

Nein / Ja

Usability



Installation / Kompilation

Know-how

GUI

Schnittstellen

x

CMD x

Amap, Nmap, Portbunny, zahlreiche NASLSkripte, verinice



OpenVAS ist ein freier Vulnerability-Scanner, der sich neben klassischen Verwundbarkeitsanalysen – einem holistischem Ansatz folgend – dem Schwachstellen-Management widmet. So bietet OpenVAS nicht nur eine umfassende Sammlung von Werkzeugen für die Sicherheitsanalyse in Netzwerken, sondern integriert zusätzlich eine Vielzahl von weiteren Sicherheitsanwendungen. Neben der Verzahnung mit dem ISMS-Tool verinice ist OpenVAS durch die Funktion »Local Access Credentials« in der Lage, auch Schwachstellen aus der Innensicht eines Scanziels zu erkunden. Dazu greift OpenVAS

74

Kapitel 7 – Security-/Vulnerability-Scanner

per SSH oder SMB auf das Zielsystem zu und prüft Anwendungszustände, die von außen nicht erkennbar sind, wie etwa den Patchlevel von Anwendungen oder die Komplexität der lokalen Kennwörter. Das Herzstück des »Open Vulnerability Assessment System« bildet eine Serverkomponente, die eine Sammlung von Network Vulnerability Tests (NVT) nutzt, um Sicherheitsprobleme in Netzwerksystemen und -anwendungen aufzuspüren. Nach Beginn der Verwundbarkeitsanalyse besteht die Möglichkeit, eine Vielzahl von Parametern zu definieren, etwa Ziele, Abhängigkeiten, Scanner und Plugins. Die Plugins, die regelmäßig erweitert und sowohl von der Community als auch von kommerziellen Anbietern heruntergeladen werden können, ermöglichen die Aufdeckung diverser Sicherheitslücken der zu scannenden Hosts. OpenVAS speichert die Ergebnisse in einer Datenbank, ein Export in PDF, HTML, XML, NBE ist möglich.

Bild 7.5: Der OpenVAS-Client nebst Scanreports

7.5 Nikto2

75

Bild 7.6: Verlauf der Verwundbarkeitsanalyse durch OpenVAS

7.5

Nikto2

Anbieter

http://www.cirt.net/nikto2

Preis

-

Betriebssystem(e)

Perl-Script: Linux/UNIX, Windows, BSD, Mac OS X

Sprachen

Englisch

Kategorie(n)

Webserver / CGI-Scanner

Oberfläche

GUI

Größe

< 2 MB Installation / Kompilation

Nein

Usability



Know-how

Schnittstellen

CMD x Benötigt Perl und LibWhisker, SSL zum Scannen von HTTPS 

Nikto ist ein auf der Programmiersprache Perl basierender Scanner für das Aufdecken von Schwachstellen auf Webservern und CGI-Scripten. Hierbei entdeckt Nikto auf der Suche nach Risiken u. a. Fehlkonfigurationen, unsichere Dateien, Scripts und überalterte Software. Ein Start von Nikto2 mit den Parametern •

-host (target host)

bringt folgendes Ergebnis (aus Gründen der Übersicht gekürzt):

discordia:~# ./nikto.pl -host www.victim.org - Nikto v2.1.0 --------------------------------------------------------------------------+ Target IP: 213.180.34.253 + Target Hostname: www.victim.org

76

Kapitel 7 – Security-/Vulnerability-Scanner

+ Target Port: 80 + Start Time: 2010-03-19 06:53:12 --------------------------------------------------------------------------+ Server: Apache/1.3.33 (Debian GNU/Linux) mod_ssl/2.8.22 OpenSSL/0.9.7e PHP/4.3.10-16 - Root page / redirects to: org-new/warez.php + OSVDB-0: robots.txt contains 12 entries which should be manually viewed. + OSVDB-27487: Apache is vulnerable to XSS via the Expect header + OSVDB-0: Apache/1.3.33 appears to be outdated (current is at least Apache/2.2.14). Apache 1.3.41 and 2.0.63 are also current. + OSVDB-0: mod_ssl/2.8.22 appears to be outdated (current is at least 2.8.31) (may depend on clip studio paint 1.8.5 crack - Crack Key For U version) + OSVDB-0: OpenSSL/0.9.7e appears to be outdated (current is at least 0.9.8i) (may depend on server version) + OSVDB-0: Number of sections in the version string differ from those in the database, the server reports: 4.3.10.45.16 while the database has: 5.2.8. This may cause false positives. + OSVDB-0: PHP/4.3.10-16 appears to be outdated (current is at least 5.2.8) + OSVDB-0: Allowed HTTP Methods: GET, HEAD, OPTIONS, TRACE + OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST + OSVDB-32774: /phpinfo.php?VARIABLE=alert('Vulnerable'): Contains PHP configuration information and is vulnerable to Cross Site Scripting (XSS). + OSVDB-3233: /phpinfo.php: Contains PHP configuration information + OSVDB-12184: /index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000: PHP reveals potentially sensitive information via certain HTTP requests which contain specific QUERY strings. + OSVDB-3092: /shop/: This might be interesting. + OSVDB-3092: /stats/: This might be interesting. + OSVDB-20406: /phpinfo.php?GLOBALS[test]=alert(document.cookie);: PHP contains a flaw that allows a remote cross site scripting attack. + OSVDB-24484: /phpinfo.php?cx[]=V8JEpXtJUv8zuJ2qxhcF2bOGYbYOd343PBnhCOXJ8MQfc1hfs4mDZHgAk kE3cgQFSJBu1FNwSZnGEF2MlWbS6NEkPyejjmm0fRGK1s1CiP7MB1eWa8GtkgeEESrEoYlM9Ygt VwTW9i87VAiOoRPtTvVL1fR42W9uMTfOz83j5UQ6KxMItX00mC7JFkaKXRh6hRUwZ0cC8ZPSWSP luQEr20oFuGDaHALaoN (.) KWYjIFKOqRunREl7wZRPahfx1HsGcilmOsE6L5tPaU6zJoWH1crG8mqu18T5DranFpXcsC8mHPP rFa90ARjRecz6PLGzh1YLnoB38F6AIFqRZWlivaWmfrMe3Blcar1HriPcc2H4ks7YjMQDwGRSLo foXaOC3TUmq8cTpB6n29mWMe8rAgkCjK2Um7uguFfgMw4M6IbtMztbaf5wRBalert(f oo): PHP 5.1.2 and 4.4.2 phpinfo() Function Long Array XSS + 3588 items checked: 16 item(s) reported on remote host + End Time: 2010-03-19 06:01:44 (512 seconds) --------------------------------------------------------------------------+ 1 host(s) tested discordia:~#

Bild 7.7: Nikto beim Aufzeigen von Schwachstellen eines Webservers

7.6 w3bfukk0r

7.6

77

w3bfukk0r

Anbieter / Entwickler

http://ngolde.de/w3bfukk0r.html

Preis

-

Betriebssystem(e) Linux/UNIX, Mac OS X

Sprachen

Englisch

Kategorie(n)

Forced Browsing Tool

Oberfläche

Größe

< 2 MB

Nein / Ja

Usability



Installation / Kompilation

Know-how

GUI

CMD x

Schnittstellen 

w3bfukk0r ist ein Forced Browsing Tool und entdeckt durch einen Wörterbuchangriff getarnte Ressourcen auf Webservern, die eigentlich nicht referenziert werden. w3bfukk0r unterstützt HTTP/HTTPS, Banner-Grabbing und die Tarnung des UserAgents. Eine Abfrage, angesetzt auf www.victim.org mit dem beiliegenden (und natürlich erweiterbaren) Wörterbuch: •

-f (specify wordlist file)

bringt folgendes Ergebnis:

discordia:~# ./w3bfukk0r -f words.txt http://www.victim.org Starting w3bfukk0r 0.2 Scanning http://www.victim.org/ with 101 words from words.txt Found http://www.victim.org/music/ (HTTP 200) Found http://www.victim.org/cgi-bin/ (not public; HTTP 403) Found 2 directories. Server runs: Apache/2.2.15 (Unix) Scan finished (2 seconds). discordia:~#

