Specific Criticism of CVSS4
Marc Ruef
Eine der beliebten Varianten für eine umfassende Prüfung der vielschichtigen IT-Sicherheit eines Unternehmens sind sogenannte Backdoor Tests. Bei diesen pflegen wir explizit für den Kunden einen eigenen Wurm anzufertigen, der eine Kompromittierung durchsetzen und damit Zugriff auf sensitive Daten ermöglichen können soll. Der technische Ablauf einer solchen Analyse gliedert sich in sechs unterschiedliche Phasen:
Nr | Titel | Aufgabe | Optional | Aufwand |
---|---|---|---|---|
1. | Development | Entwicklung der Backdoor | nein | 70% |
2. | Infection | Infektion der Zielsysteme | nein | 5% |
3. | Data Collection | Datensammlung in der Zielumgebung | nein | 5% |
4. | Communication | Rückmeldung der gesammelten Daten | nein | 5% |
5. | Remote-Controlling | Fernsteuerung der infizierten Systeme | ja | 10% |
6. | Disinfection | Desinfektion der Systeme | nein | 5% |
Im Beitrag Backdoor Testing optimieren haben wir zusammengefasst, welche Mechanismen und Strategien zum Tragen können kommen, um Schutzmassnahmen während einer solchen Prüfung umgehen zu können. Die nachfolgende Tabelle soll nun auf Punkt 2 – also die Infektion der Zielsysteme – eingehen. Dabei soll aufgezeigt werden, welche Infektionsvektoren sich anbieten bzw. alternativ eingesetzt werden können.
Medium | Methoden | Beliebtheit |
---|---|---|
Attachment, Download-Link | sehr hoch | |
Instant Messenger (IM) | Datei-Austausch, Download-Link | gering |
Infizierter Server | Cross Site Scripting, SQL-Injection, Datei-Upload, etc. | mittel |
Remote Exploiting Client | Pufferüberlauf, Format String, etc. | hoch |
Network Injection | Injizierung in legitimen Datenverkehr | gering |
Datenträger | CD/DVD, USB-Stick, Diskette, etc. | mittel |
Phishing-Webseite | Man-in-the-Middle Attacke | mittel |
Social Engineering | Download-Link, manuelle Infektion | hoch |
Der beliebteste Ansatz bei unseren Tests findet per Email, falls möglich als Attachment oder dann halt als vermeintlich legitimen Download-Link, statt. Denn damit kann neben einer technischen Betrachtung zeitgleich die Awareness der Benutzer bezüglich dieses populären – aber laut IBM X-Force rückläufigen – Infektionsvektors geprüft werden.
Mit der Zunahme von clientseitigen Attacken (z.B. Mailclient, PDF-Reader oder Flash-Player) werden zunehmend solcherlei Angriffstechniken herangezogen. Ein Zutun der Zielpersonen ist hierbei nicht mehr oder nur noch in sehr geringem Mass (z.B. Öffnen eines Emails oder Besuchen einer Webseite) erforderlich.
Alternativ, und dennoch sehr selten, werden bei vorgängigen Tests gefundene und noch nicht beseitigte Fehler in der Infrastruktur genutzt, um eine Infektion anzustreben. So können zum Beispiel Cross Site Scripting-Schwachstellen in Webseiten missbraucht werden, um entsprechende Downloads des korrupten Programmcodes einzuschleusen (entweder im Rahmen eines technisch gestützten Social Engineering-Angriffs oder einer Drive-by Infection).
Our experts will get in contact with you!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Our experts will get in contact with you!