Kali Tools Übersicht: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 181: | Zeile 181: | ||
|- | |- | ||
| MISP (Malware Information Sharing Platform) || Open-Source-Plattform zum Teilen und Korrelation von Bedrohungsdaten || Aufbau einer eigenen MISP-Instanz für internes oder gemeinsames Threat Sharing || [https://www.misp-project.org/ MISP] | | MISP (Malware Information Sharing Platform) || Open-Source-Plattform zum Teilen und Korrelation von Bedrohungsdaten || Aufbau einer eigenen MISP-Instanz für internes oder gemeinsames Threat Sharing || [https://www.misp-project.org/ MISP] | ||
| + | |} | ||
| + | == Endpoint Monitoring & Response == | ||
| + | {| class="wikitable" | ||
| + | ! Werkzeug !! Beschreibung !! Beispielnutzung !! Link | ||
| + | |- | ||
| + | | FleetDM || Open-Source-Plattform zur zentralen Verwaltung und Überwachung von OSQuery-Agents || Verwaltung von 1000+ Endpoints über eine zentrale Weboberfläche || [https://fleetdm.com/ FleetDM] | ||
| + | |- | ||
| + | | OSQuery || Framework zur Abfrage von Betriebssystem-Informationen über SQL-ähnliche Syntax || Abfragen von aktiven Prozessen: SELECT * FROM processes; || [https://osquery.io/ OSQuery] | ||
| + | |- | ||
| + | | Velociraptor || Open-Source-Tool für Endpoint Monitoring und forensische Analyse (DFIR) || Sammeln von verdächtigen Dateien und RAM-Speicheranalysen auf Endpoints || [https://www.velociraptor.app/ Velociraptor] | ||
| + | |- | ||
| + | | Wazuh || Plattform für Host Intrusion Detection, SIEM und Compliance-Überwachung || Überwachung von Dateiintegrität und Erkennung verdächtiger Aktivitäten || [https://wazuh.com/ Wazuh] | ||
|} | |} | ||
Version vom 26. April 2025, 16:44 Uhr
Information Gathering
| Werkzeug | Beschreibung | Beispielnutzung | Link |
|---|---|---|---|
| Nmap | Netzwerk-Scanner für offene Ports, Dienste und Betriebssysteme | nmap -sV 192.168.1.0/24 | Nmap |
| Shodan | Suchmaschine für internetverbundene Geräte | Suche nach "webcamxp country:US" | Shodan |
| Maltego | Tool zur Analyse von Beziehungen zwischen Informationen | Erstellen eines Graphen über Domains und Social Media Accounts | Maltego |
| TheHarvester | Sammeln von E-Mail-Adressen, Subdomains und Hosts | theHarvester -d example.com -b all | TheHarvester |
| Recon-NG | Framework für Web-basierte OSINT-Recherche | Nutzung des whois_pocs-Moduls | Recon-NG |
| Amass | DNS-Enumeration und Netzwerkkartierung | amass enum -d example.com | Amass |
| Censys | Suchmaschine für internetverbundene Geräte und Dienste | Suche nach Apache Webservern | Censys |
| OSINT Framework | Sammlung von OSINT-Tools, kategorisiert nach Funktion | Suche nach Social Media Profilen | OSINT Framework |
| Gobuster | Brute-Force von URIs, DNS-Subdomains und virtuellen Hosts | gobuster dir -u http://example.com -w wordlist.txt | Gobuster |
| Spiderfoot | Automatisiertes OSINT-Framework | Scan einer Domain auf IPs und E-Mails | Spiderfoot |
Social Engineering
| Werkzeug | Beschreibung | Beispielnutzung | Link |
|---|---|---|---|
| GoPhish | Open-Source-Phishing-Toolkit zur Erstellung und Verwaltung von Phishing-Kampagnen | Aufbau einer simulierten Phishing-Kampagne mit Fake-Login-Seiten | GoPhish |
| HiddenEye | Erweitertes Phishing-Tool mit mehreren Angriffsvektoren | Erstellen einer Fake-Login-Seite für Social Media | HiddenEye |
| SocialFish | Bildungstool für Social-Engineering über Social Media | Klonen einer sozialen Netzwerkseite zu Demonstrationszwecken | SocialFish |
