Infektionsvektoren für Backdoor-Tests

Infektionsvektoren für Backdoor-Tests

Marc Ruef
by Marc Ruef
time to read: 6 minutes

Eine der beliebten Varianten für eine umfassende Prüfung der vielschichtigen IT-Sicherheit eines Unternehmens sind sogenannte Backdoor Tests. Bei diesen pflegen wir explizit für den Kunden einen eigenen Wurm anzufertigen, der eine Kompromittierung durchsetzen und damit Zugriff auf sensitive Daten ermöglichen können soll. Der technische Ablauf einer solchen Analyse gliedert sich in sechs unterschiedliche Phasen:

Nr Titel Aufgabe Optional Aufwand
1. Development Entwicklung der Backdoor nein 70%
2. Infection Infektion der Zielsysteme nein 5%
3. Data Collection Datensammlung in der Zielumgebung nein 5%
4. Communication Rückmeldung der gesammelten Daten nein 5%
5. Remote-Controlling Fernsteuerung der infizierten Systeme ja 10%
6. Disinfection Desinfektion der Systeme nein 5%

Im Beitrag Backdoor Testing optimieren haben wir zusammengefasst, welche Mechanismen und Strategien zum Tragen können kommen, um Schutzmassnahmen während einer solchen Prüfung umgehen zu können. Die nachfolgende Tabelle soll nun auf Punkt 2 – also die Infektion der Zielsysteme – eingehen. Dabei soll aufgezeigt werden, welche Infektionsvektoren sich anbieten bzw. alternativ eingesetzt werden können.

Medium Methoden Beliebtheit
Email Attachment, Download-Link sehr hoch
Instant Messenger (IM) Datei-Austausch, Download-Link gering
Infizierter Server Cross Site Scripting, SQL-Injection, Datei-Upload, etc. mittel
Remote Exploiting Client Pufferüberlauf, Format String, etc. hoch
Network Injection Injizierung in legitimen Datenverkehr gering
Datenträger CD/DVD, USB-Stick, Diskette, etc. mittel
Phishing-Webseite Man-in-the-Middle Attacke mittel
Social Engineering Download-Link, manuelle Infektion hoch

Der beliebteste Ansatz bei unseren Tests findet per Email, falls möglich als Attachment oder dann halt als vermeintlich legitimen Download-Link, statt. Denn damit kann neben einer technischen Betrachtung zeitgleich die Awareness der Benutzer bezüglich dieses populären – aber laut IBM X-Force rückläufigen – Infektionsvektors geprüft werden.

Mit der Zunahme von clientseitigen Attacken (z.B. Mailclient, PDF-Reader oder Flash-Player) werden zunehmend solcherlei Angriffstechniken herangezogen. Ein Zutun der Zielpersonen ist hierbei nicht mehr oder nur noch in sehr geringem Mass (z.B. Öffnen eines Emails oder Besuchen einer Webseite) erforderlich.

Alternativ, und dennoch sehr selten, werden bei vorgängigen Tests gefundene und noch nicht beseitigte Fehler in der Infrastruktur genutzt, um eine Infektion anzustreben. So können zum Beispiel Cross Site Scripting-Schwachstellen in Webseiten missbraucht werden, um entsprechende Downloads des korrupten Programmcodes einzuschleusen (entweder im Rahmen eines technisch gestützten Social Engineering-Angriffs oder einer Drive-by Infection).

About the Author

Marc Ruef

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several universities, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

You want to test the strength of your enterprise regarding malware attacks?

Our experts will get in contact with you!

×
Ransomware Detection, Defense, and Analysis

Ransomware Detection, Defense, and Analysis

Marc Ruef

Data Markets

Data Markets

Marc Ruef

Password Leak Analysis

Password Leak Analysis

Marc Ruef

MITRE ATT&CK

MITRE ATT&CK

Marc Ruef

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here