Post-Exploitation Frameworks einfach erklärt
Nach dem erfolgreichen Eindringen in ein System beginnt die Phase der Post-Exploitation. Hier geht es darum, sich dauerhaft Zugriff zu verschaffen, Daten zu sammeln und sich unauffällig im Netzwerk zu bewegen. Dafür verwenden Angreifer und Pentester spezialisierte Post-Exploitation-Frameworks. Hier ein Überblick über die wichtigsten Werkzeuge:
Empire
Empire ist ein bekanntes Post-Exploitation-Framework, das sich stark auf PowerShell stützt. Es bietet umfangreiche Möglichkeiten für:
-
Aufrechterhaltung des Zugangs (Persistence)
-
Keylogging
-
Credential Dumping
-
Netzwerkbewegungen (Lateral Movement)
Problem: Empire ist mittlerweile sehr bekannt und veraltet. Viele Sicherheitsprodukte erkennen typische Empire-Kommunikation sofort, da das Projekt längere Zeit keine aktive Weiterentwicklung hatte.
Covenant
Covenant ist ein moderneres .NET-basiertes Post-Exploitation-Framework. Es bietet:
-
HTTPS-verschlüsselte Kommunikation
-
Modulübertragungen
-
Verwaltung mehrerer Agents über eine schöne Web-Oberfläche
Covenant ist flexibler und besser verschlüsselt als Empire und wird oft eingesetzt, wenn aktuelle Schutzmechanismen umgangen werden sollen.
Mythic
Mythic ist ein modulares und quelloffenes C2-Framework, das verschiedene Agenten für unterschiedliche Zwecke bereitstellt (z. B. Apfell, Poseidon, Hermes).
-
Multiplattform (Windows, Linux, MacOS)
-
Extrem anpassbar
-
Agents in verschiedenen Sprachen (Go, Swift, Python, C++)
Mythic ist ideal, wenn verschiedene Ziele gleichzeitig angegriffen oder spezifische Payloads benötigt werden.
PostExploitationRedTeamingCyberSecurityPentestingC2Frameworks