Unternehmensmatrix
Unternehmen sind heute einer Vielzahl unterschiedlichster Angriffe ausgesetzt, oftmals ist es eine einfache Abwägungsangelegenheit, sich dagegen zu wehren oder den Angreifer gewähren zu lassen.
Interessant wird es nun, herauszufinden, wo (und wie!!!) gegebenenfalls ein potentieller Angreifer bestehende Hürden zum Netzwerk umgeht. Folgende, NICHT vollständige Liste enthält einige Angriffs-Techniken für Windows-, Mac- und Linux-Plattformen:
| Initial Access | Execution | Persistence | Privilege Escalation | Defense Evasion | Credential Access | Discovery | Lateral Movement | Collection | Command and Control | Exfiltration | Impact |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Drive-by Compromise | AppleScript | .bash_profile and .bashrc | Access Token Manipulation | Access Token Manipulation | Account Manipulation | Account Discovery | AppleScript | Audio Capture | Commonly Used Port | Automated Exfiltration | Data Destruction |
| Exploit Public-Facing Application | CMSTP | Accessibility Features | Accessibility Features | Binary Padding | Bash History | Application Window Discovery | Application Deployment Software | Automated Collection | Communication Through Removable Media | Data Compressed | Data Encrypted for Impact |
| External Remote Services | Command-Line Interface | Account Manipulation | AppCert DLLs | BITS Jobs | Brute Force | Browser Bookmark Discovery | Distributed Component Object Model | Clipboard Data | Connection Proxy | Data Encrypted | Defacement |
| Hardware Additions | Compiled HTML File | AppCert DLLs | AppInit DLLs | Bypass User Account Control | Credential Dumping | Domain Trust Discovery | Exploitation of Remote Services | Data from Information Repositories | Custom Command and Control Protocol | Data Transfer Size Limits | Disk Content Wipe |
| Replication Through Removable Media | Control Panel Items | AppInit DLLs | Application Shimming | Clear Command History | Credentials in Files | File and Directory Discovery | Logon Scripts | Data from Local System | Custom Cryptographic Protocol | Exfiltration Over Alternative Protocol | Disk Structure Wipe |
| Spearphishing Attachment | Dynamic Data Exchange | Application Shimming | Bypass User Account Control | CMSTP | Credentials in Registry | Network Service Scanning | Pass the Hash | Data from Network Shared Drive | Data Encoding | Exfiltration Over Command and Control Channel | Endpoint Denial of Service |
| Spearphishing Link | Execution through API | Authentication Package | DLL Search Order Hijacking | Code Signing | Exploitation for Credential Access | Network Share Discovery | Pass the Ticket | Data from Removable Media | Data Obfuscation | Exfiltration Over Other Network Medium | Firmware Corruption |
| Spearphishing via Service | Execution through Module Load | BITS Jobs | Dylib Hijacking | Compile After Delivery | Forced Authentication | Network Sniffing | Remote Desktop Protocol | Data Staged | Domain Fronting | Exfiltration Over Physical Medium | Inhibit System Recovery |
| Supply Chain Compromise | Exploitation for Client Execution | Bootkit | Exploitation for Privilege Escalation | Compiled HTML File | Hooking | Password Policy Discovery | Remote File Copy | Email Collection | Domain Generation Algorithms | Scheduled Transfer | Network Denial of Service |
| Trusted Relationship | Graphical User Interface | Browser Extensions | Extra Window Memory Injection | Component Firmware | Input Capture | Peripheral Device Discovery | Remote Services | Input Capture | Fallback Channels | Resource Hijacking | |
| Valid Accounts | InstallUtil | Change Default File Association | File System Permissions Weakness | Component Object Model Hijacking | Input Prompt | Permission Groups Discovery | Replication Through Removable Media | Man in the Browser | Multi-hop Proxy | Runtime Data Manipulation | |
