NSIDE Tech Blog

Offensive Cyber Security Blog: Im NSIDE Tech Blog veröffentlichen die Analysten der NSIDE interessante technische Artikel, neue Erkenntnisse und von uns entwickelte Techniken.

Netzwerke kartografieren: Im Red Teaming die Übersicht behalten

Eine Übersicht über das lokale Netzwerk mit allen angeschlossenen Geräten und offenen Diensten ist unerlässlich. In offensiven Sicherheitsüberprüfungen wie Red Teaming und Penetrationstests wie auch in Blue Teams und der IT-Administration liefert eine Übersicht über das Netzwerk im Idealfall detaillierten Aufschluss über die Struktur und Funktionalität des Netzwerkes, die potenzielle Angriffsoberfläche, und ermöglicht das effektive Suchen von angreifbaren Schwachstellen

Je nach Anwendungsfall stehen dabei verschiedene Programme zur Verfügung, um eine Karte des Netzwerkes zu erstellen und zu warten. So ist es beim Red Teaming und Pentesten wichtig und spannend in Erfahrung zu bringen und zu kartografieren, wie sich das erreichbare Netzwerk von dem initialen Netzwerkzugang aus darstellt. Als ein zentraler Punkt der Informationsgewinnung im ganzheitlichen Red Teaming können dadurch Angriffspfade aufgedeckt und […]

Von |2024-03-26T10:01:25+01:0026. März 2024|

LockBit – Pentest mit verspätetem Angebot (Update am 21.03.2024)

In den aktuellen Nachrichten zum Thema Cybersicherheit hat man oft das Gefühl, dass sich Ransomware zu einem traurigen Nebenrauschen entwickelt. Sicher ist es kein Nebenrauschen für die Betroffenen und die Behörden, welche gegen den unglaublichen Sturm an neuen Angriffen kämpfen. Dennoch ist es fast unmöglich für alle Interessierten am Thema Cybersecurity, bei der Flut an Vorfällen, neuen Varianten und Opfern noch den Überblick zu behalten.

Eine Gruppe jedoch sorgt mit hoher Treffsicherheit immer wieder für aufsehenerregende Neuigkeiten und das ist LockBit. Die seit September 2019 aktive Gruppe ist einer der bekanntesten Namen und Trendsetter im Bereich Ransomware und erst neulich sorgten sie wieder für jede Menge Wirbel in den Nachrichten. In der obigen Timeline haben wir kurz die neuesten Entwicklungen zusammengefasst.

Das System […]

Von |2024-03-22T09:42:55+01:0029. Februar 2024|

Cloud Security: Herausforderungen, Verantwortlichkeiten und Best Practices

Der verstärkte Übergang von Unternehmen zu vollständig digitalen Umgebungen geht einher mit einer wachsenden Beliebtheit von Cloud Computing. Doch dieser Wandel birgt zusätzliche Risiken für die Cybersicherheit, weshalb ein tiefgehendes Verständnis der Bedeutung von Cloud-Sicherheit für die Unternehmenssicherheit entscheidend ist.

Im Laufe der Jahre sind die Sicherheitsbedrohungen komplexer geworden, und jährlich treten neue Angreifer auf den Plan. In der Cloud kann rund um die Uhr aus der Ferne auf alle Komponenten zugegriffen werden, was ohne eine angemessene Sicherheitsstrategie potenziell permanent Daten gefährden kann. Laut dem 2023 Global Threat Report von CrowdStrike hat die Anzahl der Cloud-Angriffe im Jahr 2022 um 95% zugenommen. Die Fälle von Cloud-Angriffen haben sich im Vergleich zu 2021 fast verdreifacht, wobei die durchschnittlichen Kosten einer Datenschutzverletzung von 3,86 Millionen US-Dollar im […]

Von |2024-02-29T18:37:26+01:005. Februar 2024|

Was ist Targeted Threat Intelligence (TTI)

„Sun-Tzu (Die Kunst des Krieges): Wenn du den Feind kennst und dich selbst kennst, brauchst du den Ausgang keines Kampfes fürchten.“

Eigentlich erklärt dieses Zitat ziemlich genau, was Targeted Threat Intelligence (TTI) bedeutet, aber der Reihe nach.

