APT (Advanced Persistent Threat) Flashcards
Was sind die Ziele der Erst-Infektion? Nenne auch ein Beispiel. Und was ist das Ergebnis?
- AD Login-Daten eines Benutzers
Beispiel: Outlook, Sharepoint, VPN - Benutzer zum Ausführen einer Malware bewegen, um Zugriff auf den Rechner des Benutzers zu erlangen
Beispiel: E-Mail Anhang, Infizierte Website besuchen - Zugriff auf das Netz
Beispiel: WLAN
Ergebnis: Operations Basis im Netz der Organisation
Nenne Möglichkeiten der Erst-Infektion (5)
- Phishing
- Voice Phishing
- Social Engineering
- Watering Hole Attack
- Hardware:
1.Hintertüren in Firmware
2.Manipulation der Hardware
Was ist Phishing, Spear-Phishing und Clone Phishing?
Phishing:
Man verleitet den Benutzer dazu etwas Dummes zu tun und das oft in Zusammenhang mit gefälschten Absendern oder URLs
Spear-Phishing / Whaling:
Auch gezielt mit echtem Geschäftspartner als gefälschtem Absender
Clone-Phishing:
Gezielt mit vorher gestohlener Email-Konversation
Was ist Voice Phishing?
Man gibt sich als Teil einer Organisation aus (z.B. Microsoft Support) oder als Chef (Deepfakes, AI) um dem Opfer Informationen zu entlocken oder zu einer bestimmten Handlung zu verleiten (Malware starten)
Social Engineering?
Phishing kann auch Social Engineering sein, wenn man sich vor Ort als z.B. Handwerker ausgibt, um an Informationen zu gelangen
Watering Hole Attack? Nenne auch ein Beispiel.
Ein infizierter Webserver wartet auf Besucher der attackierten
Organisation
Beispiel:
* Speise-Karten der Restaurants in der Gegend
* externe Website der Laufsport-Gruppe
* Kletterhalle um die Ecke der Firma
8 Schritte?
- Erstes Auskundschaften
- Erst-Infektion
- Infiltration der Umgebung
- Rechteausweitung
- Internes Auskundschaften
- Aktive Verbreitung
- Absicherung des Erreichten
- Zielerreichung
Was ist APT1 und wie viele Malware Familien gibt es?
- APT1 ist eine von vielen beobachteten Hacker-Gruppen
- 40 APT Malware-Familien
Wie kann man seine Kommunikation tarnen?
- Eigene Webserver in der Cloud
- Unverdächtige Webdienste
- DNS-Tunnel
- TOR-Netzwerk
Nenne Beispiele für einen internen Penetrationstest.
-> Authentifizierter Angreifer
- Übernommene Workstations
- Malware
- Kompromitierter Dienstleister
Was macht man bei der Infiltration der Umgebung?
Man bricht in den Arbeitsplatz ein und führt die Remote Shell aus. Dadurch hat man den Arbeitsplatz übernommen und kommuniziert mit der C2 Infrastruktur. Man kann dann in weitere gleichwertige Systeme eindringen
Wie macht man eine Rechteausweitung?
- Analyse des lokalen Systems
- Möglichkeiten lokale Exploits oder Caches auszulesen
- Wechseln auf andere APIs oder Server-Systeme
Wie läuft internes Auskundschaften ab?
Annahme: Man hat sich in einen lokalen Arbeitsplatz eingenistet und führt danach folgende Schritte durch:
- Netzwerk-Analyse
- Reichweite im LAN
- Suche und Analyse verwandter Services
- Zustand und Schwächen im AD
Wie läuft die aktive Verbreitung ab?
-> Exploits nutzen:
- Schlechter Patchstand (OS, Anwendungssoftware)
- IT-Geräte die keine PCs sind
-> Credentials auslesen:
- Speziell warten auf Admin-Credentials (lokal oder AD)