| Launchctl | Component Firmware | Hooking | Control Panel Items | Kerberoasting | Process Discovery | Shared Webroot | Screen Capture | Multi-Stage Channels | Service Stop | ||
| Local Job Scheduling | Component Object Model Hijacking | Image File Execution Options Injection | DCShadow | Keychain | Query Registry | SSH Hijacking | Video Capture | Multiband Communication | Stored Data Manipulation | ||
| LSASS Driver | Create Account | Launch Daemon | Deobfuscate/Decode Files or Information | LLMNR/NBT-NS Poisoning and Relay | Remote System Discovery | Taint Shared Content | Multilayer Encryption | Transmitted Data Manipulation | |||
| Mshta | DLL Search Order Hijacking | New Service | Disabling Security Tools | Network Sniffing | Security Software Discovery | Third-party Software | Port Knocking | ||||
| PowerShell | Dylib Hijacking | Path Interception | DLL Search Order Hijacking | Password Filter DLL | System Information Discovery | Windows Admin Shares | Remote Access Tools | ||||
| Regsvcs/Regasm | External Remote Services | Plist Modification | DLL Side-Loading | Private Keys | System Network Configuration Discovery | Windows Remote Management | Remote File Copy | ||||
| Regsvr32 | File System Permissions Weakness | Port Monitors | Execution Guardrails | Securityd Memory | System Network Connections Discovery | Standard Application Layer Protocol | |||||
| Rundll32 | Hidden Files and Directories | Process Injection | Exploitation for Defense Evasion | Two-Factor Authentication Interception | System Owner/User Discovery | Standard Cryptographic Protocol | |||||
| Scheduled Task | Hooking | Scheduled Task | Extra Window Memory Injection | System Service Discovery | Standard Non-Application Layer Protocol | ||||||
| Scripting | Hypervisor | Service Registry Permissions Weakness | File Deletion | System Time Discovery | Uncommonly Used Port | ||||||
| Service Execution | Image File Execution Options Injection | Setuid and Setgid | File Permissions Modification | Virtualization/Sandbox Evasion | Web Service | ||||||
| Signed Binary Proxy Execution | Kernel Modules and Extensions | SID-History Injection | File System Logical Offsets | ||||||||
| Signed Script Proxy Execution | Launch Agent | Startup Items | Gatekeeper Bypass | ||||||||
| Source | Launch Daemon | Sudo | Group Policy Modification | ||||||||
| Space after Filename | Launchctl | Sudo Caching | Hidden Files and Directories | ||||||||
| Third-party Software | LC_LOAD_DYLIB Addition | Valid Accounts | Hidden Users | ||||||||
| Trap | Local Job Scheduling | Web Shell | Hidden Window | ||||||||
| Trusted Developer Utilities | Login Item | HISTCONTROL | |||||||||
| User Execution | Logon Scripts | Image File Execution Options Injection | |||||||||
| Windows Management Instrumentation | LSASS Driver | Indicator Blocking | |||||||||
| Windows Remote Management | Modify Existing Service | Indicator Removal from Tools | |||||||||
| XSL Script Processing | Netsh Helper DLL | Indicator Removal on Host | |||||||||
| New Service | Indirect Command Execution | ||||||||||
| Office Application Startup | Install Root Certificate | ||||||||||
| Path Interception | InstallUtil | ||||||||||
| Plist Modification | Launchctl | ||||||||||
| Port Knocking | LC_MAIN Hijacking | ||||||||||
| Port Monitors | Masquerading | ||||||||||
| Rc.common | Modify Registry | ||||||||||
| Re-opened Applications | Mshta | ||||||||||
| Redundant Access | Network Share Connection Removal | ||||||||||
| Registry Run Keys / Startup Folder | NTFS File Attributes | ||||||||||
| Scheduled Task | Obfuscated Files or Information | ||||||||||
| Screensaver | Plist Modification | ||||||||||
| Security Support Provider | Port Knocking | ||||||||||
| Service Registry Permissions Weakness | Process Doppelgänging | ||||||||||
