Formen von Trojanern (und somit Unterformen von Malware), die auf manuelle menschliche Verwendung spezialisiert sind. Kommen normalerweise bei gezielten Cyber-Angriffen zum Einsatz und sind meist modular gestaltet.

Antimalware Scan Interface. Schnittstelle in Windows, die es Antivirusprogrammen und Endpoint Protection erlaubt, Programmcodes auch während der Ausführung im Arbeitsspeicher auf bösartige Funktionalität zu untersuchen.

Advanced Persistent Threat. Beschreibt längerfristige (persistent) Bedrohungen durch sehr fähige (advanced) bösartige Akteure (threats).

Azure Active Directory (Azure AD) ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft. Mehr Informationen:

Azure AD Connect ist ein Tool von Microsoft zur Herstellung einer lokalen Identitätsinfrastruktur mit Microsoft Azure AD. Mehr Informationen:

Umleiten von gehackten virtuellen Geldströmen über Konten von Money Mules, um das Geld zu waschen und Spuren zu verwischen.

Bank Identification Numbers (alternativ auch IIN (Issuer Identification Number) genannt) sind Nummern, die Meta-Informationen (herausgebende Bank, Land, Kartentyp, etc.) zu Geldkarten veraten. Die Datenbanken für die Zuordnung sind eigentlich nur Banken intern zugänglich, es gibt aber im Deep-Web eine Open Source Datenbank, die diese Zuordnungen der Öffentlichkeit zur Verfügung stellt – https://www.bindb.com/bin-database .

Bundesamt für Sicherheit in der Informationstechnik. Zentrale Stelle auf Bundesebene für die meisten Fragen der IT-Sicherheit.

Dem Penetrationstester sind keinerlei Informationen über die betriebenen Systeme des zu testenden Unternehmens bekannt. Es sind nur die zu testenden Endpunkte vorgegeben.

Hacker, die ihre Fähigkeiten illegal einsetzen und absichtlich Sicherheitslücken ausnutzen, um Schaden anzurichten bzw. Profit zu erzielen.

Ein Team, welches die Verteidigerrolle einnimmt. Je nach Unternehmen beinhaltet dies ein SOC (Security Operations Center), Security Administrators, normale Netzwerk- und Systemadministratoren, ein IR-Team (Incident-Response-Team) und andere. Generell alle Angehörige einer Organisation, die primär mit Verteidigung beschäftigt sind.

Überprüfung der aktuellen Gültigkeit von Zugangsdaten für gehackte Server und Dienste.

CIS-Benchmarks sind Basispläne für Konfiguration und bewährte Methoden zur sicheren Konfiguration eines Systems. Mehr Informationen: https://www.cisecurity.org/benchmark/azure/

Gegenteil von „Dark Net“. Damit ist das öffentliche und frei zugängliche Internet gemeint.

Gegenteil von „Deep Web“. Alle Webseiten, die über Suchmaschinen oder auf andere einfache Weise aufgefunden werden können.

Gehackte/Geleakte Zugangsdaten meist in Form von E-Mail:Passwort (Mailpass (MP)).

Customer Premises Equipment. Sämtliche Geräte (Equipment), die es einem Kunden (Customer) erlauben, Zugang zu technischen Diensten oder Netzwerken eines Anbieters zu erlangen, und die in Räumlichkeiten des Kunden (Premises) installiert sind. Hierzu gehören zum Beispiel Modems, Router, Faxgeräte oder Femtozellen.

Credential Stuffing ist eine Technik von Hackern, bei der gestohlene oder in Data Breaches geleakte Anmeldeinformationen in großem Umfang automatisiert gegen Login-Portale geprüft werden.

Card Verification Values – 3-4-stelliger Sicherheitscode auf Kreditkarten, die zur Verifikation und zum Kauf von Produkten benötigt werden. Ohne diese Nummer sind Kreditkartendaten weniger wert.

Öffentliches Netzwerk, das nicht direkt durch das Internet, sondern nur mit besonderer Zugangssoftware erreicht werden kann. Hierzu gehören insbesondere TOR (The Onion Router), I2P und Freenet.

