Infektionsvektoren für Backdoor-Tests

Infektionsvektoren für Backdoor-Tests

Marc Ruef
von Marc Ruef
Lesezeit: 6 Minuten

Eine der beliebten Varianten für eine umfassende Prüfung der vielschichtigen IT-Sicherheit eines Unternehmens sind sogenannte Backdoor Tests. Bei diesen pflegen wir explizit für den Kunden einen eigenen Wurm anzufertigen, der eine Kompromittierung durchsetzen und damit Zugriff auf sensitive Daten ermöglichen können soll. Der technische Ablauf einer solchen Analyse gliedert sich in sechs unterschiedliche Phasen:

Nr Titel Aufgabe Optional Aufwand
1. Development Entwicklung der Backdoor nein 70%
2. Infection Infektion der Zielsysteme nein 5%
3. Data Collection Datensammlung in der Zielumgebung nein 5%
4. Communication Rückmeldung der gesammelten Daten nein 5%
5. Remote-Controlling Fernsteuerung der infizierten Systeme ja 10%
6. Disinfection Desinfektion der Systeme nein 5%

Im Beitrag Backdoor Testing optimieren haben wir zusammengefasst, welche Mechanismen und Strategien zum Tragen können kommen, um Schutzmassnahmen während einer solchen Prüfung umgehen zu können. Die nachfolgende Tabelle soll nun auf Punkt 2 – also die Infektion der Zielsysteme – eingehen. Dabei soll aufgezeigt werden, welche Infektionsvektoren sich anbieten bzw. alternativ eingesetzt werden können.

Medium Methoden Beliebtheit
Email Attachment, Download-Link sehr hoch
Instant Messenger (IM) Datei-Austausch, Download-Link gering
Infizierter Server Cross Site Scripting, SQL-Injection, Datei-Upload, etc. mittel
Remote Exploiting Client Pufferüberlauf, Format String, etc. hoch
Network Injection Injizierung in legitimen Datenverkehr gering
Datenträger CD/DVD, USB-Stick, Diskette, etc. mittel
Phishing-Webseite Man-in-the-Middle Attacke mittel
Social Engineering Download-Link, manuelle Infektion hoch

Der beliebteste Ansatz bei unseren Tests findet per Email, falls möglich als Attachment oder dann halt als vermeintlich legitimen Download-Link, statt. Denn damit kann neben einer technischen Betrachtung zeitgleich die Awareness der Benutzer bezüglich dieses populären – aber laut IBM X-Force rückläufigen – Infektionsvektors geprüft werden.

Mit der Zunahme von clientseitigen Attacken (z.B. Mailclient, PDF-Reader oder Flash-Player) werden zunehmend solcherlei Angriffstechniken herangezogen. Ein Zutun der Zielpersonen ist hierbei nicht mehr oder nur noch in sehr geringem Mass (z.B. Öffnen eines Emails oder Besuchen einer Webseite) erforderlich.

Alternativ, und dennoch sehr selten, werden bei vorgängigen Tests gefundene und noch nicht beseitigte Fehler in der Infrastruktur genutzt, um eine Infektion anzustreben. So können zum Beispiel Cross Site Scripting-Schwachstellen in Webseiten missbraucht werden, um entsprechende Downloads des korrupten Programmcodes einzuschleusen (entweder im Rahmen eines technisch gestützten Social Engineering-Angriffs oder einer Drive-by Infection).

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Sie wollen die Resistenz Ihres Unternehmens auf Malware prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv