Mögliche Angriffsvektoren aufspüren
Auf der Suche
Veröffentlicht in Ausgabe 01/2024 - PRAXIS
Immer wieder werden Cyberangriffe mit militärischen Maßnahmen gleichgesetzt und das Vorgehen der Angreifer und Verteidiger folgt häufig den militärischen Vorbildern in Planung, Methodik und Präzision. So sollten Verantwortliche für IT-Sicherheit in Unternehmen im Blick haben, was Kriminelle mit diesen Methoden für Informationen über die Firma und die Mitarbeiter herausfinden können. Dabei geht es vor allem um Informationen von Webseiten, Zeitungsartikeln, Internetforen und sozialen Medien. Durchaus interessant sind für Angreifer aber auch Datenbanken wie das Handelsregister, wo Eigentumsverhältnisse und für ein Unternehmen relevante Personen öffentlich aufgeführt sind.
Wenn Sie aufspüren möchten, was über Ihr Unternehmen im Internet bekannt ist, ist natürlich die erste OSINT-Quelle die bevorzugte Suchmaschine. Darin finden Sie zumindest die offensichtlichen Informationen. Häufig sind dies Angaben zu den Geschäftsfeldern Ihrer Firma, weshalb die OSINT-Suche auch bei Bewertungen von Unternehmen und strategischen Entscheidungen auf wirtschaftlicher Ebene bedeutend sind. Kriminelle, die einen Cyberangriff auf Ihr Unternehmen vorbereiten, werden vor allem versuchen, öffentliche Informationen zu Ihrer technischen Infrastruktur und zu Mitarbeitern zu finden – also die möglichen Angriffsvektoren beleuchten.
Mit dem Open-Source-Tool bbot [1] möchten wir in diesem Artikel versuchen, Informationen über die Infrastruktur Ihrer Organisation herauszufinden, die auch Kriminelle zur Angriffsvorbereitung nutzen könnten. Open Source in diesem Kontext steht übrigens dafür, dass die Quellen der Software öffentlich sind, also auch von Dritten geändert werden können, während es im Kontext OSINT bedeutet, dass die Informationen frei zugänglich sind.
Immer wieder werden Cyberangriffe mit militärischen Maßnahmen gleichgesetzt und das Vorgehen der Angreifer und Verteidiger folgt häufig den militärischen Vorbildern in Planung, Methodik und Präzision. So sollten Verantwortliche für IT-Sicherheit in Unternehmen im Blick haben, was Kriminelle mit diesen Methoden für Informationen über die Firma und die Mitarbeiter herausfinden können. Dabei geht es vor allem um Informationen von Webseiten, Zeitungsartikeln, Internetforen und sozialen Medien. Durchaus interessant sind für Angreifer aber auch Datenbanken wie das Handelsregister, wo Eigentumsverhältnisse und für ein Unternehmen relevante Personen öffentlich aufgeführt sind.
Wenn Sie aufspüren möchten, was über Ihr Unternehmen im Internet bekannt ist, ist natürlich die erste OSINT-Quelle die bevorzugte Suchmaschine. Darin finden Sie zumindest die offensichtlichen Informationen. Häufig sind dies Angaben zu den Geschäftsfeldern Ihrer Firma, weshalb die OSINT-Suche auch bei Bewertungen von Unternehmen und strategischen Entscheidungen auf wirtschaftlicher Ebene bedeutend sind. Kriminelle, die einen Cyberangriff auf Ihr Unternehmen vorbereiten, werden vor allem versuchen, öffentliche Informationen zu Ihrer technischen Infrastruktur und zu Mitarbeitern zu finden – also die möglichen Angriffsvektoren beleuchten.
Mit dem Open-Source-Tool bbot [1] möchten wir in diesem Artikel versuchen, Informationen über die Infrastruktur Ihrer Organisation herauszufinden, die auch Kriminelle zur Angriffsvorbereitung nutzen könnten. Open Source in diesem Kontext steht übrigens dafür, dass die Quellen der Software öffentlich sind, also auch von Dritten geändert werden können, während es im Kontext OSINT bedeutet, dass die Informationen frei zugänglich sind.
