Im Rahmen meines Studiums konnte ich in der Veranstaltung "Penetration Testing I" Bekanntschaft mit dem Exploiting Framework Core Impact Pro V9 machen. Im vergleich zu Metasploit besteht der große Vorteil darin, dass es in der Bedienung sehr intuitiv zu bedienen ist und trotzallem sehr detaillierte Einstellungen erlaubt. Dabei können die individuellen Konfigurationsmöglichkeiten mit Hilfe eines Assistenten erfolgen. Core Impact arbeitet auf Basis der „patentierten Agenten Technologie“ wie Core Security selbst ihre Entwicklung beschreibt. Ein Agent ist ein Programm, welches auf dem kompromittierten System installiert wird. Es entspricht in der Funktionalität einem RAT, der ausschließlich im RAM des kompromittierten Systems arbeitet und versucht, durch anti-forensische Maßnahmen unerkannt zu bleiben. So können über die Agenten lokale Prozesse oder über das bereits kompromittierte System weitere Ziel-Systeme angegriffen werden. Ein Agent kann jederzeit aus einem kompromittierten System entfernt werden und überleben per Default keinen Neustart (kann aber eingestellt werden). Eine Besonderheit von Core Impact ist das automatisierte Ausführen von Penetrationstests, welche von Core Security als “Rapid Penetration Testing“ (RPT) bezeichnet wird. Hierzu wird bei der Standardkonfiguration automatisch folgender Prozess ausgeführt:
1. Enumeration (Information Gathering) 2. Angriff und Penetration 3. Lokales Information Gathering 4. Privilege Escalation 5. Cleanup 6. Reporting
Bei der “Enumeration“ werden wahlweise Information über das Ziel-Netz oder -System gesammelt. Auf Grundlage dieser Informationen wird ein Angriff auf das Ziel-System durchgeführt. Ist der Angriff erfolgreich, werden Informationen über das lokale – also das kompromittierte System – gesammelt, um die erlangten Privilegien zu verifizieren. Sofern durch den Angriff des Ziel-Systems noch nicht die höchsten Zugriffsrechte erlangt wurden, wird versucht diese auszuweiten. Der Angriff wird nach einem Cleanup beendet. Im Cleanup werden alle installierten Agenten entfernt. Ziel ist die Wiederherstellung des Ausgangszustandes vor dem Angriff. Abgeschlossen wird der Prozess mit der Generierung eines ausführlichen Reports. Neben der automatischen Standardkonfiguration besteht die Möglichkeit, per Drag and Drop eigene Prozessfolgen durchzuführen. Allerdings müssen dabei Abhängigkeiten zwischen einzelnen Prozessschritten eingehalten werden. Dabei kann auch auf externe Programme zurückgegriffen werden (z.B. bei Schritt 1). Je nach Leistung des Systems, auf dem Core Impact ausgeführt wird, können Angriffe parallel ausgeführt werden. Zudem ermöglicht der Scheduler von Core Impact ein detailliertes Planen von Angriffen mit wählbaren Zeitpunkten. Es besteht die Möglichkeit, auch Webanwendungen auf Vulnerabilities zu testen und Phishing E-Mails zu generieren.
Die Exploits, die Core Impact zur Verfügung stellt sind in Python programmiert und können angepasst werden. Hierzu wird eine Python-Schnittstelle bereitgestellt. Die Exploit-Bibliothek von Core Impact wird stetig erweitert und durchschnittlich 10- bis 20-mal im Monat aktualisiert, um neue Vulnerabilities auszunutzen. Das hat zur Folge, dass schon wenige Tage (<= 2 Tage) nach erscheinen einer Vulnerability, ein Exploit für diese bereitgestellt wird. Zum Suchen dieser Exploits bietet Core Impact eine umfangreiche Exploit-Suchmaschine an. Dabei kann auf bis zu 6 verschiedene Arten gesucht werden, wie in nachfolgender Tabelle zu sehen ist.
Exploits können per Drag and Drop angewendet werden. Core Impact analysiert zuvor das relevante Betriebssystem sowie die Version. Je mehr Informationen über das Ziel-System bekannt sind, desto wahrscheinlicher ist eine erfolgreiche Anwendung des Exploits. Zudem wird eine automatische Wahl der Konfigurationsparameter begünstigt. Eine manuelle Wahl der Konfigurtionsparameter ist ebenfalls möglich.
Einziges Manko an Core Impact ist der exorbitante Preis im Vergleich zu Metasploit, welches kostenlos ist.
