Keylogging mal anders: wdigest & tspkg

In einem Red Team Assessment kommt es häufig vor, dass man Administratorrechte auf einem einzelnen Windows-Server erlangt. Meistens geschieht dies durch Kompromittieren der Zugangsdaten eines Administrators des Servers, aber auch ein veraltetes Betriebssystem oder eine Sicherheitslücke in einer Anwendung auf dem Server sind häufige Gründe. Zunächst einmal ein kleiner Erfolg für uns als simulierte Angreifer (also Red Teamer), der uns aber nicht notwendigerweise weiter bringt auf unserem Weg zu kritischen Funktionen des Zielunternehmens. Nach der initialen Überprüfung der defensiven Kapazitäten des Server (also Identifizierung der Antiviren- und EDR-Systeme sowie der aktiven Härtungsmaßnahmen wie AppLocker oder Constrained Language Mode) erfolgt als nächstes das „Looting“ des Servers, also das Suchen nach für uns wertvollen Informationen. Ob nun das Auslesen von Zugangsdaten aus dem Arbeitsspeicher mit Mimikatz […]

Von Benedikt Strobl|2021-08-24T13:36:23+02:0013. April 2021|

IT-Sicherheit im Homeschooling

In der Coronakrise ist der Heimunterricht quasi über Nacht verpflichtend geworden. Während vor der Krise nur ein paar hundert Kinder deutschlandweit von Zuhause unterrichtet wurden, sind Schulen nun teilweise komplett geschlossen oder betreiben einen Notunterricht auf Sparflamme. Der Unterschied zum traditionellen Heimunterricht ist, dass die Lehrer nach wie vor die Kinder beschulen, allerdings aus der Ferne bzw. remote über das Internet.

Da die Inhalte nun nicht mehr analog im Klassenzimmer übertragen werden, sondern digital über das Internet ins Kinderzimmer, ergeben sich ganz neue Gefahren für die Schüler. Angefangen beim Datenschutz und der Problematik der Speicherung von persönlichen Daten bei US-Amerikanischen Clouddiensten über digitale Übergriffe beim „Cybergrooming“. Aber die Gefahr kann sich auch intern ergeben, wie der Fall eines 14 Jahre alten Schülers einer Mittelstufe im Oberallgäu […]

Von Christian Gross|2021-08-31T16:41:58+02:0018. März 2021|

Kritische Schwachstellen gefunden? Klar – der Admin ist schuld!?! Ein Erklärungsversuch fürs Management… und Hilfe zur Selbsthilfe für Administratoren

Nach vielen unserer Tests werden wir vom Management gefragt: Hätte das unser Admin nicht merken müssen? Wie kann es denn sein, dass diese Lücke übersehen worden ist?

Die einfache Antwort auf die erste Frage lautet meist: NEIN!

Die Antwort auf die zweite Frage will ich hier kurz in diesem Beitrag erörtern.

Aus den folgenden Gründen sollte man den Admin nicht gleich pauschal für die Situation verantwortlich machen:

Gewachsene Strukturen mit derselben Personaldecke – die meist typische chronische Unterbesetzung
Extrem schnelle Entwicklungszyklen in der Technik – was gestern noch Sicherheit geboten hat ist heute vielleicht schon nicht mehr aktuell
Neue Herausforderungen durch die Einbindung der Produktionstechnik in die IT, auch hier ist Spezialwissen gefragt
Oder noch schöner – die Gebäudetechnik kommt auch noch mit dazu
Extrem heterogene Landschaft bestehend […]

Von Jürgen Pfister|2021-08-31T16:40:36+02:0021. Januar 2021|

Aufwände richtig einschätzen und vergleichen – Wie finde ich einen geeigneten Anbieter?

Jeder gute Kaufmann sollte sich verschiedene Angebote einholen und natürlich vergleichen. Das ist auch richtig. Problematisch wird es nur, wenn die Aufwände unterschiedlich eingeschätzt werden. Oder die Leistungen nicht miteinander vergleichbar sind.