Bild 7.8: w3bfukk0r beim Enttarnen unreferenzierter Verzeichnisse eines Webservers

7.7

Abwehr – generelle Tipps

Die beste Abwehr gegen Schwachstellenscanner ist der Einsatz derselben. In diesem Fall ist das Gift selbst das Antidot, d. h., um die Angriffspunkte von Hosts zu reduzieren, müssen sie zuallererst detektiert werden, z. B. durch die oben genannten Tools. Hier bietet es sich insbesondere in Unternehmensnetzwerken an, auf regelmäßiger Basis – z. B. wöchentlich – alle schutzbedürftigen Server nach Schwachstellen abzuklopfen, um so einem potenziellen Angreifer zuvorzukommen. Zudem lässt sich über dieses Vorge-

78

Kapitel 7 – Security-/Vulnerability-Scanner

hen wirkungsvoll überprüfen, ob Security Policies, z. B. aus dem Umfeld des PatchManagement oder Vorgaben zur Deaktivierung nicht benötigter Dienste, unternehmensweit eingehalten werden. Einen Einstieg in das Thema liefert die Maßnahme »5.150 Durchführung von Penetrationstests«14 aus den IT-Grundschutz-Katalogen und auch die Studie Durchführungskonzept für Penetrationstests15 vom BSI16.

14

https://www.bsi.bund.de/cln_134/ContentBSI/grundschutz/kataloge/m/m05/m05150.html

15

https://www.bsi.bund.de/cae/servlet/contentblob/487300/publicationFile/30674/penetrationstest_pdf.pdf

16

http://www.bsi.de

79

8

Sniffer: Die Schnüffler im Netzwerk

Das Wort »Sniffer« gilt heute zwar als Gattungsbegriff für alle Tools, die Datenpakete innerhalb des Netzwerkverkehrs abgreifen und analysieren können, tatsächlich ist der Begriff ein gesetzlich geschütztes Warenzeichen der Firma Network General. Auch für diese Werkzeuge gilt, dass es keine scharf umrissene Trennungslinie zwischen Netzwerkanalyse und Netzwerkspionage gibt. Für Administratoren sind sie unverzichtbare Analysewerkzeuge, um Netzwerkstörungen und -problemen, aber auch Einbruchsversuchen auf die Spur zu kommen. Auf der anderen Seite sind Sniffer hocheffiziente, im Einsatz kaum zu entdeckende Spionagetools. Grundsätzlich kann jeder Rechner mit eingebauter Netzwerkkarte seine ein- und ausgehenden Daten analysieren. Um die Datenpakete anderer Netzrechner analysieren zu können, bedarf es eines technischen Tricks: Man muss die Karte in den Promiscuous Mode schalten. Wie der Name schon sagt, ist der Rechner jetzt in der Lage, alle Datenpakete (Frames), nicht nur die an ihn direkt adressierten, zu empfangen und auszuwerten. Begrenzt wird diese Fähigkeit durch die Netzwerkstruktur. Sofern die Rechner über Hubs miteinander verbunden sind, kann der gesamte Datenverkehr dieser Rechner mitgeschnitten werden. Sind die Rechner über Switches vernetzt, die Datenpakete gezielt versenden, funktioniert dieser Trick nicht mehr. Um in geswitchten Netzwerken sniffen zu können, müssen zusätzliche Angriffstechniken eingesetzt werden, z. B. ARP-Spoofing (ARP Request Poisoning) oder MAC-Flooding. Das grundsätzliche Problem beim Sniffen ist nicht die Technik, sondern das Datenaufkommen. Was an der Netzwerkkarte abgegriffen werden kann, sind Frames, d. h. Datenpakete, die für die Übertragung auf Layer 2 des OSI-Schichtenmodells kodiert sind und jede Menge Steuercodes, Headerinformationen usw. enthalten. Die Kunst des Sniffens hängt also entscheidend davon ab, wie gut sich aus diesen Datenpaketen die Nutzdaten (Logins, Passwörter, Texte von E-Mail etc.) herausfiltern lassen. Gegen Sniffer ist kein wirkungsvolles Kraut gewachsen, außer man setzt auf eine konsequente Verschlüsselung des gesamten Datenverkehrs. Mit anderen Worten: Das Herausfischen von interessanten Daten aus dem Netzwerkverkehr ist zwar aufwendig, aber für den Angreifer lohnend bei minimalem Risiko. Einziger Anhaltspunkt für den Verteidiger ist die Suche nach Netzwerkkarten, die sich im Promiscuous Mode befinden, oder der Einsatz von Anti-Spoofing-Technologien.

80

Kapitel 8 – Sniffer: Die Schnüffler im Netzwerk

8.1

dsniff (dsniff-Suite)

Anbieter

www.monkey.org/~dugsong/dsniff

Betriebssystem(e) Linux/UNIX Kategorie(n) Größe

Usability

Sniffer (Passwörter)

< 2 MB Installation / Ja Kompilation 

Preis

-

Sprachen

Englisch

Oberfläche

GUI

CMD x

Schnittstellen Benötigt BerkeleyDB, OpenSSL, libpcap, libnet und libnids Know-how



Das dsniff-Paket beinhaltet eine Sammlung machtvoller Tools zur Netzwerkanalyse. Die passiven Programme dsniff, mailsnarf, msgsnarf, urlsnarf und webspy belauschen Netzwerkverkehr nach interessanten Daten (Passwörtern, E-Mails, Dateien, etc.). Mit den Programmen arpspoof, dnsspoof und macof kann Netzwerkverkehr gefälscht und kanalisiert werden. Die Programme sshmitm und webmitm ermöglichen Man-in-the-middleAttacken umgeleiteter SSH- und HTTPS-Verbindungen, tcpkill und tcpnice ermöglichen den Abbruch bzw. die Verlangsamung von Netzwerkverbindungen. Bei dsniff handelt es sich um einen Sniffer der dsniff-Suite, der die Kennwörter folgender unverschlüsselter Protokolle automatisch aus dem Datenstrom abfängt: FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS, SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase und Microsoft SQL-Protokoll. Der Einsatz von dsniff, gefunden an dem Netzwerkinterface eth0: •

-i interface (Specify the interface to listen on)

bringt folgendes Ergebnis: discordia:~# dsniff -i eth0 dsniff: listening on eth0 ----------------09/27/09 16:05:26 tcp 192.168.1.200.32779 -> 192.168.1.50.23 (telnet) shellmaster paSSww00RD!shell ----------------09/27/09 17:25:54 tcp 192.168.1.190.3023 -> pop.kundenserver.de.110 (pop) USER 564565675 PASS 125125 ----------------09/27/09 18:05:23 tcp 192.168.1.190.4151 -> 192.168.1.100.5631 (pcanywhere) ll 1231234

8.2 mailsnarf (dsniff-Suite)

81

----------------09/27/09 18:12:16 tcp 192.168.1.190.3013 -> ftpav.ca.com.21 (ftp) USER administrator PASS secretpass ----------------09/27/09 20:34:23 tcp 192.168.1.190.233 -> 192.168.1.1.80 (http) GET / HTTP/1.1 Host: 192.168.1.1 Authorization: Basic YWRtaW46YWRtaW4= [admin:admin] -----------------

09/27/09 18:05:23 192.168.1.200:5900 -> 192.168.1.220:4087

VNC

USER: On display :0 PASS: Server Challenge: 803ddab86c1d8fd69e1d094113ddb1cf Client 3DES: 6219eca12720ee27c7c3397de9f0222e ----------------09/27/09 18:05:23 192.168.1.200:4653 -> 192.168.1.10:139

netbios-ssn

USER: Administrator PASS: LC 2.5 FORMAT: "USER":3:3E8DB789C2AE3248:B93390C49E0BC96F00000000000000000000000000000000:7 7E6B8E556D85567167AFEA3A726D359664A441098CBBDE2

