Sedlmeir, S. (2019):Automated Success Verification of Exploits for Penetration Testing with MetasploitDurch die Digitalisierung gewinnt das Management von Sicherheitsrisiken in der IT immer mehr an Bedeutung. Eine wichtige Methode zur Risikoanalyse in Unternehmen ist hierbei das Penetration Testing. Dabei versucht ein beauftragtes Team, Informationen über Sicherheitslücken eines Ziel-Systems zu sammeln, indem es Schwachstellen identifiziert und diese im Anschluss ausnutzt. Unterschieden wird hier zwischen manuellem und automatisiertem Penetration Testing. Ersteres liefert genauere Ergebnisse, ist aber deutlich kostenintensiver. Zur automatisierten Identifizierung von Schwachstellen werden häufig Vulnerability Scanner verwendet, welche als Ergebnis eine Liste potentiell vorhandener, aber gegebenenfalls nicht ausnutzbarer, Sicherheitslücken liefern. In dieser Arbeit soll eine Lösung vorgestellt und evaluiert werden, die nicht nur die mögliche Existenz, sondern auch die Ausnutzbarkeit von Schwachstellen sowie die Effekte des zugehörigen Exploits automatisiert überprüft. Zuerst werden hierfür die Grundlagen des Penetration Testings sowie des Metasploit Frameworks vorgestellt und verschiedene automatische Exploit-Tools und deren Eignung für den beschriebenen Einsatzzweck evaluiert. Anschließend wird prototypisch auf Basis des Metasploit Frameworks eine eigenständige Anwendung entwickelt, welche eine verlässlichere Aussage über die konkrete Gefährdung durch verschiedene Schwachstellen und den Erfolg dazu passender Exploits treffen kann. Diese Verbesserungen umfassen hauptsächlich Maßnahmen zur erfolgreicheren Automatisierung des Exploits-Vorganges sowie zur genaueren Bewertung der Ergebnisse. Nach einem Durchlauf wird ein Report generiert, der genau über die einzelnen Resultate informiert. Das entwickelte Tool wird anschließend auf verschiedene Testumgebungen angewandt und evaluiert.
|