| EvilURL | Tool zur Erzeugung von Unicode-Domains für Phishing-Angriffe | Erstellen von Domains wie "аррӏе.com" statt "apple.com" | EvilURL |
| Evilginx | Man-in-the-Middle-Framework zum Abfangen von Anmeldedaten und Cookies | Proxy zum Abfangen von 2FA-geschützten Logins | Evilginx |
| SET (Social Engineering Toolkit) | Framework zur Durchführung von Social-Engineering-Angriffen | Nutzung des "Spear-Phishing Attack Vector" zum Versenden von Malware-Mails | SET |
Exploitation
| Werkzeug | Beschreibung | Beispielnutzung | Link |
|---|---|---|---|
| Metasploit Framework | Open-Source-Framework für Penetrationstests und Exploits | Nutzung des Moduls exploit/windows/smb/ms17_010_eternalblue | Metasploit Framework |
| Burp Suite | Plattform zum Testen von Webanwendungssicherheit | Abfangen und Modifizieren von HTTP-Anfragen für SQL-Injection-Tests | Burp Suite |
| SQLMap | Automatisiertes SQL-Injection- und Datenbank-Übernahme-Tool | sqlmap -u "http://example.com/page.php?id=1" --dbs | SQLMap |
| ExploitDB | Archiv für öffentliche Exploits und Schwachstellensoftware | Suche nach bekannten Exploits für Apache Struts | ExploitDB |
| Core Impact | Kommerzielle Software für Penetrationstests | Netzwerk-Scan und automatische Ausnutzung von Schwachstellen | Core Impact |
| Cobalt Strike | Red Team- und Adversary Simulation-Software | Einsatz von Beacon-Payloads für Post-Exploitation und Lateral Movement | Cobalt Strike |
| Empire | Post-Exploitation-Framework für PowerShell und Python | Ausführen eines PowerShell-Skripts auf kompromittierten Maschinen | Empire |
Password Cracking
| Werkzeug | Beschreibung | Beispielnutzung | Link |
|---|---|---|---|
| Hashcat | Fortschrittliches Passwort-Wiederherstellungstool für viele Hash-Algorithmen | hashcat -m 0 -a 0 hash.txt wordlist.txt | Hashcat |
| John the Ripper | Vielseitiges Passwort-Cracking-Tool mit mehreren Modi | john --format=raw-md5 hash.txt | John the Ripper |
| Hydra | Online-Passwort-Cracker für viele Netzwerkprotokolle | hydra -l user -P pass.txt ftp://192.168.1.1 | Hydra |
| Medusa | Paralleler Netzwerk-Login-Brute-Forcer für verschiedene Protokolle | medusa -h 192.168.1.1 -u admin -P passwords.txt -M http | Medusa |
| Cain & Abel | Windows-basiertes Passwort-Recovery-Tool | Erfassen und Cracken von Netzwerkpasswörtern über GUI | Cain & Abel |
| Ophcrack | Plattformübergreifendes Tool für Windows-Passwort-Cracking mit Rainbow Tables | Laden einer Windows-SAM-Datei und Knacken per Tabellen | Ophcrack |
Vulnerability Scanning
| Werkzeug | Beschreibung | Beispielnutzung | Link |
|---|---|---|---|
| Nessus | Kommerzieller Schwachstellenscanner mit großer Plugin-Datenbank | nessus scan -t 192.168.1.0/24 | Nessus |
| OpenVAS | Open-Source-Scanner für authentifizierte und nicht-authentifizierte Tests | Vollständiger Webserver-Scan über omp CLI | OpenVAS |
| Nexpose | Kommerzielles Schwachstellenmanagement mit Metasploit-Integration | nexpose_cli.rb -r CreateSite -n "TestSite" -H 192.168.1.100 -S | Nexpose |
| Qualys | Cloud-basiertes Schwachstellenmanagement und kontinuierliches Monitoring | Wöchentliche Scans kritischer Assets via Webinterface planen | Qualys |
| Acunetix | Webanwendungssicherheitsscanner, spezialisiert auf über 7000 Schwachstellen | acunetix_console --scan http://example.com | Acunetix |
| Lynis | Open-Source-Systemaudit-Tool für Unix/Linux | Systemprüfung: lynis audit system | Lynis |
Forensics
| Werkzeug | Beschreibung | Beispielnutzung | Link |
|---|---|---|---|