Bild 8.1: dsniff beim Mitschneiden diverser Verbindungen

8.2

mailsnarf (dsniff-Suite)

Anbieter

www.monkey.org/~dugsong/dsniff

Betriebssystem(e) Linux/UNIX Kategorie(n)

Sniffer (E-Mail)

Größe

< 2 MB

Usability



Installation / Kompilation

Preis

-

Sprachen

Englisch

Oberfläche GUI Ja

Schnittstellen

Know-how

CMD x

Benötigt BerkeleyDB, OpenSSL, libpcap, libnet und libnids 

82

Kapitel 8 – Sniffer: Die Schnüffler im Netzwerk

Das Tool mailsnarf aus der dsniff-Suite speichert E-Mails, die aus POP- und Malwarebytes premium key herausgefiltert wurden, in ein klassisches Berkeley-mbox-Format. Die mboxDatei kann anschließend mit einem E-Mail-Programm (z. B. Mozilla Thunderbird oder Mutt) geladen und betrachtet werden. Der Einsatz von mailsnarf, gefunden an dem Netzwerkinterface eth0: •

-i interface (Specify the interface to listen on)

bringt folgendes Ergebnis:

[email protected]:~# mailsnarf -i eth0 mailsnarf: listening on eth0 From [email protected] Thu Feb 4 22:16:28 2010 Received: from 127.0.0.1 (AVG SMTP 9.0.733 [271.1.1/2667]); Thu, 04 Feb 2010 21:15:36 +0100 Message-ID: [email protected] Date: Thu, 04 Feb 2010 21:15:36 +0100 From: [email protected][email protected] User-Agent: Thunderbird 2.0.0.23 (Windows/20090812) MIME-Version: 1.0 To: [email protected] Subject: eBay-Rechnung vom Sonntag, 31. Januar 2010 Content-Type: text/plain; charset=windows-1252; format=flowed Content-Transfer-Encoding: 8bit

-------------------------------------------------------------------------------------------------------------------eBay hat diese Mitteilung an Heiko Langer (etcpasswd) gesendet. Ihr Vor- und Nachname in dieser Mitteilung sind ein Hinweis darauf, dass die Nachricht tatsächlich von eBay stammt. Mehr zum Thema: http://pages.ebay.de/help/confidence/name-useridemails.html --------------------------------------------------------------------------------------------------------------------

8.3 urlsnarf (dsniff-Suite)

83

***Dies ist eine automatisch generierte E-Mail. Bitte antworten Sie nicht darauf.*** Rechnungsnummer:

013499-172583110033

Heiko Langer Roonstraße 10 49078 Osnabrueck Deutschland

Hallo Langer Heiko (etcpasswd), Ihre monatliche Rechnung von eBay für den Zeitraum von 01. Januar 2010 bis 31. Januar 2010 steht jetzt zur Ansicht online bereit.

Fälliger Betrag:

31,18

Sie haben als automatische Zahlungsmethode das Lastschriftverfahren gewählt. Der Rechnungsbetrag wird innerhalb der nächsten 5 bis 7 Tage (.)

Bild 8.2: Das Programm mailsnarf beim Mitschneiden transferierter E-Mails

8.3

urlsnarf (dsniff-Suite)

Anbieter

www.monkey.org/~dugsong Preis /dsniff

-

Betriebssystem(e)

Linux/UNIX

Sprachen

Englisch

Kategorie(n)

Sniffer (URLs)

Oberfläche

GUI

Größe

< 2 MB

Ja Schnittstellen Benötigt BerkeleyDB, OpenSSL, libpcap, libnet und libnids

Usability



Installation / Kompilation

Know-how

CMD

x



Das Tool urlsnarf aus der dsniff-Suite erzeugt eine CLF-Datei (Common Log Format) des mitgeschnittenen HTTP-Traffics eines Netzwerks. Die CLF-Datei kann im Anschluss mit einem dazu geeigneten Programm zur Analyse von Web-Logfiles untersucht werden. Der Einsatz von urlsnarf, gefunden an dem Netzwerkinterface eth0: •

-i interface (Specify the interface to listen on)

bringt folgendes Ergebnis:

84

Kapitel 8 – Sniffer: Die Schnüffler im Netzwerk

[email protected]:~# urlsnarf -i eth0 192.168.1.217 – - [04/Feb/2010:11:50:03 +0100] "GET http://avgtechnologies.112.2o7.net/b/ss/avgcorporatepublicww/1/H.17/s896381 35944740?AQB=1&ndh=1&t=4/1/2010%2020%3A49%3A39%204%20-60&ce=UTF8&ns=avgtechnologies&pageName=http%3A//static.avg.com/programupdate/de.perform-program-update.html&g=http%3A//static.avg.com/programupdate/de.perform-programupdate.html&server=static.avg.com&events=event23&c6=DE&v6=DE&c8=DEDE&c14=DE&c15=DE-DE&v22=http%3A//static.avg.com/program-update/de.performprogram-update.html&v23=DE&c24=Direct%20Load&v24=DE-DE&v30=popupcampaign_perform-programupdate_de&s=1024x768&c=32&j=1.5&v=Y&k=Y&bw=604&bh=347&ct=lan&hp=N&AQE=1 HTTP/1.1" – - "http://static.avg.com/program-update/de.perform-programupdate.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 192.168.1.229 – - [04/Feb/2010:11:50:08 +0100] "GET http://intranet.discordiawerke.de/ HTTP/1.1" – - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.1)" 192.168.1.10 – - [04/Feb/2010:11:50:13 +0100] "GET http://www.heise.de/ HTTP/1.1" – - "-" " Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 192.168.1.10 – - [04/Feb/2010:11:50:13 +0100] "GET http://www.heise.de/newsticker/foren/S-Regiert-sein-das-heisst/forum141674/msg-15333344/read/ HTTP/1.1" – - "-" " Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" ^C [email protected]:~#

Bild 8.3: Das Tool urlsnarf beim Mitschneiden von Webverbindungen

8.4

arpspoof (dsniff-Suite)

Anbieter

www.monkey.org/~dugsong/ dsniff

Betriebssystem(e) Linux/UNIX Kategorie(n)

Netzwerktool (Arpspoofing)

Größe

< 2 MB

Usability



Installation / Kompilation

Ja

Preis

-

Sprachen

Englisch

Oberfläche

GUI

Schnittstellen

Know-how

CMD x

Benötigt BerkeleyDB, OpenSSL, libpcap, libnet und libnids 

Das Tool arpspoof aus der dsniff-Suite ermöglicht durch die Technik des »Arpspoofings« die gezielte Umleitung des Netzwerkverkehrs. Üblicherweise wird hierzu der Netzwerkverkehr zum lokalen Gateway über den Rechner des Angreifers geleitet, der daraufhin

8.5 PHoss

85

sämtliche Netzwerkpakete z. B. mit einem separat zu startenden Sniffer wie dsniff oder Ettercap NG durchleuchten kann. Der Einsatz von arpspoof, gefunden an dem Netzwerkinterface eth0: •

-i interface (Specify the interface to listen on)



-t target

bringt folgendes Ergebnis: [email protected]:~# arpspoof -i eth0 -t 192.168.1.10 192.168.1.1 0:21:86:58:f0:ce 0:21:86:58:f0:ce 0:21:86:58:f0:ce 0:21:86:58:f0:ce 0:21:86:58:f0:ce 0:21:86:58:f0:ce 0:21:86:58:f0:ce 0:21:86:58:f0:ce 0:21:86:58:f0:ce 0:21:86:58:f0:ce (.)

