Bei diesem Pentest handelt es sich um einen der ersten Social Engineering (SE) Pentests, die wir als größeres Team durchgeführt haben. Gleich eine Sache vorab: für uns ist diese Angriffssimulation fast in die Hose gegangen. Ich werde über die Herausforderungen schreiben, was falsch gelaufen ist und wie wir doch noch unser Ziel erreicht haben.
Einführung
Als Social Engineering (SE) Pentester haben wir schon immer den hohen Anspruch gehabt, unsere Angriffsemulationen so realistisch wie möglich zu gestalten, um als Angreifer nicht „verbrannt“, also aufgeklärt zu werden. In der Regel beauftragen unsere Kunden uns mit einem SE Pentest, um vorhandene Sicherheitsmaßnahmen einem Härtetest zu unterziehen und um echte Erkenntnisse über die eigene Social Engineering (SE) Resilienz zu gewinnen. Dass es auch mal anders laufen kann, wird dieses Praxisbeispiel aufzeigen.
SE-Pentest: Unser Grundsätzliches Vorgehen
Bei einem Social Engineering (SE) Pentest gehen wir vorzugsweise immer den leichtesten Weg des Widerstandes, denn das würde ein echter Angreifer auch. Der leichteste Weg des Widerstandes bedeutet: eine hohe Erfolgswahrscheinlichkeit und ein geringes Risiko, dabei aufgeklärt zu werden.
Wie gehen wir vor?
Nach der Auftragsbestätigung gehen wir in die Informationsgewinnung, um mögliche Angriffsszenarien entwickeln zu können. Hierzu nutzen wir zu einem open source Intelligence (OSINT - die Informationsgewinnung durch offene Quellen) und zum anderen eine mehrtägige Observation der Zielobjekte.
Aufklärungsergebnisse umfassen unter anderem: organisatorischen Abläufe, wie das Besucher und-Liefernatenmanagment, Erkenntnisse über Mitarbeitende, Kunden und Partner sowie umgesetzte Sicherheitsmaßnahmen.
Nach der Informationsgewinnung gehen wir in eine Angriffsplanung. Hier arbeiten wir nun die möglichen Angriffsszenarien aus und entwickeln unsere Legenden.
Wir entwickeln grundsätzlich mehrere Angriffsszenarien (wir nennen diese auch COA also „Cours of Action“), die entweder aufeinander aufbauen oder für sich alleine stehen. Damit stellen wir sicher, dass wir bei einem abgewehrten Angriffsszenario (bei dem wir nicht aufgeklärt werden) weitere Angriffe in der Hinterhand haben.
Bei der Durchführung der Angriffssimulation gilt natürlich: unbemerkt hineinkommen, vordefinierte Angriffsziele erreichen (z. B. Anbringen von Wifi-Keyloggern etc.) und unbemerkt wieder hinauskommen – klingt eigentlich ganz simple. Dabei versuchen wir, die Angriffsszenarien in der Vorbereitung so auszuarbeiten, dass diese zwar abgewehrt, aber im besten Falle nicht als Angriff aufgeklärt werden können.
Unsere Erfolgsquote
Ein (aus der Sicht eines Angreifers) erfolgreicher Pentest ist immer dann gegeben, wenn wir, ohne aufgeklärt zu werden, ein Unternehmen infiltrieren konnten. Ob zwei von drei Angriffsszenarien abgewehrt worden sind, spielt dabei keine Rolle.
Für einen erstaunlich langen Zeitraum hatten wir eine Erfolgsquote von 100 % – Ja, das schreibe ich mit einem gewissen Stolz. Dass diese Quote nicht für die Ewigkeit bestimmt war, ist keine wirkliche Überraschung.
Wir sind innerhalb der letzten 10 Jahre an starken Unternehmen abgeprallt, hatten den ein oder anderen schlechten Tag, und in einem Fall sind wir sogar unserer (kurz andauernden) Überheblichkeit zum Opfer gefallen – diese Geschichte hat aber einen eigenen Blogbeitrag verdient. Unsere Erfolgsquote liegt heute bei 93 % und kann sich, denke ich, immer noch sehen lassen.
