> Pentest > Exploitation vertical divider

Phase 3 - Exploitation: Verifizieren von Angriffsmöglichkeiten

Exploitation In der dritten Phase, Exploitation, versuchen die Pentester gefundene Schwachstellen gezielt auszunutzen. Dafür werden Exploits entwickelt, mit denen etwa sensitive Informationen ausgelesen werden können oder welche den Pentestern ermöglichen, Systeme zu kompromittieren und sich auf diesen zu manifestieren. Ist dies gelungen, so kann von dort aus dann weiter in das Netzwerk eingedrungen werden, da der Pentester nun Zugriff auf weitere mögliche Angriffsziele hat, die vorher noch nicht erreichbar waren. Über diese neuen, unbekannten Systeme können dann wieder mittels Reconnaissance und Enumeration Informationen beschafft werden, um auch diese weiter angreifen zu können.

Eigene Entwicklungen

Webserver: SQL Injection, Session Hijacking, Directory Traversal, Cross-Site-Scripting (XSS), Code Injection Exploits werden häufig von RedTeam Pentesting selbst entwickelt. Dies unterscheidet einen professionellen Penetrationstest von einem oft angebotenen automatisierten Sicherheits-Scan. Bei individueller Hard- und Software ist diese Vorgehensweise unumgänglich, da nur so praxisrelevante Ergebnisse erzielt werden. Die Penetrationstester gehen vor wie ein ernstzunehmender Angreifer. Ein Industriespion wird auch entsprechend viel Zeit und Aufwand investieren, um seinem Ziel näher zu kommen. Bei diversen Penetrationstests hat sich gezeigt, dass gerade individuelle Schwachstellen, für die keine Exploits bekannt sind, die großen Schwachstellen der Unternehmen darstellen.

Network: Firewall Traversal, Man-In-The-Middle, Spoofing, WLAN, ARP Poisoning

Angriff ist die beste Verteidigung

Im Rahmen von Penetrationstests werden verschiedene Angriffstechniken angewendet. Während des Penetrationstests wählen die Tester die geeigneten Angriffsmethoden aus, um eine vermutete Schwachstelle zu überprüfen. Die auf dieser Seite abgebildeten Grafiken zeigen exemplarisch einige Angriffsziele. Für jedes Ziel sind verschiedene mögliche Angriffsmethoden angegeben. Dies ist natürlich keine vollständige Auflistung, sondern soll nur einen Auszug von Möglichkeiten zeigen. Insgesamt gibt es eine sehr große Anzahl von möglichen Angriffszielen und Attacken. Durch die ständige Veränderung und Weiterentwicklung der IT-Landschaft kommen außerdem fast monatlich neue Angriffstechniken hinzu. Ein guter Pentester zeichnet sich dadurch aus, auf diese Entwicklungen zu reagieren und sich ständig auf dem aktuellen Stand der bekannten Techniken zu halten, um einen realistischen Angriff durchführen zu können.

Ziel des Angriffs auf die Netzwerkinfrastruktur ist das Überwinden von Netzwerkgrenzen, um mit Servern und anderen Netzwerkgeräten in anderen Netzsegmenten kommunizieren zu können. Hierzu wird versucht in WLANs einzudringen, Firewalls zu umgehen oder Datenkommunikation über den angreifenden Rechner umzuleiten. Man möchte in die Netzwerksegmente eindringen, welche entsprechend kritische Daten des Unternehmens beinhalten oder für den täglichen Betrieb kritisch sind.

Services: Buffer Overflows, Format Strings, DoS, Authentication Bypass, Covert Channels

Verantwortungsvolles Vorgehen

Bei ihren Angriffen sind die Pentester stets darauf bedacht mit großer Vorsicht vorzugehen, um Beeinträchtigungen des normalen Serverbetriebs zu vermeiden. Bei besonders kritischen Systemen erfolgt der Angriff erst nach Rücksprache mit den zuständigen Administratoren. Sollte es doch einmal zu einem Problem kommen, so wird durch vorher festgelegte Ansprechpartner und Notrufnummern eine schnelle und direkte Kommunikation gewährleistet. Nach bisheriger Erfahrung kommt es jedoch äußerst selten zu Systemabstürzen, die den Betrieb des Unternehmens stören. Diese Systeme sind meist bereits vor dem Pentest durch Abstürze auffällig geworden. Teilweise lässt sich dies darauf zurückführen, dass diese bereits in der Vergangenheit angegriffen wurden, ohne dass diese Vorkommnisse als Angriffe identifiziert wurden.

Social Engineering

Eine spezielle Art von Angriff ist Social Engineering. Als Erweiterung zu den Angriffen auf rein technischer Ebene wird hier versucht menschliche Schwächen auszunutzen. Dieser Ansatz ist überraschend effektiv, da der menschliche Faktor oft das schwächste Glied in der Sicherheitskette eines Unternehmens darstellt. Gerade bei hochkritischen Bereichen, welche technisch auf sehr hohem Niveau abgesichert sind, gewinnt dies große Bedeutung. Beim Social Engineering versucht der Penetrationstester einerseits vertrauliche Informationen von Mitarbeitern zu bekommen, zu denen er sonst keinen direkten Zugang hätte, sowie andererseits diese dazu zu bringen, Aktionen zum Vorteil des Angreifers auszuführen. Um dies zu erreichen wird versucht das Vertrauen des Mitarbeiters durch Vorspiegelung falscher Tatsachen zu gewinnen, oft kombiniert mit dem gezielten Aufbau von Stress.

Im Rahmen von Penetrationstests ist eine Durchführung von Social Engineering Angriffen allerdings genau abzuwägen. Auch wenn die Erfolgsaussichten eines solchen Angriffs sehr groß sind, ist doch der Lerneffekt meist begrenzt auf die unmittelbare Umgebung des betroffenen Mitarbeiters. Nicht betroffene Mitarbeiter können sich in der Regel nicht in die Lage des erfolgreich angegriffenen Mitarbeiters versetzen. Aus der eigenen Perspektive erscheinen die Social Engineering Angriffe zu einfach, um erfolgreich zu sein. Die direkt betroffenen Mitarbeiter fühlen sich außerdem schnell von der Geschäftsleitung hintergangen. Dies kann so zu einer nachhaltigen Schädigung des Betriebsklimas führen. Aus diesem Grund führt RedTeam Pentesting Social Engineering Angriffe nur nach genauer Abklärung der Vor- und Nachteile eines solchen Angriffs durch. Dies entspricht auch der Empfehlung des Externer VerweisBundesamt für Sicherheit in der Informationstechnik (BSI).