© dommy.de, photocase.com

Die offiziell noch nicht erhältliche Android-App Anti will übers WLAN einsteigenden Pen-Testern helfen, Rechner auf verschiedene Weise zu kompromittieren. Vor allem ist Anti eines: verdächtig einfach zu bedienen.

Auf der diesjährigen Defcon in Las Vegas sorgte ein Toolkit namens Anti [1] für Aufsehen. Ähnlich wie beispielsweise das Metasploit Framework [2] soll das Android Network Toolkit in der Lage sein, verwundbare Rechner im Netz zu orten, ihre Sicherheitslücken auszunutzen und direkt eine Backdoor zu installieren. Das Pikante dabei: Die Bedienung der App soll so einfach sein, dass auch Nutzer ohne besondere Computer-Erfahrung sie bedienen können.

Für das derzeit in der geschlossenen Betaphase befindliche Projekt sieht der Maintainer Itzhak Avraham (alias Zuk) zukünftig mehrere Kategorien vor. Neben einer freien, erheblich im Funktionsumfang eingeschränkten Version möchte er auch drei kostenpflichtige in verschiedenen Ausprägungen anbieten. Itzhak hat ebenfalls angekündigt, die App über den offiziellen Android-Market anzubieten. Ob Google das goutiert, bleibt abzuwarten.

An die Waffen!

Es gilt zu beachten, dass die Applikation ein gerootetes System voraussetzt. Das Bundle besteht aus drei unabhängigen Apps. Dem Kernbestandteil »anti.apk« , dem Exploit-Modul »AntiAttackPlugin.apk« und dem Man-in-the-Middle-Addon »AntiSpyPlugin.apk« . Zur Installation empfiehlt die Projektseite das Android-SDK. Alternativ kopiert der Admin die Apps auf das Smartphone und tippt sie danach an.

Im Test startete die App nur bei aktiviertem WLAN. Dann legt sie aber direkt los und scannt das Netz, in dem sich das Smartphone selbst befindet, nach auffindbaren Hosts und darauf geöffneten Ports. Dabei prüft sie die Rechner auch auf potenzielle Sicherheitslücken. Diese Eigenart schaltet der Admin unter »Options | Detect new networks« ab.

Nach Abschluss des Scans zeigt das Fenster »Local Targets« alle gefundenen Hosts in einer Übersicht (Abbildung 1). Die farbigen Punkte zeigen an, ob der Host aktiv ist (grün), ob er offene Ports bereitstellt (gelb) oder von Anti ausnutzbare Sicherheitslücken aufweist (rot). Ein Tipp auf den gewünschten Eintrag öffnet eine neue Ansicht mit verschiedenen Optionen. Dazu zählen »Scan« zur detaillierten Suche via Nmap, »Connect« zum Verbinden mit geöffneten Ports und »Spy« (Abbildung 2).

Abbildung 1: Die beim automatischen Netzwerkscan gefundenen Hosts listet Anti in einer Übersicht auf.

Abbildung 2: Anti lässt dem App-Benutzer mehrere Möglichkeiten, sein potenzielles Opfer zu piesacken.

Letzteres startet einen Quasi-Man-in-the-Middle-Angriff, der sämtliche Bilder anzeigt, die der Zielhost via HTTP herunterlädt. Allerdings fällt das dort relativ schnell auf, da die App HTTPS-Verbindungen nicht sauber durchreicht und damit verschlüsselte Seiten nicht mehr anzeigt. Das Sichern der angezeigten Bilddateien ist nicht möglich.

Feuer frei!

Das letzte Modul »Attack« startet einen Angriff auf den Zielhost. Während im Test der ersten Version von Anti der Exploit noch ins Leere lief, war der Nachfolger erfolgreich. Allerdings beschränkt sich nach Auskunft des Maintainers das Angriffsziel bislang auf Windows XP mit SP3 ohne eingespielte Updates. Anti nutzt offenbar eine SMB-Schwachstelle, um das System zu kompromittieren und das Tool »Anti.exe« auf dem Rechner im Laufwerk »c:\« abzulegen und zu starten.

Da die Backdoor weder versucht sich zu verschleiern noch in den Bootprozess einbindet, geht es dem Maintainer offenbar in erster Linie um eine Machbarkeitsstudie. Darüber hinaus ist der Wirkungskreis der Schadsoftware relativ beschränkt. So erlaubt Anti etwa das Öffnen eines Terminals, das Erstellen eines Desktop-Screenshots und das Abrufen der Prozessliste. Ein Check bei Virustotal ergab, dass bisher lediglich die Scanner von Trendmicro auf den Eindringing anspringen, ihn aber mangels hinterlegter Signatur nur als generischen Schädling einstufen [3].

Für den Admin hält sich der Nutzen dieser Funktion jedoch in Grenzen, was in erster Linie daran liegt, dass die App keinerlei Informationen darüber liefert, welche der Exploits letztendlich das System kompromittieren konnten.

Weitere Funktionen

Das Fenster »Notifications« listet unter »Finished Scans« die durchgeführten Hostscans auf. Ein Tipp auf einen Eintrag öffnet ein neues Fenster, das zwar eine detaillierte Scan-Analyse zeigt, deren Export in eine Textdatei oder auf andere Rechner ist jedoch derzeit nicht möglich. Darüber hinaus zeigt die Ansicht zusätzliche Zu- und Angriffsmöglichkeiten auf den Zielhost (Abbildung 3).

Abbildung 3: Etwas versteckt in den »Scan Results« zeigt Anti weitere Optionen zum An- und Zugriff auf den Host.

Unter anderem soll Anti eine Man-in-the-middle-Attacke auf die Verbindung des ausgewählten Hosts ermöglichen. Nach Anwahl des zweiten Ziels, beispielsweise des Internetgateways, zeigt das GUI unter anderem die Auswahl mehrerer Arten, um die Verbindung zu manipulieren, etwa via »arp« . Daneben bietet die App die Wahl, in welcher Weise sie die Verbindung manipulieren soll. Zur Auswahl stehen »Replace Images« , »Redirect Http to localhost« , »Drop Https to Http« und andere. Im Test schlugen aber alle Versuche fehl, eine Verbindung auf das Smartphone umzuleiten und den Datenverkehr mitzuschneiden.

Fazit

Anti birgt auch in der vorliegenden Betaversion schon eine Menge Potenzial, wobei die Intention der Entwickler nicht klar ersichtlich ist. Auf den ersten Blick spricht die App mit ihrer bunten Oberfläche und intuitiven Bedienbarkeit sicherlich Skript-Kiddies an. Professionelle Pen-Tester profitieren von dem Tool weniger, als es technisch möglich erscheint. So fehlt der App bislang ein vernünftiges Reporting, das darüber berichtet, welcher der verwendeten Exploits letztendlich erfolgreich war.

Deutlich aussagekräftiger fällt dagegen das Nmap-Protokoll aus, das detailliert Aufschluss über den Scan liefert. Allerdings bietet auch hier die App keine Möglichkeit, das Scanlog zu exportieren. Darüber hinaus ist weder auf der Webseite des Maintainers noch in der App selbst ein Manual oder Whitepaper zu finden, das über die Funktionsweise und die Sepzifikationen des Toolkits hinreichend informiert.