Untergrund Handelsplattformen meist im DarkNet (TOR) aber oft auch im Deep Web gehostet auf Bullet-Proof Domains und Services.

Webseiten, die zwar im Internet (nicht im Darknet) ohne Zusatzsoftware theoretisch erreichbar sind, aber nur aufrufbar sind, wenn man den korrekten Link zu der jeweiligen Deep-Web-Ressource hat. Grund ist, dass Deep-Web-Ressourcen Indizierung verhindern, in nicht-europäischen Fremdsprachen vorliegen oder es keine Verknüpfungen zu diesen Ressourcen gibt, denen Suchmaschinen folgen könnten.

Feld und Prozesse, um Sachverhalte und Vorgänge mit IT-Sicherheitsbezug zu rekonstruieren. Soll die typischen W-Fragen bei IT-Sicherheitsvorfällen beantworten: Wer hat wann was und wo gemacht, mit welchen Auswirkungen?

Gehackte/geleakte Firmendatenbanken, die teilweise auch exklusiv an den meistbietenden verkauft werden.

Pässe, Personalausweise, Führerscheine, IDs.

Mini-Malware, welche die schädlichen Hauptkomponenten, d.h. die „Haupt-Malware“, nachlädt.

Große, aufbereitete Listen von Geld-/Kreditkarteninformationen, die verkauft werden. Oft gibt es hier auch kurze Samples mit Fullz zu sehen, um einen Beweis für die Echtheit und Qualität zu haben.

Phishing-Angriffe, die sich bezüglich Grad der Anpassung zwischen Massen-Phishing und Spear Phishing bewegen. Die Besonderheit bei Dynamit-Phishing ist jedoch, dass Dynamit-Phishing-Mails meistens Bezug auf vergangene, echte Kommunikation nehmen und im Namen eines echten beteiligten Kommunikationspartners, der infiziert wurde, auf diese Kommunikation geantwortet wird. In der neuen gefälschten Antwort befindet sich jedoch Malware. Die Bezugnahme auf vergangene Kommunikation und der Versand von echten Absendern sorgt dafür, dass Dynamite Phishing besonders effektiv ist. Wird häufig durch Ransomware eingesetzt.

Untergrund-Treuhandservice, der den sicheren Abschluss von illegalen Trades absichern soll. Kriminelle Zwischenhändler, die einen hohen Vertraauensstatus im Cyber Untergrund besitzen müssen.

Ein Exploit ist ein Stück Code oder ein Programmteil, der es Hackern erlaubt, gefundene Schwachstellen in Soft- oder Hardware auszunutzen.

DNS-Umgehungstaktik (Evasion), um bösartige Websites zur Auslieferung von Malare oder zum Phishing vor Sicherheitsscannern zu verbergen.

Vollständige Kreditkartendateninformationen einer Person inkl. CVV und PIN.

Fully UnDetected – Malware, die, dank verschiedener Umgehungstechniken (Evasion), von aktuellen Sicherheitstechnologien nicht als solche erkannt wird.

GEOspatial INTelligence. Bezeichnet sicherheitsrelevante und verwendbare Informationen, die aus raumbezogenen Datenquellen bezogen wurden. Hierzu gehören Karten, Lokalisierung von Objekten, Satellitenbilder, Overlays (z.B. mit Infrastruktur) oder andere Geoinformationssysteme (GIS).

Der Graybox Test kombiniert die Methoden aus White und Black Box Pentesting, das heißt dem Penetrationstester sind selektive, zielführende Informationen zur IT-Infrastruktur o.ä. bekannt.

Gray Hats sind Hacker, die sich zwischen Black Hats und White Hats befinden. Sie nutzen bspw. ihre Fähigkeiten, um Schwachstellen und Sicherheitslücken aufzudecken und zu beheben, setzen aber auch illegale oder unethische Methoden dafür ein.

Hyper Text Transfer Protocol

Das Protokoll des Webs bzw. der Webbrowser/Webserver.

Eine Direktive des HTTP Protokolls

HUMan INTelligence. Bezeichnet sicherheitsrelevante und verwendbare Informationen, die aus menschlichen Quellen (z.B. durch Social Engineering) erlangt wurden.

Initial Access Broker – Eine „Branche“ von Bedrohungsakteuren (Threat Actors), die sich auf die Beschaffung von Zugängen und Zugangsdaten für Computersysteme von Organisationen und/oder Privatpersonen spezialisiert hat. IABs verkaufen ihre Zugänge in der Regel an den Meistbietenden oder handeln im Auftrag von anderen Cyberkriminellen, die einen speziellen Zugang zu einem Netzwerk oder Computersystem benötigen.

Standard für IT-Sicherheit im Bereich IoT, IIoT und ICS (Industrial Control Systems). Beinhaltet Vorgaben, wie eingebettete Systeme (Embedded Systems) gegen Angriffe abzusichern sind.

Industrial Internet of Things. Hierbei handelt es sich um IoT-Geräte im industriellen Einsatz.

Malware, die unerkannt sensible Daten wie Zugangsdaten, Cookies und Screenshots eines infizierten PCs an die Angreifer sendet. Wird meist von IABs entwicket oder eingesetzt.

Internet of Things, „Internet der Dinge“. Bezeichnet physische Dinge/Geräte, die netzwerkfähig sind. Beinhaltet zum Beispiel Sensoren (Temperatur, Kameras), Aktoren, generelle Regelungstechnik, Haushaltsgeräte, Beleuchtung und vieles mehr. Generell handelt es sich um die Verschmelzung der Welt der physischen Dinge mit der digitalen Welt.

Alle Prozesse einer Organisation, um auf Sicherheitsvorfälle zu reagieren.

Informationssicherheits-Managementsystem (Information Security Management System). Dies ist ein System, um Fragen der Informationssicherheit in Unternehmen zu managen. Hierzu gehört unter anderem Schwachstellenmanagement, Vorfallsmanagement, Change Management, Freigaben und vieles mehr.

Standard für Informationssicherheits-Managementsysteme (ISMS).

Java-Laufzeitumgebung. Sie wird benötigt, um Java-Programme auf verschiedenen Architekturen und Systemen lauffähig zu machen.

Modell, das die Vorgehensweise von Angreifern bei Cyber-Angriffen beschreibt und in mehrere übliche Phasen aufteilt. Diese Phasen reichen von der Informationsgewinnung, Auskundschaftung des Ziels und Angriffsvorbereitung über das Durchbrechen der äußeren Verteidigungslinie hin zum permanenten Einnisten, Verstecken und Ausbreiten im internen Netzwerk des Angriffsziels.

Eine Post-Exploitation-Aktivität. Hierbei bewegt sich der Angreifer innerhalb eines Netzes von System zu System, bis er Zugriff auf die für ihn eigentlich interessanten Zielsysteme erlangt. Oft starten Angriffe auf für den Angreifer uninteressanten Systemen wie Workstations, von wo er sich dann über Server bis zum eigentlichen Angriffsziel weiterhangelt.

Lightweight Directory Access Protocol: Ein Protokoll, das die Abfrage von Verzeichnisdaten über das Netzwerk erlaubt.

Sortierte und qualifizierte Spam-E-Mail-Listen.

Automatische Protokollierung von Softwareprozessen.

Die Ergebnisberichte und Daten von Info-Stealern.

Sammelbegriff für sämtliche Schadsoftware. Beinhaltet Viren, Würmer, Trojaner, Agents, Implants, Ransomware, Dropper, Loader, Beacons und alle andere Software, die für bösartige Zwecke verwendet werden kann.

Malware-as-a-Service ist eine Dienstleistung von spezialisierten Bedrohungsakteuren, die anderen Cyberkriminellen eine eigens entwickelte Malware (die gängigen Sicherheitsvorkehrungen aushebeln soll), sowie den Betrieb der notwendigen Infrastruktur zur Verfügung stellen. Meist lassen sich die RaaS-Anbieter über ein Komissionsmodell bezahlen. Das heißt, dass die Käufer nur bei erfolgreicher Nutzung des MaaS zwischen 10-30% der Einnahmen an den MaaS-Anbieter abtreten müssen.

