Chalk and Debug – ein Angriff im Schatten von S1ngularity und Shai-Hulud

Spätestens seit dem SolarWinds Angriff 2020 rückt die Software Supply Chain aufgrund der von Ihr ausgehenden direkten Gefährdung von Softwareprojekten innerhalb von Unternehmen immer mehr in den Fokus der IT-Sicherheit. Innerhalb der letzten Wochen zeigte sich erneut, wie anfällig zentrale Distributionsplattformen für Open-Source-Komponenten sind: Die Paketquelle NPM wurde gleich drei Mal kompromittiert – jeweils mit dem Ziel, Schadcode über weit verbreitete Bibliotheken in Entwicklungsumgebungen einzuschleusen.

Diese Angriffe verdeutlichen eindrücklich, dass selbst weit verbreitete Paketquellen wie NPM keine absolute Sicherheit bieten und sich zunehmend zu einem attraktives Angriffsziel innerhalb der Software-Lieferkette entwickeln. Neben den bekannteren und größeren Angriffen der letzten Wochen, S1ingularity und Shai-Hulud, wurden auch in einem unbekannteren, weiteren Angriff 18 Pakete mit mehreren Milliarden Downloads pro Woche mit einem Crypto-Trojaner infiziert. Nachfolgend wird der […]

Von Manuel Tobies|2025-10-13T13:33:32+02:0013. Oktober 2025|

Kali NetHunter – Red-Teaming vom Smartphone

Viele von euch sind bestimmt schon mal über Kali NetHunter gestolpert, zum Beispiel beim Stöbern auf der Website von Kali Linux, ohne genau zu wissen, was das eigentlich ist, und was man damit machen kann. Die „Mobile Penetration Testing Platform for Android devices, based on Kali Linux“ wirkt auf den ersten Blick für sich genommen schon spannend, aber irgendwie auch immer komplex und die Installation einschüchternd. In diesem Blog-Beitrag wollen wir deswegen Aufklärungsarbeit betreiben über Kali NetHunter und die Stärken und Schwächen der Pentest-Suite für die Hosentasche.

Grob zusammengefasst ist Kali NetHunter eine Zusammenstellung von mehreren Apps, die ein komplettes Kali Linux Betriebssystem auf Android-Smartphones ermöglichen. Je nachdem, welches Smartphone ihr besitzt und welche Edition ihr installiert, sind Angriffe auf verschiedene Protokolle wie WLAN oder Bluetooth […]

Von Christoph Peil|2025-07-04T14:12:00+02:0030. Juni 2025|

DORA TLPT in Deutschland

DORA TLPT in Deutschland: Entwicklungen, Zusammenhänge und nächste Schritte

Die Finanzbranche steht vor bedeutenden Veränderungen im Bereich der Cybersicherheit. Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) und der Einführung von verpflichtenden Threat-Led Penetration Tests (TLPT) müssen Finanzinstitute ihre digitale Widerstandsfähigkeit nachweisen. Als erfahrener TIBER-Provider möchten wir Ihnen einen Überblick über die aktuellen Entwicklungen, die Zusammenhänge zwischen TIBER und DORA sowie die nächsten wichtigen Schritte geben.

DORA und TLPT: Was bedeutet das für Finanzinstitute?

Der Digital Operational Resilience Act (DORA) ist am 16. Januar 2023 in Kraft getreten und wird seit dem 17. Januar 2025 offiziell angewendet. DORA ist eine EU-Verordnung, die darauf abzielt, die digitale Betriebsstabilität im Finanzsektor zu stärken. Ein zentrales Element von DORA sind die verpflichtenden Threat-Led Penetration Tests (TLPT), die von bestimmten Finanzinstituten […]

Von NSIDE|2025-07-04T14:06:34+02:006. Mai 2025|

RCE in Axiros Auto Configuration Server (ACS)

In diesem Blogartikel werden wir auf die Details einer mittlerweile als CVE-2024-33898 bekannten Schwachstelle eingehen, die wir im April 2024 identifiziert haben. Es handelt sich dabei um eine unauthenticated Remote Code Execution im Frontend des Axiros Auto Configuration Servers (ACS) in den Versionen 4.3.2 und 5.0.0. Die Schwachstelle wurde mittlerweile in Zusammenarbeit mit Axiros behoben, weitere Details dazu finden sich hierzu auf der Website des Herstellers.

Bevor wir uns mit den technischen Details der Schwachstelle beschäftigen, beginnen wir mit einer Beschreibung des Produkts selbst.

Der Auto Configuration Server

Axiros beschreibt das Produkt dabei als weltweit eingesetzte „herstellerunabhängige Geräteprovisionierungssoftware“ für Customer Premise Equipment (CPE) CPEs sind Modems, Router oder ähnliche Geräte, die […]

Von Moritz Feldmann|2025-07-04T14:11:40+02:0020. Dezember 2024|

Azure Arc – Part 3 – General Security Considerations

Azure Arc is Microsoft’s solution to allow customers to manage on-premises resources (servers and the likes) using Azure Resource Manager, i.e. the Azure Portal, CLI and the Azure PowerShell module. It basically enables on-premise server management in a way that it feels like you’re administrating an Azure Virtual Machine instead of an on-premises server. Note that Azure Arc supports Windows and Linux, but this blog series will only cover aspects of Windows machines.

