Das Potential von Exploit Toolkits nutzen

Anti-Virus Firmen haben einen neuen Trend identifiziert: Kriminelle nutzen zunehmend freie Open-Source-Software statt spezialisierter eigener oder zugekaufter Malware. Kaspersky Lab deckte vor kurzem mehrere Cyberspionage-Kampagnen auf, die nach diesem Muster arbeiten. Solche kostenlosen Tools, die eigentlich entwickelt wurden, um seriöse Sicherheitstests durchzuführen, enthalten viele Elemente, die kriminelle Hacker auch für ihre Zwecke einsetzen können. Noch dazu werden die Tools von der Community gepflegt und weiterentwickelt, ebenfalls zum Nulltarif. Zurzeit steht besonders das Browser Exploitation Framework (BeEF) im Fokus. BeEF wurde von Wade Alcorn entwickelt und nutzt Ruby on Rails als Plattform. Das Framework greift – anders als andere Hackertools wie Metasploit – die Client-Seite an. Das ist besonders perfide, weil dadurch alle Sicherheitsmaßnahmen im Perimeter umgangen werden. Gleichzeitig nutzen immer mehr Anwender immer mehr verschiedene Browser, auch in mobilen Geräten, um auf Ressourcen im Netz zuzugreifen. Unternehmen sollten Sicherheitslücken im Client sehr aufmerksam beobachten und nach Möglichkeit sofort schließen.

BeEF rüstet die „Guten“ dafür mit einer ganzen Reihe an Funktionen aus. Die Software greift den Browser im Client an und nutzt ihn, um weitergehende Attacken auf das interne Netz und die Ressourcen darin auszuführen. Mit dem Tool lässt sich sehr schnell und vor allem komfortabel feststellen, ob der Browser Schwachstellen hat, die Cross-Site Scripting (XSS) Angriffe und andere Code-Injection Angriffe ermöglichen. BeEF ist in vielen beliebten Hacking-Distributionen, darunter auch Kali Linux, per Default integriert. Technisch funktioniert BeEF, indem es sich in einen Browser „einhängt“ (engl. to hook). Das geschieht über die Datei hook.js, die der Browser ausführen muss. Im echten Einsatz kapern die Hacker dafür normalerweise eine Website, die von der oder den Zielpersonen besucht wird (Watering-hole-Angriff). Sobald der Browser die präparierte Site anzeigt und den hinterlegten Code ausführt, wird ihm die hook.js untergeschoben und die weiteren Angriffe können starten. Oder eben nicht, wenn der Browser und die Betriebssystemplattform auf der er läuft, entsprechend abgesichert sind. Sehr häufig funktioniert der Angriff allerdings und der „hooked“ Browser führt fortan Befehle aus dem Funktionsbaukasten von BeEF aus. Dazu gehören unter anderem zahlreiche Informationsanfragen: eine Liste der besuchten Domänen und URLs zum Beispiel, Hersteller und Produktname von installierten VPN-Clients, alle Google-Kontakte und die kompletten Cookies, die der Browser angesammelt hat. Damit ist aber noch lange nicht Schluss. Das Exploit-Tool kann dem Angreifer Zugriff auf die Webcam geben, Screenshots erstellen und im Hintergrund eine Art Netzwerkinventur laufen lassen. Übersichtlich grafisch aufbereitet, präsentiert BeEF dann Switches, Server, Router und andere Workstations mit ihren IP-Adressen und weiteren Infos. Wenn BeEF den Browser erst mal im Griff hat, sind die Folgen massiv.

Hacker verwenden natürlich schon immer alle Tools, die sie bekommen können und als nützlich erachten. Dass es im Moment so viele infizierte Webseiten und richtig gehende Kampagnen mit BeEF gibt, deutet darauf hin, dass das Tool zurzeit die beste und am einfachsten zu nutzende Technologie für Client-seitige Angriffe enthält. Firmen und IT-Dienstleister sollten diesen Wink mit dem Zaunpfahl für sich ausnutzen: Wer seine IT Infrastruktur oder die des Kunden mit BeEF testet, kann sich recht sicher sein, die aktuell größten Bedrohungen für den oder die Browser aufzudecken. Zahlreiche Videos auf YouTube und Anleitungen, beispielsweise von der BlackHat-Konferenz 2012, beschreiben die Vorgehensweise sehr anschaulich. Je früher man sich die Informationen von BeEF zu Nutze macht, desto besser.