0:17:31:78:81:c7 0806 42: arp reply 192.168.1.1 is-at 0:17:31:78:81:c7 0806 42: arp reply 192.168.1.1 is-at 0:17:31:78:81:c7 0806 42: arp reply 192.168.1.1 is-at 0:17:31:78:81:c7 0806 42: arp reply 192.168.1.1 is-at 0:17:31:78:81:c7 0806 42: arp reply 192.168.1.1 is-at

Bild 8.4: arpspoof beim Spoofing eines Netzwerks

8.5

PHoss

Anbieter

www.phenoelitus.org/fr/tools.html

Preis

-

Betriebssystem(e)

Linux/UNIX

Sprachen

Englisch

Kategorie(n)

Sniffer (Passwörter)

Oberfläche

GUI

Größe

< 2 MB

Nein / Schnittstellen Ja

Usability



Installation / Kompilation

Know-how

CMD x



PHoss ist ein Sniffer von Phenoelit, der die Kennwörter zu den Login-Sessions von HTTP, FTP, LDAP, Telnet, IMAP4, POP3 und VNC-Password-Challenges aufgreift. Der Einsatz von PHoss, gefunden an dem Netzwerkinterface eth0: •

-i (use this interface)

bringt folgendes Ergebnis:

86

Kapitel 8 – Sniffer: Die Schnüffler im Netzwerk

discordia:~# Phoss -i eth0 PHoss (Phenoelit's own security sniffer) (c) 1999 by Phenoelit (http://www.phenoelit.de) $Revision: 1.13 $ >>>>>>>>>>>>>>>>>>>>>>>>>>>>> Source: 192.168.1.101:2705 Destination: 194.25.134.93:110 Protocol: POP3 Data: 054174835:999888 >>>>>>>>>>>>>>>>>>>>>>>>>>>>> Source: 192.168.1.101:2774 Destination: 212.227.15.183:110 Protocol: POP3 Data: m8465732-5:9675843 >>>>>>>>>>>>>>>>>>>>>>>>>>>>> Source: 192.168.1.101:2705 Destination: 194.25.134.93:110 Protocol: POP3 Data: 054174835:999888 >>>>>>>>>>>>>>>>>>>>>>>>>>>>> Source: 192.168.1.101:2774 Destination: 212.227.15.183:110 Protocol: POP3 Data: m8465732-5:9675843 Auslogics File Recovery 10.2.0.0 Crack + License Keygen Free {2021} Bild 8.5: PHoss beim Mitschneiden von POP3-Verbindungen

8.6

Driftnet

Anbieter

http://www.exparrot.com/~chris/driftnet

Betriebssystem(e) Linux/UNIX

Preis Sprachen

Kategorie(n)

Sniffer (JPEG/GIF-Grafiken) Oberfläche

Größe

< 2 MB

Usability



Installation / Kompilation

Englisch GUI

Nein / Schnittstellen Ja Know-how

CMD

x



Driftnet erfasst JPEG- und GIF-Grafiken aus dem Netzwerktraffic und stellt diese in einem X-Window dar. Die Grafiken, die in wie in einer Slideshow abgespielt werden, lassen sich zudem auf der Festplatte abspeichern. Der Einsatz von driftnet mag ein Ergebnis liefern wie folgt: [email protected]:~# driftnet

8.7 Ettercap / Ettercap NG

87

Bild 8.6: Driftnet bei einer Slideshow der besonderen Art

8.7

Ettercap / Ettercap NG

Anbieter

http://ettercap.sourceforge.net

Preis

-

Betriebssystem(e) Linux/UNIX, FreeBSD, OpenBSD, NetBSD, Mac OS X, Windows, Solaris

Sprachen

Englisch

Kategorie(n)

Sniffer (z. B. Passwörter)

Oberfläche

Größe

< 10 MB

Nein / Ja

Usability



Installation / Kompilation

Know-how

GUI

x

CMD x

Schnittstellen Benötigt zlib, libpcap, libnet und libpthread. Vielfältige Plugins 

Ettercap ist ein mächtiger Sniffer, z. B. für Man-in-the-middle-Attacken in einem LAN. Ettercap kann Echtzeitverbindungen (Live-Connections) inklusive Login-Daten mitschneiden, relevante Inhalte filtern und verfügt über erweiterbare Plugins und vieles mehr. Ettercap unterstützt die aktive und passive Analyse vieler Protokolle und versteht sich in vielfältiger Weise auf die Netzwerk- und Hostanalyse. Zu dem kommandozeilenbasierten Tool gibt es ein GUI auf NCurses-Basis und ein grafisches GTK-GUI. Der Aufruf von Ettercap für das Ncurses-Interface und •

-C, --curses (use curses GUI)

bringt u. a. folgendes Ergebnis: discordia:~# ettercap –C

88

Kapitel 8 – Sniffer: Die Schnüffler im Netzwerk

Bild 8.7: Ettercap mit NCurses-GUI

8.8

tcpdump

Anbieter

www.tcpdump.org

Preis

-

Betriebssystem(e)

Linux/UNIX, Windows (WinDump)

Sprachen

Englisch

Kategorie(n)

Netzwerkverkehr-Analyseprogramm

Oberfläche

GUI

Größe

< 2 MB

Nein/ Schnittstellen Ja

Usability



Installation / Kompilation

Know-how

CMD x WinDump benötigt die WinPcap-Library



Tcpdump liest Daten in Form von Paketen, die über das Netzwerk gesendet werden, und dient als leistungsfähige Sniffing-Software zur Auswertung von Netzwerkverkehr. Tcpdump ermöglicht die Überwachung der Kommunikation zwischen verschiedenen Teilnehmern eines Netzwerks. Der Einsatz von tcpdump, gefunden an dem Netzwerkinterface eth0: •

-i interface

bringt folgendes Ergebnis (aus Übersichtszwecken leicht gekürzt):

8.9 Wireshark

89

discordia:~# tcpdump –i eth0 20:57:56.797548 172.16.3.24 > igrp-routers.mcast.net: ip-proto-88 40 [tos 0xc0] 20:57:56.798277 0:50:4:a4:84:b > Broadcast sap e0 ui/C >>> Unknown IPX Data: (67 bytes) [000] FF FF 00 50 00 14 00 00 00 00 FF FF FF FF FF FF .P. . [010] 04 55 00 00 00 00 00 50 04 A4 84 0B 04 55 00 01 .U.P .U. [020] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 . . [030] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 . . [040] 53 41 50 SAP len=67 20:57:56.799413 0:d0:b7:a:a0:11 > Broadcast sap e0 ui/C >>> Unknown IPX Data: (67 bytes) [000] FF [010] 04 [020] 00 [030] 00 veritas backup exec 20.3 crack - Crack Key For U 53 len=67 (.)

FF 55 00 00 56

00 04 00 00 31

50 95 00 00

00 41 00 00

14 A0 00 00

00 00 00 00

00 D0 00 00

00 B7 00 00

20:57:57.314992 0:30:5:38:d2:fd > >>> Unknown IPX Data: (79 bytes) [000] FF FF 00 60 00 04 04 95 41 [010] 04 52 04 95 41 A0 00 30 05 [020] 06 40 4F 53 50 43 31 32 36 [030] 00 00 00 00 00 00 00 00 00

00 0A 00 00

FF A0 00 00

FF 11 00 00

FF 04 00 00

FF 55 00 00

FF 00 00 00

FF 01 00 01

.P. .U.A. SV1

. .U. . .

.'. .R.A.0 [email protected] .

