Umgehen von Userland Hooks in Malware

Sogenannte EDRs (Endpoint Detection and Response Software) und AV (Anti-Virus) Software verwenden unterschiedliche Techniken zur Detektion von potenziell schädlichem Code.

Im Allgemeinen existieren drei typische Möglichkeiten, um schädliches Verhalten zu erkennen:

Userland API Hooks: Hooks werden für bestimmte API Funktionen gesetzt (wie z.B. `CreateRemoteThread`) um die Parameter der aufgerufenen Funktionen zur Laufzeit zu inspezieren
Call Stacks: Über Call Stacks kann der Kontext, aus welcher eine Funktion ausgeführt wird, nachvollzogen werden. Aufgrund dieser Informationen lässt sich beurteilen ob es sich dabei um einen legitimen Funktionsaufruf handelt.
Unbacked Memory: Generell ist Code, welcher aus ‚unbacked memory‘ (also Arbeitsspeicher, der nicht einem Programm auf der Festplatte entspricht) ausgeführt wird, nicht üblich.

In diesem Blogpost soll es darum gehen, mit welchen Techniken Angreifer Userland API […]

Von Marius Schwarz|2023-11-30T09:01:42+01:0028. November 2023|

Wie wird man eigentlich Hacker bzw. Pentester

Im Bereich der IT-Sicherheit zu arbeiten ist spannend, erfüllend und meist sehr gut bezahlt. Das ist nicht sonderlich überraschend, da man dafür bezahlt wird Hacker zu sein. Das heißt man bricht in Netzwerke und Computer ein, übernimmt die Kontrolle über Websites und findet verborgene Informationen im Internet und das alles ohne dabei Gesetze zu brechen.

Jetzt stellt sich natürlich die Frage:

Wie landet man in so einem Job?

Filme und Serien lassen oftmals vermuten, dass ein großes Wissen über Computer und ein schwarzer Kapuzenpulli ausreichend sind. Sicher sind beide dieser Dinge von großem Vorteil, leider aber nicht ausreichend.

Viele Kollegen, so auch ich, starten ihre Karriere tatsächlich im Bereich der „normalen“ IT und entdecken später die IT-Sicherheit für sich […]

Von Paul Zenker|2023-11-30T18:19:20+01:0014. November 2023|

Ist technische Sicherheit genug – Pyramid of Pain vs. Pyramid of Love – Teil 2

Im ersten Teil der Blogartikelserie ging es um die Gefühlszustände von Angreifern, die sie in verschiedenen Phasen des Angriffs durchleiden (Pyramid of Pain). Ziel des Verteidigers war es, Hacker im besten Fall so massiv zu demotivieren, dass sie den Versuch, Kontrolle über Ihre Systeme zu erlangen, abbrechen.

Teil 2: Der Verteidiger – Pyramid of Love

Diesmal wird ein Cyberangriff von der Verteidigerseite aus betrachtet. Dabei steht wieder der Faktor Mensch im Vordergrund. Aufgabe eines jeden Verteidigers sollte es sein, Schutzmaßnahmen effizient umzusetzen, die den Mitarbeiter abholen und sich nahtlos in deren tägliche Prozesse integrieren. Die Realität ist, dass egal wie viel Sie in ihre Cybersicherheit investieren, vom Unsicherheitsfaktor Mensch, können Sie sich nicht freikaufen. Die gute Nachricht ist, dass da, wo die schwer kontrollierbare Gefahr lauert, gleichzeitig […]

Von Jürgen Pfister|2023-08-14T07:51:03+02:002. August 2023|

Ist technische Sicherheit genug – Pyramid of Pain vs. Pyramid of Love – Teil 1

NSIDE Attack Logic war mit einem Vortrag vertreten bei der 25. DuD-Konferenz in Berlin. Dort trafen sich vom 12. bis zum 14. Juni 2023 Datenschutzbeauftragte, Anwälte und IT-Sicherheitsverantwortliche zum Gedanken- und Erfahrungsaustausch. Beherrschendes Thema war künstliche Intelligenz (KI) und die damit verbundenen Risiken. Aber auch Cybersecurity kam nicht zu kurz. Zitiert man die Veranstalter, so wurde klargestellt, dass IT-Sicherheit ebenfalls Datenschutz sei. Deshalb gab es dazu mehrere spannende Vorträge und wir hatten den Eindruck, dass es das am häufigsten diskutierte Thema auf den gelungenen Abendveranstaltungen war.