Ist eine Methode, um über Computernetzwerke schädliche Programme zu verbreiten. Dabei dient oberflächlich gesehen harmlose Internet-Werbung als Vehikel, um Programmcode auszuführen oder nachzuladen. Für einige der Angriffsmöglichkeiten muss der Benutzer nicht einmal auf die Werbeanzeige klicken, damit sein Computer infiziert wird.

Sammlung von Techniken von Angreifern, d.h. eine Sammlung von TTPs. ATT&CK steht hierbei für Adversarial Tactics, Techniques and Common Knowledge.

Modus Operandi. Generelle Vorgehensweise eines bestimmten Akteurs, bestehend aus einer Sammlung von TTPs (Tactics, Techniques and Procedures) sowie Vorgehensweisen, die sich nicht direkt gegen das Ziel richten oder der unmittelbaren Angriffsvorbereitung dienen und somit nicht in TTP-Sammlungen erfasst sind.

Personen die wissentlich oder unwissentlich (gefälschte Work-from-Home Job-Anzeigen) das kriminell beschaffte, virtuelle Geld über ihre eigenen Konten oder virtuelle CashApps auszahlen und an die Cyberkriminellen weiterleiten (mittels Diensten wie Z.B. Western Union).

Offensive Security Certified Professional: Eine praxisorientierte Zertifizierung, in der Penetrationstester grundlegende praktische Hacking-Fähigkeiten beweisen.

Open Source INTelligence. Bezeichnet sicherheitsrelevante und verwendbare Informationen, die aus öffentlichen Quellen erlangt wurden. OSINT & Taktische Informationsbeschaffung

Open Web Application Security Project. Am bekanntesten durch die verschiedenen Top-10-Listen („OWASP Top 10“), welche die häufigsten Schwachstellen in verschiedenen technischen Bereichen katalogisieren. Hierzu gehören zum Beispiel die Bereiche Web (OWASP Web Top 10), IoT (OWASP IoT Top 10), APIs (OWASP API Top 10) und Mobile Apps (OWASP Mobile Top 10). Die OWASP unterstützt außerdem die Erstellung von Anleitungen und Hilfestellungen im Bereich sichere Software-Entwicklung sowie die Entwicklung von Security Tools.

Password Spraying ist eine Technik von Hackern, bei der ein oder mehrere Passwörter bei zahlreichen Nutzer-Accounts ausprobiert werden. Bei traditionellen Attacken via Brute Force versuchen die Angreifer dagegen, das Passwort eines einzelnen Anwenders zu erraten.

Nutzlast, bzw. Teil eines Exploits, der einem Angreifer unterschiedliche Funktionalität zur Verfügung stellen kann.

Ein Penetrationstest ist eine rein technische Sicherheitsüberprüfung, bei der einzelne Systeme und IT-Umgebungen auf Schwachstellen umfassend untersucht werden.

E-Mails, welche unter Vorwand oder als Täuschung versuchen, den Empfänger dazu zu bringen, sein Passwort preiszugeben.

Alle Aktivitäten, die ein Angreifer durchführt, nachdem er einen initialen Zugang zu einem Ziel hat. Beinhaltet Tätigkeiten wie Lateral Movement (Ausbreitung von System zu System) sowie Privilege Escalation (Erhöhung der eigenen Rechte).

Eine Post-Exploitation-Aktivität. Hierbei versucht der Angreifer, seine Rechte zu erhöhen, z.B. von denen eines normalen Nutzers zu denen eines Administrators. Das Erhöhen wird auch als vertikale Privilege Escalation bezeichnet. Ebenfalls kann der Angreifer versuchen, sich zusätzliche Einzelrechte (zum Beispiel Zugriff auf bestimmte Daten oder Funktionen) zu beschaffen, ohne in der Rollenhierarchie aufzusteigen. Dies nennt man horizontale Privilege Escalation.

Im Purple Teaming arbeitet das Red Team eng mit dem Blue Team zusammen. Dabei „enthüllt“ das Red Team seine Angriffsmethoden und ermöglicht somit dem Blue Team, Gegenmaßnahmen zu testen und ggf. zu schärfen.

