Drucksache: Windows Developer 7.18 - Admin-Tools und mehr im Visier
Im Windows Developer 7.18 ist ein Artikel über Angriffe auf und über Admin-Tools und andere Programme, die überall vorhanden sind, erschienen.
Update 29.11.2018:
Der Artikel ist jetzt auch online
auf entwickler.de
verfügbar.
Ende des Updates
Alles, was ein Admin zur Verwaltung eines Rechner oder Netzes verwendet, ist für einen Angreifer von besonderen Interesse. Zum einen, weil diese Tools i.A. mit erhöhten Rechten laufen, und die möchten die Angreifer natürlich auch haben. Zum anderen, weil diese Tools für genau die Aufgaben zuständig sind, die die Angreifer benötigen, um die vollständige Kontrolle über System und/oder Netzwerk zu erlangen. Das wissen natürlich auch die Sicherheitsforscher, weshalb sie immer wieder prüfende Blicke auf diese Tools werfen. Und dabei leider des Öfteren auch Möglichkeiten für einen Angriff finden.
Die im Artikel vorgestellten Angriffe sind nur eine Auswahl, es gab noch viele weitere eigentlich relevante Vorträge auf den verschiedenen Sicherheitskonferenzen. Sie machen aber eins deutlich: Es gibt anscheinend nichts, was sich nicht irgendwie für einen Angriff missbrauchen lässt.
Weshalb es äußerst wichtig ist, immer die gesamte Software aktuell zu halten. Was bei den Microsoft-Programmen ja weiter kein Problem ist, seitdem Microsoft bei den Updates auf "Alles oder Nichts" setzt. Da bekommt man die Updates notgedrungen automatisch mit. Aber auch separat installierte Software anderer Hersteller muss immer aktuell sein, um zumindest keine bekannten Schwachstellen als Einfallstor offen zu lassen.
Entsprechende Angriffe haben keinen Platz im Artikel gefunden, es gibt sie aber. Siehe z.B. [28] (Tastendrücke über VoIP, z.B. via Google Hangout, extrahieren), [29] (Angriffe auf und über BYOD-Sicherheitslösungen), [30] (Angriffe auf Passwort-Manager), [31] (Angriffe auf Continuous Integration (CI) Tools), ...
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "Ist es ein Update oder ein Schädling?"; Windows Developer 1.17
- [2] Carsten Eilers: "WMI in Angreiferhand"; Windows Developer 12.16
- [3] Carsten Eilers: "Angriffsziel Active Directory"; Windows Developer 11.16
- [4] Carsten Eilers: "The Good, the Bad, the Ugly"; Windows Developer 6.16
- [5] Carsten Eilers: "Windows 10: Sicherheit für Entwickler"; Windows Developer 12.15
- [6] Tal Liberman; Black Hat Asia 2018: "Documenting the Undocumented: The Rise and Fall of AMSI"
- [7] Matt Graeber, @mattifestation; 24. Mai 2016: "AMSI bypass in a single tweet. :)"
- [8] Seunghun Han, Jun-Hyeok Park; Black Hat Asia 2018: "I Don't Want to Sleep Tonight: Subverting Intel TXT with S3 Sleep"
- [9] Chris Thompson; Black Hat Europe 2017: "Red Team Techniques for Evading, Bypassing, and Disabling MS Advanced Threat Protection and Advanced Threat Analytics" (Video auf YouTube)
- [10] Romain Coltel, Yves Le Provost; Black Hat USA 2017: "WSUSpendu: How to Hang WSUS Clients" (Video auf YouTube)
- [11] Romain Coltel, Yves Le Provost; DEF CON 25: "WSUSpendu: How to Hang WSUS Clients" (Präsentation als PDF, Paper als PDF, Video auf YouTube)
- [12] GitHub: AlsidOfficial/WSUSpendu - "Implement WSUSpendu attack"
- [13] Daniel Bohannon, Lee Holmes; Black Hat USA 2017: "Revoke-Obfuscation: PowerShell Obfuscation Detection (And Evasion) Using Science" (Video auf YouTube)
- [14] Daniel Bohannon, Lee Holmes; DEF CON 25: "Revoke-Obfuscation: PowerShell Obfuscation Detection (And Evasion) Using Science" (Präsentation als PDF, Video auf YouTube)
- [15] GitHub: danielbohannon/Revoke-Obfuscation - "PowerShell Obfuscation Detection Framework"
- [16] William Knowles; DEF CON 25: "Persisting with Microsoft Office: Abusing Extensibility Options" (Präsentation als PDF, Video auf YouTube)
- [17] Dor Azouri; DEF CON 25: "BITSInject" (Präsentation als PDF, Paper als PDF, Video auf YouTube)
- [18] GitHub: SafeBreach-Labs/BITSInject - "A one-click tool to inject jobs into the BITS queue (Background Intelligent Transfer Service), allowing arbitrary program execution as the NT AUTHORITY/SYSTEM account"
- [19] GitHub: SafeBreach-Labs/SimpleBITSServer - "A simple python implementation of a BITS server."
- [20] Lee Holmes; DEF CON 25: "Get-$pwnd: Attacking Battle-Hardened Windows Server" (Präsentation als PDF, Video auf YouTube)
- [21] Lee Holmes; PowerShell Team Blog: "Defending Against PowerShell Attacks"
- [22] Craig Dods; Black Hat USA 2017: "Infecting the Enterprise: Abusing Office365+Powershell for Covert C2" (Video auf YouTube)
- [23] Nikhil Mittal; Black Hat USA 2017: "Evading Microsoft ATA for Active Directory Domination" (Video auf YouTube)
- [24] Niels Warnars; HITBSecConf Amsterdam 2017: "Disarming EMET 5.52"
- [25] Pierre-Alexandre Braeken; Black Hat Asia 2017: "Hack Microsoft Using Microsoft Signed Binaries" (Video auf YouTube)
- [26] GitHub: giMini/PowerMemory - "Exploit the credentials present in files and memory"
- [27] Abdulellah Alsaheel, Raghav Pande; Black Hat USA 2016: "Using EMET to Disable EMET" (Video auf YouTube)
- [28] Daniele Lain, Mauro Conti, Gene Tsudik, Alberto Compagno; Black Hat USA 2017: "Skype & Type: Keystroke Leakage over VoIP"
- [29] Vincent Tan; Black Hat USA 2016: "Bad for Enterprise: Attacking BYOD Enterprise Mobile Security Solutions"
- [30] Alberto Garcia, Martin Vigo; Black Hat Europe 2015: "Even the LastPass Will be Stolen, Deal with It!"
- [31] Nikhil Mittal; Black Hat Europe 2015: "Continuous Intrusion: Why CI tools are an Attacker's Best Friends"
Trackbacks