Der Auftrag
Unser Auftrag gab vor, fünf verschiedene Objekte des Kunden an einem einzigen Pentesttag zu testen. Die Unternehmenssicherheit und auch das durchschnittliche Sicherheitsbewusstsein der Mitarbeitenden war auf einem sehr hohen Level – was für eine Organisation der Kritischen Infrastruktur auch zu erhoffen ist. Dementsprechend investierten wir viel Zeit in die Aufklärung sowie in die Vorbereitungen und stellten für den Auftrag ein größeres Social Engineering Team zusammen.
Die Vorbereitung
Für uns war von vorneherein klar, dass wir bei diesem Kunden tief in die Trickkiste greifen müssten. So mieteten wir etwa einen Rettungswagen und die entsprechenden Filmrequisiten von einem Filmverein an, um eventuelle Schwachstellen in den organisatorischen Prozessen auslösen und ausnutzen zu können. Auch haben wir uns 2 Wochen vor Pentestbeginn gezielt an verschiedene Zielgruppen angebahnt.
Da es kurz vor Weihnachten war und der Kunde sich schon in der Vorbereitung der Festigkeiten befand und z. B. bereits Weihnachtsbäume in den Eingangsbereichen HINTER der Sicherheitskontrolle aufgestellt wurden, nutze ich diesen Umstand bei der besagten Aufklärung.
Mit der Cover Story, als unternehmenseigener Fotograf ein paar weihnachtliche Fotos für die Website und Social Media zu schießen, war es an einigen Standorten leicht, mit dem Sicherheitspersonal ins Gespräch zu kommen und Informationen zu gewinnen.
An einem Standort war es mir sogar möglich, Rapport zu einem Sicherheitsmitarbeiter aufzubauen. Dieser erwartete nun mein Kommen in den nächsten 2 Wochen, da ich vorhatte, denn Weihnachtsbaum im Eingangsbereich zu dekorieren und dann zu fotografieren.
Eine etwas »besondere« Herausforderung
Als es dann zwei Wochen später mit unserem Pentest losging, war uns relativ schnell klar, dass etwas nicht stimmen kann. Hatten wir von einem Tag auf den anderen unsere Fähigkeiten als Human Hacker verloren? Oder hatten wir unseren „Meister“ gefunden? Wo auch immer wir mit unseren Angriffen ansetzen, führten diese zu keinem Erfolg. Wo auch immer die Pentester auftauchten, sahen sie sich mit ungewohnt hoher Skepsis oder unnatürlichem Verhalten konfrontiert.
Ein kurzes Telefonat mit unserem Ansprechpartner beim Kunden brachte das nötige Licht in das Dunkel: Unser Pentest wurde nicht nur im Vorfeld angekündigt, sondern auch am Pentesttag über das Interne „Schwarze Brett“ mit allen Mitarbeitern kommuniziert. Mitarbeiter wurden angehalten, besonders aufmerksam zu sein, da am heutigen Tage ein physischer Pentest durchgeführt werden würde – ärgerlich.
Es ist für uns kein Problem, wenn ein Kunde unseren Pentest ankündigen möchte und bewusst auf echte Erkenntnisse verzichtet – dafür kann es tatsächlich gute Gründe geben. Es wäre nur schöner gewesen, von diesem Umstand, nicht erst mitten im Pentest zu erfahren, da wir uns sonst anders auf diesen Auftrag vorbereitet hättet.
Ab diesem Punkt hieß es wie so oft „leben in der Lage“ und ein letztes Angriffsszenario hatten wir noch in der Pipeline – also weiter geht’s.
