Domänenadministratoren, Single Sign-on und Malware

von Marco Wohler

Die Gefahr durch Domänenadministrator-Konten wird oft unterschätzt. In diesem Artikel wird beschrieben, wie Angreifer dadurch eine ganze Domäne kompromittieren können. Generell werden Berechtigungen zu locker verteilt und (zum Teil vorhandene) Sicherheitsmechanismen nicht eingesetzt. [mehr]

PowerShell VI – Verteidigung

von Frank Ully

Dies ist der sechste und letzte Teil einer mehrteiligen Reihe über Windows PowerShell und darüber, wie Angreifer es missbrauchen, wie Incident Responder und Forensiker diese Angriffe erkennen können – und welche Verteidigungslinien IT-Sicherheitsverantwortliche ziehen können.

Dieser Artikel beschreibt, durch welche Maßnahmen IT-Sicherheitsverantwortliche ihre Organisationen vor PowerShell-Angriffen schützen können.

[mehr]

PowerShell V – Forensische Untersuchungen von PowerShell-Angriffen

von Frank Ully

Dies ist der fünfte Teil einer mehrteiligen Reihe über Windows PowerShell und darüber, wie Angreifer es missbrauchen, wie Incident Responder und Forensiker diese Angriffe erkennen können – und welche Verteidigungslinien IT-Sicherheitsverantwortliche ziehen können.

Dieser Artikel stellt vor, mit welchen Methoden Incident Responder und IT-Forensiker PowerShell-Angriffe untersuchen können – darunter die Arbeitsspeicher-Analyse.
[mehr]

PowerShell IV – Arbeitsspeicher-Forensik

von Frank Ully

Dies ist der vierte Teil einer mehrteiligen Reihe über Windows PowerShell und darüber, wie Angreifer es missbrauchen, wie Incident Responder und Forensiker diese Angriffe erkennen können – und welche Verteidigungslinien IT-Sicherheitsverantwortliche ziehen können.

Dieser Artikel führt allgemein in die Arbeitsspeicher-Forensik ein, die eine relativ neue Untersuchungsmethode für Incident Responder und Forensiker gegen moderne Bedrohungen wie PowerShell-Angriffe ist.
[mehr]

PowerShell III – Skriptsammlungen zur Post Exploitation

von Frank Ully

Dies ist der dritte Teil einer mehrteiligen Reihe über Windows PowerShell und darüber, wie Angreifer es missbrauchen, wie Incident Responder und Forensiker diese Angriffe erkennen können – und welche Verteidigungslinien IT-Sicherheitsverantwortliche ziehen können.

Dieser Artikel stellt öffentlich verfügbare Skriptsammlungen mit offensiven PowerShell-Skripten für Post Exploitation vor.
[mehr]

PowerShell II – Bösartiger Einsatz von PowerShell

von Frank Ully

Dieser Artikel ist der zweite Teil einer mehrteiligen Reihe über Windows PowerShell und darüber, wie Angreifer es missbrauchen, wie Incident Responder und Forensiker diese Angriffe erkennen können – und welche Verteidigungslinien IT-Sicherheitsverantwortliche ziehen können.

Der Artikel beleuchtet, welche Eigenschaften PowerShell als Angriffswerkzeug so beliebt machen. Ausführlich erläutert werden die Eignung für und der Einsatz von PowerShell in echter Schadsoftware und durch Angreifergruppen.
[mehr]

PowerShell I – Einführung

von Frank Ully

Dieser Artikel ist der erste Teil einer Reihe über Windows PowerShell und darüber, wie Angreifer es missbrauchen, wie Incident Responder und Forensiker diese Angriffe erkennen können – und welche Verteidigungslinien IT-Sicherheitsverantwortliche ziehen können.

