40 01 | 2022 Sie werden
40 01 | 2022 Sie werden sich aber nicht mit der Spionage außerhalb des Gebäudes begnügen … Nein, aber ein bißchen Glück hilft da auch. Es ist schon vorgekommen, dass die Personalabteilung unseres Auftraggebers Praktikanten über ein öffentliches Jobportal suchte. Das kam uns gelegen, und wir haben unseren Praktikanten gern geteilt. Er hatte in der Bank eine tolle Zeit, wurde mit allen Vorteilen gelockt und bekam auch einen kurzen Rundgang durchs Haus. Freundlicherweise hat er das gleich für uns aufgezeichnet, inklusive ein paar Wifi-Scans. Das alles half uns, einen Plan für unser eigentliches Ziel, das Hacking, zu entwickeln. Sie nutzen auch Instrumente wie das Phishing und Vishing? Genau, zum Beispiel, um an gültige Domänen-Zugangsdaten zu kommen, die uns einen Vorsprung gegenüber der internen IT verschaffen. (Mehr dazu, wie das aussehen kann, lesen Sie im Infokasten: „Der Mensch – immer noch das schwächste Glied in der Kette“). Darüber hinaus versuchen Sie, sich physischen Zutritt zum Gebäude zu verschaffen. Ja, zum Beispiel über einen jungen Mann in einem T-Shirt mit der Aufschrift eines Kopiergeräteherstellers und einem Wagen voller Kopierpapier und Kartons mit Patronen. Er mischt sich am Hintereingang unter die herumstehenden Raucher, quatscht ein wenig mit den Entwicklern, dann klingelt sein Telefon … „Oh, mein Chef ruft an … ‘Ja, ich bin auf dem Weg.’ ... Kannst du mir bitte die Tür aufhalten?“ Eine Zigarette und etwas Smalltalk, und schon waren wir drin im Gebäude – über den Hintereingang. Das reicht aber doch nicht … Nein, unser zweites Team agiert über den Haupteingang. Ein „Besucher“ im Business-Anzug wartet geduldig am Empfang, führt ein sehr langes Telefonat und wartet offenbar, um von einem Mitarbeiter abgeholt zu werden. Die zweite „Kollegin“ nähert sich telefonierend eilig dem Drehkreuz, während sie einen offenen Stapel an Dokumenten in der Hand hält. Ihre Zugangskarte baumelt an einem Band an ihrer linken Hand. Kein Wunder, dass sie in ihrer Eile nicht bemerkt, dass das Kartenlesegerät anders piept und rot blinkt. Sie stoppt nicht, stürzt über das Drehkreuz, die Papiere fliegen über den Boden. Keiner, auch nicht die Wachleute und unser Hauptdarsteller, zögern, ihr aufzuhelfen. Glücklicherweise geht es ihr gut, und sie hat sich nichts getan. Damit sind wir endgültig drin. Unser „Business-Kollege“ entledigt sich dann seines Business-Looks und sieht fortan ebenfalls aus wie ein Servicemitarbeiter der Kopiergeräte-Firma. Mit dem Kollegen vom Hintereingang macht er sich auf den Weg, um die regelmäßige vierteljährliche Wartung der Netzwerkdrucker durchzuführen. Jeder in einer anderen Etage. Dabei sind beide „bewaffnet“ mit zwei mächtigen Red-Teaming-Waffen: ■ Erstens haben sie ein Raspberry Pi mit zwei USB-Netzwerkadaptern und einem LTE-Modem, um es hinter dem Netzwerkdrucker zu installieren. So kann unser Hacker-Team, das bequem in unserem Büro sitzt, per Fernzugriff auf das Netzwerk zugreifen und den Angriff durchführen. ■ Und zweitens haben sie den üblichen „Papierkram“ dabei, darunter gefälschte Bestellformulare, Wartungspläne, Genehmigungen. Und das Wichtigste, ein „Reparaturabnahmedokument“: Falls tatsächlich jemand Fragen stellen sollte, lautet die Antwort: „Was ich da mache? Ich überprüfe den Drucker natürlich. Gibt es noch andere Probleme, die ich überprüfen soll, abgesehen von den bereits erwähnten? Und wer kann die Reparaturabnahme für mich unterschreiben?“ Nach dem Aufstellen der Geräte ist unser Remote-Team bereit, mit der Arbeit zu beginnen. Sie müssen dabei ständig auf der Hut sein vor dem Blue Team… Genau, deshalb müssen wir uns zunächst zurückhalten. Im geschilderten Fall hörten wir zuerst einfach eine Weile zu. Dann überprüften wir die Hosts, die, von denen wir wussten, dass sie in der Personalabteilung existieren. Als nächstes widmeten wir uns den Dateifreigaben. Ursprünglich war geplant, die Benutzer nach und nach aus dem Adressbuch zu übernehmen, da unser Drucker über eine „Adressbuch“-Funktion verfügt, aber dazu kam es nicht. Als wir uns die Windows-Dateifreigaben der HR-Webtools aus unserer ersten Erkundungsphase anschauten, stellten wir fest, dass es einen Ordner namens „html“ gibt. Es war keine Überraschung, dass ein Gastzugang nicht erlaubt ist. Wir senkten unsere Erwartungen, versuchten, mit einem
01 | 2022 41 der gefälschten HR-Anmeldedaten aus der Phishing-Aktion darauf zuzugreifen, und wir hatten wieder einmal Glück: Nicht nur, dass wir Zugang zu einem Ordner erhielten, der sich als das Stammverzeichnis einer unter Windows gehosteten PHP-Anwendung herausstellte, sondern wir erhielten auch Schreibrechte. Yes! Das ist Remote-Code-Ausführung, schnell und schmerzlos! Fast schon schade, dass wir uns so hart auf unseren Einsatz vorbereitet hatten, weil wir mehr Hürden erwartet hatten. Aber: Der Zugriff auf sensible Dokumente, die im Dokumentenstamm der Anwendung selbst gespeichert sind und der Zugriff auf das Backend- DBMS reichten schon, um ans Ziel zu kommen. Über Martin Hanic Martin Hanic ist Aktionär, Vorstandsmitglied und Ethischer Hacker beim Cyber-Security-Unternehmen Citadelo. Sein erstes Programm schrieb Hanic auf einem tschechoslowakischen Didaktik M. Wegen einer neuen Linux-Kernel-Version kam er zu spät zum Abschlussball; er graduierte trotz der Fallstricke von Gentoo und Battle.net. Da ihm das Aufbrechen von Strukturen definitiv mehr Spaß macht als sie zu reparieren, entschied er sich nach 15 Jahren in der Unternehmenswelt, auf die Seite der ethischen Hacker zu wechseln. Neben zahlreichen Banken hat er auch die Militärserver von acht Staaten gehackt – zum Glück nur während des internationalen Cyber-Wettkampfs Locked Shields.