Das Finale Angriffsszenario
Unser letztes Angriffsszenario, „Der Fotograf“, war eigentlich von allen Angriffsszenarien der schwächste Ansatz und nicht gerade Erfolg versprechend. Als ich mich aber mit dem vom Gürtel baumelnden gefälschten Mitarbeiterausweis und meiner Kamera bewaffnet auf den Weg zum finalen Objekt machte, entwickelte sich eine vage Idee, die mir einen kleinen Lichtblick verschaffte. Alles würde davon abhängen, ob der Sicherheitsmitarbeiter, zu dem ich in der Aufklärung Rapport aufgebaut hatte, heute wirklich vor Ort sein – und sich an mich erinnern würde.
Als ich den Eingangsbereich betrat, eröffnete sich vor mir folgendes Szenario:
Auf 12 Uhr befand sich die hüfthohe Vereinzelungsanlage, welche nach rechts weg einen Anschluss zu einem Übersteigschutz fand. Rechts hinter der Vereinzelungsanlage stand ein prächtiger Weihnachtsbaum, dem es aber deutlich an liebevollem Schmuck und Dekoration fehlte – Perfekt! Links von der Vereinzelungsanlage befand sich das Empfangsbüro des Sicherheitsdiensts mit einem großen Fenster mit direkter Sicht auf die Vereinzelungsanlage. Besetzt war dieser Empfang mit zwei Sicherheitskräften, einer von beiden war meine Zielperson – Jackpot!
Als ich dann jedoch an den Empfang trat, wurden mir zwei Dinge auf einen Schlag klar:
Erstens: Ableitend vom Gesichtsausdruck meiner Zielperson konnte diese sich definitiv nicht an mich erinnern (nicht gut) und zweitens: war das Misstrauen, das mir entgegengebracht wurde, alles andere als vorteilhaft für mein ursprüngliches Vorhaben und auch ein starkes Indiz dafür, dass auch hier das Personal von dem laufenden Pentest wusste.
An diesem Punkt ist es natürlich nicht mehr gegeben, von einem Realistischen Pentest zu sprechen. Bei einem richtigen Angriff würde diese Gesamtsituation einem Honeypot gleichkommen und wir hätten unseren Angriff bei so vielen „Red Flags“ bereits abgebrochen. Und dennoch: Manipulation funktioniert auch dann, wenn das „Opfer“ damit rechnet, manipuliert zu werden, man muss nur den richtigen Trigger finden.
Ich nehme dich mal in die „Gegenwartsform“ mit, um dir somit das Vorgehen aus meiner Sicht besser schildern zu können:
Ansprache
Die Ansprache verläuft holprig und zeigt deutlich das Misstrauen der beiden Sicherheitsmitarbeiter meiner Person gegenüber, daher entscheide ich mich spontan, die Situation hochzueskalieren und gleichzeitig deren Wissensvorsprung (über den laufenden Pentest) für mich selbst auszunutzen.
Das Gespräch verläuft folgendermaßen:
Ich (spielerisch aufgebracht) : Was ist denn heute los? Egal, an welchen Standort ich gehe, ich werde angeschaut wie ein Außerirdischer. Das macht langsam keinen Spaß mehr, wie soll ich so arbeiten?
Beide Sicherheitsmitarbeiter schauen sich abwechselnd an und finden offensichtlich nicht die richtigen Worte. Das Misstrauen schlägt in eine leichte Verwirrung um – habe ich die beiden doch etwas zu grob überrollt?
Sicherheitsmitarbeiter 1: (...) das ist gar nicht persönlich gemeint, es ist nur so das hier gerade eine Aktion läuft und wir dachten das Sie viel..
Perfekt. Das ist die Vorlage, die ich gebraucht habe.
Ich: Ja, ich weiß! Ich war gerade am Standort X und da kam gerade jemand, der sich als Personenschützer oder so ausgegeben hat…
Sicherheitsmitarbeiter 1: Ja, genau vom Standort X haben wir eben den Anruf bekommen! Wir sind, glaube ich, die Letzten, wo noch niemand war und daher dachten wir eben, dass..
