Local Network Hacking

Wir werden als Angreifer an einen Standart-Rechner mit minimalen Benutzer-Rechten platziert. Dies simuliert die Gegebenheiten nach einem erfolgreichen APT-Angriff, oder auch die eines kriminellen Mitarbeiters (auch bekannt als „Praktikanten-Test“).

 

Nachdem wir den ersten Einstieg gefunden haben, testen wir auf mögliche Techniken des lateralen Movements (z.B. SMB, WMIC, PsExec, RDP, SSH, DCOM, …) um das Netzwerk vom initial kompromittierten Punkt weg zu durchqueren. In der Persistenz-Phase verfolgen wir das Ziel, diese C2-Kanäle wiederzuerlangen, selbst wenn Systeme neu gestartet oder neu installiert wurden. Nachdem Zugriffs-, Kommunikations- und Persistenz-Vektoren fertig getestet sind, geht es in die interne Reconnaisance um die low hanging fruits zu finden und damit auf Möglichkeiten einer Netzwerkweiten Rechte-Eskalation zu untersuchen. In realen Szenarien finden wir in dieser Phase beispielsweise administrative Login-Daten, die in einer Datei gespeichert sind oder ziehen Token und Anmeldedaten aus dem Speicher. Oft gibt auch zahlreiche Möglichkeiten Anwendungen, Services, Kerberos-Tokens oder aktuelle Protokolle zu missbrauchen, um weitere Zugriffe zu erhalten. Wir wiederholen diesen Prozess, bis wir einen Weg finden konnten, die Berechtigungen auf die eines Domänenadministrators (DA) oder höher zu eskalieren. Ist es einem Angreifer möglich, in Ihrem Netzwerk so weit vorzudringen, kann sich dieser über Techniken wie Silver-/Golden-Tickets, versteckten Accounts und beispielsweise DNS-C2-Kanälen auf Lebzeiten den Zugriff sicheren oder Ihre komplette Infrastruktur zum Stillstand bringen.

 

In den letzten Jahren sehen wir immer wieder, dass die meisten Angriffspfade den gleichen Prinzipien folgen, d. h., dass sie unabhängig von den Tools, Techniken und Prozeduren (TTPs) eindringen, sich dort aufhalten und bewegen. Dies ist lässt sich im Cyber-KillChain Modell vereinfacht visualisieren. Mittel dem MITRE-Attack-Framework erhalten sie auch in unseren Tests eine perfekte Landkarte und Horizont, indem sich Angreifer bewegen müssen und wo wir sie daher am effektivsten aufhalten können.