Im folgenden Artikel von Martin Krumböck, Senior Consultant bei Madiant, FireEye Inc., erfahren Sie, wie das sogenannte Red Teaming im Rahmen eines Security Assessments angewendet wird und Unternehmen somit Sicherheitslücken aufzeigt und vor Angriffen schützt.
Sicherheitslücken durch ein Security Assessment schließen
Wird ein Unternehmen gehackt, ist dies meist ein Grund zur Sorge für die ganze Organisation. In manchen Fällen ist ein Breach aber ausdrücklich erwünscht und sogar von der Unternehmensleitung beauftragt. Was zunächst paradox klingt, ist die Grundvoraussetzung für den Einsatz eines Red Teams. Doch was genau zeichnet einen Red Team-Einsatz aus? Und worin besteht der Unterschied zum Penetration Testing?
Beim Penetration Testing handelt es sich um ein relativ breit angelegtes Security Assessment, das bereits in vielen Unternehmen und Organisationen angewendet wird um von Experten überprüfen zu lassen, die wie ein Angreifer denken und handeln.
Grundsätzlich geht es beim Penetration Testing darum, in einem Unternehmensnetzwerk möglichst viele Sicherheitslücken und Konfigurationsmängel in einer vorgegebenen Zeit zu entdecken. Diese gilt es dann „auszunutzen“, um damit das verbundene Risiko für das Unternehmen zu bestimmen.
Red Teaming – Penetration Testing auf höchstem Niveau
Obwohl Red Teaming grundsätzlich mit dem Penetration Testing vergleichbar ist, gibt es doch auch gravierende Unterschiede. So ist der Einsatz eines Red Teams deutlich fokussierter. Beim Red Teaming ist das Ziel, die Detection- und Response-Fähigkeiten einer Organisation zu prüfen: Können die internen Security-Systeme einen bösartigen Angreifer entdecken und unschädlich machen, bevor er Zugriff auf wichtige Unternehmensdaten erhält?
Hierzu greifen Red Teams auch auf Tools und Techniken zurück, die denen eines nationalstaatlichen Angreifers in Nichts nachstehen. Besonders wenn das Unternehmen ein eigenes Security-Team einsetzt, das im Red Team-Einsatz als Blue Team bezeichnet wird, verlangt die Herausforderung nach einem höchst raffinierten Vorgehen von Seiten der ‚Angreifer‘.
Wie gehen Red Teams vor?
Das Vorgehen eines Red Teams unterliegt klar definierten Regeln. Sie werden im Vorfeld mit dem Auftraggeber und einer Kontaktperson, die während des gesamten Einsatzes mit dem Team in Verbindung steht, abgestimmt. Dabei werden auch der Umfang, das grobe Vorgehen und das Ziel des Einsatzes festgelegt. Diese Ziele beinhalten oft Kreditkartendaten, Finanzdaten, geistiges Eigentum oder den Einbruch in zugangsbeschränkte Netzwerke.
Ein Red Team-Einsatz kann unterschiedliche Ausprägungen haben. Üblicherweise bleibt es dem Team selbst überlassen, wie es die Erfüllung seines Auftrags angeht. Dazu kann auch physikalisches Social Engineering gehören, sodass ein Eindringen in das Zielnetzwerk über WLAN, physischen Zugang oder virtuellen Zugang in Form von Phishing erfolgen kann. Die verwendeten Angriffsmethoden eines Red Teams können dabei wie folgt aussehen:
Angriffe auf das WLAN: Hier versucht das Red Team, idealerweise von außen, Zugriff auf das WLAN zu erlangen und sich so tiefer in die Systeme vorzuarbeiten. Schlecht oder gar nicht abgesicherte WLANs vereinfachen das Eindringen ins Unternehmensnetz, in dem sich das Team anschließend weiter vorarbeiten kann, um schließlich an Nutzerdaten mit erhöhten Privilegien zu gelangen und sich ihrem Ziel weiter zu nähern. Bei ungeschützten WLANs kann es vorkommen, dass ein Red Team sozusagen von der anderen Straßenseite aus Zugriff auf das Unternehmensnetzwerk erhält, ohne größeren Aufwand betreiben zu müssen.
