Keylogging mal anders: wdigest & tspkg

In einem Red Team Assessment kommt es häufig vor, dass man Administratorrechte auf einem einzelnen Windows-Server erlangt. Meistens geschieht dies durch Kompromittieren der Zugangsdaten eines Administrators des Servers, aber auch ein veraltetes Betriebssystem oder eine Sicherheitslücke in einer Anwendung auf dem Server sind häufige Gründe. Zunächst einmal ein kleiner Erfolg für uns als simulierte Angreifer (also Red Teamer), der uns aber nicht notwendigerweise weiter bringt auf unserem Weg zu kritischen Funktionen des Zielunternehmens. Nach der initialen Überprüfung der defensiven Kapazitäten des Server (also Identifizierung der Antiviren- und EDR-Systeme sowie der aktiven Härtungsmaßnahmen wie AppLocker oder Constrained Language Mode) erfolgt als nächstes das „Looting“ des Servers, also das Suchen nach für uns wertvollen Informationen. Ob nun das Auslesen von Zugangsdaten aus dem Arbeitsspeicher mit Mimikatz […]

Von Benedikt Strobl|2021-04-14T16:20:33+02:0013. April 2021|

Angriffe auf Speicherbausteine:

Ziel von Hackern ist es oft sensible Daten wie Passwörter physisch aus externen Speichermedien wie Flash-Bausteinen zu extrahieren, sowie die abgelegte Firmware zu manipulieren. Das Einpflanzen von Backdoors, um einen Kommunikationstunnel nach außen zu erzeugen ist hierbei nicht unüblich und stellt einem Angreifer die Möglichkeit bereit, sich über längere Zeit im internen Netzwerk auszubreiten (sog. Lateral Movement). Zum aktuellen Stand verschlüsseln erfahrungsgemäß die wenigsten IoT-Entwickler Ihre Firmware, welche sich somit im Klartext innerhalb der Speichermedien befindet.

Anleitungen wie Speicherinhalte ausgelesen werden können gibt es mittlerweile Zuhauf im Internet. Erfahrungsgemäß behandeln diese aber meist die immer seltener anzutreffenden SPI-Flashes im SOIC-8-Format.

(Flash im SOIC-8-Format – Quelle: https://media.digikey.com/Renders/Intersil%20Renders/8-SOIC,M8.jpg)

Diese Art von Speicher lassen sich aufgrund Ihrer […]

Von Alexander Poth|2021-03-16T14:20:57+01:007. Dezember 2020|

cit0day – Datenbanken mit ca. 13 Milliarden Passwörtern geleaked

Seit Januar 2018 bietet die Seite cit0day.in gestohlene E-Mail-Adressen und Passwörter zum Verkauf – ein Service, der größtenteils von Kriminellen genutzt wird, z.B. um große Mengen an E-Mail-Adressen als Empfänger für Spam-Kampagnen zu erhalten. Weiterhin werden die geleakten Zugangsdaten für sogenannte Credential-Stuffing-Angriffe benutzt. Hierbei versucht ein Angreifer, sich mithilfe der Daten Zugang zu Unternehmenswebseiten zu verschaffen. Da viele Benutzer für verschiedene Services das gleiche Passwort verwenden, sind solche Angriffe oft erfolgreich, wodurch Angreifer im schlimmsten Fall in Unternehmensnetze eindringen können, um sich dort weiter auszubreiten.

Nach der Schließung der Seite cit0day.in durch Behören, sind die gehandelten Zugangsdaten nun im Internet gelandet, wo sie in Foren und Chatgruppen weiterverbreitet werden. Seither werden die Daten, Medienberichten zufolge, auch vermehrt für Spam-Kampagnen und Credential-Stuffing-Angriffe eingesetzt. Der Datensatz enthält insgesamt […]

Von Stefan Bauregger|2021-04-20T16:27:20+02:0011. November 2020|

MQTT im Industrial IoT / IIoT-Umfeld: Die häufigsten Sicherheitsprobleme

MQTT wird als IoT- und IIoT-Protokoll immer wichtiger und kommt in immer mehr industriellen Anwendungen zum Einsatz. Doch wie sieht es mit der Sicherheit aus?

Von Rafael Fedler|2021-03-16T14:25:55+01:001. September 2020|

2-Faktor-Authentifizierung (2FA): Perfekte Sicherheit – oder Alles voller Sicherheitslücken?

Was es mit mit Zwei-Faktor- bzw. Multi-Faktor-Authentifizierung auf sich hat und wie Angreifer sich trotz 2-Faktor-Authentifizierung (2FA) bzw. Multi-Faktor-Authentifizierung (MFA) Zugriff auf Unternehmensressourcen verschaffen können, erläutern wir in diesem Artikel. Um das Ergebnis vorwegzunehmen: Es gibt viele verschiede Wege, wie Hacker 2FA/MFA angreifen oder umgehen können.

Von Rafael Fedler|2021-03-16T14:23:42+01:0023. Juni 2020|

Allrounder zum Hardware Testing

Der breitgefächerte Elektronikmarkt mit unzähligem „Spielzeug“, lässt die Hackerherzen höher schlagen. Häufig werden jedoch Gadgets gekauft, die nach nur einmaliger Nutzung im Regal zuhause verstauben. Um solche Fehlkäufe zu vermeiden, werden hier zwei der wahren Allrounder zum Hardware Testing vorgestellt:

Saleae Logic Analyzer

Der Logic-Analyzer der Firma Saleae wird bei vielen von unseren durchgeführten Hardwareprojekten verwendet. Dieses Gadget unterstützt bei der Identifizierung und Analyse von unbekannten Pins auf einem Board / PCB. Besitzt man kein hochwertiges Oszilloskop, bietet der Logic-Analyzer eine sehr gute Möglichkeit Platinen kostengünstig zu analysieren.