| Setuid and Setgid | Process Hollowing | ||||||||||
| Shortcut Modification | Process Injection | ||||||||||
| SIP and Trust Provider Hijacking | Redundant Access | ||||||||||
| Startup Items | Regsvcs/Regasm | ||||||||||
| System Firmware | Regsvr32 | ||||||||||
| Systemd Service | Rootkit | ||||||||||
| Time Providers | Rundll32 | ||||||||||
| Trap | Scripting | ||||||||||
| Valid Accounts | Signed Binary Proxy Execution | ||||||||||
| Web Shell | Signed Script Proxy Execution | ||||||||||
| Windows Management Instrumentation Event Subscription | SIP and Trust Provider Hijacking | ||||||||||
| Winlogon Helper DLL | Software Packing | ||||||||||
| Space after Filename | |||||||||||
| Template Injection | |||||||||||
| Timestomp | |||||||||||
| Trusted Developer Utilities | |||||||||||
| Valid Accounts | |||||||||||
| Virtualization/Sandbox Evasion | |||||||||||
| Web Service | |||||||||||
| XSL Script Processing |
Ab und zu bringt die Sicherheitsbranche ein neues Schlagwort hervor und führt Terminologien ein, die übertrieben cool klingen mögen, aber viel Interesse wecken. Ein solches Wort, das mehr und mehr viral geht, ist die automatisierte "feindliche Emulation" oder automated “adversary emulation“. Lassen Sie uns zunächst verstehen, was das wirklich bedeutet. Die gegnerische bzw. feindliche Emulation/Simulation bietet eine Methode, um die Widerstandsfähigkeit eines Netzwerks gegen einen fortgeschrittenen Angreifer zu testen, obwohl in diesem Fall alle Tests von einem eigenen System ausgeführt werden. Wenn dies ein echter "Gegner" wäre, hätte ein System diese Simulationen nicht durchgeführt. Dennoch gibt es einen riesigen Markt an Tools, die Ihnen helfen zu überprüfen, ob Ihre Sicherheitstools wie gewünscht laufen; es stehen Ihnen hier sowohl kommerzielle als auch Open-Source-Tools zur Verfügung.
Lassen Sie uns die Liste der Emulationswerkzeuge mal ansehen:
CALDERA bietet ein intelligentes, automatisiertes Emulationssystem für Gegner, das die Ressourcen reduziert, die von Sicherheitsteams für Routinetests benötigt werden, so dass sie andere kritische Probleme lösen können. Es kann verwendet werden, um Endgerätesicherheitslösungen zu testen und die Sicherheitslage eines Netzwerks anhand der im ATT&CK-Modell enthaltenen gemeinsamen kontradiktorischen Techniken nach einem Kompromiss zu bewerten. CALDERA nutzt das ATT&CK-Modell, um gegnerisches Verhalten zu identifizieren und zu replizieren, als ob ein echter Einbruch stattfindet. Laden Sie CALDERA von hier herunter.
Metta: Uber hat kürzlich dieses gegnerische Simulationstool, das aus mehreren internen Projekten hervorgegangen ist, eröffnet. Metta verwendet Redis/Celery, Python und Vagrant mit VirtualBox, um eine kontradiktorische Simulation durchzuführen, mit der Sie Ihre hostbasierten Sicherheitssysteme testen können. Dies kann es Ihnen auch ermöglichen, andere netzwerkbasierte Sicherheitserkennungen und -kontrollen zu testen, je nachdem, wie Sie Ihre Vaganten konfigurieren. Metta ist mit Microsoft Windows-, MacOS- und Linux-Endpunkten kompatibel. Laden Sie Metta von hier herunter.
APT-Simulator: APT Simulator ist ein Windows Batch-Skript, das eine Reihe von Tools und Ausgabedateien verwendet, um ein System so aussehen zu lassen, als wäre es kompromittiert worden. Es hilft Ihnen, eine echte Bedrohung auf eine realistischere Weise zu simulieren. Dies ist natürlich eine reine Windows-Lösung. Laden Sie APT Simulatorvon hier herunter.
Red Team Automation: Red Team Automation (RTA) ist ein Satz von 38 Skripten und unterstützt ausführbare Dateien, die zuverlässige Artefakte erzeugen, die den Techniken im ATT&CK™ Framework entsprechen. Ab sofort bietet RTA die Abdeckung von 50 ATT&CK™ Techniken, die mit der Zeit zunehmen werden. Ich glaube, dieses Tool bietet bereits eine richtig gute EDR-Berichterstattung (Endpoint Detection and Response).