A. [email protected] 61. .

Broadcast sap e0 ui/C A0 38 31 00

FF D2 00 00

FF FD 00 00

FF 40 00 00

FF 08 00 00

FF 00 00 00

FF 02 00 00

Bild 8.8: Tcpdump beim Mitlesen von Datenverkehr

8.9

Wireshark

Anbieter

www.wireshark.org

Preis

-

Betriebssystem(e)

Windows, Linux, UNIX und andere

Sprachen

Englisch

Kategorie(n)

Sniffer / Network Protocol Analyzer

Oberfläche

Größe

< 15 MB

Schnittstellen Ja, Portable verfügbar

Usability



Installation

Know-how

GUI

x

CMD

Benötigt für Windows: WinPcap; AirPcap, CACE Pilot (optional)



90

Kapitel 8 – Sniffer: Die Schnüffler im Netzwerk

Wireshark (der Nachfolger von Ethereal) ist ein Packet-Sniffer, der Netzwerkprotokolle – vorzugsweise TCP/IP – analysiert und die mitgehörten Datenpakete bzw. Frames zwecks Auswertung in diversen Ausgabeformaten zur Verfügung stellt. Über unterschiedliche Filtertechniken können die ziemlich umfangreichen Rohdaten entsprechend reduziert werden. Der Bildschirm ist dreiteilig: Im ersten Fenster sieht man die Paketliste mit Absender und Empfänger, im mittleren die Paketdetails mit Layerinformationen, MAC-Adressen etc. und im dritten die hexadezimale Paketanzeige. Ein Paketsniffer ist nicht per se ein Angriffswerkzeug, sondern dient vorzugsweise der detaillierten Fehlersuche in Netzwerken, z. B. nach Performanceverlusten im Netz, sucht nach doppelten Hostnamen oder doppelten MAC-Adressen. Für Netzwerkangreifer ist das Tool sehr interessant, da viele Daten weiterhin unverschlüsselt übertragen werden, unter anderem auch Login-Daten, Passwörter, Inhalte von E-Mails etc. In geswitchten Netzen, in denen die Rechner nicht über Hubs verbunden sind, ist die Reichweite von Paketsniffern aus technischen Gründen limitiert, da hier auf dem System des Angreifers nur die Datenpakete ankommen, die für alle User oder ihn speziell gedacht sind. Hier empfiehlt sich der zusätzliche Einsatz von SwitchSniffer. Die Abwehrmöglichkeiten gegen Paketsniffer sind begrenzt. Wenn der Angriff gut gemacht ist, bleibt er in der Regel unentdeckt.

Bild 8.9: Gesniffte Datenströme in Wireshark

8.10

Abwehr – generelle Tipps

Gegen Netzwerksniffer ist kein Kraut gewachsen. Ihr Einsatz, Avira System Speedup Pro Crack With Key Full Download 2021 [Latest] auf das Abfangen von Benutzerkennungen, Passwörtern und weiteren vertraulichen Inhalten gerichtet ist, bleibt meist unbemerkt. Auf der anderen Seite sind Sniffer durchaus kein Werkzeug für

8.10 Abwehr – generelle Tipps

91

Skript-Kiddies, da doch etliches Netzwerk-Know-how inkl. Verständnis von Protokollen, Filtertechniken etc. erforderlich ist. Missbrauch kann man lediglich durch die Verwendung starker Kryptografie und einer sicheren Netzwerktopologie eindämmen. Hat man einen Rechner im Verdacht, einen Sniffer zu beheimaten, kann man testen, inwieweit dort der Promiscuous-Mode eingebunden ist, der das Netzwerk-Interface in den entsprechenden »Sniffer Mode« schaltet.

93

9

Sonstige Hackertools

Hier stellen wir Ihnen weitere »schmutzige Hackertricks« vor, damit Sie eine ungefähre Ahnung gewinnen, mit welchen Angriffsarten und -methoden Sie sonst noch rechnen müssen. Beim Ausprobieren ist größte Vorsicht angeraten, da die Gefahr besteht, dass Sie Ihr System nachhaltig beschädigen. Wenn Ihnen ein selbst generierter Wurm in die freie Wildbahn entweichen sollte, haben Sie noch größere Probleme am Hals, denn damit können Sie sehr viele Internet-User schädigen und müssen sich gegebenenfalls auch strafrechtlich zur Verantwortung ziehen lassen. Trotz allem scheint es uns aber wichtig, Ihnen eine funktionstüchtige Kette aufzuzeigen, wie andere es schaffen, Ihr System zu infiltrieren und bestehende Schutzmechanismen auszuhebeln.

9.1

Metasploit Framework (MSF)

Anbieter

http://www.metasploit.com/ framework

Preis

-

Betriebssystem(e) Linux/UNIX, Mac OS X, Windows Sprachen

Englisch

Kategorie(n)

Exploit/Payload-Suite

Oberfläche

GUI

Größe

< 50 MB

Nein / Ja

Usability



Installation / Kompilation

x

CMD

x

Schnittstellen Perl

Know-how



Das Metasploit Framework ist eine mächtige, mittlerweile auf der Programmiersprache Ruby basierende Entwicklungs- und Testumgebung für diverse Exploits, Payloads, Opcodes und Shellcodes. Metasploit Framework stellt drei Oberflächen bereit und kann im interaktiven ConsoleMode (msfconsole), als zu automatisierender Console-Mode (msfcli) oder als Webinterface (msfweb) gestartet werden (msfweb wird ab Version 3.3 jedoch offiziell nicht weiter unterstützt). Das Framework kann durch externe Add-ons in verschiedenen Sprachen erweitert werden.

94

Kapitel 9 – Sonstige Hackertools

Der Start des interaktiven Console-Mode mit msfconsole bringt folgendes Ergebnis:

[email protected]:~# msfconsole 888 888 d8b888 888 888 Y8P888 888 888 888 88888b.d88b. .d88b. 888888 8888b. .d8888b 88888b. 888 .d88b. 888888888 888 "888 "88bd8P Y8b888 "88b88K 888 "88b888d88""88b888888 888 888 88888888888888 .d888888"Y8888b.888 888888888 888888888 888 888 888Y8b. Y88b. 888 888 X88888 d88P888Y88.88P888Y88b. 888 888 888 "Y8888 "Y888"Y888888 88888P'88888P" DbSchema 8.4.3 Crack + License Key Free Download 2021 "Y88P" 888 "Y888 888 888 888

=[ + -- --=[ + -- --=[ =[

metasploit v3.3.4-dev [core:3.3 api:1.0] 535 exploits – 254 auxiliary 198 payloads – 23 encoders – 8 nops svn r8854 updated today (2010.03.19)

msf >

Bild 9.1: Metasploit im Konsolenmodus

9.2

USBDUMPER 2

Anbieter

http://sugoistanley.wordpress. Preis com/2007/08/06/hacking-tools2007/

Betriebssystem(e) Windows 2000, Win XP, Win 2003, Win Vista, Win 7

Sprachen

Kategorie(n)

Spionagetool

Oberfläche

Größe

< 200 KB

Usability



Installation

Nein Know-how

-

GUI

CMD x

Schnittstellen 

Nach der völlig unauffälligen Installation (ohne Fenster etc.) auf einem Zielsystem werden in der Folge alle Daten von angeschlossenen USB-Sticks unbemerkt auf den Zielrechner übertragen. Damit ist das Tool sehr gut für öffentliche oder exponiert aufgestellte PCs geeignet, um private oder sonstige Daten zu speichern. Sobald der USBStick eingesetzt wird, beginnt die Datenübertragung, wobei für jeden Tag ein entsprechender Ordner auf dem Zielsystem erstellt wird. Man muss allerdings aufpassen, da auch eine am USB-Port angeschlossene Festplatte gedumpt wird und der Zielrechner

9.3 USB Switchblade / 7zBlade

95

dann schnell ans Ende seiner Speicherkapazität kommen kann. In der neuen Version können zusätzlich Makros in Office-Dokumente importiert werden.

Bild 9.2: Datensammler am USB-Port

9.3

USB Switchblade / 7zBlade

Anbieter

http://wiki.hak5.org17

Preis

-

Betriebssystem(e) Windows 2000, Win XP, Win 2003, Sprachen Win Vista, Win 7 Kategorie(n)

Spionagetool

Größe

< 1 MB

Usability



Oberfläche Installation

Nein Know-how

GUI

CMD x

Schnittstellen 

Während Switchblade für U3-Sticks entwickelt wurde, ist die 7zBlade-Variante für die klassischen USB-Sticks gedacht. Die Funktionsweise ist recht tricky: Beim Einstecken des Sticks in einen Host startet im Hintergrund ein VBS-Skript, das die Zieldateien auf die 17

Die Seite ist noch während der Überarbeitung unseres Buches aus dem Netz verschwunden. Switchblade kann derzeit noch auf www.raymond.cc/blog/archives/2007/11/23/hack-u3-usb-smart-drive-to-becomeultimate-hack-tool/ heruntergeladen werden.