(Quelle: https://cdn.antratek.nl/media/product/51e/saleae-logic-pro-8-logic-analyzer-sal-00113-240.jpg)

Die meisten Hardware-Black-Box-Test beginnen damit, offene Pins bzw. Kontaktpunkte zu identifizieren, welche eine Interaktion mit dem Board ermöglichen können. Stichwort sind Schnittstellen wie UART, JTAG, I2C, SPI, usw.

Je […]

Von Alexander Poth|2021-03-16T14:22:20+01:0010. Juni 2020|

Gadget Highlights von der Embedded World

Auf der diesjährigen Embedded World konnten wir einige Gadgets ausprobieren, die oft komplizierte Hardwareanalysen um ein Vielfaches erleichtern. Natürlich möchten wir Ihnen diese nicht vorenthalten und stellen zwei Produkte vor, die besonders herausgestochen sind (ACHTUNG: KEINE bezahlte Werbung – wir finden die Produkte nur gut).

Sensepeek – PCBite

Unser Spitzenkandidat ist die Hardwareanalyse-Plattform PCBite von der Firma Sensepeek. Lästiges Einrichten von klobigen Stativen oder Anlöten von Datenkabeln gehören mit dem Produkt der Vergangenheit an. Je nach Type beinhaltet das Produkt eine verspiegelte Grundplatte, mehrere Sockelstative zur Arretierung von Platinen, sowie flexible Pinhalter mit Kabelanschlussmöglichkeiten, welche zielgenau auf Testpunkte oder Pins gerichtet werden können.

Quelle: https://www.batronix.com/versand/messtechnik/platinenhalter/sensepeek/4003-PCBite-kit-SP10-LA.html

Das Produkt ist unter folgendem Link erhältlich:

Von Alexander Poth|2021-03-16T14:25:25+01:0024. März 2020|

Hacker im Home Office in Zeiten von Corona (CoViD-19)

Dieser Tage überhäufen sich die Social Media Posts wegen Corona-Virus (CoViD-19 bzw. SARS-CoV-2) und Home Office. Wir bei der NSIDE haben uns gedacht: Da machen wir doch mit! Der Unterschied zu den vielen anderen Posts: Wir betrachten Home Office-Settings nicht aus Firmen- und Verteidiger-, sondern aus Angreifersicht.

Die Ausgangslage

Sie haben Ihre Mitarbeiter ins Home Office geschickt. Dort sitzen die Kollegen nun mit ihren Arbeitslaptops oder, im schlimmeren Fall, mit ihren Privatgeräten (privater PC oder Laptop, Smartphone oder Tablet) und greifen von daheim auf sensibelste Unternehmensdaten zu. Und da fängt der Spaß für die Angreifer schon an.

Angriffe daheim

Wenn Ihre Mitarbeiter von daheim auf Ihre Unternehmensressourcen zugreifen, haben Sie potentiell mehrere Probleme. Wenn Sie zum Beispiel nicht den gesamten Netzwerkverkehr des Geräts durch Ihre VPN-Appliance leiten, haben Sie […]

Von Rafael Fedler|2021-03-16T14:25:33+01:0023. März 2020|

War Story: Physischer Penetrationstest – aus dem Alltag eines Analysten

Wie in einer Pentestingfirma üblich besteht viel der alltäglichen Arbeit aus dem Überprüfen von IT –Infrastruktur, wie etwa Webapplikationen und Netzwerken. Extrem spannend wird es für uns jedoch, wenn wir im Rahmen eines Red Teams beauftragt werden, auch die physische Sicherheit zu überprüfen. In meinem letzten Fall sollte ich versuchen physisch bei einer Versicherungsgesellschaft einzubrechen.

Die Thematik des physischen Zugangs finde ich persönlich sehr spannend, vor allem weil ich in meiner Freizeit bei der Freiwilligen Feuerwehr tätig bin und so früh erste Erfahrungen im Bereich des gewaltsamen Eindringens kennengelernt habe. Allerdings ist der Einbruch im Rahmen der Feuerwehr nicht mit dem unerlaubten Eindringen bei einem Red Team Assessment zu vergleich. Beim Red Team Assessment wird ein reeller Angriff von uns simuliert – so wie es auch […]

Von Gerog Jobst|2021-03-16T14:26:57+01:003. Juli 2019|

Trends und Entwicklungen – Devops für RedTeam Infrastrukten

Nachdem sich die Cloud fest etabliert hat und der Vormarsch von DevOps nicht mehr aufzuhalten ist, war es nur eine Frage der Zeit bis DevOps auch Auswirkungen auf das Thema Security hat.

Dabei stellt sich die Frage, welche Auswirkungen DevOps auf die Sicherheit selber hat bzw. welche Best Practices bei DevOps beachtet werden sollen, um Sicherheitsprobleme ganz von allein zu vermeiden.

In diesem Beitrag geht es im speziellen um die praktischen Auswirkungen auf Red Teams. Wie auch um das Thema, in wieweit der IT-Betrieb mit DevOps in der Lage ist schnell auf Anforderungen verschiedener Stakeholder zu reagieren, und ob Red Teams durch DevOps in der Lage sind schnell Infrastrukturen aufzubauen. Dies ist vor allem nützlich, wenn das Blue Team – bei einem Test, in dem dieses nicht […]

Von Ingmar Kaiser|2021-03-16T14:26:45+01:003. Juli 2019|