Markt Magazin

jgolby / Adobe Stock

Interview mit Martin Hanic: Eine Bank entern – „Wer spielt nicht gern Spion?“  

KINOTE: Herr Hanic, können Sie zuerst bitte erläutern, was man unter dem sogenannten Red Teaming eigentlich versteht?

Martin Hanic: Red Teaming ist eine besondere Art der Bedrohungssimulation, die Unternehmen dabei hilft, ihre Sicherheitsstrategie zu testen und zu verbessern. Beim Red Teaming agiert eine unabhängige Gruppe qualifizierter Sicherheitsexperten mit Angreifer-Know-how. Sie liefern eine Antwort auf die Frage: Hält das komplexe Sicherheitssystem einem realistischen Szenario stand? Gegner des Red Teams ist das Blue Team, mit internen IT-Experten der Organisation, die für die Sicherheit der IT-Systeme verantwortlich sind und Cyber-Angriffe abwehren sollen.

KINOTE: Können Sie uns verraten, welche Banken Sie bereits „geentert“ haben und wie solch ein Red Teaming abläuft?

Hanic: Ich werde natürlich keine Namen nennen. Wir einigen uns mit dem Sicherheitsteam des Auftraggebers zunächst auf eine umfassende, aber klare Definition des Anwendungsbereichs. Eine einfache Definition von No-Go-Techniken und eine nach Prioritäten geordnete Liste von Zielen, beginnend mit der Domänenverwaltung, gefolgt von einer Liste interner Systeme und Dokumentenspeicher, die als sensibel gelten.

KINOTE: Was sind dann Ihre nächsten Schritte?

Hanic: Üblicherweise beginnen wir mit OSINT, Open Source Intelligence, ein Begriff aus der Welt der Nachrichtendienste, denn: Wissen ist Macht. Dabei sammeln wir Informationen aus frei verfügbaren, offenen Quellen, die wir analysieren, um weitere verwertbare Erkenntnisse über das Angriffsziel zu gewinnen. Mit den Informationen auf der Website der Bank selbst kommen wir natürlich nicht weit, aber es gibt verschiedene öffentliche Quellen, einschließlich sozialer Medien. Die Zuordnung von Kontakten zu Arbeitsplätzen oder Arbeitsabteilungen ist schwierig. Noch schwieriger ist es, passende Telefonnummern zu finden. Aber es ist uns schon gelungen, eine Reihe von Präsentationen der Personalabteilung, darunter auch einige interne, bei einem lokalen File-Sharing-Dienst abzurufen. Dies erwies sich als Goldgrube, da wir da auch eine Liste von Kontakten für den Großteil einer bestimmten Abteilung gefunden haben. Als „Nebenprodukt“ stießen wir auch auf Vertragsentwürfe mit Anmerkungen, die uns weitere Kontakte liefern.

KINOTE: Wie gelangen Sie an Informationen über die im Unternehmen verwendete Technologie?

Hanic: Um eine Vorstellung davon zu bekommen, welche Geräte, Anwendungen bzw. Software im Unternehmen zum Einsatz kommen, suchen wir nach öffentlich zugänglichen Beschaffungsinformationen wie Ausschreibungen usw. und natürlich nach Referenzen von Lieferanten. So können wir uns ein gutes Bild davon machen, was uns bei unserem Angriffsziel erwartet.

KINOTE: Was gehört zu Ihren Lieblingsbeschäftigungen beim Red Teaming?

Hanic: Ich liebe es, vor Ort Spion zu spielen! Im Gebäude umherzulaufen, um nach anderen Eingängen, Raucherzonen und Kameras zu suchen, in der Lobby auf einen Freund zu warten, der vermeintlich immer zu spät kommt, aus dem Café auf der anderen Straßenseite die Stoßzeiten zu beobachten, wann Menschengruppen kommen und gehen, zu erfahren, wer welche Waren oder Dienstleistungen liefert und wie die Sicherheitsvorkehrungen aussehen, den Angestellten beim Kaffee oder beim Mittagessen im nahegelegenen Restaurant zuzuhören, während man die Wifi-Handshakes ihrer Geräte abfängt … Das ist das Beste am Red Teaming.

