Red Teaming mit Havoc, Teil 1: Installation

Havoc ist jung, dennoch werden damit erste Angriffe geführt. Neue Funktionen sind hinzugekommen, mit denen es kostenpflichtigen Alternativen Konkurrenz macht.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht
Lesezeit: 13 Min.
Von
  • Frank Neugebauer
Inhaltsverzeichnis

Im Februar 2023 beobachtete ein Forschungsteam des Zscaler ThreatLabz eine Kampagne gegen eine Regierungsorganisation, bei der die Angreifer ein neues Framework namens Havoc einsetzten. Die Software ist ein quelloffenes und hoch entwickeltes Command-and-Control-Framework (C2-Framework), das als Alternative zu kostenpflichtigen Optionen wie Cobalt Strike und Brute Ratel angesehen wird. Es beherrscht verschiedene Umgehungstechniken wie indirekte Syscalls und Sleep Obfuscation und ist damit in der Lage, auch die Sicherheitsmechanismen aktueller Windows-Versionen zu umgehen. Zurzeit befindet sich das Framework noch in einer heißen Entwicklungsphase, hauptverantwortlich ist der junge Entwickler 5pider.

Wie andere Exploit-Kits enthält Havoc eine Vielzahl von Modulen, mit denen auch Penetrationstester und Red Teams verschiedene Aufgaben auf den Zielgeräten ausführen können. Dazu gehören das Verwalten von Prozessen, das Nachladen zusätzlicher Payloads und das Ausführen von Befehlen und Shellcode über eine grafische Benutzeroberfläche, die auf dem Qt5-Framework basiert. Außerdem ermöglicht ein Teamserver, der als Mehrbenutzersystem konzipiert ist, die Zusammenarbeit mehrerer Angreifer und einen gemeinsamen Zugriff auf die kompromittierten Geräte.

Mehr zu IT-Security

Die zweiteilige Artikelserie beschreibt, wie das Havoc-Framework in einer Red-Team-Kampagne oder einem Penetrationstest zum Einsatz kommen kann. Der erste Teil beschäftigt sich mit der Installation, dem Aufbau und dem grundsätzlichen Umgang mit Listenern, Payloads und Modulen. Der zweite Teil wird auf erweiterte Features wie Shellcode Injection, Pivoting, Lateral Movement und das Einbinden von benutzereigenen Modulen in das Framework eingehen.

Das war die Leseprobe unseres heise-Plus-Artikels " Red Teaming mit Havoc, Teil 1: Installation". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.