Vorteile eines eigenen C2-Frameworks für Red-Teaming-Assessments

Was sind C2 Frameworks und wofür werden sie eingesetzt?

Zuerst einmal: Was bedeutet eigentlich „C2“? „C2“ steht für „Command and Control“ und beschreibt eine Software, die Angreifer nutzen können, um einen infizierten Rechner über das Internet fernzusteuern. Hierüber können weitere Angriffe geplant und durchgeführt werden. Fast in jedem größeren Cyber-Angriff kommt daher eine Schadsoftware mit C2-Funktion zum Einsatz. Da während eines Red-Teaming-Projekts realistische Angreifer simuliert werden sollen, nutzen dementsprechend auch professionelle Red-Teams solche C2-Frameworks.

Kommerziell oder Open Source?

Während Cobalt Strike lange der Platzhirsch unter den kommerziellen „Adversary Simulation“ Programmen war, kamen in den letzten Jahren einige kommerzielle Frameworks (Nighthawk, Brute Ratel C4), sowie einige OpenSource Frameworks (Mythic Agents, Sliver, Havoc, …) hinzu. Doch das Problem von öffentlich bekannten und quelloffenen Schadsoftware-Frameworks […]

Von |2024-06-18T15:46:37+02:003. Juli 2024|

Common Vulnerabilities and Exposures (CVE)

Einleitung

In der Welt der Informationstechnologie ist die Sicherheit von entscheidender Bedeutung. Doch mit zunehmender Komplexität und der schieren Menge verschiedener Software und Hardware sind auch die potenziellen Schwachstellen in den Systemen häufiger und vielfältiger geworden. Die eindeutige Identifizierung und Kommunikation dieser Sicherheitslücken wurde immer schwieriger und war oft uneinheitlich und inkonsistent. Wurden Sicherheitslücken über mehrere Produkte hinweg bewertet und katalogisiert, kam es zu Verwirrung und Doppelungen, sodass nur ineffektiv und ineffizient auf Bedrohungen reagiert werden konnte.

Was ist CVE?

CVE steht für Common Vulnerabilities and Exposures und ist ein Verzeichnis für öffentlich bekannte Schwachstellen. CVEs oder auch CVE-IDs sind gedacht, um Schwachstellen eindeutig zu identifizieren und die Kommunikation über verschiedene Grenzen hinweg zu erleichtern. Dies soll auch die Identifikation ermöglichen, wenn z. B. eine Schwachstelle in verschiedenen Software-Versionen […]

Von |2024-06-18T15:48:29+02:0025. Juni 2024|

Offenlegung von Sicherheitslücken

Im Rahmen von Kunden-Projekten oder Research-Projekten werden immer wieder Schwachstellen oder Sicherheitslücken aufgedeckt, die Herstellern, Kunden und Analysten unbekannt sind. Hier stellen sich berechtigterweise immer wieder Fragen zur Sinnhaftigkeit und zu Vorteilen oder Nachteilen der Veröffentlichung von Schwachstellen.

  • Warum sollte eine Schwachstelle veröffentlicht werden?
  • Wann sollte eine Schwachstelle veröffentlicht werden?
  • Wie schaut es mit dem Sicherheitsupdate (Patch) seitens des Herstellers aus?
  • Sollte eine Schwachstelle veröffentlicht werden, bevor eine Absicherung durch einen Patch verfügbar ist?
  • Habe ich als Hersteller Nachteile bei einer Veröffentlichung von Schwachstellen?
  • Gibt es Vorteile einer Veröffentlichung von Schwachstellen für Hersteller oder Anwender?
  • Was ist Responsible Vulnerability Disclosure (RVD) oder Coordinated Vulnerability Disclosure (CVD)?
  • Wann sollten Schwachstellen nicht veröffentlicht werden?