This post is part of a blog series covering the security implications of an Azure Arc deployment. The first part is a technical deep-dive into the possibilities of an attacker who gained access to the machine itself, and which implications that has for the Cloud environment. The second part of the series […]

Von Benedikt Strobl|2024-12-11T09:08:55+01:0011. Dezember 2024|

Azure Arc – Part 2 – Escalation from Cloud to On-Premises

Azure Arc is Microsoft’s solution to allow customers to manage on-premises resources (servers and the likes) using Azure Resource Manager, i.e. the Azure Portal, CLI and the Azure PowerShell module. It basically enables on-premise server management in a way that it feels like you’re administrating an Azure Virtual Machine instead of an on-premises server. Note that Azure Arc supports Windows and Linux, but this blog series will only cover aspects of Windows machines.

This post is part of a blog series covering the security implications of an Azure Arc deployment. The first part is a technical deep-dive into the possibilities of an attacker who gained access to the machine itself, and which implications that has for the Cloud environment. This second part of the series deals […]

Von Benedikt Strobl|2024-11-25T14:06:23+01:0025. November 2024|

Azure Arc – Part 1 – Escalation from On-Premises to Cloud

Azure Arc is Microsoft’s solution to allow customers to manage on-premises resources (servers and the likes) using Azure Resource Manager, i.e. the Azure Portal, CLI and the Azure PowerShell module. It basically enables on-premise server management in a way that it feels like you’re administrating an Azure Virtual Machine instead of an on-premises server. Note that Azure Arc supports Windows and Linux, but this blog series will only cover aspects of Windows machines.

This post is part of a blog series covering the security implications of an Azure Arc deployment. This first part is a technical deep-dive into the possibilities of an attacker who gained access to the machine itself, and which implications that has for the Cloud environment. The second part of the series deals with […]

Von Benedikt Strobl|2024-11-18T09:23:48+01:0018. November 2024|

Gefreiter in der Lötfraktion – Erste Schritte im Hardware Hacking

Obwohl es viele altruistische Gründe gibt, einen Job in der Cybersicherheit auszuführen, war der Grund, der mich ursprünglich dazu getrieben hat, ein „Hacker“ zu werden, dass es einfach verdammt cool klingt. So ist es auch dieses Mal wieder gewesen, als ich mich dem Thema des Hardware Hackings zugewandt habe. Aber genauso wie in der Cybersicherheit habe ich neben der „Coolness“ des Themas auch hier eine ganz neue Welt entdeckt, durch die man vieles aus einer anderen Perspektive sieht. Meine ersten Schritte, Versuche und Fehlschläge in diesem Thema möchte ich in diesem Blogbeitrag teilen. Vorab sei natürlich erwähnt, dass andere Analysten in unserer Firma deutlich tiefer in diesem Thema stecken. Von unserem Vertrieb werden sie immer liebevoll als „die Lötfraktion“ bezeichnet. Vielen Dank auch an dieser […]

Von Paul Zenker|2025-07-04T14:10:53+02:0030. Oktober 2024|

Azure – Code Execution Through Machine Configuration

One of the most common ways for attackers to escalate from Azure Cloud to on-premises environments are Azure managed machines (Azure virtual machines, Azure Arc joined systems, etc.) that either are directly domain-joined, part of MS Entra Directory Services or only have a network connection to on-premises infrastructure. Either way, the first step in this escalation is always code execution on that machine.

There are two commonly used and quite well understood means to execute code on Azure managed machines: through the „Run Command“ feature, the way intended by Microsoft to do it, and through installing a Custom Script Extension. There are others (see Azure Threat Research Matrix) that are less known, too. Usually, from a Red Teamer’s point of view, […]

Von Benedikt Strobl|2024-11-18T09:21:43+01:0024. Oktober 2024|

Vorteile eines eigenen C2-Frameworks für Red-Teaming-Assessments

Was sind C2 Frameworks und wofür werden sie eingesetzt?

Zuerst einmal: Was bedeutet eigentlich „C2“? „C2“ steht für „Command and Control“ und beschreibt eine Software, die Angreifer nutzen können, um einen infizierten Rechner über das Internet fernzusteuern. Hierüber können weitere Angriffe geplant und durchgeführt werden. Fast in jedem größeren Cyber-Angriff kommt daher eine Schadsoftware mit C2-Funktion zum Einsatz. Da während eines Red-Teaming-Projekts realistische Angreifer simuliert werden sollen, nutzen dementsprechend auch professionelle Red-Teams solche C2-Frameworks.

Kommerziell oder Open Source?

Während Cobalt Strike lange der Platzhirsch unter den kommerziellen „Adversary Simulation“ Programmen war, kamen in den letzten Jahren einige kommerzielle Frameworks (Nighthawk, Brute Ratel C4), sowie einige OpenSource Frameworks (Mythic Agents, Sliver, Havoc, …) hinzu. Doch das Problem von öffentlich bekannten und quelloffenen Schadsoftware-Frameworks […]

Von Marius Schwarz|2024-06-18T15:46:37+02:003. Juli 2024|

Red Team Assessment

Penetrationstest

Trainings & Workshops

BLEIBEN SIE AUF DEM LAUFENDEN