TTI besteht, wie der Name schon sagt, aus 2 Komponenten. Der Threat Intelligence und dem „Targeted“-Part, den wir als „Target Intelligence“ bezeichnen wollen, auch wenn das kein fest-stehender Begriff ist. Um das klar zu stellen, wir reden hier selbstverständlich ausschließlich über CYBER Intelligence und wollen in diesem Einsteiger-Artikel versuchen die Bereiche der TTI in einfacher deutscher Sprache grob zu erklären. Technischere Blog-Artikel zu einzelnen, hier erwähnten Bereichen mit höherem Detailgrad werden folgen.

Intelligence

Was ist eigentlich Intelligence? Intelligence ist leider nicht wirklich klar definiert, geschweige denn einfach ins Deutsche zu übersetzen, ich […]

Von |2024-02-29T18:37:42+01:0029. Januar 2024|

Case-Study: Wie ein Wartungsupdate kritische Schwachstellen behebt (ActiveMQ)

In einem kürzlich durchgeführten Kundenprojekt stießen wir auf eine Apache ActiveMQ-Instanz, die für die Schwachstelle CVE-2023-46604 verwundbar war. Diese erlaubt es Angreifern mit Netzwerkzugriff auf die OpenWire-Schnittstelle (üblicherweise TCP-Port 61616), beliebige Befehle auf Betriebssystemebene auszuführen, ohne dabei ein Passwort oder einen Schlüssel angeben zu müssen.

Eine solche sogenannte “Remote-Code-Execution”-Schwachstelle, kurz “RCE”, stellt häufig ein hohes Risiko dar, da Angreifer mit einem solchen Zugriff oft in der Anwendung selbst implementierte Zugangsbeschränkungen umgehen können sowie potenziell Angriffe gegen andere Systeme durchführen können. Auch die Schwachstelle CVE-2023-46604 wurde mit einem maximalen CVSS-Risiko-Score von 10.0 bewertet. Schwachstellendetails sowie Proof-of-Concept-Exploits waren zum Testzeitpunkt bereits publik, mittlerweile hat das BSI sogar eine Warnung herausgegeben, da die Schwachstelle im Internet aktiv ausgenutzt wird.

Nachdem wir die Verwundbarkeit im vorliegenden Fall manuell verifiziert […]

Von |2024-03-26T17:36:00+01:0024. Januar 2024|

Docker-Sicherheit im Fokus: Gefährliche Container-Einstellungen und ihre Auswirkungen auf das Host-System

Die Nutzung von Virtualisierung, insbesondere durch Docker, hat die Art und Weise, wie Software entwickelt, bereitgestellt und betrieben wird, revolutioniert und ist insbesondere aus Cloud-Umgebungen nicht mehr wegzudenken. Die Effizienz und Portabilität, die Docker bietet, sind jedoch nicht ohne ihre Herausforderungen, speziell im Hinblick auf die Sicherheit.

Zwei Einstellungen für Docker-Container sind besonders verbreitet: die Einbindung des Docker-Sockets und das Starten von Containern mit erhöhten Rechten. In diesem Blogartikel werfen wir einen genaueren Blick auf diese zwei kritischen Container-Einstellungen, und wie sie von Angreifern genutzt werden können, um von einem kompromittierten Container auf das Host-System überzugehen. Diese potenziellen Sicherheitslücken stellen nicht nur eine Bedrohung für die Integrität und Vertraulichkeit der Containerumgebung dar, sondern können auch erhebliche Risiken für das gesamte Host-System mit sich bringen.

Container mit erhöhten […]

Von |2024-01-25T09:29:19+01:0018. Januar 2024|

KI Un(d)-Sicherheit

Spätestens seit dem Release von ChatGPT ist KI wieder in aller Munde und überall um uns herum beginnen Unternehmen neue und innovative Anwendungen mit KI zu entwickeln. Aktuell geht es um sogenannte Large Language Models (LLMs), die besonders ihre einfache Bedienbarkeit auszeichnet, da sie mit menschlicher Sprache und oftmals in Chat Form gesteuert werden können. Ganz vereinfacht gesagt handelt es sich bei LLMs um komplexe Modelle, die in einem gegebenen Kontext die wahrscheinlichste Folge von Wörtern finden.