Wie eine Offenlegung von Schwachstellen gelingt und nicht […]

Von |2024-06-18T15:49:16+02:0020. Juni 2024|

Lektionen aus der Entwicklung einer unsicheren KI-Anwendung

Im Zuge unserer Auseinandersetzung mit KI-Sicherheit, besonders in Bezug auf Large Language Models (LLMs) haben wir eine bewusst unsichere KI-Anwendung entwickelt. Diese haben wir auf GitHub veröffentlicht und nutzen Sie, um unseren Kunden Risiken und mögliche Schwachstellen beim Einsatz von KI-Anwendungen aufzuzeigen. Das fertige Projekt zum selbst Testen findet sich hier auf GitHub: https://github.com/NSIDE-ATTACK-LOGIC/Professional-Secure-AI-Bot

Die App sieht so aus:

Neben den Schwachstellen, welche die Applikation verdeutlicht, gab es auch bei der Entwicklung selbst einige spannende Erkenntnisse, welche ich in diesem Blog kurz zusammen fassen möchte.

KI kann alles außer zuhören

Um Schwachstellen zu demonstrieren, müssen (unzureichende) Sicherheitsmaßnahmen in die Anwendung eingebaut werden, welche im Anschluss überwunden werden. Da LLMs mit menschlicher Sprache funktionieren, ist es verlockend, diesen Modellen klare (so denkt man) Anweisungen in menschlicher Sprache […]

Von |2024-06-24T10:02:11+02:0019. Juni 2024|

Credential Stealing trotz Windows Defender Attack Surface Reduction

Seit Windows 10 Version 1709 bringt der Windows Defender sogenannte „Attack Surface Reduction“ (ASR) Regeln mit. Diese Regeln dienen dazu – wie der Name bereits vermuten lässt – die generelle Angriffsfläche eines Systems zu reduzieren. Basierend auf einem Auszug der offiziellen Dokumentation werden hierzu unter anderem folgende Verhaltensmuster von Anwendungen überwacht:

  • Starten von ausführbaren Dateien und Skripten, die versuchen, andere Dateien herunterzuladen und/oder auszuführen
  • Ausführen von obfuskierten oder anderweitig verdächtigen Skripten
  • Verhaltensweisen, die bei Anwendungen im normalen Arbeitsalltag nicht vorkommen

In der Dokumentation findet sich außerdem eine Tabelle, in welcher alle derzeit verfügbaren ASR-Regeln samt einer zugehörigen ID aufgelistet sind. Eine Vielzahl der Regeln zielt auf die Erstellung von neuen Prozessen und die Makro-Funktionalität von Office-Anwendungen ab. Letzteres hat in der […]

Von |2024-06-11T13:22:08+02:0012. Juni 2024|

Spiderfoot – Die Spinne im Netz der Daten

Auch wenn man bei einer offensiven Sicherheitsfirma, wie wir es sind, oftmals an den Angriff selbst denkt, also das Eindringen ins Netzwerk und das Hangeln und Springen über verschiedene Accounts, Computer und Server. Aber um solche Angriffe realistisch durchzuführen, sammeln unsere Analysten erstmal viele öffentlich verfügbare Daten aus dem Internet. Über diesen Prozess haben wir in den folgenden Artikeln schon ausführlich berichtet:

Open Source Intelligence (OSINT)

Targeted Threat Intelligence (TTI)

Für diese Arten der Angriffsvorbereitung ist es oftmals erforderlich, eine Menge Daten aus vielen Quellen zu sammeln und geordnet zusammenzutragen. Dies erfordert unter Umständen eine große Menge manueller Arbeit und daher automatisieren wir in diesem Bereich gerne viel. […]

Von |2024-06-03T10:31:25+02:0016. April 2024|

TURN-Server – Standard für Videokonferenzen und Einfallstor – Teil 2

Dies ist der weiterführende Artikel einer zweiteiligen Serie zur Sicherheit von STUN und TURN und beschäftigt sich mit dem Thema eines Beispiel-Angriffs auf ein anfälliges System und die möglichen Auswirkungen. Den ersten Teil finden Sie hier.

