Schrittweise Übernahme
Lateral Movement: Wie Hacker nach dem Einbruch interne Ziele kapern
Unternehmen bezahlen Pentester dafür, dass sie versuchen, in ihre Systeme einzubrechen. Sie nutzen dieselben Werkzeuge wie echte Angreifer und decken Schwachstellen auf. Im Folgenden schildert ein Pentester, wie er mit Zugriff auf ein System im Netzwerk schrittweise seine Berechtigungen ausweitet.
An einem Vormittag im August 2022 - ich habe gerade gefrühstückt – klingelt mein Telefon. Am anderen Ende sitzt der Chef der IT-Abteilung eines Automobilzulieferers aus Süddeutschland. Mit ihm hatte ich zwei Wochen vorher bereits via E-Mail Kontakt. Er würde mich gerne mit einem Pentest beauftragen, so viel weiß ich bereits. Ein Pentest kann vieles sein, das Spektrum reicht von Sicherheitsanalysen einzelner Anwendungen oder Systeme bis hin zur Simulation zielgerichteter Angriffe.
In der IT-Branche hat sich in den vergangenen Jahren eine Einstellung verbreitet, die auch als „Assume Breach“-Mentalität bekannt ist. Man geht pessimistisch davon aus, einen Eindringling im Netzwerk zu haben. Zugang verschaffen können sich Angreifer zum Beispiel über Phishing, kritische Sicherheitslücken in Open-Source-Projekten wie in Log4j oder verseuchte Updates gekaufter Software, wie im Fall von Solarwinds 2020 oder Kaseya 2021. Im Telefonat schildert der Anrufer, was er sich vorstellt. Anders als bei einem Blackbox-Test [1] soll ich nicht versuchen, in das Unternehmensnetzwerk einzubrechen. Mein Ausgangspunkt soll dem „Assume Breach“-Gedanken folgend ein anderer sein: Ich bin bereits drin.