APT (Advanced Persistent Threat) Flashcards

1
Q

Was sind die Ziele der Erst-Infektion? Nenne auch ein Beispiel. Und was ist das Ergebnis?

A
  1. AD Login-Daten eines Benutzers
    Beispiel: Outlook, Sharepoint, VPN
  2. Benutzer zum Ausführen einer Malware bewegen, um Zugriff auf den Rechner des Benutzers zu erlangen
    Beispiel: E-Mail Anhang, Infizierte Website besuchen
  3. Zugriff auf das Netz
    Beispiel: WLAN

Ergebnis: Operations Basis im Netz der Organisation

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Nenne Möglichkeiten der Erst-Infektion (5)

A
  • Phishing
  • Voice Phishing
  • Social Engineering
  • Watering Hole Attack
  • Hardware:
    1.Hintertüren in Firmware
    2.Manipulation der Hardware
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Was ist Phishing, Spear-Phishing und Clone Phishing?

A

Phishing:
Man verleitet den Benutzer dazu etwas Dummes zu tun und das oft in Zusammenhang mit gefälschten Absendern oder URLs

Spear-Phishing / Whaling:
Auch gezielt mit echtem Geschäftspartner als gefälschtem Absender

Clone-Phishing:
Gezielt mit vorher gestohlener Email-Konversation

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Was ist Voice Phishing?

A

Man gibt sich als Teil einer Organisation aus (z.B. Microsoft Support) oder als Chef (Deepfakes, AI) um dem Opfer Informationen zu entlocken oder zu einer bestimmten Handlung zu verleiten (Malware starten)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Social Engineering?

A

Phishing kann auch Social Engineering sein, wenn man sich vor Ort als z.B. Handwerker ausgibt, um an Informationen zu gelangen

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Watering Hole Attack? Nenne auch ein Beispiel.

A

Ein infizierter Webserver wartet auf Besucher der attackierten
Organisation

Beispiel:
* Speise-Karten der Restaurants in der Gegend
* externe Website der Laufsport-Gruppe
* Kletterhalle um die Ecke der Firma

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

8 Schritte?

A
  1. Erstes Auskundschaften
  2. Erst-Infektion
  3. Infiltration der Umgebung
  4. Rechteausweitung
  5. Internes Auskundschaften
  6. Aktive Verbreitung
  7. Absicherung des Erreichten
  8. Zielerreichung
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Was ist APT1 und wie viele Malware Familien gibt es?

A
  • APT1 ist eine von vielen beobachteten Hacker-Gruppen
  • 40 APT Malware-Familien
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Wie kann man seine Kommunikation tarnen?

A
  1. Eigene Webserver in der Cloud
  2. Unverdächtige Webdienste
  3. DNS-Tunnel
  4. TOR-Netzwerk
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Nenne Beispiele für einen internen Penetrationstest.

A

-> Authentifizierter Angreifer
- Übernommene Workstations
- Malware
- Kompromitierter Dienstleister

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Was macht man bei der Infiltration der Umgebung?

A

Man bricht in den Arbeitsplatz ein und führt die Remote Shell aus. Dadurch hat man den Arbeitsplatz übernommen und kommuniziert mit der C2 Infrastruktur. Man kann dann in weitere gleichwertige Systeme eindringen

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Wie macht man eine Rechteausweitung?

A
  • Analyse des lokalen Systems
  • Möglichkeiten lokale Exploits oder Caches auszulesen
  • Wechseln auf andere APIs oder Server-Systeme
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Wie läuft internes Auskundschaften ab?

A

Annahme: Man hat sich in einen lokalen Arbeitsplatz eingenistet und führt danach folgende Schritte durch:

  • Netzwerk-Analyse
  • Reichweite im LAN
  • Suche und Analyse verwandter Services
  • Zustand und Schwächen im AD
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Wie läuft die aktive Verbreitung ab?

A

-> Exploits nutzen:
- Schlechter Patchstand (OS, Anwendungssoftware)
- IT-Geräte die keine PCs sind

-> Credentials auslesen:
- Speziell warten auf Admin-Credentials (lokal oder AD)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly