Red Teaming mit Havoc, Teil 1: Installation

Havoc ist jung, dennoch werden damit erste Angriffe geführt. Neue Funktionen sind hinzugekommen, mit denen es kostenpflichtigen Alternativen Konkurrenz macht.

Artikel verschenken

06.06.2024, 14:15 Uhr

Lesezeit: 13 Min.

iX Magazin

Von

Frank Neugebauer

Red Teaming mit Havoc, Teil 1: Installation
- Hinweis zum Einsatz
Aufbau
Havoc installieren
Teamserver starten
Havoc-Client installieren und einsetzen
Demon-Agenten erstellen und auf Zielsystem übertragen
Post-Exploitation mit Havoc
Rechte auf dem Zielsystem erweitern
Fazit

Artikel in iX 4/2024 lesen

Im Februar 2023 beobachtete ein Forschungsteam des Zscaler ThreatLabz eine Kampagne gegen eine Regierungsorganisation, bei der die Angreifer ein neues Framework namens Havoc einsetzten. Die Software ist ein quelloffenes und hoch entwickeltes Command-and-Control-Framework (C2-Framework), das als Alternative zu kostenpflichtigen Optionen wie Cobalt Strike und Brute Ratel angesehen wird. Es beherrscht verschiedene Umgehungstechniken wie indirekte Syscalls und Sleep Obfuscation und ist damit in der Lage, auch die Sicherheitsmechanismen aktueller Windows-Versionen zu umgehen. Zurzeit befindet sich das Framework noch in einer heißen Entwicklungsphase, hauptverantwortlich ist der junge Entwickler 5pider.

Wie andere Exploit-Kits enthält Havoc eine Vielzahl von Modulen, mit denen auch Penetrationstester und Red Teams verschiedene Aufgaben auf den Zielgeräten ausführen können. Dazu gehören das Verwalten von Prozessen, das Nachladen zusätzlicher Payloads und das Ausführen von Befehlen und Shellcode über eine grafische Benutzeroberfläche, die auf dem Qt5-Framework basiert. Außerdem ermöglicht ein Teamserver, der als Mehrbenutzersystem konzipiert ist, die Zusammenarbeit mehrerer Angreifer und einen gemeinsamen Zugriff auf die kompromittierten Geräte.

Die zweiteilige Artikelserie beschreibt, wie das Havoc-Framework in einer Red-Team-Kampagne oder einem Penetrationstest zum Einsatz kommen kann. Der erste Teil beschäftigt sich mit der Installation, dem Aufbau und dem grundsätzlichen Umgang mit Listenern, Payloads und Modulen. Der zweite Teil wird auf erweiterte Features wie Shellcode Injection, Pivoting, Lateral Movement und das Einbinden von benutzereigenen Modulen in das Framework eingehen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Wegfall des Nebenkostenprivilegs: TV-Anbieter pimpen ihre Angebote

Ab dem 1. Juli 2024 wird der Kabelfernsehanschluss nicht mehr pauschal über die Nebenkosten abgerechnet. Anbieter von IPTV und Sat-TV wittern hier ihre Chance.

Wie Klimageräte funktionieren und was man über die Installation wissen sollte

Stauwärme in Gebäuden ist im Sommer anstrengend und belastend. Wie bringt man die Wärme am besten nach draußen und warum landet man so oft bei der Klimaanlage?

Test: Smartes Klimagerät

Ausprobiert: Windows on ARM mit neuen Snapdragon-X-Prozessoren

Einige der neuen Windows-on-ARM-Notebooks mit Copilot+ haben sich seit deren Verkaufsstart im c't-Labor eingefunden. Wir schildern unsere ersten Eindrücke.

Saharastaub und Pollen: (Warum) sollte ich meine Solaranlage reinigen?

Nach einigen Jahren können vor allem flach montierte Solarplatten siffig aussehen und entsprechend Leistung verlieren. Muss man die Platten zwingend reinigen?

Was mobile Klimaanlagen leisten: Drei Kühl-Geräte im Praxistest

Wenn es in der Wohnung unerträglich heiß wird, versprechen mobile Klimaanlagen rasche Abhilfe. Wir haben uns drei Geräte genauer angesehen.

Split-Klimaanlagen zum Heizen

Betriebssysteme: Was extra schlanke Windows-Variationen taugen

Für Windows gibt es inoffizielle, minimalistische Variationen. Wir erklären, was Atlas, ReviOS und Tiny11 bringen, wenn man sich auf sie einlässt.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}