Mit jeder neuen Technologie stellen wir uns von Berufswegen die Frage nach möglichen Schwachstellen und ob diese von Angreifern missbraucht werden können, um herauszufinden wie wir die Sicherheit dieser Systeme testen und unsere Kunden schützen können.

Ist das alles denn sicher?

In vielen Fällen leider nicht wirklich, zumindest ist die Sicherheit […]

Von |2024-01-25T09:32:59+01:0018. Dezember 2023|

Physische Sicherheit im digitalen Zeitalter

Die Digitalisierung ist in den meisten Unternehmen vorangekommen und damit wächst auch die Erkenntnis, dass diese Systeme unter den ständigen Angriffen von Hackern stehen und es sie dagegen zu schützen gilt.

Firewalls, Security Operations Center, Endpoint Detection und Response und ähnliche Lösungen geben ihr Bestes Unternehmen gegen digitale Angriffe zu schützen.
Zum Glück wird es immer einfacher mit Unternehmen aller Branchen über Cybersicherheit zu reden. Die Notwendigkeit des kontinuierlichen Testens und Verbesserns ist oftmals durch eigene, schmerzliche Erfahrungen bekannt und es gibt immer häufiger dedizierte Ansprechpartner und Budgets. Allerdings ist unser Anspruch die Sicherheit von Unternehmen ganzheitlich zu verbessern und dazu gehört mehr als alles Digitale.

In diesem Artikel möchte ich vor allem die Notwendigkeit für das Implementieren und Testen von physischen Sicherheitsmaßnahmen beschreiben, da diese leider viel […]

Von |2024-01-25T09:31:58+01:0011. Dezember 2023|

Open Source Intelligence (OSINT) im Red Teaming: Bessere taktische Erkenntnisse für mehr Sicherheit

In der dynamischen Welt der Cybersicherheit ist proaktives Handeln von entscheidender Bedeutung, um digitale Vermögenswerte vor sich entwickelnden Bedrohungen zu schützen. Red Teaming, ein Ansatz zur Sicherheitsüberprüfung, hat sich zu einer entscheidenden Strategie entwickelt, um Schwachstellen aufzudecken, bevor Angreifer es tun.

Das Fundament dieser modernen Strategie ist die Open Source Intelligence (OSINT), eine dynamische Analyse des jeweiligen Ziels, welche es dem Red Team ermöglicht, sich den entscheidenden Vorteil im simulierten „Angriff“ auf unsere Kunden zu verschaffen.

In diesem Artikel befassen wir uns mit der praktischen Integration von OSINT in das Red Teaming Framework und beleuchten Methoden, Tools und deren Auswirkungen auf die Steigerung der proaktiven Sicherheit.

Taktische Aufklärung dank öffentlich zugänglicher Daten

In einem Umfeld, in dem Bedrohungsakteure immer raffinierter werden, gewinnt die Rolle von Red Teamings bzw. TIBER-Assessments […]

Von |2024-01-25T09:32:49+01:006. Dezember 2023|

Umgehen von Userland Hooks in Malware

Sogenannte EDRs (Endpoint Detection and Response Software) und AV (Anti-Virus) Software verwenden unterschiedliche Techniken zur Detektion von potenziell schädlichem Code.

Unter vielen anderen Techniken, existieren drei einfache Möglichkeiten, um schädliches Verhalten zu erkennen:

  1. Userland API Hooks: Hooks werden für bestimmte API Funktionen gesetzt (wie z.B. `CreateRemoteThread`) um die Parameter der aufgerufenen Funktionen zur Laufzeit zu inspezieren
  2. Call Stacks: Über Call Stacks kann der Kontext, aus welcher eine Funktion ausgeführt wird, nachvollzogen werden. Aufgrund dieser Informationen lässt sich beurteilen ob es sich dabei um einen legitimen Funktionsaufruf handelt.
  3. Unbacked Memory: Generell ist Code, welcher aus ‚unbacked memory‘ (also Arbeitsspeicher, der nicht einem Programm auf der Festplatte entspricht) ausgeführt wird, nicht üblich.

In diesem Blogpost soll es darum gehen, mit welchen Techniken Angreifer […]

Von |2024-01-25T09:26:22+01:0028. November 2023|
Nach oben