96

Kapitel 9 – Sonstige Hackertools

Hostplatte kopiert, den Payload aus einem verschlüsselten 7z-Archiv entpackt, ausführt, die gesammelten Daten wieder verschlüsselt packt und die Ernte dann auf den Stick zurückkopiert. Anschließend werden alle Spuren auf dem Zielrechner gelöscht.

Bild 9.3: Ausbeute – Daten vom fremden Rechner

9.4

Net Tools

Anbieter

http://users.pandora.be/ahmadi

Preis

-

Betriebssystem(e) Win2000, WinXP, Win2003, Win NT 4.0

Sprachen

Englisch, Chinesisch

Kategorie(n)

Toolkit

Oberfläche

Größe

< 26 MB

Usability



Installation

Ja Know-how

GUI

Schnittstellen

x

CMD

Benötigt .NET Framework



Der größte Vorteil für erfahrene und weniger erfahrene Anwender: Unter einer einheitlichen Oberfläche finden sich Hunderte von mehr oder minder brauchbaren Angriffswerkzeugen, darunter mehrere Portscanner, Nmap (GUI und CMD), Netzwerksniffer, LAN-Monitore, Flooder, Spoofer, Passwortcracker etc. Also mit einem Wort: der ideale Experimentierkasten für angehende Forscher. Allerdings sollte der weniger erfahrene Attacker durchaus wissen, dass einige Tools den Rand zur Legalität überschreiten, z. B. wird kein Netzadmin begeistert sein, den Start einer DoS-Attacke mit einem HTTPFlood auf seine Seite zu erleben – mal ganz abgesehen davon, dass man den Angriffs-

9.5 Troll Downloader

97

ursprung sehr einfach zurückverfolgen kann. Ähnliches gilt für den Einsatz eines MassAuto-Mailers.

Bild 9.4: Alles, was man zum Hacken eines Netzwerks braucht

9.5

Troll Downloader

Anbieter

www.evileyesoftware.com

Preis

Betriebssystem(e)

Win200, Win2003, WinXP

Sprachen

Englisch

Kategorie(n)

Web Downloader

Oberfläche

GUI

Größe

< 300 KB

Usability



Installation

x

CMD -

Nein Schnittstellen Know-how



Ein schmutziger kleiner Geselle: Wird er auf einem Zielrechner ausgeführt (und ist das Opfer nicht durch eine neuere Firewall geschützt), lädt das Programm andere Programme (z. B. Keylogger, RATs etc.) nach und installiert sie auch gleich. Anschließend putzt sich das Programm selbst von der Platte, um die Spurensuche zu erschweren. In unserem Test funktionierte es großartig – allerdings wird der Server durch gängige Antivirentools erkannt, und auch die Firewall lässt es nur durch manuellen Eingriff passieren. Der Download nebst Installation der heruntergeladenen Malware erfolgte allerdings unbemerkt im Hintergrund.

98

Kapitel 9 – Sonstige Hackertools

Bild 9.5: Generieren eines Downloaders (Servermodul)

9.6

Czybik Gen Creation Kit

Anbieter

http://98.15.254.95/

Preis

-

Betriebssystem(e)

Win200, Win2003, WinXP

Sprachen

Englisch

Kategorie(n)

Wurmbaukasten

Oberfläche

GUI

Größe

< 500 KB

Nein Schnittstellen

Usability



Installation

Know-how

x

CMD -



Schon etwas angejahrte Version eines Wurmbaukastens, der aber das Prinzip sehr gut veranschaulicht. Das Bedienungsprinzip ist simpel: Man klickt die Funktionen an, die der Wurm haben soll, inklusive gewünschter Verbreitungswege und Payload (Schadensfunktionen). Der Output in Form eines Visual Basic-Skripts kann jetzt an das ahnungslose Opfer verteilt werden.

9.7 WMF-Maker

99

Bild 9.6: Czybik Gen Creation Kit erstellt Würmer auf Knopfdruck

9.7

WMF-Maker

Anbieter

http://vx.netlux.org/

Preis

-

Betriebssystem(e)

Win200, Win2003, WinXP

Sprachen

Englisch

Kategorie(n)

Exploit

Oberfläche

GUI

Größe

< 500 KB

Usability



Installation

-

CMD x

Nein Schnittstellen Know-how



Das Programm wird über die Batchdatei wmf-maker.exe nte.exe (der Payload / die Schadfracht) gestartet und generiert dann die Datei evil.wmf, die umbenannt und entsprechend auf Webseiten eingebaut werden kann.

100

Kapitel 9 – Sonstige Hackertools

Bild 9.7: WMF-Exploit automatisiert

9.8

fEvicol

Anbieter

http://98.15.254.95/

Preis

Betriebssystem(e)

Win200, Win2003, WinXP

Sprachen

Englisch

Kategorie(n)

Joiner / Binder

Oberfläche

GUI

Größe

< 50 KB

Usability



Installation

x

CMD -

Nein Schnittstellen Know-how



Ein typischer und noch dazu sehr kompakter, etwas älterer Vertreter seiner Art. Er erlaubt es, Bilddateien mit ausführbaren Programmdateien zu verknüpfen. Andere Binder können auch zwei Programme (z. B. eine Bilddatei und eine ausführbare Datei) so verbinden, dass im Vordergrund ein nützliches Programm wie z. B. ein Bildschirmschoner geladen und im Hintergrund – vom Anwender unbemerkt – die eigentliche Schadensroutine gestartet wird.

9.9 0x333shadow

101

Bild 9.8: fEvicol verbirgt das Schadprogramm in einer Bilddatei.

9.9

0x333shadow

Anbieter / Entwickler

http://packetstormsecurity.nl

Preis

-

Betriebssystem(e)

Linux/UNIX, IRIX, FreeBSD,

Sprachen

Englisch

Solaris Kategorie(n)

Logfile-Cleaner

Oberfläche

Größe

< 2 MB

Nein / Ja

Usability



Installation / Kompilation

GUI

CMD x

Schnittstellen

Know-how



0x333shadow ist ein Logfile-Cleaner, mit dem sich verräterische Einträge in diversen Logfiles eines (Linux-/UNIX-)Systems entfernen lassen. 0x333shadow behandelt nicht nur Logfiles auf Textbasis, sondern auch binäre Dateien wie utmpx, wtmp, wtmpx und lastlog. Mit 0x333shadow lassen sich auch zeitgesteuerte Reinigungen durchführen, z. B. 60 Sekunden nach der Abmeldung vom zu säubernden Rechner. Ein Start des Logfile-Cleaners mit folgenden Parametern: •

-a (clean all default dirs (recursive scan) you can use even –m)



-i (string by search, choose it with sense ;))

bringt folgendes Ergebnis (aus Übersichtsgründen leicht gekürzt):

102

Kapitel 9 – Sonstige Hackertools

discordia:~# ./0x333shadow -a -i attacker.com [*] [*] [*] [*] [*] [*] [*] [*] [*] [*] [*] [*] [*] [*]

syslogd killed! Cleaning /var/log/btmp removed 0/0 Cleaning /var/log/exim4/mainlog removed 0/60 Cleaning /var/log/exim4/mainlog.1 removed 0/96 Cleaning /var/log/news/news.crit removed 0/0 Cleaning /var/log/news/news.err removed 0/0 Cleaning /var/log/news/news.notice removed 0/0 Cleaning /var/log/syslog removed 0/63 Cleaning /var/log/auth.log removed 0/281 Cleaning /var/log/debian-installer/messages removed 0/938 Cleaning /var/log/debian-installer/partman removed 0/3961 Cleaning /var/log/debian-installer/syslog removed 0/1788 Cleaning /var/log/debian-installer/cdebconf/questions.dat removed 0/1912 Cleaning /var/log/debian-installer/cdebconf/templates.dat removed 0/38497

[*] cleaning extra logs: [*] Cleaning /var/run/utmp removed 0/12 [*] error reading file /var/adm/wtmp or touching /var/adm/wtmp.tmp skipping. [*] error reading file /usr/adm/wtmp or touching /usr/adm/wtmp.tmp skipping. [*] error reading file /etc/wtmp or touching /etc/wtmp.tmp skipping. [*] Cleaning /var/log/wtmp removed 1/242 [*] error reading file /var/adm/utmpx or touching /var/adm/utmpx.tmp skipping. [*] Cleaning /var/log/debug removed 0/538 [*] founded /var/log/messages in /etc/syslog.conf if isn't empty log will be cleaned. [*] Cleaning /var/log/messages removed 0/1928 [*] founded /dev/xconsole in /etc/syslog.conf if isn't empty log will be cleaned.