Daher hier mal ein Vorschlag für eine mögliche Herangehensweise bei der Auswahl des Pentest oder Red Teaming Dienstleisters:

Lassen Sie sich Referenzen an die Hand geben – am besten aus derselben Branche in der Sie tätig sind.
Fragen Sie nach den Zertifizierungen der Mitarbeiter – und zwar bei den Mitarbeitern, die auch Ihr Projekt umsetzen sollen.
Lassen Sie sich erklären warum es Unterschiede vom einen zum anderen Angebot gibt – klingt dies für Sie nachvollziehbar?
Klären Sie ab, ob der Anbieter Ihr Projekt mit festen oder freien Mitarbeitern bearbeitet.
Ebenso ist es wichtig sich […]

Von Jürgen Pfister|2021-08-31T16:45:53+02:0012. Januar 2021|

Der Solarwinds Hack – Eine Blaupause für Red Teams?

Der Solarwinds Hack ist in aller Munde, aber was so richtig passiert ist, wird aus den aktuellen Pressemeldungen oft nicht klar. Es fallen Begriffe wie „Advanced“ oder besonders guter „Operational Security“ (OPSEC). In diesem Artikel wollen wir ein paar interessante Einblicke geben und Quellen mit weiterführenden Informationen nennen, auch wenn dies bei der Komplexität des Themas sicher nicht vollumfänglich möglich ist. Die Attribution des Angriffs, wer jetzt wen mit welchen Interessen angegriffen hat, wollen wir aufgrund der Komplexität den Behörden überlassen.

Nun aber von vorne, was ist überhaupt passiert. Es wurde die IT-Firma SolarWinds Inc. kompromittiert und in deren Produkt die „Orion Plattform“ eine Hintertür eingebaut. Diese Software wird für die Überwachung von Netzwerken genutzt. Unter anderem sind wohl Funktionen der Plattform wie etwa „Network Performance […]

Von Gerog Jobst|2021-08-24T13:38:31+02:0022. Dezember 2020|

Der Penetrationstest – darum ist er für Unternehmer und Geschäftsführer wichtig

Die Sicherheit von IT-Systemen wird zu einem immer wichtigeren Thema. Die Anzahl der Cyber-Bedrohungen nimmt stetig zu. Gleichzeitig wenden Kriminelle immer raffiniertere Methoden an. In diesem Zusammenhang thematisieren wir im Blog die Geschäftsführerhaftung.

Die Geschäftsführerhaftung – wie sieht die Rechtslage aus?

Unter der Geschäftsführerhaftung sind die Situationen zusammengefasst, in denen der Geschäftsführer eines Unternehmens aufgrund von Pflichtverletzungen rechtlich belangt werden kann. Lange Zeit bezog sich die Haftung primär auf steuerliche Verletzungen und Untreue. Mittlerweile sind jedoch Datenschutzverletzungen bei der Geschäftsführerhaftung zu einem wichtigen Thema geworden.
Vor allem hat die 2018 in Kraft getretene Datenschutzgrundverordnung der Europäischen Union, kurz DSGVO, die Situation verschärft. Hier ist klar festgelegt, dass Unternehmen für Verletzungen bei Datenschutzrichtlinien haftbar sind. In der Praxis bedeutet dies für eine GmbH und Kapitalgesellschaften im Allgemeinen, dass der […]

Von Ingmar Kaiser|2021-08-24T13:36:23+02:0018. Dezember 2020|

Nach dem Penetrationstest: Was jetzt?

Viele Kunden von uns, die bisher noch keinen oder wenige Penetrationstests gemacht haben, sind nach dem abgeschlossenen Penetrationstest erstmal ratlos. Sie halten den Bericht in ihren Händen und fragen sich: Wie nun vorgehen? Wie nutze ich die Erkenntnisse aus dem Penetrationstest am besten, um meine Organisation, Systeme und Anwendungen vor Angriffen zu schützen? Daher wollen wir in diesem Beitrag einen kurzen Einblick in übliche Aktivitäten geben, die nach einem Penetrationstest stattfinden.