| Wireshark | Netzwerkprotokoll-Analyzer für Traffic-Analyse und Forensik | HTTP-Traffic aufzeichnen: wireshark -i eth0 -f "port 80" | Wireshark |
| Autopsy | Digitale Forensik-Plattform für Festplattenabbilder | Analyse eines Disk-Images zur Wiederherstellung gelöschter Dateien | Autopsy |
| Volatility | Framework für die Analyse von RAM-Dumps | Auflistung laufender Prozesse aus einem Memory-Dump | Volatility |
| SleuthKit | Sammlung von Kommandozeilen-Tools zur Untersuchung von Festplattenabbildern | Dateisysteminformationen extrahieren: fls -r disk_image.dd | SleuthKit |
| Binwalk | Tool zum Analysieren und Extrahieren von Firmware-Images | Identifizieren von eingebetteten Dateien: binwalk router_firmware.bin | Binwalk |
| Foremost | Datenrettungstool basierend auf Dateikopf- und Fußersignaturen | JPEGs aus Disk-Image extrahieren: foremost -t jpeg -i disk_image.dd | Foremost |
| EnCase | Kommerzielle Forensiksoftware für Beweissicherung und Analyse | Forensisches Abbild einer Festplatte erstellen: encase -e /dev/sda evidence.E01 | EnCase |
Web Application Assessment
| Werkzeug | Beschreibung | Beispielnutzung | Link |
|---|---|---|---|
| OWASP ZAP | Open-Source-Webscanner für automatisiertes und manuelles Testen | Automatisierter Scan: zap-cli quick-scan --self-contained --start-options "-config api.disablekey=true" https://example.com | OWASP ZAP |
| Burp Suite | Plattform für die Sicherheitstestung von Webanwendungen | HTTP-Anfragen abfangen und modifizieren über Burp Proxy | Burp Suite |
| Nikto | Open-Source-Webserver-Scanner für bekannte Schwachstellen | Scan eines Webservers: nikto -h http://example.com | Nikto |
| WPScan | Blackbox-Scanner für WordPress-Sicherheitslücken | WordPress-Scan: wpscan --url http://example.com --enumerate vp,u,tt,t | WPScan |
| Acunetix | Webanwendungssicherheits-Scanner für über 7000 Schwachstellen | Geplante Scans über Weboberfläche | Acunetix |
| Arachni | Framework für Sicherheitsscans von Webanwendungen | Kompletten Scan durchführen: arachni http://example.com | Arachni |
Network Defense
| Werkzeug | Beschreibung | Beispielnutzung | Link |
|---|---|---|---|
| Snort | Open-Source-IDS/IPS für Echtzeitanalyse und Paketprotokollierung | Regel zum Erkennen von SSH-Bruteforce: alert tcp any any -> $HOME_NET 22 (...) | Snort |
| Suricata | Hochleistungsfähige IDS/IPS-Engine mit Netzwerküberwachung | Netzwerküberwachung starten: suricata -c /etc/suricata/suricata.yaml -i eth0 | Suricata |
| pfSense | Open-Source-Firewall und Router-Plattform auf FreeBSD-Basis | HTTPS-Verkehr freigeben: pass in on wan proto tcp from any to (wan) port 443 | pfSense |
| OPNsense | Open-Source-Firewall auf FreeBSD mit Fokus auf Sicherheit und Benutzerfreundlichkeit | Erstellung einer NAT-Regel zur Portweiterleitung auf einen internen Server | OPNsense |
| Security Onion | Linux-Distribution für Intrusion Detection, Netzwerküberwachung und Log-Management | Installation und Einrichtung: sudo so-setup | Security Onion |
| AlienVault OSSIM | Open-Source-SIEM für Ereignismanagement und Bedrohungskorrelation | Konfiguration von Logquellen und Erstellung von Korrelationsregeln | AlienVault OSSIM |
Endpoint Security
| Werkzeug | Beschreibung | Beispielnutzung | Link |
|---|---|---|---|
| CrowdStrike Falcon | Cloud-native Endpoint-Protection-Plattform mit KI und Verhaltensanalyse | Echtzeit-Erkennung und Blockierung eines Zero-Day-Angriffs | CrowdStrike Falcon |