Das erste "b" in bbot steht für "Bighuge" (zu Deutsch "riesig groß"), denn der Anspruch der Entwickler lautet, möglichst viele OSINT-Aspekte und Quellen in nur einem Werkzeug zu bündeln und damit die Verwendung noch einfacher zu machen. Da bbot in Python geschrieben ist, fällt die Erweiterung um zusätzliche Scanner und Module natürlich leicht und das ausgerufene Ziel scheint damit theoretisch sogar möglich.
Open Source Intelligence sammeln
Hauptsächlich entwickelt wird bbot durch das amerikanische Sicherheitsunternehmen Black Lantern Security [2]. Das Unternehmen stellt auch fertige Docker-Images von bbot zur Verfügung, was die Nutzung des Tools vereinfacht. Für einen ersten Blick auf die Domain einer Firma können Sie mit dem folgenden Aufruf zunächst die öffentlich auffindbaren Subdomains identifizieren:
docker run --rm -it blacklanternsecurity/bbot -t it-administrator.de
Bestätigen Sie den Scan nach der Initialisierung noch einmal mit Enter und warten Sie dann den Durchlauf des Programms ab. Auch wenn der Aufruf für unsere Domain "it-administrator" eher langweilige Ergebnisse zutagefördert, nämlich die klassischen A- und MX-Einträge aus dem DNS, zeigen die Scans für größere Infrastrukturen doch die ein oder andere Überraschung. Um die Ergebnisse in Ruhe durchzugehen und nicht in der Ausgabe des Programms suchen zu müssen, starten Sie den Durchlauf noch einmal und speichern die Ergebnisse diesmal außerhalb des Docker-Containers ab:
docker run --rm -v /tmp/scans:/root/.bbot/scans -it blacklanternsecurity/bbot -t it-administrator.de
Nun können Sie im Ordner "/tmp/scans" durch die Ergebnisse stöbern. Hierfür öffnen sie beispielsweise die Datei "output.csv" und sehen dann direkt die von einem Modul ermittelten Daten ein. Für unser Beispiel finden Sie entsprechend die Domainnamen und die zugehörigen IP-Adressen. Kannten Sie für Ihr Unternehmen alle von bbot gefundenen Subdomains? Falls nicht, ist das natürlich nicht schlimm, aufgrund eines dezentralen Aufbaus von DNS-Zonen innerhalb großer Unternehmen ist das gar nicht immer möglich.
Natürlich eröffnet das Aufdecken von Subdomains Angreifern bereits potenzielle Ziele, im Rahmen des Security-Tipps haben wir immer mal wieder entsprechende Risiken aufgezeigt, etwa von nicht weiter betriebenen Subdomains im Zusammenhang mit Clouddiensten. Angreifer werden sich natürlich nicht mit einer Liste an Subdomains begnügen, sondern weitere Angriffspunkte suchen. Dafür bietet bbot fast 100 Module zum Scannen, die wir natürlich nicht alle im Rahmen dieses Security-Tipps besprechen können. Dabei fallen die Ergebnisse der einzelnen Module nicht zwingend unabhängig voneinander an. So gibt es mehrere Module, die etwa E-Mail-Adressen extrahieren oder Subdomains enumerieren.
Für das Auffinden weiterer Subdomains lässt sich beispielsweise das Modul "ssl-cert" verwenden. In modernen Umgebungen kommen oftmals Proxys für den Zugriff auf dahinterliegende Webdienste in separaten Umgebungen zum Einsatz. Wird der Zugriff mit SSL abgesichert, bedeutet das oft, dass auch alternative Domain- beziehungsweise Subdomainnamen in nur einem TLS-Zertifikat auf-geführt sind – ein Leichtes für einen Angreifer, diese Liste zu sammeln und die Namen zu nutzen.
