Im vorherigen Artikel „LAN-Netzwerke ausspionieren“ ging es primär um Hardware, mit denen ein Netzwerk belauscht werden kann. Die in diesem Artikel vorgestellte Hardware dient dazu aktiv, um in den Netzwerkverkehr einzugreifen. Hier kann zum Beispiel ein Angreifer die Netzwerkverbindung ausstecken und eine Hardware wie den Packet Squirrel, Shark Jack oder LAN Turtle anschließen, um ein LAN-Netzwerk zu infiltrieren.
Packet Squirrel
Das Packet Squirrel von Hak5 ist ein unauffälliger, taschengroßer Man-in-the-Middle Adapter, der zwischen eine vorhandene Netzwerkverbindung angeschlossen wird. Dazu sind zwei Netzwerkschnittstellen vorhanden. Dieses Ethernet-Multi-Tool wurde entwickelt, um verdeckte Fernzugriffe, automatische Paketerfassungen und VPN-Verbindungen zu ermöglichen.
Nutzung
Über einen Schiebeschalter können verschiedene vorab konfigurierte Angriffsszenarien ausgewählt werden. Per USB erfolgt die Stromversorgung und über eine zweite USB-Schnittstelle kann ein Speichermedium angeschlossen werden. Darauf kann zum Beispiel der komplette Netzwerkverkehr oder ausgewählte Übertragungen gespeichert werden. Die Anwendung des Packet Squirrel wird ausführlich von Hak5 beschrieben.
Shark Jack
Der Shark Jack, ebenfalls von Hak5, ist ein IT Security Tool, um Netzwerke zu testen. Das Besondere ist die sehr kleine Abmessung und der integrierte Akku. Neben der RJ45-Schnittstelle und dem USB-C-Port zum Laden besitzt der Shark Jack noch einen Schalter für die Konfiguration und eine mehrfarbige Status-LED.
Nutzung
Der Shark Jack verfügt über einen nicht herausnehmbaren Lithium-Ionen-Akku. Um ihn aufzuladen, muss der Schalter in die Position OFF / Laden gebracht werden. Mit einem USB-C-Kabel wird der Shark Jack an eine Stromquelle (Netzteil oder Rechner) angeschlossen. Nach einem kurzen Boot-Vorgang, welcher durch eine blinkende grüne LED angezeigt wird, beginnt der Shark Jack mit dem Aufladen. Während des Ladevorgangs blinkt die LED blau. Wenn das Gerät vollständig aufgeladen ist, leuchtet die LED durchgehend blau.
Um den Shark Jack zu konfigurieren, muss der Schalter auf die Mitte gestellt werden, dem „Arming Mode“. Danach muss er an eine Netzwerkschnittstelle angeschlossen werden. Er ist dann über die statische IP-Adresse 172.16.24.1 erreichbar und verwendet einen SSH-Server. Nun kann per SSH (Benutzer: root) der Zugriff erfolgen und entweder ein Bash-Skript mit dem Namen payload.sh oder eine Text-Datei mit dem Namen payload.txt im Verzeichnis /root/payload abgelegt werden. Beispiele dafür stehen auf Github bereit. Anschließend kann er vom Rechner entfernt werden. Wird er nun an einem Netzwerk-Port angeschlossen und der Schalter auf „Attack Mode“ gestellt, wird der vorher abgelegte Payload ausgeführt.
LAN Turtle
Der LAN Turtle Stick, ein weiteres Tool von Hak5, ist ein USB zu Ethernet Adapter, der einen Standard USB-zu-Ethernet-Treiber nutzt, sodass die meisten Systeme den Adapter automatisch unterstützen. Dadurch kann ein vorhandenes Netzwerkkabel ausgesteckt werden, der LAN Turtle Stick an den Rechner per USB angeschlossen werden und das Kabel an das andere Ende. Damit besteht wieder eine Netzwerkverbindung und für einen Benutzer ist im ersten Moment kein Unterschied zu erkennen.
Sobald der LAN Turtle Stick angeschlossen ist, versucht er, selbst eine Verbindung mit dem Internet aufzubauen. Danach kann eine VPN-Verbindung von außen aufgebaut werden und das Netzwerk mit verschiedenen Tools analysiert werden. Mittlerweile gibt es eine Variante mit einem GSM-Modem, dadurch muss keine Internetverbindung vorhanden sein. Die Verwendung wird ausführlich in der offiziellen Anleitung beschrieben.
Gegenmaßnahmen
Auch hier helfen die gleichen Gegenmaßnahmen wie im vorherigen Artikel „LAN-Netzwerke ausspionieren“ bereits beschrieben. Gerade bei Desktoprechnern, die sich in leicht zugänglichen und öffentlichen Bereichen befinden, sollten die Systeme durch bauliche Maßnahmen gesichert werden. Zum Beispiel kann ein Rechner unterhalb des Schreibtisches in einer abschließbaren Box befinden. Damit ist es einem Angreifer zum Beispiel nicht mehr möglich, einen LAN Turtle Stick anzuschließen. Ebenfalls ist eine Verschlüsselung des internen Netzwerks eine sehr effektive Maßnahme.
Artikelserie
Dieser Blogartikel ist Teil der Artikelserie Netzwerk Spionage, in der ich verschiedene Arten von Angriffsmethoden über die Netzwerkschnittstellen beschreibe, damit diese erkannt und effektive Gegenmaßnahmen getroffen werden können. In der Artikelserie, die dem Themenschwerpunkt Hacking Hardware angehört, werden die folgenden Artikel erscheinen:
- Spionage von Bluetooth-Verbindungen
- LAN-Netzwerke ausspionieren
- LAN-Netzwerke infiltrieren
- WLAN-Verbindungen unterbrechen
- WLAN Man-in-the-Middle-Angriffe
- 12.11.2024 (Workshop) Hacking- und Pentest-Hardware Workshop, scheible.it, Böblingen (weitere Infos)