Social Engineering-Angriffe: Bei dieser Art von Attacke greifen Red Teams beispielsweise auf bewährte Phishing- oder Spear Phishing-Mails zurück, die an Mitarbeiter der Zielorganisation geschickt werden. Bei einem ähnlichen Ansatz ruft ein Mitglied des Teams bei einer Zielperson an und gibt sich beispielsweise als Mitarbeiter der IT- oder Personalabteilung aus. Als dieser fordert er Zugang zum Account der Zielperson. Fällt diese darauf herein, erhält das Red Team Zugriff auf das Netzwerk. Ein aufwendigerer Ansatz umfasst die Erstellung einer präparierten Website, auf die das Opfer gelockt wird, wo es sich mit Malware infiziert und dem Red Team Zugriff auf seinen Account gibt.
Angriffe, die über den Menschen als schwächstes Glied in der Security-Kette laufen, erweisen sich üblicherweise als äußerst effektiv. Bei Attacken, die über Spear Phishing hinausgehen, verschafft sich das Red Team physikalischen Zutritt zum Unternehmen. Als wirkungsvoll hat sich erwiesen, dass sich ein Mitglied des Teams beispielsweise als Bewerber ausgibt, der Kaffee über seine Bewerbungsunterlagen geschüttet hat. Als solcher fragt er am Empfang nach, ob er seine Unterlagen, die er auf einem präparierten USB-Stick bei sich hat, ausdrucken lassen kann. Er erklärt noch, dass das Dokument individuelle Schriftarten und Stilvorlagen nutzt und sein Opfer diese doch installieren möge, wenn es Popups bekommt. Bei diesen Vorlagen handelt es sich um ein bösartiges Macro, das dem Team die Befehlsgewalt über den Rechner des Opfers verleiht.
Ebenfalls beliebt ist ein Ansatz, bei dem nach einem relativ hochrangigen Unternehmensmitglied recherchiert wird, das laut Social Media auf einer Reise oder im Urlaub ist. Ein Mitglied des Red Teams gibt sich als diese Person aus und geht mit einer nachgemachten Visitenkarte dieses Unternehmensmitglieds in ein Regionalbüro. Dort gibt es vor, eine Konferenz vor Ort besuchen zu wollen, aber noch ein paar Stunden aus dem Büro arbeiten zu müssen. In vielen Fällen wird das Mitglied des Red Teams direkt hereingebeten und kann unbehelligt auf einen Rechner zugreifen, der an das Unternehmensnetzwerk angeschlossen ist.
Wie geht ein Red Team vor, wenn es ein System erfolgreich infiltriert hat?
Hat sich ein Red Team Zugang zum Unternehmensnetzwerk verschafft, muss das Team seine Präsenz im Netzwerk festigen und sich behutsam an sein eigentliches Ziel herantasten. Nach dem eigentlichen Zugang zum Unternehmensnetzwerk lassen sich die Schritte eines Red Teams wie folgt gliedern:
- Hostbasierte Persistenz
- Active Directory Reconnaissance
- Hostbasierte Rechteausweitung
- Laterale Bewegung
- Netzwerkbasierte Rechteausweitung (Domain Admin)
- Ziele identifizieren
- Zugriff auf die Ziele
Die Methoden, mit denen die genannten Schritte ausgeführt werden, können sich von Einsatz zu Einsatz unterscheiden. Üblicherweise werden keine breitangelegten Scans durchgeführt, da Red Teams so präzise und methodisch wie möglich vorgehen. Eine laterale Bewegung zu einem neuen Host findet nur dann statt, wenn das Team dadurch Zugriff auf wertvolle Zugangsdaten erhält. Ein erfahrenes Team nutzt für seine Arbeit oft Fehlkonfigurationen statt Schwachstellen aus. Fehlkonfigurationen werden von Schwachstellen-Scannern üblicherweise nicht entdeckt. Zudem ist es schwieriger zu entdecken, ob ein Angreifer solche Fehlkonfigurationen ausgenutzt hat. Außerdem bieten sie oft einen direkten Weg für das Team, sich Domain Admin-Rechte zu sichern. Sobald die Ziele des Teams im Netzwerk entdeckt sind und der Zugriff gesichert, werden diese auf bereits vorab konfigurierte C2-Server exfiltriert.