KINOTE: Sie werden sich aber nicht mit der Spionage außerhalb des Gebäudes begnügen …

Hanic: Nein, aber ein bißchen Glück hilft da auch. Es ist schon vorgekommen, dass die Personalabteilung unseres Auftraggebers Praktikanten über ein öffentliches Jobportal suchte. Das kam uns gelegen, und wir haben unseren Praktikanten gern geteilt. Er hatte in der Bank eine tolle Zeit, wurde mit allen Vorteilen gelockt und bekam auch einen kurzen Rundgang durchs Haus. Freundlicherweise hat er das gleich für uns aufgezeichnet, inklusive ein paar Wifi-Scans. Das alles half uns, einen Plan für unser eigentliches Ziel, das Hacking, zu entwickeln.

KINOTE: Sie nutzen auch Instrumente wie das Phishing und Vishing?

Hanic: Genau, zum Beispiel, um an gültige Domänen-Zugangsdaten zu kommen, die uns einen Vorsprung gegenüber der internen IT verschaffen.

KINOTE: Darüber hinaus versuchen Sie, sich physischen Zutritt zum Gebäude zu verschaffen.

Hanic: Ja, zum Beispiel über einen jungen Mann in einem T-Shirt mit der Aufschrift eines Kopiergeräteherstellers und einem Wagen voller Kopierpapier und Kartons mit Patronen. Er mischt
sich am Hintereingang unter die herumstehenden Raucher, quatscht ein wenig mit den Entwicklern, dann klingelt sein Telefon … „Oh, mein Chef ruft an … ‘Ja, ich bin auf dem Weg.’ ... Kannst du mir bitte die Tür aufhalten?“ Eine Zigarette undetwas Smalltalk, und schon waren wir drin im Gebäude – über den Hintereingang.

KINOTE: Das reicht aber doch nicht …

Hanic: Nein, unser zweites Team agiert über den Haupteingang. Ein „Besucher“ im Business-Anzug wartet geduldig am Empfang, führt ein sehr langes Telefonat und wartet offenbar, um von einem Mitarbeiter abgeholt zu werden. Die zweite „Kollegin“ nähert sich telefonierend eilig dem Drehkreuz, während sie einen offenen Stapel an Dokumenten in der Hand hält. Ihre Zugangskarte baumelt an einem Band an ihrer linken Hand. Kein Wunder, dass sie in ihrer Eile nicht bemerkt, dass das Kartenlesegerät anders piept und rot blinkt. Sie stoppt nicht, stürzt über das Drehkreuz, die Papiere fliegen über den Boden. Keiner, auch nicht die Wachleute und unser Hauptdarsteller, zögern, ihr aufzuhelfen. Glücklicherweise geht es ihr gut, und sie hat sich nichts getan. Damit sind wir endgültig drin.

Unser „Business-Kollege“ entledigt sich dann seines Business-Looks und sieht fortan ebenfalls aus wie ein Servicemitarbeiter der Kopiergeräte-Firma. Mit dem Kollegen vom Hintereingang macht er sich auf den Weg, um die regelmäßige vierteljährliche Wartung der Netzwerkdrucker durchzuführen. Jeder in einer anderen Etage. Dabei sind beide „bewaffnet“ mit zwei mächtigen Red-Teaming-Waffen:

  • Erstens haben sie ein Raspberry Pi mit zwei USB-Netzwerkadaptern und einem LTE-Modem, um es hinter dem Netzwerkdrucker zu installieren. So kann unser Hacker-Team, das bequem in unserem Büro sitzt, per Fernzugriff auf das Netzwerk zugreifen und den Angriff durchführen.
  • Und zweitens haben sie den üblichen „Papierkram“ dabei, darunter gefälschte Bestellformulare, Wartungspläne, Genehmigungen. Und das Wichtigste, ein „Reparaturabnahmedokument“: Falls tatsächlich jemand Fragen stellen sollte, lautet die Antwort: „Was ich da mache? Ich überprüfe den Drucker natürlich. Gibt es noch andere Probleme, die ich überprüfen soll, abgesehen von den bereits erwähnten? Und wer kann die Reparaturabnahme für mich unterschreiben?“

Nach dem Aufstellen der Geräte ist unser Remote-Team bereit, mit der Arbeit zu beginnen.

KINOTE: Sie müssen dabei ständig auf der Hut sein vor dem Blue Team…

Hanic: Genau, deshalb müssen wir uns zunächst zurückhalten. Im geschilderten Fall hörten wir zuerst einfach eine Weile zu. Dann überprüften wir die Hosts, die, von denen wir wussten, dass sie in der Personalabteilung existieren. Als nächstes widmeten wir uns den Dateifreigaben. Ursprünglich war geplant, die Benutzer nach und nach aus dem Adressbuch zu übernehmen, da unser Drucker über eine „Adressbuch“-Funktion verfügt, aber dazu kam es nicht. Als wir uns die Windows-Dateifreigaben der HR-Webtools aus unserer ersten Erkundungsphase anschauten, stellten wir fest, dass es einen Ordner namens „html“ gibt. Es war keine Überraschung, dass ein Gastzugang nicht erlaubt ist.

