PowerShell als Security-Werkzeug

Undurchdringbar

Die Windows PowerShell ist mehr als ein bevorzugtes Hilfsmittel der Administration – sie eignet sich bestens für Penetrationstests. Um das eigene System gründlich auf Schwachstellen zu überprüfen, muss der Pentester die Rolle des Angreifers einnehmen. Durch den Einsatz nativer Skripte wie Nishang und Empire lassen sich bekannte Sicherheitslücken testen, das Berechtigungslevel eskalieren, Systeminformationen erlangen und optional auch das System mittels Malware schädigen.
Das Rechenzentrum und die IT-Infrastruktur im Unternehmen bilden die Grundlage für einen erfolgreichen IT-Betrieb. In der Dezember-Ausgabe beleuchtet ... (mehr)

Die Windows PowerShell (WPS) ist seit einigen Jahren das Standardwerkzeug vieler Systemadministratoren und bietet sowohl imperative (Befehlsketten mit Systemanweisungen) wie auch deklarative (definierte Zielvorstellungen wie bei "Desired State Configuration") Funktionen. Der Gedanke, dieses Werkzeug aufgrund seiner Alltäglichkeit mit "Hacking" in Verbindung zu bringen, scheint eher fern. Doch gerade die umfassende Konzeption der PowerShell macht sie für Penetrationstests interessant. Im Sicherheitsbereich findet das Framework vor allem in den drei Bereichen Post Exploitation, Scannen der Infrastruktur und Sammeln von Informationen und Angriffe über die Kommunikationsstruktur Verwendung.

Vorgehensweise und Tools der Angreifer

Post-Exploitation bezeichnet im Wesentlichen die Betriebsphasen, ab denen das System eines Opfers vom Angreifer kompromittiert wurde. Der "Wert" des gefährdeten Systems wird durch die tatsächlich darin gespeicherten Daten und deren mögliche Verwendung für böswillige Zwecke bestimmt. Post-Exploitation legt den Fokus auf die Informationen aus dem "gehackten" System, die der weiteren Verwendung innerhalb komplexer Strukturen, insbesondere Netzwerken, dienen. In dieser Phase sammelt der Angreifer vertrauliche Daten, um Konfigurationseinstellungen, Netzwerkschnittstellen und andere Kommunikationskanäle zu analysieren. Diese finden Verwendung, um den dauerhaften Zugriff auf das System gemäß den Anforderungen des Angreifers aufrechtzuerhalten. Die Basis-Kompromittierung des Systems kann über bestehende Sicherheitslücken in der Remote-Konfiguration, über "Social Engineering" oder Exploits in Anwendungen erfolgen.

Für die zweite Phase der Infiltration bestehen hybride Frameworks aus nichtsystemspezifischen Tools wie Python und generierten PowerShell-Skripten. Das Setup setzt oft auf einen Linux-Host mit

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019