Rechtliche Themen und technische Herausforderungen greifen häufig ineinander. Ich heiße Sebastian Hofmann und bin seit März 2023 als Security Analyst bei NSIDE Attack Logic tätig. Mein Background für diesen Job ist recht ungewöhnlich, da ich über keine technische Ausbildung oder […]

Von Sebastian Hofmann|2023-08-14T07:51:00+02:0010. Juli 2023|

Wie kann ich es den Angreifern möglichst schwer machen?

Zunächst muss gesagt werden, dass es 100%ige Sicherheit nicht gibt. Nichtsdestotrotz kann ein Verteidiger es potenziellen Angreifern so schwer machen, dass der Aufwand für einen erfolgreichen Angriff den zu erwartenden Gewinn übersteigt. In diesem Blogpost möchte ich auf eben diese Möglichkeiten eingehen und aus einer Angreifer Perspektive genauer beleuchten, warum sich der (potenzielle hohe) Aufwand lohnt, diese umzusetzen.

Was bereits im Mittelalter funktioniert hat, kann ja nicht schlecht sein…

Wie eben bereits angesprochen, sollte das Ziel als Verteidiger sein, es einem Angreifer so schwer wie möglich zu machen. Hierbei hat sich die letzten Jahre ein Konzept namens Defense in Depth durchgesetzt. Eine schöne Analogie für Defense in Depth ist eine Ritterburg. Hier wurde auch nicht nur auf eine Verteidigungslinie gesetzt, sondern in Schichten gearbeitet. So folgte auf […]

Von Tobias Wicke|2023-07-13T12:11:10+02:003. Juli 2023|

Meet a Pentester – Interview mit Bernhard Doll

Hallo Bernhard, schön, dass du dir die Zeit genommen hast. Stell dich gerne zu Beginn kurz vor – Wie lange arbeitest du schon im Bereich Offensive Security und was sind deine Schwerpunkte?

Ich arbeite seit März 2018 in der IT-Sicherheit, bin seit Januar 2021 bei der NSIDE und arbeite dort aktuell als Senior IT Security Analyst. Meine Haupttätigkeit ist dabei die Leitung und Durchführung professioneller Angriffssimulationen wie Red Team Assessments, IT-Sicherheitstests wie Penetrationstests und Lateral Movement Tests auf Netzwerke und IKT-Systeme verschiedenster Technologien, sowie konzeptionelle IT Security Beratung von Unternehmen unterschiedlichster Größen und Branchen vor Ort und Remote.

Was sind nach deiner Erfahrung als Pentester die häufigsten Fehler, die Unternehmen machen?

Die häufigsten Fehler beobachte ich vor allem in drei Bereichen: Konfiguration, Einsatz unsicherer Software (entweder aufgrund unsicherer […]

Von NSIDE|2023-07-13T11:53:25+02:0023. Juni 2023|

Meet a Pentester – Interview mit Benedikt Strobl

Unser langjähriger Mitarbeiter Benedikt Strobl wird Ende des Monats ein fünfmonatiges Sabbatical antreten. Bevor er sich auf die Reise macht, hat er sich die Zeit für ein kurzes Interview genommen und die wichtigsten Fragen zum Thema Penetrationstests und zu seiner Arbeit als Pentester beantwortet. Wir wünschen viel Spaß beim Lesen und Benedikt eine tolle und abenteuerreiche Zeit!

Hallo Bene, wir starten am besten mit einer kurzen Vorstellung: Wie lange arbeitest du schon im Bereich Offensive Security und was sind deine Schwerpunkte?