Ich (lachend): Aber ich sehe doch nicht aus wie ein Personenschützer, oder? Den hier habe ich ja nicht nur zum Spaß (für einen kurzen Moment halte ich meinen gefälschten Mitarbeiterausweis hoch). Ich muss bis heute Abend diese Weihnachtsfotos für die Website fertig bekommen und der Baum hier ist auch noch nicht dekoriert.
Jetzt ist der Groschen beim Sicherheitsmitarbeiter 1 gefallen und er scheint sich wieder an mein Vorhaben, das ich vor wenigen Wochen angekündigt habe, zu erinnern. Seine Anspannung lässt spürbar nach und er erzählt dem Sicherheitsmitarbeiter 2 von meinem angekündigten Fototermin. Auch wenn die Skepsis beim Sicherheitsmitarbeiter 2 nicht ganz verschwunden ist, gewinne ich an Boden. Wir unterhalten uns noch etwas über den laufenden Pentest und tauschen uns über die Dinge aus, die wir jeweils mitbekommen haben.
Die letzte Hürde
Zwar scheint jetzt die nötige Vertrauensbasis aufgebaut zu sein, aber ich habe immer noch die Herausforderung, die Vereinzelungsanlage zu überwinden. Mein gefälschter Mitarbeiterausweis ist ohne jegliche Funktion und dass die beiden Herren unter einem Vorwand die Vereinzelungsanlage öffnen ist absolut ausgeschlossen.
Ich verlasse unter dem Vorwand, die für den Shot vorbereitete Dekoration aus dem Auto zu holen, das Objekt und nutze die Zeit, um dem frisch gereiften Plan seinen letzten Schliff zu verpassen.
Der finale Plan
Am Auto trifft sich das Team und wir besprechen das weitere Vorgehen.
Der Plan gestaltet sich folgendermaßen: Einer der Pentester wird sich demonstrativ vor dem Objekt platzieren, und zwar so dass er vom Empfangsbereich gut zu sehen ist. Erst wenn er das „Go“ von mir per SMS bekommt, soll er sich langsam auf den Eingangsbereich zubewegen. Während er vor dem Objekt wartet, werde ich mit der Dekoration an ihm vorbeilaufen und wieder ins Objekt gehen, dann kommt es zur eigentlichen Manipulation.
Die Manipulation
Ich laufe voll beladen in den Empfangsbereich und stelle mit Freuden fest, dass Sicherheitsmitarbeiter 2 nicht mehr zu sehen ist (ich gehe davon aus, dass dieser wieder seinen Arbeitsplatz am Lieferanteneingang besetzt hat). Ich stelle die Dekoration nah an der Vereinzelungsanlage ab und spreche ohne Umschweife den Sicherheitsmitarbeiter 1 an.
Ich: Siehst du den Typen da draußen? War der schon hier drin?
Sicherheitsmitarbeiter 1: Bis jetzt nicht! Der ist aber schon seit 5 min. da und telefoniert.
Ich: Ich bin mir absolut sicher, dass es der Typ ist, der vorher bei Objekt x war, der sich als Personenschützer ausgegeben hat und schau mal, wie der angezogen ist, der glaubt doch nicht wirklich, dass das funktioniert?
Sicherheitsmitarbeiter 1 greift sichtlich euphorisch zum Telefon:
Sicherheitsmitarbeiter 1: Der soll nur kommen, wie dumm stellt der sich an? Noch auffälliger geht es doch nicht!
Ich möchte nicht, dass er telefoniert und damit evtl. mein Vorhaben untergräbt, daher unterbreche ich ihn und setze alles auf eine Karte.
Ich: Wie lustig wäre es, wenn du rausgehst und ihn direkt ansprichst und ich mache davon Fotos? Dem wird alles aus dem Gesicht fallen, das wären einzigartige Fotos!
Sicherheitsmitarbeiter 1: Ich mache das! Denn schicke ich direkt wieder nach Hause (...)
Sicherheitsmitarbeiter 1 ist emotional sichtlich aufgewühlt und voller Tatendrang, diesen Pentester in seine Schranken zu weißen. Während er seine Jake anzieht und den Empfangsbereich abschließt, nutze ich die Gelegenheit und bitte per SMS den Pentester vor dem Objekt mir etwas Zeit zu verschaffen.
