Aus dem Tagebuch eines Red Teams – Teil 7
Das aufmerksame, unaufmerksame Blue Team
Während die Aufgabe eines Red Teams ist, technisch oder physisch unbemerkt in ein Unternehmen einzudringen, ist die Aufgabe eines Blue Teams, solche Angriffe zu erkennen und abzuwehren. In Red-Teaming-Projekten ist das Blue Team eines Kunden nicht über das Projekt informiert, sodass es von einem realen Angriff ausgehen und sich entsprechend verhalten muss. So werden die Fähigkeiten des Blue Teams gemessen und geprüft, ob alle angedachten Meldeketten eingehalten werden – ähnlich wie beim simulierten Feueralarm, den man aus Schulzeiten kennt.
Doch wie verhält sich ein Blue Team (richtig), wenn es einen Angriff vermutet? Im Projekt, von dem wir in diesem Artikel erzählen, kamen wir als Red Team fast durch die ungewollte Unterstützung des Blue Teams zum Erfolg.
Eine Analogie
Was im Projekt auf technischer Ebene passiert ist, beschreiben wir hier zunächst als Analogie.
Stellen wir uns ein großes Gebäude mit vielen gut abgesicherten Räumen vor. Wir, das Red Team, sind auf der Suche nach einem Tresor, der sich irgendwo im Gebäude befindet. Aufgrund der Position im Innersten des Gebäudes haben wir den Verdacht, dass sich der Tresor in diesem Raum befindet – nur leider kommen wir aus eigenen Stücken nicht hinein.
Unsere Idee ist schließlich, den an der Tür von außen angebrachten Fingerabdrucksensor zu manipulieren. So könnten wir Fingerabdrücke von Personen, die den Sensor verwenden, aufzeichnen und nach etwas Aufarbeitung selbst nutzen.
So unauffällig, wie es für dieses Vorhaben möglich ist, beginnen wir, den Fingerabdrucksensor aufwändig zu verwanzen. Doch eine aufmerksame Gruppe – das Blue Team – kümmert sich um die Sicherheit des Gebäudes und bemerkt ungewöhnliche Schatten, die sich am Bildrand einer Überwachungskamera bewegen. Um nach dem Rechten zu schauen, begibt sich das Blue Team in Richtung des abgeschotteten Raums. Wir können uns grade noch so in einer Nische verstecken, als ein Blue Teamer zielstrebig den Fingerabdrucksensor ansteuert, um die Türe zu öffnen.
Hätten wir zum Zeitpunkt, an dem die Analogie endet, den Fingerabdrucksensor bereits fertig verwanzt, so hätten wir den Fingerabdruck von einem Mitglied des Blue Teams erhalten. Und da das Blue Team als Teil seines Jobs Zutritt zu jedem Raum des Gebäudes benötigt, hätten auch wir diese Möglichkeit gehabt.
Keine Analogie
Das, was in der Analogie das Gebäude war, war in diesem Projekt das interne Firmennetzwerk des Kunden. Wir hatten bereits ein Benutzerkonto kompromittiert und befanden uns auf einem Server. Dort war unser nächstes Ziel, lokale Adminrechte zu erlangen. Das sind die höchsten Berechtigungen, die man sich auf einem einzelnen System wünschen kann und es gibt verschiedene Angriffswege, um lokale Adminrechte zu ergattern.
Mit lokalen Adminrechten hat man dann mitunter die Möglichkeit, Passwort-Hashes von anderen Benutzern, die sich auf dem Server anmelden, auszulesen. In der Analogie entsprechen die Passwort-Hashes den Fingerabdrücken des Türsensors: Erlangt man Zugriff auf einen solchen Passwort-Hash, so kann man den Hash in gewissen Situationen verwenden, um sich als der zugehörige Benutzer auszugeben und sich als dieser Benutzer im Netzwerk zu bewegen. Durch eventuelle Wiederholung dieses Vorgehens kann man immer größere Teile des Netzwerks erschließen und sich den wichtigsten Systemen nähern. Abhängig von der Tätigkeit des Unternehmens zählen dazu Produktionsmaschinen, Systeme zur Finanzverwaltung oder Systeme mit sensiblen Informationen, wie Unternehmensgeheimnissen oder Kundendaten.
Kleiner Exkurs zum (leidigen) Thema Passwörter: Zudem kann man versuchen, einen Passwort-Hash zu „knacken“ und so an das Klartextpasswort zu gelangen, was die Türe für weitere Angriffe öffnet. Der Erfolg beim Knacken hängt einerseits von der Güte des Passworts ab: Lautet das Passwort etwa „Weihnachten2022!“, so ist dies in wenigen Sekunden möglich – und zwar trotz einer Passwortlänge von 16 Zeichen und der Verwendung von Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern. Andererseits ist dies eine Frage der genutzten Rechenpower – mit leistungsstarker Hardware kann man die Passwort-Hashes schneller brechen.
Nachdem wir die Aufmerksamkeit des Blue Teams auf uns zogen, wollten dieses uns natürlich stoppen. Dazu meldete sich das Blue Team auf dem Server an, auf dem wir uns befanden. Der dafür verwendete Benutzer hatte die höchsten Berechtigungen in der gesamten Infrastruktur inne. Auf diese Weise hinterließen sie dort den Passwort-Hash dieses Benutzers und – hätten wir lokale Adminrechte auf dem Server gehabt – hätten wir den Benutzer des Blue Teams übernehmen können.
Wie das Projekt ausging
Wie man bereits heraushört, war das Timing diesmal leider nicht auf unserer Seite. Das Blue Team erwischte uns einen Moment zu früh: Der Fingerabdrucksensor war noch nicht fertig verwanzt bzw. wir hatten noch keine lokalen Adminrechte auf dem Server erlangt. Durch eine konzeptionelle Schwäche führte das Blue Team also eine neue Angriffsmöglichkeit ein, die wir fast zur Kompromittierung des gesamten Netzwerks hätten nutzen können. Gut, dass das nur eine Übung war!
Dennoch gewannen wir im Projekt wertvolle Erkenntnisse für unseren Kunden: Auch wenn das Blue Team unsere Aktivitäten bemerkte, verhielt es sich bei der Aufklärung der Situation unaufmerksam. Wir sind gespannt, wie das Blue Team des Kunden im nächsten Projekt reagiert!
Wie hätte Ihr Blue Team reagiert? Hätte es uns im ersten Schritt bemerkt und wie hätte es die Situation im zweiten Schritt geklärt? Wir führen Red-Teaming-Projekte durch, die Ihnen Antworten auf diese Fragen geben. Sprechen Sie uns an!
Telefon: +49 731 20 589-26
E-Mail: pentests@it-sec.de
Nina Wagner
IT-Security Consultant / Penetration Testing