Meine Name ist Benedikt Strobl, ich bin 31 Jahre alt und arbeite seit 6 Jahren bei der NSIDE als Security Analyst. Meine ersten Berührpunkte mit der IT Security hatte ich im Rahmen meines Studiums und bei CTFs. Meine Schwerpunkte haben sich dabei über die Jahre etwas […]

Von NSIDE|2023-03-23T08:32:28+01:0022. März 2023|

Cobalt Strike und sein besserer kleiner Bruder Brute Ratel

Vielen ist Cobalt Strike mittlerweile ein Begriff. Sei es, weil mal wieder eine Ransomware-Gruppe damit ganze Unternehmen lahmgelegt hat oder weil Akteure gezielt Unternehmen angegriffen haben und in der anschließenden Analyse festgestellt wurde, dass Cobalt Strike im Einsatz war. Der ein oder andere hat vielleicht auch mitbekommen, dass ein anderes Tool namens Brute Ratel in letzter Zeit Wellen geschlagen hat. Doch warum ist das so?

Was sind Command&Control-Frameworks?

Bevor wir auf die Einzelheiten und Unterschiede eingehen, sollte zumindest grundlegend geklärt werden, was der allgemeine Einsatzzweck von Tools wie Cobalt Strike oder Brute Ratel ist. Beide Tools sind sogenannte Command&Control-Frameworks. Command&Control-Frameworks werden von Penetrationstestern und Red Teamern verwendet, um möglichst realistisch „echte“ Malware zu simulieren (wobei sie darin so gut sind, dass sie in den Händen von […]

Von Tobias Wicke|2023-05-23T14:01:37+02:0021. März 2023|

Bluetooth Low Energy Hacking für Anfänger

Nachdem ich mich nun schon einige Zeit mit dem Thema Bluetooth Low Energy (BLE) Hacking beschäftige, kommt eine Frage immer wieder auf: Wie fange ich damit an?

Nun – man könnte sicherlich beginnen, die über 3000 Seiten lange Spezifikation (aktuell Version 5.3) zu lesen, welche durch die Bluetooth Special Interest Group veröffentlicht wird. Allerdings ist hier die gesamte Spezifikation sowohl für Bluetooth Classic als auch für jede einzelne Protokollschicht enthalten. Das ist äußerst umfangreich und daher selbst für erfahrene ITler ein eher unkonstruktives Vorgehen. Wie also dann? Einmal durch die Internet Blogs der letzten 10 Jahre wühlen?

Meiner Erfahrung nach empfiehlt es sich, direkt Hand anzulegen und sich die Sache Stück für Stück in der Praxis anzusehen. Dabei entwickeln sich spezifischere Fragen und Stichworte, mit denen […]

Von Sarah Mader|2023-03-08T09:47:00+01:0022. Dezember 2022|

Fuzzing: Putting it all together (Teil 4/4)

Im ersten Teil der Blogserie haben wir bereits erläutert, was die grundsätzliche Zielsetzung von Fuzzing ist, welche Qualitätsunterschiede hinsichtlich der Abdeckung möglich sind und auf welche Einschränkungen und Hürden wir in unseren Assessments oft stoßen. Im zweiten Teil wurde der Fuzzer Boofuzz vorgestellt und die Anforderungen für einfache erschöpfende Tests erklärt. Der dritte Artikel widmete sich einem konkreten Gerät, wie Boofuzz zum Fuzzen und automatisierten Detektieren von Schwachstellen von Embedded-Webservern verwendet werden kann. Dieser Artikel beschreibt nun die Umsetzung der im dritten Artikel gelösten Problemstellungen und die finale Implementierung.

Im dritten Artikel wurden drei Problemstellungen gelöst, diese werden nun als Funktion in Python abgebildet.

1. Funktion: Starten des Webservers über die Telnet-Schnittstelle

s ist hierbei ein üblicher python socket. Die Funktion until() ist eine […]

Von Martin Steil|2022-06-20T15:15:23+02:0020. Juni 2022|

NSIDE Tech Blog

BLEIBEN SIE AUF DEM LAUFENDEN