Black Hat: Maltego wird angriffslustig
Maltego, das Werkzeug zum Visualisieren von Zusammenhängen in Netzwerken oder zwischen Personen, wurde zu einer Angriffsplattform aufgerüstet – inklusive Funktionen zum automatischen Knacken von E-Mail-Accounts und CMS-Logins.
- Uli Ries
Roelof Temmingh und Andrew MacPherson sind die Köpfe hinter dem bekannten Tool Maltego. Der im Rahmen ihrer Black-Hat-Präsentation freigegebenen neuen Version Maltego Tungsten haben die Macher Zähne zum Zubeißen verpasst: Eine "Maltego Teeth" getaufte Version, die unter Kali Linux läuft, bringt gleich ein ganzes Arsenal an Angriffsmöglichkeiten mit. Ziel: Ohne Einsatz eines Zero-Day-Exploits in ein bislang unbekanntes Netzwerk einzudringen.
(Bild: Paterva)
Keiner der Angriffe wie Brute-Force-Attacken auf E-Mail-Konten oder CMS-Logins, SQL-Injections oder nmap-Scans ist wirklich neu. Durch die Integration in Maltego stehen die Attacken aber per Mausklick bereit. Zudem werden die jeweiligen Ergebnisse grafisch hübsch übersichtlich in die nach und nach anwachsende Analyse gepackt. Ein fachkundiger Zuhörer meinte: „"Das geht ja fast schon zu einfach mit dem Tool.“"
Während ihrer Live-Demonstration zeigten die Maltego-Väter, wie sie nur vom Domainnamen ausgehend mit wenigen Mausklicks ein gänzlich unbekanntes Netzwerk, in diesem Fall das einer US-Behörde, scannten und alle Maschinen samt offener Ports sichtbar machten. Dank der grafischen Fähigkeiten des Werkzeugs lassen sich die Ergebnisse auf zahlreiche Arten sauber gliedern. Auf Wunsch liest Maltego auch die Bannerseiten der gefundenen Netzwerkgeräte aus und sucht automatisch nach bekannten Schwachstellen.
Stößt das Tool beispielsweise auf die Loginseite eines auf Microsoft Exchange basierenden Webmail-Systems, sucht es zuerst alle zu der jeweiligen Domain gehörenden E-Mail-Adressen im Netz (unter anderen per whois und auf den PGP-Servern) und startet anschließend auf Wunsch eine Brute-Force-Attacke auf eines der entdeckten Konten. Insgesamt erkennt Maltego 22 solcher Loginseiten, beispielsweise von Citrix-Gateways oder Secure-ID-Schnittstellen von Cisco Web-VPNs, und bietet die entsprechende Knackfunktion an.
Die gesammelten E-Mail-Adressen können auch als Ausgangspunkt für eine gezielte Phishing-Attacke mittels Maltego dienen: Das Tool findet alle Social-Media-Konten der jeweiligen Anwender und übergibt diese anschließend an das ebenfalls zum Gratis-Download angebotene Tool KingPhisher. Es bringt E-Mail-Templates für gängige Seiten wie Facebook, Twitter oder eBay mit und bietet abhängig von den vorhandenen Profilen die jeweils passenden Templates zur E-Mail-Adresse. Mit wenigen Mausklicks wird dann eine perfekt gestaltete Phishing-Nachricht verfasst. Im Fall von Facebook oder Twitter versucht KingPhisher, eine Liste der Freunde beziehungsweise Follower zu ziehen, um so einen vermeintlich bekannten Absender zu generieren. Beispielsweise: "„Dein Freund Peter hat Dich auf einem Foto markiert"“. Die Resultate der Spam-Kampagne – gesammelte Passwörter, verwendete Clients etc. – landen ebenfalls wieder in Maltego.
Außerdem beherrscht Maltego Teeth auch die Kontrolle von Botnetzen. Ohne auf die Details zur verwendeten Malware einzugehen, zeigten Roelof Temmingh und Andrew MacPherson, wie sich Angaben zu den einzelnen Bots automatisch aus dem Netz ziehen lassen: Name des angemeldeten Nutzers, interne IP-Adressen, installierte Updates oder die Zeitzone. Außerdem lassen sich aus der Ferne Screenshots anfertigen und beliebige Kommandos auf dem Zombie-PC ausführen.
Update 01.08.2013 um 15:25 Uhr: Berichtigung: Maltego ist keine Open-Source-Software. (kbe)