TURN-Server sind in unserer modernen Zeit kaum mehr wegzudenken. Für viele aktuelle Softwareprodukte die auf WebRTC setzen, werden TURN-Server als Komponente eingesetzt, um die Kommunikation von Client und Servern über NAT-Grenzen hinweg zu realisieren. So werden TURN-Server oft in Kombination mit Nextcloud Talk, Jitsi Meet, Matrix, SIP-Telefonanlagen und vielen weiteren Produkten betrieben. Ein TURN-Server kann dabei jedoch bei einer Fehlkonfiguration eine potenzielle Schwachstelle darstellen, wie in Teil 1 der Artikel-Reihe bereits dargestellt wurde. In dem ersten Teil können Sie zudem eine Anleitung zur Vermeidung der Schwachstelle anhand […]

Von |2024-04-08T10:12:57+02:008. April 2024|

TURN-Server – Standard für Videokonferenzen und Einfallstor

Dies ist der Auftaktartikel einer zweiteiligen Serie zur Sicherheit von STUN und TURN und beschäftigt sich mit dem Thema der Identifikation von anfälligen Systemen und deren Absicherung.

Datenschutz und Selbstbestimmung über die eigenen Daten sind in Deutschland und Europa ein sehr hoch angesehenes und wichtiges Gut. Unter anderem aus diesem Grund setzen hierzulande seit 2020 immer mehr Unternehmen auf selbst gehostete Videokonferenzsysteme, statt auf meist amerikanische Anbieter wie Cisco Webex oder Microsoft Teams. Insbesondere die Open Source Software Jitsi Meet hat sich hervorgetan und wird oft als Standalone-Lösung oder aber kombiniert mit weiterer Software wie zum Beispiel Matrix genutzt. Damit die Nutzung für jeden jedoch einwandfrei funktioniert, sind meist auch sog. TURN-Server konfiguriert.

Was ist TURN? Und warum kann ein TURN-Server ein Einfallstor sein?

TURN […]

Von |2024-04-04T10:57:06+02:003. April 2024|

Netzwerke kartografieren: Im Red Teaming die Übersicht behalten

Eine Übersicht über das lokale Netzwerk mit allen angeschlossenen Geräten und offenen Diensten ist unerlässlich. In offensiven Sicherheitsüberprüfungen wie Red Teaming und Penetrationstests wie auch in Blue Teams und der IT-Administration liefert eine Übersicht über das Netzwerk im Idealfall detaillierten Aufschluss über die Struktur und Funktionalität des Netzwerkes, die potenzielle Angriffsoberfläche, und ermöglicht das effektive Suchen von angreifbaren Schwachstellen.

Je nach Anwendungsfall stehen dabei verschiedene Programme zur Verfügung, um eine Karte des Netzwerkes zu erstellen und zu warten. So ist es beim Red Teaming und Pentesten wichtig und spannend in Erfahrung zu bringen und zu kartografieren, wie sich das erreichbare Netzwerk von dem initialen Netzwerkzugang aus darstellt. Als ein zentraler Punkt der Informationsgewinnung im ganzheitlichen Red Teaming können dadurch Angriffspfade aufgedeckt und […]

Von |2024-04-04T09:35:51+02:0026. März 2024|

LockBit – Pentest mit verspätetem Angebot (Update am 07.05.2024)

In den aktuellen Nachrichten zum Thema Cybersicherheit hat man oft das Gefühl, dass sich Ransomware zu einem traurigen Nebenrauschen entwickelt. Sicher ist es kein Nebenrauschen für die Betroffenen und die Behörden, welche gegen den unglaublichen Sturm an neuen Angriffen kämpfen. Dennoch ist es fast unmöglich für alle Interessierten am Thema Cybersecurity, bei der Flut an Vorfällen, neuen Varianten und Opfern noch den Überblick zu behalten.

Eine Gruppe jedoch sorgt mit hoher Treffsicherheit immer wieder für aufsehenerregende Neuigkeiten und das ist LockBit. Die seit September 2019 aktive Gruppe ist einer der bekanntesten Namen und Trendsetter im Bereich Ransomware und erst neulich sorgten sie wieder für jede Menge Wirbel in den Nachrichten. […]

Von |2024-06-03T10:38:05+02:0029. Februar 2024|
Nach oben