| SentinelOne | KI-gestützte Endpoint-Security mit automatisierter Reaktion | Automatische Isolierung eines infizierten Geräts und Rücknahme schädlicher Änderungen | SentinelOne |
| Carbon Black | Endpoint-Detection-and-Response-Lösung (EDR) mit Threat Hunting | Ursachenanalyse eines Sicherheitsvorfalls über mehrere Endpoints | Carbon Black |
| Symantec Endpoint Protection | Klassisches Antivirus kombiniert mit Advanced Threat Protection | Blockierung eines Ransomware-Angriffs auf einen Server | Symantec Endpoint Protection |
| Microsoft Defender for Endpoint | Eingebaute Endpoint-Sicherheitslösung für Windows-Systeme | Erkennung und Behebung von Schwachstellen auf allen Windows-Geräten | Microsoft Defender for Endpoint |
Cloud Security
| Werkzeug | Beschreibung | Beispielnutzung | Link |
|---|---|---|---|
| AWS GuardDuty | Intelligenter Bedrohungserkennungsdienst für AWS-Umgebungen | Erkennen einer möglichen Datenexfiltration durch ungewöhnliche API-Aufrufe | AWS GuardDuty |
| Azure Security Center | Zentrale Sicherheitsverwaltung für Azure-Infrastrukturen | Analyse des Sicherheitsstatus aller Azure-Ressourcen und Empfehlungen erhalten | Azure Security Center |
| Google Cloud Security Command Center | Zentrale Plattform für Risiko- und Sicherheitsmanagement in GCP | Nutzung der Security Health Analytics zur Erkennung von Fehlkonfigurationen | Google Cloud Security Command Center |
| Prisma Cloud | Cloud-native Sicherheitsplattform für Multi-Cloud-Umgebungen | Durchsetzung von Compliance-Richtlinien und Anomalie-Erkennung | Prisma Cloud |
| Lacework | Automatisierte Sicherheitsplattform für Cloud, Container und Workloads | Verhaltenserkennung zur Identifikation ungewöhnlicher Aktivitäten in Kubernetes-Clustern | Lacework |
Threat Intelligence
| Werkzeug | Beschreibung | Beispielnutzung | Link |
|---|---|---|---|
| ThreatConnect | Plattform zur Aggregation, Analyse und Nutzung von Bedrohungsdaten | Korrelation von Indicators of Compromise (IoCs) aus verschiedenen Quellen | ThreatConnect |
| Recorded Future | Echtzeit-Bedrohungsdatenplattform mit umfangreichen Datenquellen | Nutzung der Browser-Erweiterung für Risikobewertung von IPs und Domains | Recorded Future |
| AlienVault OTX | Offene Plattform für Bedrohungsdaten-Sharing | Abonnieren von OTX-Pulses für aktuelle Bedrohungsinformationen | AlienVault OTX |
| IBM X-Force Exchange | Cloud-basierte Plattform zum Austausch von Bedrohungsinformationen | Recherche verdächtiger IP-Adressen und deren zugehöriger Bedrohungsdaten | IBM X-Force Exchange |
| MISP (Malware Information Sharing Platform) | Open-Source-Plattform zum Teilen und Korrelation von Bedrohungsdaten | Aufbau einer eigenen MISP-Instanz für internes oder gemeinsames Threat Sharing | MISP |
Endpoint Monitoring & Response
| Werkzeug | Beschreibung | Beispielnutzung | Link |
|---|---|---|---|
| FleetDM | Open-Source-Plattform zur zentralen Verwaltung und Überwachung von OSQuery-Agents | Verwaltung von 1000+ Endpoints über eine zentrale Weboberfläche | FleetDM |
| OSQuery | Framework zur Abfrage von Betriebssystem-Informationen über SQL-ähnliche Syntax | Abfragen von aktiven Prozessen: SELECT * FROM processes; | OSQuery |
| Velociraptor | Open-Source-Tool für Endpoint Monitoring und forensische Analyse (DFIR) | Sammeln von verdächtigen Dateien und RAM-Speicheranalysen auf Endpoints | Velociraptor |
| Wazuh | Plattform für Host Intrusion Detection, SIEM und Compliance-Überwachung | Überwachung von Dateiintegrität und Erkennung verdächtiger Aktivitäten | Wazuh |