Ganz ohne Social Engineering: Angriff aufs Unternehmensnetz
Hacker benötigen nicht immer Daten unvorsichtiger Nutzer. Genauso können sie aus dem Internet schrittweise eindringen, wie ein Artikel der aktuellen iX 6/2017 zeigt.
Viele spektakuläre Angriffe auf Unternehmensnetze bedienen sich des Social Engineering, bei dem Hacker das Verhalten von Nutzern beobachten oder andere Identitäten vortäuschen und so an persönliche Informationen gelangen. Dass das klassische, hart erarbeitete Eindringen in die vermeintliche sichere Umgebung nicht weniger spannend ist, zeigt Sascha Herzog in der aktuellen iX 6/2018.
Als anonymisiertes Beispiel dient eine Versicherung, die die Hacker als Red Team beauftragt hat. Letzteres soll versuchen in das interne Netz einzudringen und Daten zu entwenden, um dem Kunden Schwachstellen seiner Infrastruktur aufzuzeigen. Nach kurzer Suche entdeckten die Angreifer über 100 Webanwendungen, die jedoch alle nach außen mit einem Passwort gesichert waren.
Besonders anfällig sind meist die intern entwickelten Webanwendungen. So auch im vorliegenden Fall: Für externe Nutzer stellte die Versicherung ein in Perl geschriebenes Programm zur Verfügung. Den Passwortschutz umgangen, erarbeiteten sich die Hacker Schritt für Schritt eine vollständige Shell. Bereits auf diesem System fanden sich wichtige Informationen wie Nutzernamen und Kennwörter.
Doch ein Server genügte den Hackern nicht. Wie sie von hier aus noch weitaus tiefer ins Unternehmensnetz eindringen konnten, erfahren Interessierte im online verfügbaren Artikel:
- Awareness: Red Teaming: Zugriffe von außen, iX 6/2017, S. 106.
(fo)