Der Werkzeugkasten eines Red Teams
Die Tools und Methoden, die ein Red Team während eines Auftrags einsetzt, variieren: So kann es sein, dass bereits frei erhältliche Tools ausreichen, um das vorgegebene Ziel zu erreichen, während an anderer Stelle speziell entwickelte und angepasste Tools zum Einsatz kommen, die beispielsweise über besondere Fähigkeiten zur Verschleierung verfügen, um eingesetzten Sicherheitsmaßnahmen zu entgehen.
Ein beliebtes Tool ist Mimikatz, ein Script, das zur Passwort-Recovery genutzt wird. Es erlaubt das Wiederherstellen von Passwörtern im Klartext aus verschiedenen Windows-Prozessen. Mit Invoke-Obfuscation werden PowerShell-Sicherheitskontrollen und viele Antivirus-Kontrollen umgangen. ReelPhish erlaubt die Erstellung einer Phishing-Page, um Zwei-Faktor-Authentifizierung auszuhebeln. Per Phishing-Mail wird ein Nutzer auf eine gespoofte Page gelockt, wo er seine Zugangsdaten und einen Zwei-Faktor-Token eingibt. Der Authentifizierungs-Token der echten Seite ermöglicht dem Red Team schließlich den Zugang zum Netzwerk. ReelPhish lässt sich für die meisten Multi-Faktor-Anwendungen konfigurieren.
Gelegentlich wird punktuell auch nmap für das Portscanning eingesetzt. Die meisten Tests werden manuell durchgeführt, um eine vorzeitige Entdeckung aktiv zu vermeiden. Viele Red Teams verwenden jedoch selbstentwickelte Tools oder passen derartige Open Source-Tools ihren Bedürfnissen an.
Eines der wichtigsten Werkzeuge eines Red Teams, um realitätsnahe Angriffe zu simulieren, sind weltweite Intelligence-Daten. Dazu zählen Details zu den jüngsten Attacken und Aktivitäten von Hackergruppierungen. Das ermöglicht dem Red Team den Einsatz der neuesten Tools, Techniken und Methoden (Tools, Techniques and Procedures, TTPs), die am ehesten gegen die jeweilige Organisation eingesetzt werden können. Nur die Sicherheitsunternehmen, die über derartige Intelligence-Daten verfügen, können die Verteidigungsfähigkeiten ihrer Kunden wirklich testen.
Welche Voraussetzungen muss ein Red Teamer mitbringen?
Um in einem Red Team-Einsatz erfolgreich zu sein, sollten die einzelnen Mitglieder über ein breites Wissensspektrum verfügen. Einige der Kernthemen sind Quelltextprüfung, Systemadministration, Netzwerke, Programmierung, Reverse Engineering oder Exploit-Entwicklung. Da jedes Netzwerk, in das ein Red Team eindringt, unterschiedlich ist, ist es von Vorteil, wenn die Teammitglieder über ein breitgefächertes Skillset verfügen. So kann sich das Team effektiv und flexibel auf unterschiedlichste Sicherheitskontrollen einstellen, um diese zu überwinden.
Ein Red Team-Einsatz lohnt sich besonders für Organisationen, die wertvolle Assets schützen müssen: Sei es der Schutz geistigen Eigentums vor Industriespionage oder personenbezogener Daten vor Cyberkriminellen. Und so wie Hacker ihre Tools, Techniken und Methoden weiterentwickeln, muss sich auch das Sicherheitsniveau von Organisationen weiterentwickeln. Ein Test unter Realbedingungen durch ein Red Team ist hier ein großartiger Ansatz, um den nächsten Schritt in Richtung mehr Sicherheit erfolgreich zu gehen.
Über den Autor
Martin Krumböck
Principal Strategic Consultant
Über das Event
Sie möchten mehr zum Thema Cyber Security erfahren und in einem Workshop einen Angriff interaktiv durchspielen, um bestmöglich gewappnet zu sein? Dann besuchen Sie uns auf der Rethink! IT D/A/CH und lernen Sie Martin Krumböck persönlich kennen.
16. – 17. September 2019