Tobias Scheible Cyber Security & IT-Forensik Dozent

LAN-Netzwerke infiltrieren

Mit spezieller Hardware wie dem Packet Squirrel, Shark Jack oder LAN Turtle können LAN-Netzwerke von Angreifern infiltriert werden. Sie werden zwischen vorhandene Verbindungen angeschlossen und führen automatisch vorab konfigurierte Payloads aus oder etablieren einen heimlichen Zugang.

Mittwoch, 22. Juli 2020
0 Kommentare

Im vorherigen Artikel „LAN-Netzwerke ausspionieren“ ging es primär um Hardware, mit denen ein Netzwerk belauscht werden kann. Die in diesem Artikel vorgestellte Hardware dient dazu aktiv, um in den Netzwerkverkehr einzugreifen. Hier kann zum Beispiel ein Angreifer die Netzwerkverbindung ausstecken und eine Hardware wie den Packet Squirrel, Shark Jack oder LAN Turtle anschließen, um ein LAN-Netzwerk zu infiltrieren.

Packet Squirrel

Das Packet Squirrel von Hak5 ist ein unauffälliger, taschengroßer Man-in-the-Middle Adapter, der zwischen eine vorhandene Netzwerkverbindung angeschlossen wird. Dazu sind zwei Netzwerkschnittstellen vorhanden. Dieses Ethernet-Multi-Tool wurde entwickelt, um verdeckte Fernzugriffe, automatische Paketerfassungen und VPN-Verbindungen zu ermöglichen.

Packet Squirrel
Packet Squirrel mit zwei Netzwerkschnittstellen
Packet Squirrel Packet Squirrel mit zwei Netzwerkschnittstellen

Nutzung

Über einen Schiebeschalter können verschiedene vorab konfigurierte Angriffsszenarien ausgewählt werden. Per USB erfolgt die Stromversorgung und über eine zweite USB-Schnittstelle kann ein Speichermedium angeschlossen werden. Darauf kann zum Beispiel der komplette Netzwerkverkehr oder ausgewählte Übertragungen gespeichert werden. Die Anwendung des Packet Squirrel wird ausführlich von Hak5 beschrieben.

Shark Jack

Der Shark Jack, ebenfalls von Hak5, ist ein IT Security Tool, um Netzwerke zu testen. Das Besondere ist die sehr kleine Abmessung und der integrierte Akku. Neben der RJ45-Schnittstelle und dem USB-C-Port zum Laden besitzt der Shark Jack noch einen Schalter für die Konfiguration und eine mehrfarbige Status-LED.

Shark Jack
Der Shark Jack ist nicht größer als ein Feuerzeug und hat einen integrierten Akku
Shark Jack Der Shark Jack ist nicht größer als ein Feuerzeug und hat einen integrierten Akku

Nutzung

Ladevorgang

Der Shark Jack verfügt über einen nicht herausnehmbaren Lithium-Ionen-Akku. Um ihn aufzuladen, muss der Schalter in die Position OFF / Laden gebracht werden. Mit einem USB-C-Kabel wird der Shark Jack an eine Stromquelle (Netzteil oder Rechner) angeschlossen. Nach einem kurzen Boot-Vorgang, welcher durch eine blinkende grüne LED angezeigt wird, beginnt der Shark Jack mit dem Aufladen. Während des Ladevorgangs blinkt die LED blau. Wenn das Gerät vollständig aufgeladen ist, leuchtet die LED durchgehend blau.

Nutzung

Um den Shark Jack zu konfigurieren, muss der Schalter auf die Mitte gestellt werden, dem „Arming Mode“. Danach muss er an eine Netzwerkschnittstelle angeschlossen werden. Er ist dann über die statische IP-Adresse 172.16.24.1 erreichbar und verwendet einen SSH-Server. Nun kann per SSH (Benutzer: root) der Zugriff erfolgen und entweder ein Bash-Skript mit dem Namen payload.sh oder eine Text-Datei mit dem Namen payload.txt im Verzeichnis /root/payload abgelegt werden. Beispiele dafür stehen auf Github bereit. Anschließend kann er vom Rechner entfernt werden. Wird er nun an einem Netzwerk-Port angeschlossen und der Schalter auf „Attack Mode“ gestellt, wird der vorher abgelegte Payload ausgeführt.

LAN Turtle

Der LAN Turtle Stick, ein weiteres Tool von Hak5, ist ein USB zu Ethernet Adapter, der einen Standard USB-zu-Ethernet-Treiber nutzt, sodass die meisten Systeme den Adapter automatisch unterstützen. Dadurch kann ein vorhandenes Netzwerkkabel ausgesteckt werden, der LAN Turtle Stick an den Rechner per USB angeschlossen werden und das Kabel an das andere Ende. Damit besteht wieder eine Netzwerkverbindung und für einen Benutzer ist im ersten Moment kein Unterschied zu erkennen.

LAN Turtle
LAN Turtle Stick als USB zu Ethernet Adapter mit integriertem Rechner
LAN Turtle LAN Turtle Stick als USB zu Ethernet Adapter mit integriertem Rechner

Sobald der LAN Turtle Stick angeschlossen ist, versucht er, selbst eine Verbindung mit dem Internet aufzubauen. Danach kann eine VPN-Verbindung von außen aufgebaut werden und das Netzwerk mit verschiedenen Tools analysiert werden. Mittlerweile gibt es eine Variante mit einem GSM-Modem, dadurch muss keine Internetverbindung vorhanden sein. Die Verwendung wird ausführlich in der offiziellen Anleitung beschrieben.

Gegenmaßnahmen

Auch hier helfen die gleichen Gegenmaßnahmen wie im vorherigen Artikel „LAN-Netzwerke ausspionieren“ bereits beschrieben. Gerade bei Desktoprechnern, die sich in leicht zugänglichen und öffentlichen Bereichen befinden, sollten die Systeme durch bauliche Maßnahmen gesichert werden. Zum Beispiel kann ein Rechner unterhalb des Schreibtisches in einer abschließbaren Box befinden. Damit ist es einem Angreifer zum Beispiel nicht mehr möglich, einen LAN Turtle Stick anzuschließen. Ebenfalls ist eine Verschlüsselung des internen Netzwerks eine sehr effektive Maßnahme.

Artikelserie

Dieser Blogartikel ist Teil der Artikelserie Netzwerk Spionage, in der ich verschiedene Arten von Angriffsmethoden über die Netzwerkschnittstellen beschreibe, damit diese erkannt und effektive Gegenmaßnahmen getroffen werden können. In der Artikelserie, die dem Themenschwerpunkt Hacking Hardware angehört, werden die folgenden Artikel erscheinen:

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.