Red Team Automation RTA unterstützt Microsoft Windows und ist in Python kodiert und kann Anti-Forensik-Operationen durchführen, sich über Querbewegungen verbreiten, UAC (User Account Control) umgehen und vieles andere. Laden Sie Red Team Automation (RTA) hier herunter.
Invoke-Adversary: Ein echter Neuzugang im Bereich der gegnerischen Emulation - Microsofts Invoke-Adversary ist ein PowerShell-Skript, das Ihnen hilft, Sicherheitsprodukte und Überwachungslösungen daraufhin zu bewerten, wie gut sie fortgeschrittene, dauerhafte Bedrohungen erkennen. Ab sofort prüft es auf Persistenz, Erkennung, Berechtigungszugriff, Verteidigungsumgehung, Informationssammlung, Befehl und Kontrolle, Ausführung und AppLocker-Bypass. Laden Sie Invoke-Adversary hier herunter.
Atomic Red Team: Das Atomic Red Team von Red Canary ist ein weiteres Emulations-Framework auf Basis von Open Source iund bietet Ihnen die Möglichkeit, auf Erkennung zu testen. Diese wurde im vergangenen Jahr eingeführt und hat sich seitdem sicherlich verbessert. Atomic Red Team ist ein auf MITRE ATT&CK abgebildetes Open Source-Tool zur Simulation feindlicher Verhaltensweisen. Laden Sie Atomic Red Team hier herunter.
Infektion Monkey: Guardicore Infection Monkey ist ein weiteres Open-Source-Tool zur Simulation von Sicherheitsverletzungen und Angriffen, um die Sicherheitslage Ihres Netzwerks zu bewerten. Es hilft Ihnen, die Widerstandsfähigkeit Ihres Netzwerks gegen Perimeterverletzungen und interne Serverinfektionen zu testen.
Infektions-MonkeyThe Monkey verwendet verschiedene Methoden, um sich selbst über ein Rechenzentrum zu verbreiten und meldet den Erfolg an einen zentralen Monkey Island-Server. Es ist auch in Python kodiert und funktioniert auf Microsoft Windows & Linux Systemen. Laden Sie Infection Monkey hier herunter.
Blue Team Training Toolkit (BT3): Encripto Blue Team Training Toolkit (BT3) ist eine Software für defensives Sicherheitstraining, die Ihre Netzwerkanalysetrainings, Vorfallsreaktionsübungen und Red Team Engagements auf ein neues Niveau hebt. Mit dem Toolkit können Sie realistische Computerangriffsszenarien erstellen und gleichzeitig Infrastrukturkosten, Implementierungszeit und Risiko reduzieren.
Blue Team Training ToolkitIt ist in Python geschrieben und enthält die neueste Version von Encripto's Maligno, Pcapteller und Mocksum. Es beinhaltet auch mehrere Malware-Indikatorprofile, die ein "Plug & Play"-Erlebnis gewährleisten, wenn es um die Planung und Vorbereitung einer Trainingseinheit, einer Vorfallsreaktionsübung oder des Einsatzes eines roten Teams geht. Laden Sie Blue Team Training Toolkit v2.6 hier herunter.
DumpsterFire: DumpsterFire ist ein modulares, menügesteuertes und plattformübergreifendes Tool in Python zur Erstellung kundenspezifischer, zeitverzögerter, verteilter Sicherheitsereignisse. Es ermöglicht Ihnen die einfache Erstellung benutzerdefinierter Ereignisketten für Blue Team Drills und Sensor/Alarm-Mapping. Red Teams können auch Ködervorfälle, Ablenkungen und Köder erstellen, um ihre Operationen zu unterstützen und zu skalieren. Laden Sie DumpsterFire v1.0.0.0 hier herunter.
AutoTTP: Abkürzung für Automated Tactics Techniques & Procedures, AutoTTP verwendet ein gut etabliertes PowerShell- und Python-Projekt. Projekt ist noch in Arbeit. Laden Sie AutoTTP hier herunter.
NSA Unfetter: Unfetter ist ein Projekt, das Netzwerkverteidiger, Cybersicherheitsexperten und Entscheidungsträger dabei unterstützen soll, defensive Lücken skalierbar und wiederholbar zu identifizieren und zu analysieren. Durch die Kombination der Gruppen und Techniken des ATT&CK™-Modells mit der Analyse, dem Datenmodell und den Sensoren des Cyber Analytics Repository (CAR) bietet Unfetter der Community die Möglichkeit, zusammenzukommen und über Indikatoren hinaus zu einer verhaltensbasierten Methodik zu gelangen. Laden Sie Unfetter hier herunter.
RedHunt OS: Das RedHunt OS zielt darauf ab, ein One-Stop-Shop für alle Ihre Anforderungen an die Emulation von Bedrohungen und die Jagd auf Bedrohungen zu sein, indem es das Arsenal des Angreifers sowie das Toolkit des Verteidigers integriert, um die Bedrohungen in Ihrer Umgebung aktiv zu identifizieren. Die Basismaschine ist Lubuntu-17.10.1 x64. Es enthält die folgenden Werkzeuge für verschiedene Zwecke:
Angriffsemulation: Caldera, Atomic Red Team, DumpsterFire, Metta, RTA, Nmap, CrackMapExec, Responder, Zap
Protokollierung und Überwachung: Kolide Flotte, ELK (Elastische Suche, Logstash und Kibana) Stack
Open Source Intelligence (OSINT): Maltego, Recon-ng, Datasploit, der Harvestor
Bedrohungsaufklärung: Yeti, Harpune
Laden Sie RedHunt OS v2 hier herunter.
Natürlich gibt es auch eine ganze Reihe von kommerziellen Emulationswerkzeugen zu diesem Zweck:
- Attack Simulator
- AttackIQ FireDrill
- Cobalt Strike
- Cymulate
- Immunity Adversary Simulation
- Picus Security
- SafeBreach
- SCYTHE
- SimSpace
- Tear Drop
- Threatcare
- Verodin Instrumented Security Platform
- XM Cyber
Die Verwendung dieser Simulationsprogramme, egal ob Kommerziell oder Open Source, gestaltet sich nicht ganz ohne Herausforderungen. Diese sollten bedacht werden:
- Nicht alle Techniken sind immer bösartig
- Beispiel: Daten von einem gemeinsamen Netzlaufwerk
- Der Schlüssel zur Erkennung: Wie wird diese Technik aktiviert?
- Nicht alle Techniken sind einfach zu erkennen
- Beispiel: Spearphishing-Link
- Der Schlüssel zur Erkennung: Andere Ereignisse rund um den Empfang von E-Mail
- Manche Techniken können auf vielfältige Arten angewendet werden
- Beispiel: Credential Dumping
- Der Schlüssel zur Erkennung: Bauen Sie bekannte Methoden der Aktivierung der Technik aus und bezeichnen Sie sie alle als Credential Dumping
- Manche Techniken sind unter mehreren Taktiken aufgeführt
- Beispiel: Kaperung der DLL-Suchreihenfolge
- Wird unter den Taktiken Persistenz, Weiterleitung von Berechtigungen und Umgehung der Abwehr aufgeführt.
- Einige Taktiken, darunter auch diese, können in mehreren Anwendungsfällen verwendet werden und sind in mehreren Angriffsphasen nützlich.
Bitte beachten Sie beim Einsatz derartiger Werkzeuge immer alle geltenden Regelungen, Bestimmungen und Gesetze sowie fragen Sie VORHER Ihren SysAdmin bzw. Ihre Rechtsabteilung. Achten Sie bitte darüberhinaus auf ordnungsgemäßen Einsatz der Tools zur Vermeidung von Datenverlusten, obschon Ihnen natürlich ein kompletter und funktionsfähiger BackUp zur Verfügung steht!
Daten letztmalig aktualisiert am 12.09.2019, © Peter S. Bachl
Interessiert an mehr Information?
