Pentesting: Proxy trojanisiert Datei-Downloads

Ein neues Pentesting-Tool demonstriert die Gefahren, die in öffentlichen Netzen lauern: Es fängt Datei-Downloads ab und baut eine Hintertür ein.

In Pocket speichern vorlesen Druckansicht 49 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Das Pentesting-Tool BDFProxy arbeitet zumeist wie ein normaler Webproxy und leitet den Datenverkehr einfach durch. Fordert der Client des Nutzers jedoch eine Binärdatei an, zeigt es sich von einer anderen Seite: Es fängt den Transfer und lädt die Datei zunächst komplett herunter. Anschließend versucht es, eine Metasploit-Payload in die Datei zu injizieren und gibt das Ergebnis schließlich an den Client weiter. BDFProxy kann sowohl Windows- als auch Linux-Binaries modifizieren, jeweils sowohl 32- als auch 64-Bit.

BDFProxy bei der Arbeit

Jeder Datei-Download, den der Nutzer über den Proxy durchführt, ist potenziell verseucht. Das betrifft auch Updates, die von Anwendungen automatisch heruntergeladen werden. Die modifizierte Datei wird dann allerdings nur ausgeführt, wenn sie vom Programm nicht ausreichend überprüft wird. Eine digitale Signatur ist nach der Trojanisierung freilich hinfällig.

Damit der Datenverkehr durch den Proxy läuft, muss der Client nicht mal konfiguriert werden. Befindet sich der Pentester im gleichen Netz, kann er den Client per ARP-Spoofing anweisen, sämtlichen Traffic an das Analysesystem zu schicken, auf dem BDFProxy läuft. Wird das modifizierte Binary ausgeführt, öffnet die hinzugefügte Payload eine Backdoor. Es handelt sich dabei um reverse_shell_tcp von Metasploit. Darüber nimmt der Client dann beliebige Befehle entgegen.

Das Tool zeigt, dass man insbesondere bei der Nutzung nicht vertrauenswürdiger Netze wie Hotspots auf alles gefasst sein muss. Ganz trivial ist die Nutzung nicht: Bei einem kurzen Test mit nur leicht abgewandelter Standardkonfiguration konnten die modifizierten Binaries auf einem System mit Windows 8.1 nicht ausgeführt werden.

Um sicherzustellen, dass eine Datei nicht auf dem Transportweg verändert wurde, sollte man sie in nicht vertrauenswürdigen Netzen, wenn möglich, über HTTPS herunterladen oder gleich den gesamten Datenverkehr durch einen verschlüsselten VPN-Tunnel schicken. In verschlüsselten Datenverkehr können nämlich auch Programme wie BDFProxy nicht ohne weiteres eingreifen – sie müssen den Datenstrom ent- und wieder verschlüsseln, letzteres mit einem Zertifikat, dem das Opfer in spe höchstwahrscheinlich nicht vertraut. Dies führt zu einer Warnmeldung im Browser. (rei)