Wie gehen Hacker eigentlich vor?

Um sich vor Angriffen durch Hacker zu schützen, ist es sinnvoll sich in den Angreifer hineinzuversetzen. Dadurch kann man mögliche Sicherheitslücken erkennen und rechtzeitig schließen, bevor es zu einem Schaden kommt. Je nach Motivation eines Hackers kann ein Angriff unterschiedlich aufwändig sein. In der Praxis sind vor allem breit gefächerte Massenangriffe (z.B. durch Verschlüsselungs-Trojaner und Phishing-Mails) und sehr aufwändige, zielgerichtete Angriffe auf „interessante“ Ziele relevant. Ganz grob lässt sich ein Hackerangriff in vier Phasen einteilen: Reconnaissance, Scanning, Exploitation und Post-Exploitation.kreis

  1. Reconnaissance
    In der Reconnaissance-Phase werden so viele Informationen wie möglich über das Ziel des Angriffs gesammelt. Dazu werden beispielsweise Suchmaschinen und öffentlich zugängliche Informationsquellen (z.B. soziale Netzwerke) verwendet. Welche Informationen für einen Angreifer interessant sind, unterscheidet sich dabei je nach Ziel und Vorgehen des Angreifers. Auch scheinbar „unwichtige“ Informationen lassen sich zum Beispiel im Rahmen geschickter Täuschungen („Social Engineering“) nutzen, um einen Angriff durchzuführen. Während der Reconnaissance-Phase wird auch untersucht, welche Angriffsflächen das Ziel bietet. Dazu zählen beispielsweise die Webseite eines Unternehmens oder der jeweilige Mailserver. Häufig gibt es neben den „offiziellen“ Servern eines Unternehmens noch weitere Server, die ein Angreifer zu finden versucht. Außerdem wird bereits versucht zu ermitteln, welche Software in welchen Versionen verwendet wird, um die Scanning-Phase zu vereinfachen.
  2. Scanning
    In der zweiten Phase („Scanning“) werden die gefundenen Angriffsflächen näher auf Schwachstellen (z.B. Programmierfehler) untersucht. Dazu wird zum Beispiel ein Portscan der gefundenen Server durchgeführt und nach bekannten Sicherheitslücken für die verwendete Software gesucht. Für diese Phase existieren auch spezialisierte Schwachstellenscanner, die automatisch eine Reihe von Tests durchführen. Ist Quellcode verfügbar, kann dieser ebenfalls auf neue Sicherheitslücken hin untersucht werden. Sicherheitslücken müssen allerdings nicht immer technischer Natur sein: Häufig haben Benutzer schlechte Passwörter vergeben (Firmennamen, Monate oder Jahreszeiten bei wechselnden Passwörtern, etc.) und manchmal sind sogar noch die Standardpasswörter gesetzt. Ein Angreifer wägt dabei zwischen Aufwand und Nutzen ab: Wenn er bereits über ein schlecht gewähltes Passwort Zugang zu einem System erhält, muss er nicht nach weiteren Sicherheitslücken suchen.
  3. Exploitation
    Hat ein Angreifer eine Sicherheitslücke gefunden, wird diese Sicherheitslücke im nächsten Schritt ausgenutzt, um Zugang zum angegriffenen System zu erhalten. Dafür stehen dem Angreifer eine Reihe verschiedener Tools zur Verfügung, z.B. das Pentesting-Framework Metasploit. In Metasploit kann Code zum Ausnutzen einer Schwachstelle („Exploit“) mit Schadcode („Payload“) kombiniert und ausgeführt werden. Dazu steht dem Angreifer eine große Datenbank mit bereits bekannten Exploits und Payloads für verschiedene Systeme zur Verfügung. Es können aber auch eigene Schadprogramme geschrieben und in Metasploit verwendet werden. Metasploit stellt auch einen eigenen Trojaner („Meterpreter“) zur Verfügung, der dem Angreifer die vollständige Kontrolle eines kompromittierten Rechners ermöglicht. Dieser Meterpreter kann zum Beispiel auch als E-Mail Anhang verschickt oder über Webseiten zum Download angeboten werden. Hat ein Hacker auf diese Weise Zugang zu einem System erlangt, geht der Angriff in die nächste Phase („Post-Exploitation“) über.
  4. Post-Exploitation
    In den meisten Fällen sorgt die in Phase 3 ausgenutzte Sicherheitslücke zunächst nur für eine vorübergehende Kontrolle des Systems. In der Post-Exploitation-Phase versucht der Angreifer deshalb, dauerhaften Zugriff zum kompromittierten System zu bekommen. Dazu installiert er beispielsweise eine Backdoor oder legt sich einen eigenen Nutzer an. Außerdem löscht er gegebenenfalls Logdateien und verschleiert so die Spuren seines Einbruchs. Nun kann sich der Angreifer auf dem System umsehen und von dort weiter agieren. Beispielsweise können vertrauliche Daten ausgespäht oder manipuliert werden. Oder es werden Passworteingaben des Benutzers aufgezeichnet und das restliche (Unternehmens-)Netzwerk untersucht. Je nachdem, ob der Hacker sein ursprüngliches Ziel erreicht hat, beginnt er wieder mit einer Reconnaissance (z.B. des internen Unternehmensnetzwerks).
Verfasst von Carsten Cordes am 25. November 2016