Red Teaming mit Havoc, Teil 1: Installation

Havoc ist jung, dennoch werden damit erste Angriffe geführt. Neue Funktionen sind hinzugekommen, mit denen es kostenpflichtigen Alternativen Konkurrenz macht.

Artikel verschenken

06.06.2024, 14:15 Uhr

Lesezeit: 13 Min.

iX Magazin

Von

Frank Neugebauer

Red Teaming mit Havoc, Teil 1: Installation
- Hinweis zum Einsatz
Aufbau
Havoc installieren
Teamserver starten
Havoc-Client installieren und einsetzen
Demon-Agenten erstellen und auf Zielsystem übertragen
Post-Exploitation mit Havoc
Rechte auf dem Zielsystem erweitern
Fazit

Artikel in iX 4/2024 lesen

Im Februar 2023 beobachtete ein Forschungsteam des Zscaler ThreatLabz eine Kampagne gegen eine Regierungsorganisation, bei der die Angreifer ein neues Framework namens Havoc einsetzten. Die Software ist ein quelloffenes und hoch entwickeltes Command-and-Control-Framework (C2-Framework), das als Alternative zu kostenpflichtigen Optionen wie Cobalt Strike und Brute Ratel angesehen wird. Es beherrscht verschiedene Umgehungstechniken wie indirekte Syscalls und Sleep Obfuscation und ist damit in der Lage, auch die Sicherheitsmechanismen aktueller Windows-Versionen zu umgehen. Zurzeit befindet sich das Framework noch in einer heißen Entwicklungsphase, hauptverantwortlich ist der junge Entwickler 5pider.

Wie andere Exploit-Kits enthält Havoc eine Vielzahl von Modulen, mit denen auch Penetrationstester und Red Teams verschiedene Aufgaben auf den Zielgeräten ausführen können. Dazu gehören das Verwalten von Prozessen, das Nachladen zusätzlicher Payloads und das Ausführen von Befehlen und Shellcode über eine grafische Benutzeroberfläche, die auf dem Qt5-Framework basiert. Außerdem ermöglicht ein Teamserver, der als Mehrbenutzersystem konzipiert ist, die Zusammenarbeit mehrerer Angreifer und einen gemeinsamen Zugriff auf die kompromittierten Geräte.

Die zweiteilige Artikelserie beschreibt, wie das Havoc-Framework in einer Red-Team-Kampagne oder einem Penetrationstest zum Einsatz kommen kann. Der erste Teil beschäftigt sich mit der Installation, dem Aufbau und dem grundsätzlichen Umgang mit Listenern, Payloads und Modulen. Der zweite Teil wird auf erweiterte Features wie Shellcode Injection, Pivoting, Lateral Movement und das Einbinden von benutzereigenen Modulen in das Framework eingehen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

, Ki generiert mit Midjourney von Madlen Grunert

Internet aus der Steckdose: Mit Powerline das Netz in der Wohnung verteilen

Powerline-Adapter helfen, wenn das WLAN nicht bis in die letzte Ecke von Haus und Grundstück reicht. Wir testen fünf Sets, die alle eigenes WLAN mitbringen.

Wegfall des Nebenkostenprivilegs: TV-Anbieter pimpen ihre Angebote

Ab dem 1. Juli 2024 wird der Kabelfernsehanschluss nicht mehr pauschal über die Nebenkosten abgerechnet. Anbieter von IPTV und Sat-TV wittern hier ihre Chance.

Was mobile Klimaanlagen leisten: Drei Kühl-Geräte im Praxistest

Wenn es in der Wohnung unerträglich heiß wird, versprechen mobile Klimaanlagen rasche Abhilfe. Wir haben uns drei Geräte genauer angesehen.

Split-Klimaanlagen zum Heizen

Vor 25 Jahren: Wie der Athlon die Zukunft von AMD sicherte

Mit dem Desktop-PC-Prozessor Athlon landete AMD 1999 ein Volltreffer. Der Erfolg rettete den CPU-Hersteller und bereitete den Boden für spätere Triumphe.

Wozu das Programmieren auf Prompt-Ebene führt

Wo können KI-Systeme Programmierern wirklich helfen und ist der hier gewählte Ansatz eigentlich wirklich neu? Dieser Artikel wirft einen Blick auf ihre Rolle.

Die kleine Codefabrik: KI-Tools für Entwickler im Überblick

Mit dem Tippen der ersten Zeile einer neuen Funktion schreibt die IDE sie automatisch weiter – mit dieser Arbeitserleichterung locken zahlreiche KI-Angebote.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}