Wie in einer Pentestingfirma üblich besteht viel der alltäglichen Arbeit aus dem Überprüfen von IT –Infrastruktur, wie etwa Webapplikationen und Netzwerken. Extrem spannend wird es für uns jedoch, wenn wir im Rahmen eines Red Teams beauftragt werden, auch die physische Sicherheit zu überprüfen. In meinem letzten Fall sollte ich versuchen physisch bei einer Versicherungsgesellschaft einzubrechen.
Die Thematik des physischen Zugangs finde ich persönlich sehr spannend, vor allem weil ich in meiner Freizeit bei der Freiwilligen Feuerwehr tätig bin und so früh erste Erfahrungen im Bereich des gewaltsamen Eindringens kennengelernt habe. Allerdings ist der Einbruch im Rahmen der Feuerwehr nicht mit dem unerlaubten Eindringen bei einem Red Team Assessment zu vergleich. Beim Red Team Assessment wird ein reeller Angriff von uns simuliert – so wie es auch echte „Einbrecher“ machen würden. Ziel ist es, dass das Blue Team (Verteidiger) keinen Verdacht schöpft und so die Aufmerksamkeit nicht auf uns gelenkt wird.
Vorbereitung
Durch die Recherche von öffentlichen, für jeden zugängliche Informationen (OSINT), wie der Unternehmenswebseite, Anfahrtsbeschreibungen, Google Maps und Streetview, habe ich einen ersten Eindruck der physischen Sicherheit des Unternehmens erhalten.
So fand ich unteranderem bequem vom Büro aus heraus, dass der Hauptsitz der Versicherung aus mehreren mit Überwachungskameras gesicherten Gebäuden besteht und dass der Eintritt am Haupteingang durch eine Vereinzelungsanlage erfolgt, die vor dem Zutritt unberechtigter schützt. Alles in allem wirkte der Hauptsitz auf den ersten Blick als gut gesichert.
Aufgrund der gewonnenen Informationen werden Szenarien zum Einstieg in das Gebäude erarbeitet.
In den meisten Fällen, sind diese breit aufgestellt, um auf die tatsächlichen Gegebenheiten Vorort möglichst schnell reagieren zu können. Das Ziel in dem physischen Teil unseres Red Teams ist es, einen Zugang in das interne Office Netzwerk des Kunden zu bekommen. Hierzu habe ich einen Raspberry Pi vorbereitet, welcher mit einer Handykarte ausgestattet ist, um so einen ständigen Zugriff von unserer Command & Control Infrastruktur zu gewährleisten. Ebenso sollten wir durch den physischen Zugriff versuchen, eine Malware auf den PCs einiger Mitarbeiter zu installieren. Für dieses Vorgehen, haben meine Kollegen und ich eine Malware vorbereitet, die von der eingesetzten Endpoint-Protection nicht erkannt wird und trotz Proxy die Kontrolle der Rechner über unsere Command & Control Infrastruktur ermöglichen soll.
Aktion
Nach der Anreise habe ich mir zuerst einen groben Überblick verschafft, dafür bin ich um die Gebäude gelaufen. Das Adrenalin, welches mich die nächsten Tage bei jedem Schritt begleiten wird, stieg erstmals in mir auf. Die während der Recherche zuerst übermächtig wirkenden Schutzmaßnahmen zeigten, nun doch einige vielversprechenden Schwachstellen auf. Doch bevor ich mich an den physischen „Einbruch“ machte, traf ich mich mit dem CISO, der uns beauftragt hat, in einer nahegelegenen Wirtschaft, um mir mein „Du kommst aus dem Gefängnis frei“-Schreiben abzuholen. So nennen wir unseren „Freifahrtschein“ – sollten wir doch im Gebäude erwischt werden.
Am Vorabend habe ich schon gesehen, dass es bei den kleineren Gebäuden keine Vereinzelungsanlage gibt, sondern die Mitarbeiter ihre Zutrittskarte an den Leser halten und dann dem Nachfolger freundlich die Tür aufhalten.
Wie sollte ich vorgehen? Sollte ich meine Kopfhörer in die Ohren stecken und so tun als würde ich telefonieren? Und so den passenden Moment abwarten um ins Gebäude einzudringen?
Wenn man sich also dem Gebäude nähert und sich ernsthaft Gedanken macht, wie man am besten in die Büroräume eindringen kann, desto mehr macht sich das Gefühl breit gleich entdeckt zu werden. Ich stelle mir bei solchen Aktionen immer die Frage, wieso fällt das niemanden auf, dass man hier nicht rein gehört? Besonders dann, wenn ich den gleichen Flur zum dritten Mal lang laufe, weil ich einfach noch keine Ahnung von den Räumlichkeiten des Offices habe. Doch ein freundliches „Hallo“ beseitig in der Regel alle Zweifel des Gegenübers.
Im Fall dieser Versicherungsgesellschaft, hat mich lediglich eine Person ermahnt, da ich durch eine aufgekeilte Türe (auf Grund von Handwerkern) in einen besser geschützten Bereich des Gebäudes vorgedrungen bin. Doch eine freundliche Entschuldigung war vollkommen ausreichend und ich konnte mich auch in diesem Bereich frei bewegen.
Um den Zeitpunkt abzuwarten, an dem möglichst wenige Personen im Gebäude sind, aber der Wachdienst auch noch keinen Einbrecher vermutet, habe ich mich zunächst auf der Toilette eingeschlossen. Hier fällt man nicht auf – hier kann man sein ohne gesehen zu werden.
Es ist soweit.
Unter großem Herzklopfen konnte ich den Raspberry Pi in einem Druckerraum verstecken und an das Netzwerk anschließen. Die Kollegen im Büro konnten die Verbindung mit unserer Command & Control Infrastruktur sofort überprüfen – was auch geklappt hat.
Es ging also um das zweite Ziel: physisch Malware auf einen Computer zu installieren. Hier war der Plan einen PC mit einem Live Linux zu starten und diese direkt auf dem PC abzulegen. Leider mussten wir in diesem Fall einige Rückschläge hinnehmen, da die Endpoint Protection des PC trotz Administrator Konto die zahlreichen Wege für das Platzieren der Malware erfolgreich blockierte. In einer dedizierten Konfiguration wäre, die Installation wohl geglückt. Da es mittlerweile jedoch halb 10 abends war und alle Mitarbeiter längst heimgegangen sind, musste ich um keinem Wachmann aufzufallen, mein Vorhaben aufgeben und nur mit einem Teilerfolg das Gebäude verlassen.
Die während des physischen Einbruchs gewonnen Erkenntnisse sind, obwohl das Vorhaben nicht in Gänze funktioniert hat, enorm wichtig für den Kunden. Er weiß nun von der mangelnden Zutrittssicherheit, über die nicht abgeschlossenen Datenschutztonnen, bis zu den, während des Malware-Installation-Versuchs, entdeckten Schwachstelle in der Windows Konfiguration Bescheid. All diese Findings werden zukünftig helfen, die Widerstandskraft auch gegen physisches Eindringen zu erhöhen.