Infiltration – Der kommt hier sicher nicht rein
Sicherheitsmitarbeiter 1 eilt hinaus, ohne mich eines weiteren Blickes zu würdigen – ganz recht so. Ich nutze den Moment und schiebe mit einem Fuß die Dekoration unter die Vereinzelungsanlage hindurch und steige dann selbst über diese hinweg. Ich schieße einige Fotos von dem Geschehen vor dem Objekt und mache mich dann an die Dekoration von dem Weihnachtsbaum.
Zufrieden und Stolz
Es vergehen ca. 8 Minuten, bis der Sicherheitsmitarbeiter 1 wieder zurückkommt. Sichtlich zufrieden mit sich selbst und glücklich, so souverän mit dem Pentest umgegangen zu sein, scheint er keinerlei Notiz von der Tatsache zu nehmen, dass ich nun im Unternehmensbereich bin und eifrig den Weihnachtsbaum dekoriere – schließlich habe ich doch einen „Mitarbeiterausweis“.
Ich zeige ihm die Fotos und lobe seinen Einsatz, um die Emotionen noch weiter zu befeuern und die Beziehungsebene zu stärken. Nachdem er mir kurz erzählt hat, wie das Gespräch verlaufen ist, geht er zurück an seinen Arbeitsplatz und beginnt ein Telefonat (Ich bin mir sicher, dass mein Pentester-Kollege in diesem Telefonat keine schöne Nebenrolle bekommen hat).
Jetzt kann ich mich uneingeschränkt bewegen – das ist nach einer erfolgreichen Infiltration meistens der Fall, da man ab diesem Punkt, von Mitarbeitenden leicht als Teil des Unternehmens angesehen wird.
Ich bewege mich ca. 10 Minuten im Objekt, fotografiere bestimmte Bereiche, verbaue einige Dummy USB-Sticks und dokumentiere sensible Bereiche mit unseren Typischen kleinen roten Aufklebern.
Exfiltration – komme ich hier wieder raus?
Jetzt bin ich zwar fertig, stehe aber vor der Herausforderung, das Objekt wieder zu verlassene. Ich gebe zu, dass ich diesen Punkt, bei der doch sehr spontanen Angriffsplanung, nicht komplett durchdacht habe. Sicherheitsmitarbeiter 1 ist tatsächlich immer noch oder schon wieder am Telefonieren – das lässt sich sicher ausnutzen. Ich signalisiere ihm kurz, dass ich ihn gar nicht stören will und hebe die ganze Weihnachtsdekoration wieder auf. Jetzt habe ich buchstäblich keine Hand mehr frei und bin auf die Gunst des Sicherheitsmitarbeiters angewiesenen. Ich laufe auf die Vereinzelungsanlage zu, suche den Blickkontakt und forme dann lautlos die Worte „Ich komme gleich wieder", während ich etwas verzweifelt mein Gesicht (sicher nicht schön anzusehen) verziehe und Richtung Vereinzelungsanlage nicke – 2 Sekunden später schwingt diese auf und gibt mir den Weg frei. Danke.
Warum hat diese Manipulation funktioniert?
Menschliches Verhalten in Bezug auf Manipulation ist komplex und keine exakte Wissenschaft. Es handelt sich bei Social Engineering nicht um Formeln, die man nur auswendig zu lernen brauch und dann erfolgreich einsetzen kann – wir handeln als Human Hacker erstaunlich oft aus Intuition.
In diesem spezifischen Fall konnten wir den vermeintlichen Wissensvorsprung und die daraus resultierenden Wahrnehmungsfilter des Sicherheitsmitarbeiters für uns ausnutzen.
Da der Pentest angekündigt war und der besagte Sicherheitsmitarbeiter zusätzlich von seinen Kollegen an den anderen Standorten laufend unterrichtet wurde, waren die Emotionen auf einem Hoch – aber warum?