Wir senkten unsere Erwartungen, versuchten, mit einem der gefälschten HR-Anmeldedaten aus der Phishing-Aktion darauf zuzugreifen, und wir hatten wieder einmal Glück: Nicht nur, dass wir Zugang zu einem Ordner erhielten, der sich als das Stammverzeichnis einer unter Windows gehosteten PHP-Anwendung herausstellte, sondern wir erhielten auch Schreibrechte. Yes! Das ist Remote-Code-Ausführung, schnell und schmerzlos! Fast schon schade, dass wir uns so hart auf unseren Einsatz vorbereitet hatten, weil wir mehr Hürden erwartet hatten. Aber: Der Zugriff auf sensible Dokumente, die im Dokumentenstamm der Anwendung selbst gespeichert sind und der Zugriff auf das Backend-DBMS reichten schon, um ans Ziel zu kommen.

KINOTE: Was spornt Sie als Ethical Hacker beim Red Teaming noch an?

Hanic: Gern stellen wir unsere Fähigkeiten, noch tiefer ins Netzwerk vorzudringen, weiter auf die Probe, wenn wir etwa herausfinden, dass der Webserver mit System-Rechten ausgeführt wird. Um unsere Tarnung nicht gleich auffliegen zu lassen, holten wir uns im geschilderten Fall den Inhalt von lsass über rundll32.exe. Die Datei ließ sich bequem über den Webserver und die Dateifreigabe, die wir bereits eingebunden hatten, downloaden. Der Angriffsrechner erwies sich in diesem Fall als Goldgrube, da er die Hashes mehrerer Benutzer enthielt. Ein NThash erregte unsere besondere Aufmerksamkeit, da er zu einem „desktop_admin_7“-Benutzer gehörte.

Auch wenn der Name schon alles sagte, zeigte ein schneller Blick auf die Gruppen, denen der Benutzer angehörte, dass er tatsächlich Mitglied von „Desktop Admins“ und „Hotline Support“ war. Bingo! Mit den Ergebnissen eines langsamen, aber gezielten Port-Scans von Webservern auf verfügbaren Desktops bewaffnet, durchsuchten wir die Ergebnisse nach interessanten Zielen. Während wir also ein paar naive Wetten auf die Ergebnisse abschlossen und unsere Hoffnungen auf einen Desktop-Domänenbenutzer hochhielten, führten wir crackmapexec aus, um den lsass-Speicher erneut zu dumpen – aber dieses Mal aus der Ferne.

Wir hatten große, wenn auch nicht allzugroße Hoffnungen in ein Mitglied einer anderen privilegierten Gruppe gesetzt, vielleicht einen Servergruppen-Administrator. Ein Domänen-Administrator wäre hier ja sicher auf keinen Fall angemeldet. Unser Kollege, der nach der Gruppenzugehörigkeit des „da_admin_2“ suchte, verschüttete vor Aufregung seinen Kaffee. Wir kannten die Antwort schon, bevor er „Yess!“ rief. Wir zögerten keine Sekunde, die Beweise dafür zu sichern, dass wir unser Ziel erreicht hatten. Bank gehackt. Game over!

KINOTE: Wow, das klingt wirklich spannend! Was sind die Lessons Learned, die Unternehmen aus solchen Einsätzen mitnehmen können?

Hanic: Aus solchen Einsätzen kann man eine Menge lernen. Das Offensichtlichste ist: Domänen-Administratorkonten sollten niemals für die Anmeldung bei Systemen im Netzwerk verwendet werden. Die wichtigste Lektion ist, dass Sicherheitsprozesse und -standards eine wichtige Rolle in der Gesamtsicherheitsstrategie spielen, aber nur, wenn sie in der Realität auch wirklich korrekt umgesetzt werden. Dies gilt auch für so grundlegende Dinge wie die Berechtigungen für gemeinsam genutzte Ordner, die – wenn sie in die falschen Hände geraten – massive Auswirkungen auf das Gesamtsystem haben können. Daher gilt der Grundsatz „Vertrauen ist gut, Kontrolle ist besser“ immer noch goldenen Boden.