Bild 9.9: 0x333shadow reinigt Logfiles von verräterischen Spuren

9.10

Logcleaner-NG

Anbieter /

Preis

-

Betriebssystem(e) Linux/UNIX, NetBSD, OpenBSD, FreeBSD

Sprachen

Englisch

Kategorie(n)

Logfile-Cleaner

Oberfläche

GUI

Größe

< 2 MB

Nein / Ja

Usability



Entwickler

www.packetstormsecurity.org/ UNIX/penetration/log-wipers

Installation / Kompilation

CMD

Schnittstellen

Know-how



x

9.10 Logcleaner-NG

103

Logcleaner-NG ist ein weiterer Logfile-Cleaner, mit dem sich verräterische Einträge in diversen Logfiles eines (Linux-/UNIX-)Systems entfernen lassen. Logcleaner-NG bearbeitet eine Vielzahl verschiedener Formate, wie beispielsweise textbasierte (syslog) und »normale« Logfiles (wtmp, utmp, lastlog, accounting logs), aber auch spezielle Logfiles wie samba, snort.alert, prelude und mod_security. Logcleaner-NG ermöglicht die Vergabe von Zeitstempeln, liest die Konfiguration des SYSLOG ein, bietet die Möglichkeit, eigene Logfiles zu verschlüsseln und beherrscht einen interaktiven Modus. Zusätzlich erschwert Logcleaner-NG durch das restlose Löschen (Wiping) von Daten die nachträgliche Forensik eines kompromittierten Rechners. Der Aufruf von Logcleaner-NG mit folgenden Parametern: •

-A

clean Default logfiles



-s

string

bringt folgendes Ergebnis:

discordia:~# ./logcleaner-ng -A -s attacker.com -----------------------------------------------------------------Logcleaner-NG *** * -----------------------------------------------------------------[STATUS] clearing /var/run/utmp [STATUS] clearing /var/log/wtmp [STATUS] clearing /var/log/lastlog [STATUS] clearing /var/log/samba/log.smbd [STATUS] clearing /var/log/samba/log.nmbd [STATUS] clearing /root/.bash_history [STATUS] clearing /var/log/exim4/mainlog [STATUS] Ignoring compressed [1] file: /var/log/exim4/mainlog.2.gz [STATUS] Ignoring compressed [1] file: /var/log/exim4/mainlog.3.gz [STATUS] clearing /var/log/exim4/mainlog.1 [STATUS] clearing /var/log/auth.log (.) [STATUS] clearing /var/log/syslog.0 [STATUS] clearing /var/log/vmware-tools-guestd [STATUS] Ignoring compressed [1] file: /var/log/syslog.3.gz [STATUS] clearing /var/log/syslog [STATUS] Ignoring compressed [1] file: /var/log/syslog.1.gz

Bild 9.10: Logcleaner-NG bei der Entfernung verräterischer Spuren aus diversen Logfiles

104

Kapitel 9 – Sonstige Hackertools

9.11

NakedBind

Anbieter

http://98.15.254.95/

Preis

-

Betriebssystem(e)

Win200, Win2003, WinXP

Sprachen

Englisch

Kategorie(n)

Joiner / Binder / Trojan Dropper

Oberfläche

GUI

Größe

< 100 KB

Nein Schnittstellen

Usability



Installation

Know-how

x

CMD -



Das Programm bietet fast alles, was man sich wünscht: Es bindet mehrere Dateien zusammen, verschlüsselt das Endprodukt und erlaubt es, unterschiedliche Startkonfigurationen festzulegen.

Bild 9.11: Der Trojan Dropper NakedBind lässt in puncto Ausstattung kaum Wünsche offen.

9.12 Ncat (Nmap-Suite)

9.12

105

Ncat (Nmap-Suite)

Anbieter / Entwickler

http://nmap.org/ncat

Preis

Betriebssystem(e)

Linux/UNIX, Mac OS X, BSD, Sprachen

Englisch

Solaris, Windows Kategorie(n)

Netzwerktool

Oberfläche

Größe

< 2 MB

Nein / Ja

Usability



Installation / Kompilation

GUI

CMD

x

Schnittstellen

Know-how



Ncat, der inoffizielle Nachfolger des populären Netcat, ist ein überaus mächtiges Netzwerkprogramm, welches den Transport von Daten von der Standardein- und -ausgabe über TCP- oder UDP-Netzwerkverbindungen ermöglicht. Ncat kann ausgehende und eingehende Verbindungen zu oder von jedem Port senden – mittlerweile auch SSL-verschlüsselt –, besitzt volle DNS-Forward-Lookup- und Reverse-Lookup-Überprüfung, kann jeden lokalen Quellport und jede lokal konfigurierte Netzwerkquelladresse verwenden, beherrscht bewegliches Quellrouting und besitzt zusätzlich einen praktischen Broker-Mode, der beispielsweise einen einfachen Chat-Server ermöglicht. Der Versand einer Datei vom Quell-PC auf einen Ziel-PC über Port 10023/TCP ist mit folgenden Parametern möglich: •

-l, --listen (bind and listen for incoming connections)



-v, --verbose (set verbosity level (can be used up to 3 times))



-p, --source-port specify source port to use)

Eingabe auf dem Opfer-PC (Empfänger):

victim:~# ncat -l -v -p 10023 >datei Ncat: Version 5.20 ( http://nmap.org/ncat ) Ncat: Listening on 0.0.0.0:10023 Ncat: Connection from attacker.org. victim:~#

Bild 9.12: Ncat empfängt eine Datei

Eingabe auf den Quell-PC (Versender):

discordia:~# ncat -v victim.org 10023 media/cdrom dev etc

Bild 9.15: Ncat öffnet die Hintertür des Zielrechners

9.13

GNU MAC Changer (macchanger)

Anbieter

www.alobbs.com/macchanger

Preis

-

Betriebssystem(e) Linux/UNIX

Sprachen

Englisch

Kategorie(n)

Tool zum Verändern der MAC-Adresse

Oberfläche GUI

Größe

< 2 MB

Usability



Installation / Kompilation

Ja

CMD x

Schnittstellen Know-how



9.14 Abwehr – generelle Tipps

107

Durch den GNU MAC Changer lassen sich MAC-Adressen von Netzwerkkarten modifizieren. Bei Wardrivern (Leuten, die systematisch nach offenen WLANs suchen) gehört der GNU MAC Changer zur Standardausrüstung, ermöglicht das Tool doch eine Verschleierung der tatsächlichen MAC-Adresse der WLAN-Karte und trägt dazu bei, möglichst wenig verwertbare Spuren beim Opfer zu hinterlassen. Der Einsatz des GNU MAC Changer, hier demonstriert an der willkürlichen Vergabe einer MAC-Adresse am Netzwerkinterface eth1: •

-r (set fully random MAC)

bringt folgendes Ergebnis:

[email protected]:~# macchanger -r eth1 Current MAC: 00:40:96:43:f1:fc [wireless] (Cisco/Aironet 4800/340) Faked MAC: 70:9d:e8:5a:98:86 (unknown) [email protected]:~#

