Berichte über Hackerangriffe auf Unternehmen oder öffentliche Institutionen beschränken sich häufig darauf, dass die Angreifer eingedrungen seien – ob und welche Informationen sie entwenden konnten, lässt sich nicht immer vollständig feststellen. Dabei stellt der erstmalige Einstieg bloß die erste Hürde für IT-Kriminelle dar: Die aktuelle Januar-iX zeigt, was danach passiert.

Penetrationstester agieren wie Hacker, doch sind sie im expliziten Auftrag unterwegs, um ein Unternehmen auf Schwachstellen zu untersuchen, damit es diese anschließend beheben kann. Sobald die Tester Zugriff auf ein internes System des Auftraggebers haben, verwenden sie Post-Exploitation Frameworks. Mit ihnen arbeiten sie sich weiter im Netz der Firma vor und greifen weitere Systeme an.

Die Frameworks Empire und Metasploit sind vielen Administratoren ein Begriff, in ihre Fußstapfen tritt nun das noch unbekanntere Kodiak, auch C3 für COM, Command and Control genannt. Das Rootkit für Windows nutzt das Component Object Model (COM) und arbeitet in erster Linie mit JScript und VBScript. Entsprechend lässt es sich mit fast allen in Unternehmen verbreiteten Clients nutzen. Die Daten lassen sich verschlüsselt über SSL respektive TLS übertragen.

Noch in der Betaphase befindet sich hingegen Merlin, den die Entwickler als Cross-Platform Post-Exploitation HTTP/2 Command & Control Server and Agent bezeichnen. Entsprechend nutzt das Tool das Übertragungsprotokoll HTTP/2, von dem die Entwickler meinen, dass es Sicherheitssysteme noch nicht erfassen würden. In Go geschrieben, lässt sich die Software neben Windows auch mit macOS und Linux verwenden.

Wie Penetrationstester Kodiak und Merlin einsetzen, erfahren sie mitsamt vieler Praxisbeispiele im Artikel.

Siehe dazu auch:

(fo)