Denn bei fortgeschrittenen Angreifern gehört der Einsatz von PowerShell-Skripten inzwischen fest zum Repertoire.
[mehr]

Eine kurze Geschichte der Remote-Access-Trojaner (RATs)

von Frank Ully

Zunächst führt der Artikel knapp in die Grundlagen von Schadsoftware (Malware) und speziell Remote-Access-Trojanern (RATs) ein. Danach zeichnet er die Geschichte von öffentlich verfügbaren RATs anhand von herausragenden Vertretern nach. Der Artikel schließt mit einem Ausblick auf aktuelle Entwicklungen bei öffentlich verfügbaren Trojanern.
[mehr]

Sichere Passwörter für lokale Administratoren

von Fabian Gonzalez

Bei Kunden stellen die Tester von Oneconsult vermehrt fest, dass auf verschiedenen Clients − sowie seltener auch auf Servern − identische Passwörter für lokale administrative Benutzer verwendet werden.
[mehr]

BadUSB – Infektion in unter 15 Sekunden

von Immanuel Willi

In vielen IT-Security Fachmedien und Blogs wird das Hauptaugenmerk auf populäre Angriffsvektoren wie Phishing oder die «OWASP Top 10» gelegt. Physische Angriffe, welche den direkten Zugang zu einem Gerät erfordern, finden weniger Beachtung. Entsprechend wähnen sich viele Benutzer schnell in einer falschen Sicherheit, sobald die Notebook-Festplatte verschlüsselt und der Windows-Desktop gesperrt ist.

[mehr]

Cyber Security Incident Response – So bewältigen Sie das Unerwartete

von Damian Gruber & Adrian Schoch

Cyber Security Incidents können einen signifikanten Business Impact haben – insbesondere für schlecht vorbereitete Organisationen. Erfahren Sie, wie Sie derartige Vorfälle effektiv mittels eines bewährten Prozesses und konkreten Massnahmenvorschlägen behandeln und lernen Sie aus echten Incident Response & IT Forensics Fällen von Oneconsult. [mehr]

Falsch gesetzte User-Berechtigungen: Hacker’s Paradise

von Marco Wohler

Es gibt verschiedene Strategien und Mittel um einen Server oder Client gegen Angriffe von innen oder von aussen zu schützen. Dieser Artikel befasst sich mit Datei- und Ordner-Rechten, da diese häufig vernachlässigt werden  und so Hackern Tür und Tor öffnen. [mehr]

Trau schau wem – (Un)Sicherheit von signierter Software unter Windows

von Jan Alsenz & Rafael Scheel

Dieser Artikel zeigt auf wie eine von Oneconsult entdeckte Design-Schwachstelle im Microsoft UAC-Mechanismus missbraucht werden kann, damit beliebige Skripte und Programme eine vermeintlich echte Microsoft Signatur vorgaukeln. [mehr]

HTTP Referer Header: Wie Browser private URLs kompromittieren

von Fabian Gonzalez

Durch den HTTP Referer Header teilen heutige Browser dem Server die Adresse (URL) der Ursprungsressource mit, von der aus die aktuelle aufgerufen wurde. Der Header wurde definiert, um serverseitig festzustellen, woher ein Benutzer auf eine Ressource zugreift. Er wird häufig in den Log-Dateien des Servers abgespeichert und kann so beliebig ausgewertet und verarbeitet werden, was zu diversen Sicherheitsproblemen führen kann. Der Autor beschreibt die Problematik und nennt Gegenmassnahmen. [mehr]

Breaking the gateways – abusing dual-homed SCADA/ICS systems

von Jan Alsenz

Gateway-Systeme mit Verbindungen zu verschiedenen Netzwerksegmenten sind typisch für SCADA/ICS Netzwerke, wie sie in Fabriken oder der Energie- / Wasserversorgung anzutreffen sind. [mehr]

What3(Pass)Words – create passwords from places

von Jan Alsenz

Trotz vieler bekannter Schwächen und Probleme sind Passwörter allgegenwärtig. Ein neuer, normalerweise für Geo-Addressing gedachter Dienst kann auch verwendet werden, um (einigermassen) sichere und einfach zu merkende Passwörter zu generieren. [mehr]

Web Application Firewall Bypass

von Rafael Scheel

Web Application Firewalls (WAF) werden von den Herstellern als Universalwaffe gegen Cyber-Kriminelle genannt, weil sie es (angeblich) ermöglichen, dass die dahinterliegenden Applikationen sicherheitstechnisch nicht gepflegt werden müssen. Doch stimmt das? [mehr]