Ein regelmäßiger Wettbewerb zwischen dem roten und dem blauen Team sollte nicht nur dazu beitragen, echte Sicherheitslücken im Unternehmen zu ermitteln, die Angreifer ausnutzen könnten, er soll auch die Fähigkeiten beider Teams verbessern. Und zu guter Letzt: Der Mensch ist immer noch das schwächste Glied in der Kette. Nicht nur Penetrationstests und Red Teaming, auch regelmäßige Awareness-Schulungen der Mitarbeitenden rund um Cyber Security sind unerlässlich.

KINOTE: Herr Hanic, haben Sie vielen Dank für das interessante Gespräch.

Das Interview führte Anja U. Kraus.

ÜBER MARTIN HANIC


Martin Hanic ist Aktionär, Vorstandsmitglied und Ethischer Hacker beim Cyber-Security-Unternehmen Citadelo. Sein erstes Programm schrieb Hanic auf einem tschechoslowakischen Didaktik M. Wegen einer neuen Linux-Kernel-Version kam er zu spät zum Abschlussball; er graduierte trotz der Fallstricke von Gentoo und Battle.net. Da ihm das Aufbrechen von Strukturen definitiv mehr Spaß macht als sie zu reparieren, entschied er sich nach 15 Jahren in der Unternehmenswelt, auf die Seite der ethischen Hacker zu wechseln. Neben zahlreichen Banken hat er auch die Militärserver von acht Staaten gehackt – zum Glück nur während des internationalen Cyber-Wettkampfs Locked Shields.

 

Der Mensch – immer noch das schwächste Glied in der Kette

Phishing ist eine Methode, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als  vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Ziel des Betrugs ist es, an persönliche Daten eines Internet-Benutzers zu gelangen oder ihn z. B. zur Ausführung einer schädlichen Aktion zu bewegen.

Vishing ist eine Variante des Phishing. Dabei kommen Sprachsysteme zum Einsatz. Bei dieser Betrugsmasche werden Personen zu Handlungen aufgefordert, von denen sie glauben, sie seien in ihrem Interesse. Ein Gespräch mit einem Mitarbeiter in einem Unternehmen kann modellhaft folgendermaßen ablaufen:

„Hallo, hier ist Peter aus der IT-Abteilung (ja, der, über den Sie sich in der Mittagspause immer beschweren). Ich rufe Sie von meinem Mobiltelefon aus an, weil die Hälfte des Teams krank ist und wir ein obligatorisches Homeoffice haben. Tut mir leid, dass ich Sie störe, aber wir sind mitten in der Migration des Mailservers und müssen sie bis Freitag abschließen. Wir müssen nicht nur Überstunden machen, sondern ich muss jetzt auch noch alle Leute von einer Liste anrufen, denen wir eine Mail mit Anweisungen schicken, damit wir sicher sind, dass sie es auch tun.

Lächerlich? Ja, das brauchen Sie mir nicht zu sagen. Aber die Leute ignorieren derlei ja wie üblich oder löschen sie, weil es sich um Phishing oder so handeln könnte, und jetzt muss ich die Leute anrufen, um sicherzustellen, dass sie sich in das neue System einloggen, damit wir am Freitag umstellen können. Als ob ich nichts Besseres zu tun hätte!

Sie haben die Mail nicht bekommen? Komisch. Geben Sie mir eine Sekunde, ich schicke sie Ihnen noch einmal … Also, bitte loggen Sie sich einfach auf dem neuen OVA-Server ein, ich überprüfe, ob das Konto migriert wurde und spiele dann wieder Call Center. Nein, nicht die ganze Abteilung …, es sind nur einige Leute, deren Konto aus irgendeinem Grund nicht automatisch migriert wurde ...

Toll, wie ich sehe, sind Sie fertig! Danke und einen schönen Tag.“


(...)


+++

Wir sprechen mit Benny Bennet Jürgens von der Nect GmbH im Podcast über die Chancen und die Zukunft von vollautomatischen Identifizierungsprozessen mit KI beim Kundenannahmeprozess in der Bank. Hören Sie hier weitere Episoden aus der Reihe „durch die bank“.


Melden Sie sich bei Interesse zu unserem Web-Seminar „KI-gestützte Prognosemodelle zur Ermittlung von Kreditausfallwahrscheinlichkeit in Kreditinstituten“ an.

Stichworte

Verwandte Artikel

Anzeige

Lexikoneinträge