Um einen deutlich umfangreicheren Test durchzuführen, können Sie das folgende Kommando verwenden:
docker run --rm -v /tmp/scans: /root/.bbot/scans -it blacklanternsecurity/bbot -t <IhreDomain> -f subdomain-enum email-enum cloud-enum web-basic -m nmap gowitness
Die Ergebnisse dazu beinhalten jetzt deutlich mehr Informationen, beispielsweise gefundene E-Mail-Adressen von Webseiten, betriebene Dienste oder offene Ports Ihrer Server. So gibt das ASN-Modul die Autonomen Systeme einer Unternehmensinfrastruktur wieder, ebenso die Subnetze, in denen Dienste des Unternehmens zu finden sind und auch die entsprechenden Betreiber der Rechenzentren.
Gefährliche Tests
Der Schwachstellenscanner Nuclei [3] lässt sich über ein entsprechendes Modul für alle gefundenen Services und Ports direkt aus bbot heraus verwenden. Nuclei geht dabei zum Teil recht aggressiv vor, sodass die bbot-Entwickler selbst vor dessen Nutzung warnen. Zumindest sollten Sie sich dieser Tatsache bewusst sein und Nuclei und die verwendeten Testverfahren und Templates bestenfalls auch mal näher angesehen haben, bevor Sie es auf Ihre Infrastruktur loslassen.
Fügen Sie dem oberen Aufruf von bbot bei der Angabe der Module mit "-m" am Ende noch "nuclei" hinzu, muss dahinter die Option "--allow-deadly" folgen – ein Zeichen dafür, dass Nutzer wissen sollten, was sie tun. Wenn Sie einfach nur ein wenig herumprobieren möchten, verzichten Sie zunächst auf den Einsatz von Nuclei.
Unabhängig davon, wie sehr Sie Ihre Infrastruktur stressen, sollten Sie die Ergebnisse in Ruhe auswerten und für jedes Infrastrukturelement gezielt hinterfragen. Die Ergebnisse sollten Sie also in eine allgemeine Risikoanalyse einfließen lassen, denn es ist ja durchaus möglich, dass eine theoretische Verwundbarkeit für den vordergründigen Nutzen einer Anwendung in Kauf genommen werden kann oder muss. Vor allem erhalten Sie bei bbot keine direkten Hinweise darauf, wie sich eine Schwachstelle oder Verwundbarkeit schließen lässt, geschweige denn gibt es einen Automatismus, der das für Sie übernimmt.
Regelmäßige Prüfungen
Nicht alle angebotenen Module mögen für Ihre Infrastruktur zielführend oder sinnvoll sein. Eine Übersicht bietet die Dokumentation von bbot, dort finden Sie für jedes Modul eine kurze Beschreibung, eine Klassifikation sowie die jeweiligen Inputs und Outputs der Module. So können Sie in unterschiedlichen Kampagnen auch gezielt nach einzelnen Artefakten suchen, also beispielsweise nach E-Mail-Adressen Ihres Unternehmens, nach Subdomains oder nach offenen Ports Ihrer DMZ.
Wenn Sie eine Auswahl an Modulen für Ihre Infrastruktur getroffen haben, bieten sich natürlich regelmäßige oder automatisierte Tests an. Neben den Standardverfahren ermöglichen einige Module auch, kostenpflichtige Backends anzusprechen. Die wohl bekanntesten sind die Schwachstellensuchmaschine Shodan und der von Google betriebene Virenprüfdienst VirusTotal.
Fazit
Es gibt viele Sprichwörter, die so viel bedeuten wie "Kenne deinen Feind". Bezogen auf die Bedrohungen durch Cyberangriffe sollte es heute eher "kenne deine eigenen Schwachstellen" lauten. Nutzen Sie dafür die Techniken, die auch Angreifer verwenden, um Schwachstellen in der Unternehmensinfrastruktur zu finden, sind Sie auf dem richtigen Weg. Der Security-Tipp hat Ihnen mit bbot ein umfangreiches OSINT-Werkzeug vorgestellt, mit dem Sie zumindest die Informationen über Ihre IT-Infrastruktur sammeln und auswerten können, die Angreifer auch außerhalb Ihres Unternehmens finden können.
(dr)
Link-Codes
[2] Black Lantern Security: https://www.blacklanternsecurity.com/
[3] Nuclei: https://github.com/projectdiscovery/nuclei