Ransomware-as-a-Service ist eine spezielle Art von MaaS, die den Vertrieb von Ransomware und entsprechenden Infrastrukturen anbietet.

Schadsoftware, die Dateien verschlüsselt. In der Folge wird der Nutzer oder die Firma, dessen/deren Dateien verschlüsselt wurden, erpresst: Entweder es wird gezahlt und die Dateien werden entschlüsselt oder die verschlüsselten Dateien werden vernichtet.

Eine schwerwiegende Sicherheitslücke, die es dem Angreifer erlaubt, beliebige Befehle auszuführen

Administrativer Nutzer unter Linux

Kommandozeile mit erweiterten Rechten

Ein Team, welches im Rahmen von Angriffssimulationen die Angreiferrolle einnimmt. Red Team Assessment

Mit einer Shell lassen sich beliebige Befehle auf einem System ausführen

Security Information and Event Management. Systeme, die alle sicherheitsrelevanten Informationen und Ereignisse in einer Organisation an zentraler Stelle sammeln, verknüpfen (korrelieren), aufbereiten und menschlichen Mitarbeitern anzeigen und zur Verfügung stellen.

Auch bekannt als SIM Hijacking Scams, sind Angriffe bei denen es Hackern, meist durch Fehler oder Schwachstellen beim Mobilfunkanbieter oder durch Social Engineering Techniken, gelingt die Verbindungen der SIM-Karte eines Opfers auf eine vom Hacker kontrollierte SIM-Karte umzuleiten. Das beinhaltet insbesondere SMS zur Zweifaktor-Authentisierung, um sich Zugang zu Daten und Systemen einer Organisation zu verschaffen. Oft kann über die Kontrolle über eine Mobilfunknummer auch das Passwort eines Benutzers zurückgesetzt werden.

Phishing via SMS. Eine Social-Engineering Technik, die Mobilfunkbenutzer durch gefälschte SMS(Whatsapp/Telegram/Signal)-Nachrichten dazu bewegen soll eine Aktion durchzuführen, die einen Betrug des Opfers nach sich zieht. Oft werden hier auch Schwächen des Mobilfunknetztes (im SS7-Protokoll) verwendet, um den Absender einer Nachricht zu fälschen (Caller-ID-Spoofing).

Die Sicherheitszentrale einer Organisation, wo alle Sicherheitsinformationen einer Organisation zusammenlaufen und von wo aus Sicherheitspersonal (Blue Team) Untersuchungen und Gegenmaßnahmen einleiten kann. Vergleichbar mit der Brücke eines Schiffs oder dem Kontrollturm eines Flughafens, wo alle Informationen über sicherheitsrelevante Vorgänge auf technischer Ebene zusammenlaufen. Beinhaltet oft ein SIEM und viele weitere TOMs (technisch-organisatorische Maßnahmen).

Manipulation menschlicher Ziele durch Angreifer, um bösartige Zwecke zu erreichen. Beinhaltet Phishing, Telefongespräche, Ausgeben als Kollege oder Lieferant, um Zugang zu Räumlichkeiten zu erhalten u.v.m.

SOCial Media INTelligence. Bezeichnet sicherheitsrelevante und verwendbare Informationen, die aus sozialen Medien ermittelt wurden.

Maßgeschneiderte Phishing-E-Mails, die sich konkret an den jeweiligen Empfänger richten und bei denen oft großer Aufwand in Auswahl und Entwicklung des Täuschungsszenario investiert wurde. Kann sich auch auf legitime Anfragen des Opfers aus der Vergangenheit oder aktuelles Geschehen in dessen Umfeld beziehen.

Zugangsdaten zu Servern und Diensten. die man in Dark Markets für ein paar Dollar kaufen kann. Meist lässt sich nicht erkennen, wem die gehackten Systeme und Dienste gehören, ohne diese zu kaufen. In einigen Fällen gibt es aber Tricks und Möglichkeiten an diese Information ohne den Kauf heranzukommen.