Zu einem wusste er, dass seine Kollegen bereits alles richtig gemacht hatten und wollte nicht der Erste sein, bei dem die Pentester Erfolg haben. Zum anderen konnte er aber nicht wissen, ob und wie die Pentester seinen Standort angehen würden. Die Kombination aus Geltungsdrang, Angst zu „versagen“ und Neugier hat schlussendlich für ausreichend Stress gesorgt und Stress ist ein Wahrnehmungskiller.
Warum aber hat der Sicherheitsmitarbeiter seine anfängliche Skepsis über Bord geworfen? Gerne als Leichtgläubigkeit abgestempelt, handelt es sich hierbei tatsächlich um eine wertvolle Eigenschaft, das Gute in anderen Menschen zu sehen. Auch wenn eine Situation oder ein Verhalten von uns als komisch wahrgenommen wird, neigen wir oft dazu, nach einer positiv behafteten Erklärung zu suchen, um das Verhalten oder die Situation zu rechtfertigen. Werden nun zusätzlich die richtigen Reize gesetzt, gewinnt das Vertrauen die Oberhand und wir werden blind für das Offensichtliche – auch, weil wir gerne Konflikte vermeiden.
Fazit
Auch wenn dieses Praxisbeispiel keinen (in unserem Sinne) realistischen Social Engineering Pentest veranschaulicht, zeigt es dennoch, wie einfach es ist, Menschen zu manipulieren, auch wenn diese damit rechnen, manipuliert zu werden. Wenn wir starken Emotionen ausgesetzt sind, kann dieses für hohen Stress sorgen, der uns blind und taub für offensichtliche Gefahren macht. Es ist an dieser Stelle wichtig, deutlich zu machen, dass wir bei einem Social Engineering Pentest niemanden bloßstellen und in unseren Reportings, wo es nur geht, Rückschlüsse auf einzelne Personen, die unseren Manipulationen zum „Opfer“ gefallen sind, vermeiden. Manipulation kann jeden treffen und die wenigsten Menschen haben gelernt, wie man sich erfolgreich vor Manipulation schützen kann. Ein Social Engineering Pentest zeigt nicht nur echte Schwachstellen auf, sondern ist auch eine wichtige Grundlage, um Menschen nach einem durchgeführten Pentest effektiv zu trainieren.
Abschließende Worte von Michael Willer
Dieser beschriebene Pentest war in der Tat ungewöhnlich, weil es schon in der Zieldefinition zu erkennen war, dass da etwas „anders“ war. Im Rahmen der Pentest Aufklärung vor Ort hatten wir diverse Möglichkeiten entdeckt, das eine oder andere Objekt unbemerkt zu betreten. Leider durften wir die identifizierten Neben- und Lieferanteneingänge nicht für den Angriff nutzen. Es sollte beim Test ausschließlich um den eingesetzten Sicherheitsdienst gehen.
Das wäre auch grundsätzlich noch ein machbarer Scope gewesen, jedoch nicht, wenn die Sicherheitsmitarbeitenden genau wissen, wann wir kommen. Realistisch ist anders.
Was ich dem Team hoch anrechnen muss ist, dass sie sich zwar alle zurecht über die Rahmenbedingungen aufregten, jedoch dann sehr fokussiert und zielorientiert wurden.
Ich entschied mich am letzten Abend des Pentests alle Pentester im Hotel einzusammeln und wir gingen gemeinsam, im Nieselregen eine Stunde zu Fuß zum letzten Zielobjekt. Dort angekommen hatten sich alle beruhigt und gingen wieder in den „Angreifer“ Modus über.
An dem Abend entstand die erste Inspiration für den letzten COA.
Wie beim Schach opferten wir einen Bauern, um den Springer (über die Vereinzelungsanlage) in Position bringen zu können und das Spiel für uns zu entscheiden.
Auch so kann es manchmal laufen, dann muss ein professioneller Pentester auch mal seine Legende und seinen COA opfern, damit ein anderer überzeugen kann.
Comments