Von Rafael Fedler|2021-08-31T16:25:40+02:007. Dezember 2020|

Angriffe auf Speicherbausteine:

Ziel von Hackern ist es oft sensible Daten wie Passwörter physisch aus externen Speichermedien wie Flash-Bausteinen zu extrahieren, sowie die abgelegte Firmware zu manipulieren. Das Einpflanzen von Backdoors, um einen Kommunikationstunnel nach außen zu erzeugen ist hierbei nicht unüblich und stellt einem Angreifer die Möglichkeit bereit, sich über längere Zeit im internen Netzwerk auszubreiten (sog. Lateral Movement). Zum aktuellen Stand verschlüsseln erfahrungsgemäß die wenigsten IoT-Entwickler Ihre Firmware, welche sich somit im Klartext innerhalb der Speichermedien befindet.

Anleitungen wie Speicherinhalte ausgelesen werden können gibt es mittlerweile Zuhauf im Internet. Erfahrungsgemäß behandeln diese aber meist die immer seltener anzutreffenden SPI-Flashes im SOIC-8-Format.

(Flash im SOIC-8-Format – Quelle: https://media.digikey.com/Renders/Intersil%20Renders/8-SOIC,M8.jpg)

Diese Art von Speicher lassen sich aufgrund Ihrer […]

Von Alexander Poth|2021-08-31T16:27:12+02:007. Dezember 2020|

cit0day – Datenbanken mit ca. 13 Milliarden Passwörtern geleaked

Seit Januar 2018 bietet die Seite cit0day.in gestohlene E-Mail-Adressen und Passwörter zum Verkauf – ein Service, der größtenteils von Kriminellen genutzt wird, z.B. um große Mengen an E-Mail-Adressen als Empfänger für Spam-Kampagnen zu erhalten. Weiterhin werden die geleakten Zugangsdaten für sogenannte Credential-Stuffing-Angriffe benutzt. Hierbei versucht ein Angreifer, sich mithilfe der Daten Zugang zu Unternehmenswebseiten zu verschaffen. Da viele Benutzer für verschiedene Services das gleiche Passwort verwenden, sind solche Angriffe oft erfolgreich, wodurch Angreifer im schlimmsten Fall in Unternehmensnetze eindringen können, um sich dort weiter auszubreiten.

Nach der Schließung der Seite cit0day.in durch Behören, sind die gehandelten Zugangsdaten nun im Internet gelandet, wo sie in Foren und Chatgruppen weiterverbreitet werden. Seither werden die Daten, Medienberichten zufolge, auch vermehrt für Spam-Kampagnen und Credential-Stuffing-Angriffe eingesetzt. Der Datensatz enthält insgesamt […]

Von Stefan Bauregger|2021-08-24T13:36:24+02:0011. November 2020|

Van Eck Phreaking – und mögliche Schutzmaßnahmen

Denkt man an die Sicherheit von IT-Systemen, werden unmittelbar die Systeme selber sowie alle Schnittstellen zu diesen für Sicherheitsanalysen in Betracht gezogen. Dass ein Gerät auch im Betrieb messbare Auswirkungen auf die Umwelt bzw. umliegende Systeme hat, und diese Auswirkung für einen Angreifer nützlich sein könnten, wird oft nicht beachtet oder für irrelevant erklärt. Dabei existieren einige Seitenkanalattacken, welche auch ohne teures Equipment oder Expertise auf hohem Niveau durchführbar sind. Eine solche Attacke nennt sich Van Eck Phreaking, welche 1985 durch Hr. Wim Van Eck publiziert, aber früher schon durch verschiedenste Nachrichtendienste und Militärs ausgenutzt wurde. (Quelle: https://www.risknet.de/themen/risknews/van-eck-phreaking-elektronische-wirtschafts-spionage/)

Salopp gesagt geht es beim Van Eck Phreaking darum, dass stromdurchflossene Bauteile elektromagnetische Wellen erzeugen, auch wenn diese nicht zur Wellenerzeugung eingesetzt werden (auch einfache Kabel haben […]

Von Alexander Poth|2021-08-31T16:27:55+02:0029. September 2020|

NSIDE Tech Blog

BLEIBEN SIE AUF DEM LAUFENDEN