Burp Suite Persistence: Wenn der Jäger zum Gejagten wird

Von Sergii PastbinCVE, Cybersecurity, Metasploit, Pentesting, Schwachstellen, Sicherheitslücken, Vulnerabilities
Burp Suite Persistence
Inhaltsverzeichnis
  1. Was ist Burp Suite Persistence eigentlich?
  2. Die Anatomie des Angriffs: Wie es funktioniert
  3. Warum dieser Angriff so "witzig" (und gefährlich) ist
  4. Wie man sich schützt (Die Mitigation)
  5. Fazit: Vertraue keinem Tool, nicht mal deinem eigenen

Jeder Pentester kennt das Gefühl der Macht, wenn er Burp Suite startet. Das Tool ist der De-facto-Standard, das Schweizer Taschenmesser, mit dem wir Webanwendungen zerlegen. Wir vertrauen diesem Tool blind. Wir leiten sensibelste Daten, Session-Tokens und Passwörter hindurch.

Doch seit dem Metasploit-Update vom 22. Januar 2026 muss sich die Security-Community einer unangenehmen Wahrheit stellen: Unser liebstes Werkzeug ist zur perfekten Tarnkappe für Angreifer geworden.

Das neue Modul „Burp Suite Extension Persistence“ ist technisch gesehen kein Exploit, der Burp von außen knackt. Es ist viel perfider. Es ist ein Post-Exploitation-Werkzeug, das sich in die Arbeitsumgebung von Sicherheitsforschern einnistet. In diesem Artikel analysiere ich, wie man den „Hacker hackt“ und warum diese Art der Persistenz so genial wie gefährlich ist.

Was ist Burp Suite Persistence eigentlich?

Um das Modul zu verstehen, muss ich kurz klären, was „Persistenz“ bedeutet. Wenn ein Angreifer einen Computer übernimmt, will er seinen Zugriff behalten, auch wenn der PC neu gestartet wird. Klassischerweise trägt man sich dazu in die Windows-Registry oder in Linux-Cronjobs ein. Das Problem: Gute Admins und EDR-Systeme (Endpoint Detection & Response) überwachen diese Orte.

Hier kommt der Burp-Trick ins Spiel. Das Metasploit-Modul nutzt die Tatsache, dass Burp Suite eine mächtige API für Erweiterungen (Extensions) hat. Wenn ein Angreifer bereits Zugriff auf den Laptop eines Pentesters oder Entwicklers hat, installiert er still und heimlich eine bösartige Erweiterung in Burp.

Der Clou: Diese „Malware“ startet nicht beim Booten des Rechners (was verdächtig wäre), sondern erst dann, wenn das Opfer Burp Suite öffnet, um zu arbeiten. Der Trojaner versteckt sich im Werkzeugkasten.

Die Anatomie des Angriffs: Wie es funktioniert

Metasploit Hack the Hacker

Technisch läuft der Angriff in drei Phasen ab, die das Metasploit-Modul automatisiert:

  1. Der Drop: Das Modul platziert eine bösartige Datei auf dem System. Da Burp Extensions oft in Java (JAR) oder Python (Jython) geschrieben sind, fällt eine weitere .py oder .jar Datei im Ordner eines Pentesters kaum auf.
  2. Die Registrierung: Burp speichert seine Konfiguration (welche Extensions geladen werden sollen) oft in JSON-Dateien oder Project-Configs. Das Modul manipuliert diese Konfiguration. Es sagt Burp: „Hey, wenn du das nächste Mal startest, lade bitte auch diese ’nützliche‘ Extension hier.“
  3. Die Execution: Das Opfer startet Burp Suite für ein Audit. Die GUI lädt, alles sieht normal aus. Im Hintergrund führt die bösartige Extension jedoch Code aus. Sie baut eine Verbindung zum Angreifer auf (Reverse Shell).

Warum dieser Angriff so „witzig“ (und gefährlich) ist

In der Red-Teaming-Szene sorgt dieses Modul für hämisches Grinsen. Es ist die ultimative Ironie.

Stell dir folgendes Szenario vor: Ein externer Sicherheitsberater wird engagiert, um das interne Netzwerk einer Bank zu prüfen. Sein Laptop ist eine Festung. Aber ein Angreifer hat es geschafft, die Burp-Persistenz auf seinem Laptop zu installieren (vielleicht über einen Phishing-Angriff Wochen vorher). Der Berater schließt seinen Laptop im Hochsicherheitsbereich der Bank an und startet Burp. In diesem Moment bekommt der Angreifer draußen Zugriff – durch den Tunnel des Sicherheitsberaters. Der Pentester wird unwissentlich zum „Mule“ (Maulesel), der die Malware an den Firewalls vorbei in das Herz des Kunden trägt.

Zudem vertrauen wir dem Traffic von Burp. Wenn der Virenscanner sieht, dass der Prozess java.exe (Burp) Netzwerkverbindungen aufbaut, wird das oft nicht blockiert, weil das der Job von Burp ist.

Wie man sich schützt (Die Mitigation)

Die Existenz dieses Moduls bedeutet, dass Pentester ihre eigene OPSEC (Operational Security) überdenken müssen.

1. Extensions prüfen (Der Paranoia-Check) Der einfachste Weg: Schau in den Reiter „Extensions“. Sind dort Einträge, die du nicht installiert hast? Oft tarnen sich diese Skripte mit harmlosen Namen wie „Json Formatter“ oder „Logger++“.

2. Checksummen und Integrität Profis sollten ihre Burp-Konfigurationsdateien überwachen. Eine unerwartete Änderung an der ProjectConfig.json sollte Alarm schlagen.

3. Prozess-Isolation Lasse Burp Suite niemals mit Root- oder Admin-Rechten laufen, wenn es nicht absolut notwendig ist. Wenn die bösartige Extension im Kontext deines Users läuft, kann sie weniger Schaden anrichten, als wenn sie Systemrechte hat.

Fazit: Vertraue keinem Tool, nicht mal deinem eigenen

Das Metasploit-Modul für Burp Suite Persistence ist eine Mahnung. Wir konzentrieren uns oft so sehr auf die Schwachstellen der anderen, dass wir vergessen, unsere eigenen Werkzeuge abzusichern.

Für Angreifer ist es der perfekte „Supply Chain Attack“ im Kleinen. Warum mühsam durch die Firewall einer Firma brechen, wenn man einfach im Rucksack des Pentesters mitreiten kann? Ab heute gilt: Ein Blick in die Extension-Liste vor dem Projektstart ist Pflicht.

Andere Artikel:

Von Sergii Pastbin

Sergii Pastbin ist ein versierter SEO- und Content-Spezialist, dessen Beiträge monatlich über 400.000 Impressionen und mehr als 40.000 Klicks erzielen. Mit über 100 veröffentlichten Artikeln, die in den Suchergebnissen von Google, Bing, DuckDuckGo und Ecosia konstant unter den Top 5 rangieren, deckt er ein breites Themenspektrum ab – von E-Commerce und Suchmaschinenoptimierung bis hin zu Kulinarik und Pentesting. In seiner Freizeit findet man Sergii häufig auf Laufstrecken, bei Open-Water-Schwimmeinheiten oder vertieft in Fachmagazinen rund um SEO und IT-Sicherheit. Seine große Leidenschaft gilt außerdem dem Kochen, wo er gerne Neues ausprobiert und kreativ wird.