Bild 9.16: GNU MAC Changer bei der Vergabe einer willkürlichen MAC-Adresse

9.14

Abwehr – generelle Tipps

Einige der hier vorgestellten Tools werden von den gängigen AV-Systemen als Schädlinge erkannt und unmittelbar bekämpft. Etwas anders sieht die Sache mit den USBAngriffen durch USBDumper und 7zBlade sowie verwandten Tools aus. Betroffen sind sowohl Heim- als auch Firmennetzwerke. Die USB-Ports mit Kunstharz zu versiegeln, würde Abhilfe schaffen, aber die Usability der Workstations stark beeinträchtigen (natürlich ginge das auch softwaretechnisch, indem einfach der USB-Treiber USBSTOR.SYS aus dem Windows-Verzeichnis gelöscht wird). Alternativ können auch verschiedene für den USB-Betrieb notwendige Dateien wie die %SystemRoot%\ Inf\Usbstor.pnf+Usbstor.inf über einen »Berechtigung-verweigern-Eintrag« auf Dateiebene gesperrt werden. Flexibler, aber auch kostenaufwendiger ist der Einsatz von Programmen, die USB-Sticks und -Festplatten registrieren und den unzulässigen Gebrauch nicht freigegebener Geräte einschränken, z. B. mit Tools wie DeviceLock (www.devicelock.com) oder itWatch (www.itwatch.de). Flankierend dazu muss natürlich das Booten via USB-Medien unterbunden werden. Im Privatbereich und bei geringer Sicherheitsbedrohung reicht es ggf. aus, die Autostartrampen zu blockieren, sodass ein verseuchter Stick nicht automatisch vom System aktiviert wird.

109

10 Wireless Hacking Die Beliebtheit von Wireless LAN ist ungebrochen – vor allem im privaten Umfeld. Dafür sprechen natürlich vor allem Bequemlichkeitsgründe. Wer keine Lust hat, durch seine Wohnung Leitungen zu ziehen, und den Luxus liebt, mit dem mobilen Empfangsgerät überall in Haus und Garten frei nach Lust und Laune surfen zu können, setzt auf WLAN. Obwohl es eine Vielzahl von Standards (IEEE 802.11a, IEEE 802.11b, IEEE 802.11g, IEEE 802.11h, IEEE 802.11n) und Übertragungsraten (54 bis 600 Mbps) gibt, hat das kabellose lokale Netzwerk ein grundsätzliches Problem: Es ist leicht angreifbar und viele Hacker betreiben Wardriving, das Scannen von offenen und geschützten Funknetzen, als eine Art Sport. Als Schutzmaßnahme wird vor allem Wi-Fi Protected Access (WPA / WPA2) eingesetzt, das mit AES-Verschlüsselung arbeitet und durch Wörterbuchattacken angegriffen werden kann. Teilweise findet sich jedoch immer noch das auf 40- oder 104-Bit-Schlüsseln beruhende und leicht zu knackende Wired Equivalent Privacy (WEP). Die hier vorgestellten Angriffstools arbeiten auf unterschiedlichen Ebenen: Im ersten Schritt wird der Angreifer nach Access-Points suchen, die als »drahtloser Hub« alle empfangenen Signale in das jeweilige Netzwerk weiterleiten. Im zweiten Schritt wird er die Art der WLAN-Absicherung (Open Node = ungesichertes Netzwerk; Closed Node = geschlossenes WLAN-Netzwerk, WEP-Node = verschlüsseltes Netzwerk) ermitteln und versuchen, sich in den Netzwerkverkehr einzuklinken. Das Mithören bzw. Mitschneiden des Datenverkehrs (Sniffen) funktioniert ähnlich wie in drahtgebundenen Netzen, und im Prinzip können auch die gleichen Tools dafür eingesetzt werden. Bei mit WEP verschlüsselten Netzwerken braucht man, um sich aktiven Zugang zu verschaffen, 50.000 bis 1.500.000 Pakete für die Schlüsselgenerierung. Fallen diese benötigten Datenpakete nicht an, da z. B. in dem beobachteten WLAN kaum Traffic aufläuft, lassen sich die Pakete, die zur Errechnung des verwendeten WEP-Schlüssels notwendig sind, auch künstlich generieren. Abgerundet werden die Angriffstools durch Programme, mit denen sich MAC- und IP-Adresse fälschen (spoofen) lassen, um quasi »legitimer« Mitbenutzer des Netzes zu werden.

110

Kapitel 10 – Wireless Hacking

10.1

Kismet-Newcore

Anbieter www.kismetwireless.net Betriebssystem(e) Linux/UNIX, OpenBSD, FreeBSD, NetBSD, Mac OS X, Windows (Cygwin) Kategorie(n) WLAN-Sniffer Größe < 10 MB Installation / Kompilation

Usability



Preis Sprachen

Englisch

Oberfläche GUI x CMD Nein / Schnittstellen Ethereal/Tcpdump, Ja Aircrack-NG, Airsnort, GPSD, GpsDrive, Festival, Flite, PluginManagement Know-how 

Das Programm Kismet-Newcore ist ein leistungsfähiger WLAN-Sniffer, der Funknetzwerke durch das passive Sammeln von Informationen identifiziert und selbst vor versteckten Funknetzen (hidden (E)SSID) nicht haltmacht. Kismet-Newcore ist der Freund eines jeden Funkforschers, da das Programm extrem leistungsfähig ist, sich durch zahlreiche Plugins erweitern lässt (u. a. durch DECT) und viele Optionen bietet: So können durch Kismet-Newcore entdeckte Funknetze z. B. nicht nur durch akustische Signale bemerkbar gemacht, sondern sogar »vorgelesen« werden (inklusive SSID/Name, Kanal und Status der WLAN-Verschlüsselung). Befindet sich ein GPS-Empfänger am Computer, zeichnet Kismet zusätzlich die Koordinaten entdeckter Funknetze auf. Die Funknetze lassen sich später mit Zusatzprogrammen kartografieren. Der Aufruf von Kismet-Newcore auf einer Konsole bringt u. a. folgendes Ergebnis: discordia:~# kismet

10.2 Aircrack-NG (Aircrack-NG-Suite)

111

Bild 10.1: Kismet beim Sichten von Funknetzen

10.2

Aircrack-NG (Aircrack-NG-Suite)

Anbieter

www.aircrack-ng.org

Preis

-

Betriebssystem(e)

Linux/UNIX, Windows, Mac OS X

Sprachen

Englisch

Kategorie(n)

WEP und WPA-PSK/WPA2Cracker

Oberfläche

GUI

Größe

< 2 MB

Nein / Schnittstellen Ja

Airodump-NG, Kismet-Newcore

Usability



Know-how



Installation / Kompilation

CMD x

Aircrack-NG ist eine Toolsammlung für Wireless-Hacking, die Sniffing- und InjectionTools sowie einen WEP- und WPA/WPA2-Cracker für Wireless-Netzwerke beinhaltet. Die Aircrack-NG-Suite enthält u. a. die Programme aircrack-ng zur Brechung von WEPund WPA-PSK-Netzen, airodump-ng zur Suche und zum Mitschneiden von WLANVerkehr und aireplay-ng zur Injektion von WLAN-Paketen. Aircrack-NG kann bei einer ausreichenden Anzahl mitgeschnittener WLAN-Pakete bzw. schwacher WEP IVs (Initialisierungsvektoren) den verwendeten WEP-Schlüssel errechnen. Je nach Länge des WEP-Schlüssels benötigt das Programm für 64-Bit-Schlüssel durchschnittlich 100.000 bis 250.000 IVs, bei 128-Bit-Schlüsseln sogar durchschnittlich 500.000 bis 1.000.000 gesammelter IVs.

112

Kapitel 10 – Wireless Hacking

Bild 10.2: Aircrack-NG beim Errechnen eines WEP-Schlüssels

10.3

Aireplay-NG (Aircrack-NG-Suite)

Anbieter

www.aircrack-ng.org

Preis

-

Betriebssystem(e)

Linux/UNIX, Windows, Mac OS X

Sprachen

Englisch

Kategorie(n)

Источник: https://kupdf.net/download/networkhacking-professionelleangriffs-undverteidigungstechnikengegenhackerunddatendiebeedition2_5af361e4e2b6f5fc6c325245_pdf