Die Windows PowerShell (WPS) ist seit einigen Jahren das Standardwerkzeug vieler Systemadministratoren und bietet sowohl imperative (Befehlsketten mit Systemanweisungen) wie auch deklarative (definierte Zielvorstellungen wie bei "Desired State Configuration") Funktionen. Der Gedanke, dieses Werkzeug aufgrund seiner Alltäglichkeit mit "Hacking" in Verbindung zu bringen, scheint eher fern. Doch gerade die umfassende Konzeption der PowerShell macht sie für Penetrationstests interessant. Im Sicherheitsbereich findet das Framework vor allem in den drei Bereichen Post Exploitation, Scannen der Infrastruktur und Sammeln von Informationen und Angriffe über die Kommunikationsstruktur Verwendung.
Post-Exploitation bezeichnet im Wesentlichen die Betriebsphasen, ab denen das System eines Opfers vom Angreifer kompromittiert wurde. Der "Wert" des gefährdeten Systems wird durch die tatsächlich darin gespeicherten Daten und deren mögliche Verwendung für böswillige Zwecke bestimmt. Post-Exploitation legt den Fokus auf die Informationen aus dem "gehackten" System, die der weiteren Verwendung innerhalb komplexer Strukturen, insbesondere Netzwerken, dienen. In dieser Phase sammelt der Angreifer vertrauliche Daten, um Konfigurationseinstellungen, Netzwerkschnittstellen und andere Kommunikationskanäle zu analysieren. Diese finden Verwendung, um den dauerhaften Zugriff auf das System gemäß den Anforderungen des Angreifers aufrechtzuerhalten. Die Basis-Kompromittierung des Systems kann über bestehende Sicherheitslücken in der Remote-Konfiguration, über "Social Engineering" oder Exploits in Anwendungen erfolgen.
Für die zweite Phase der Infiltration bestehen hybride Frameworks aus nichtsystemspezifischen Tools wie Python und generierten PowerShell-Skripten. Das Setup setzt oft auf einen Linux-Host mit
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.