Zeichen, die von einer Applikation speziell interpretiert werden, um bestimmte Aktionen auszulösen.

Bösartiger Akteur, der Angriffe durchführt. Sammelbegriff für alle menschlichen Angreifer, egal ob Einzelpersonen, Cybercrime-Gruppen, lose Kollektive oder staatliche Einheiten.

Threat Intelligence. Verwendbare Informationen über Bedrohungen durch bösartige Akteure und deren Aktionen sowie Motivationen.

Threat Intelligence-based Ethical Red Teaming. Rahmenwerk der EU (TIBER-EU) sowie der Deutschen Bundesbank (TIBER-DE) mit Vorgaben, wie effektive Red Teams im Finanzsektor (Banken, Versicherungen, andere Finanzmarktakteure) durchgeführt werden sollten.

Transport Layer Security. Hieß früher SSL (Secure Sockets Layer). Häufigstes Protokoll, um Netzwerkdatenverkehr zu verschlüsseln. Nur für Datenverkehr („data in transit“), jedoch nicht für persistente Datenspeicherung auf Massenspeichern („data at rest“).

Summe aller Maßnahmen auf technischer wie auch organisatorischer Ebene, die zum Erreichen eines Ziels oder Umsetzen von Vorgaben implementiert werden. Wird oft im Sicherheitskontext benutzt, um die Summe aller Maßnahmen zu beschreiben, um Systeme und Daten abzusichern.

Eine Gruppe von Bedrohungsakteuren, die sich darauf spezialisiert hat potenzielle Opfer auf die Webseiten und Systeme von anderen Cyberkriminellen umzuleiten, damit diese dort ausgenutzt werden können, um Daten zu stehlen oder Malware zu installieren. Die Umleitungen (kriminelle Online Lead-Generierungen) passieren mittels vieler verschiedener Techniken. Beliebt sind Umleitungen über gehackte Webseiten, Malvertising-Kampagnen, Fake-Postings auf Hilfeforen, etc..

Wird entweder für „Targeted Threat Intelligence“ oder „Target and Threat Intelligence“ verwendet. Bezeichnet Formen der Informationsgewinnung und Aufklärung über die Bedrohungslage für Unternehmen, einerseits durch bösartige Akteure (Threat Actors) – die sogenannte Threat Intelligence – wie auch die Angriffsfläche eines potenziellen Angriffsziels – die Target Intelligence. Targeted Threat Intelligence erfasst nicht die breite Bedrohungslage (z.B. die aktuellen TTPs von bösartigen Akteuren oder die Bedrohung für eine ganze Branche im Allgemeinen), sondern die konkrete Bedrohungslage für eine bestimmte Organisation.

Tactics, Techniques and Procedures. Dies sind die drei Komponenten der Angreifervorgehensweise, dem sogenannten MO (Modus Operandi).

Akteure, die sich darauf spezialisiert haben mit Malware Logs (unterschiedlicher Qualität zu handeln) und die Daten an andere Cyber Kriminelle zu verkaufen.

Eine Zeichenkette, die ein Browser an Webserver schicken kann, um sich identifizieren zu lassen.

Verified By Visa – Zusätzliche Sicherheitsprüfung, der für Karten gelten kann, wenn diese zur Onlinezahlung eingesetzt werden. Das ist für Cyberkriminelle natürlich eine wichtige Information und senkt oder hebt den Wert einer Karte.

WEB INTelligence. Bezeichnet sicherheitsrelevante und verwendbare Informationen, die aus Quellen des World Wide Web ermittelt wurden.

Im Gegensatz zum Blackbox-Penetrationstest stehen dem Penetrationstester beim Whitebox Test detaillierte Informationen zur IT-Infrastruktur bis hin zu Source-Code zur Verfügung.

White Hats sind als ethische Hacker bekannt. Sie nutzen ihre Fähigkeiten, um Schwachstellen und Sicherheitslücken aufzudecken und zu beheben. White Hats agieren ausschließlich zum Schutz und im Auftrag ihrer Kunden und somit legal. Die Penetrationstester der NSIDE ATTACK LOGIC sind zum Beispiel White Hats.