Red Teaming

Für eine Bank führten wir ein Red Team Assessment durch, welches zum Ziel hatte realistische Angriffsszenarien nachzustellen, um unerkannt Zugriff auf das interne Netzwerk zu erlangen, ohne dass das Unternehmen beziehungsweise das interne Blue Team den Angriff erkennt.

Hierbei wurde im ersten Schritt nach Informationen über das Unternehmen mittels freiverfügbarer Quellen gesucht (OSINT). Nachdem keine gültigen Passwörter oder verwundbaren Systemen identifiziert werden konnten, wurden im nächsten Schritt Phishing-E-Mails an ausgewählte Mitarbeitende ausgesendet. Das Unternehmen war sehr gut aufgestellt und hatte eine Phishing-E-Mail erkannt sowie sofort gemeldet. Eine weitere Phishing-E-Mail wurde nicht erkannt und der Payload wurde grundsätzlich von einer mitarbeitenden Person ausgeführt, allerdings wurde die Code-Ausführung geblockt. Denn es war Mitarbeitenden auf den Systemen nicht erlaubt, neue Programme auszuführen.

Für eine weitere Analyse der internen Server wurde interne Tests von einem zur Verfügung gestellten Notebook durchgeführt. Dabei konnten mehrere Schwachstellen festgestellt werden, welche eine Rechteerweiterung ermöglichten. Auch hier war das Unternehmen sehr gut aufgestellt und das Blue Team reagierte sehr schnell auf die erhaltenen Alerts. Deshalb wurde empfohlen, die Präventions-Maßnahmen auszubauen und die internen Systeme noch weiter zu härten sowie das Sicherheitsbewusstseins bei Beschäftigten weiter zu stärken.

Für eine renommierte Bank haben wir ein umfassendes Red Team Assessment durchgeführt, das speziell auf die Identifizierung von Schwachstellen im Bereich des technischen Phishings ausgerichtet war. Ziel war es, die Angriffsfläche der Bank für Phishing-Angriffe aus der Perspektive einer angestellte Person zu testen und potenzielle Sicherheitslücken zu identifizieren, die Angreifenden den Zugang zu vertraulichen Systemen ermöglichen könnten.

Neben weiteren Schwachstellen stellte sich jedoch eine als besonders kritisch heraus: Während einer internen Überprüfung nach dem „Assume Breach“-Prinzip entdeckten wir veraltete Systemabbilder auf freigegebenen Netzlaufwerken, die für alle Domain-Konten zugänglich waren. In diesen Abbildern befanden sich die Zugangsdaten eines noch aktiven Administrationskonto, was eine erhebliche Bedrohung für die gesamte Infrastruktur darstellte.

Dieses Assessment verdeutlichte eindrucksvoll, wie wichtig es ist, kontinuierlich umfassende Sicherheitsüberprüfungen durchzuführen. Kritische Schwachstellen wie alte zugängliche Systemabbilder, zusammen mit weiteren identifizierten Risiken, dazu führen können, dass Angreifende Zugang zu vertraulichen Bereichen der IT-Infrastruktur erhalten und erheblichen Schaden anrichten. Solche Schwachstellen frühzeitig zu erkennen und zu beheben, ist entscheidend, um die Sicherheit von IT-Systemen langfristig zu gewährleisten.

Für ein großes Software-Unternehmen wurde ein Datenbank-Management-System für Gebäude auf Schwachstellen untersucht. Dabei wurde ein Red-Team-Ansatz durchgeführt und bei dem das Blue Team nicht darüber informiert wurde , dass eine Überprüfung durchgeführt wird. Der Ausgangspunkt für das Test-Szenario war der Fall eines gestohlenen Notebooks.

Im Zuge der Überprüfung konnten mehrere Schwachstellen identifiziert  werden. Über eine unverschlüsselte Verbindung auf einen höheren Port wurden Zugangsdaten unverschlüsselt übertragen. Die auf dem System laufenden Anwendungen wurde in JAVA geschrieben und waren auf Deserialisierungs-Schwachstellen anfällig, welche zur Ausführung von Code führen können. Nach Absprache mit dem auftraggebenden Unternehmen wurde die Ausführung von Code hier unterlassen, da es sich um ein Produktivsystem handelte. Des Weiteren wurden Cross-Site-Scripting-Schwachstellen, veraltet Software und Schwachstellen zur Erweiterung der Rechte festgestellt. Die Aktivitäten lösten keine Alarmierung aus und die Testenden konnten somit vor dem Blue Team verborgen handeln.

Es wurde empfohlen, nur verschlüsselte Verbindungen zu verwenden, Patches für die Mitigierung von Deserialisierungs-Schwachstellen sowie Softwareupdate einzuspielen, jegliche Usereingabe zu bereinigen und zu codieren, und das System weiter zu härten. Zusätzlich wurde empfohlen, die Alarmierung und die Erkennung auf den Notebooks zu schärfen.