Zurück

Egress / C2-Test

Verteidigung gegen Angriffe von innen stärken

Viele Unternehmen setzen bei der IT-Sicherheit immer noch verstärkt auf den Schutz des Perimeters, also des "Übergangs" zwischen dem Unternehmensnetz und den öffentlichen Netzen. Angriffe mit Einstiegspunkt über die externe Firewall werden in der Praxis jedoch immer seltener. Dafür gewinnt ein anderer Angriffsweg an Bedeutung, bei dem Hacker versuchen, über Schadsoftware (z.B. Phishing-Mails) einen Fuß in die Tür Ihres Unternehmens zu bekommen und im Erfolgsfall einen Kommunikationskanal von innen nach außen aufzubauen (Command and Control kurz C2). Diese Vorgehensweise bietet dem Angreifer einen erheblichen Vorteil, da die ausgehende Kommunikation in vielen Unternehmen nicht so stark überwacht wird wie die eingehende. Command-and-Control-Verbindungen bilden häufig die Grundlage für (meist sehr lange) unbemerkte Einbrüche und Datendiebstähle in Unternehmen.

Die Command and Control Channels, die der Angreifer dabei aufbaut, können unter anderem zum Stehlen, Verschlüsseln oder Löschen von Daten verwendet werden. Bei einem Egress / C2 Test wird im Detail untersucht, über welche Ports, Protokolle oder Kanäle ein böswilliger Angreifer Verbindungen von innen nach außen aufbauen kann (wenn er bereits einen Initial Access z.B. durch eine Phishing-Mail erhalten hat) und unbemerkt Daten aus Ihrem Unternehmen exfiltrieren kann.

Würde Ihre Firewall den Aufbau von (komplexeren) Command-and-Control-Kanälen erkennen und unterbinden? Wie verhalten sich Ihre Endpoint Security Produkte wie Antivirus (AV), Endpoint Protection Platform (EPP) und Endpoint Detection and Response (EDR)? Am Ende des Tages zeigen wir Ihnen konkrete Schwachstellen in den jeweiligen Systemen und Produkten auf. Darüber hinaus informieren wir Sie über mögliche Maßnahmen zur Härtung der betroffenen Systeme, Produkte oder Konfigurationen.

Wie ich beim Egress / C2-Test vorgehe

Planung | Scoping

Zu Beginn lege ich gemeinsam mit meinen Kunden fest, welche Produkte / Systeme im Kundennetzwerk geprüft werden sollen und was die ungefähr zu erwartenden Ergebnisse sind. Im nächsten Schritt überlege ich mir mögliche Szenarien für den Egress / C2-Test.
Methodik | Umsetzung

Bei einem Egress / C2 Test gehen wir davon aus, dass sich ein Angreifer bereits initial Zugang zu Ihrem Unternehmen verschafft hat (z.B. durch Phishing Mails). Ausgehend von dieser Annahme untersuchen wir im Detail, über welche Ports, Protokolle und Kommunikationskanäle ein böswilliger Angreifer von innen unautorisierte Verbindungen (C2-Kanäle) aufbauen kann. Am Ende des Tages erhält man wichtige Erkenntnisse über den technischen Stand der eingesetzten Sicherheitsprodukte wie z.B. EDR, SIEM, Next Gen Firewall etc.
Report | Weiterentwicklung

Hat Ihre (Next Gen) Firewall den Aufbau von (komplexeren) Command and Control Channels erkannt und verhindert? Über welche Ports und Kanäle konnte ich unerkannt eine Verbindung nach außen aufbauen? Wie hat sich die AV/EPP/EDR-Lösung am Endpoint verhalten? Hat das eingesetzte SIEM Ihre Erwartungen erfüllt? Am Ende erhalten Sie von mir einen technischen Bericht und eine kurze Abschlusspräsentation mit den Ergebnissen. Die Ergebnisse geben Ihnen einen Einblick in die tatsächlichen Stärken und Schwächen der eingesetzten Produkte und Sie können Ihre zuvor definierten Erwartungen mit den tatsächlichen Ergebnissen vergleichen. Darüber hinaus bilden die Ergebnisse die Grundlage für eine gezielte Weiterentwicklung bzw. Härtung Ihrer Systeme, z.B. Härtung durch Konfigurationsänderungen.

Warum Egress / C2-Tests bei RedOps?

Als Experte für Offensive Security sind Command and Control Frameworks ein wichtiger Teil meiner Kernkompetenz. Ich bin ständig auf der Suche nach neuen Möglichkeiten, wie ich als Angreifer unbemerkt unautorisierte Command and Control Channels aufbauen kann. Die Ergebnisse des Egress / Tests liefern meinen Kunden wichtige Erkenntnisse über mögliche Blindspots in Systemen wie Antivirus (AV), Endpoint Protection (EPP), Endpoint Detection and Response (EDR), SIEM, Next Gen Firewall etc.

Verantwortung und Integrität

Wer Offensive Security Services in Anspruch nimmt und sich bewusst einem ethischen Hackerangriff aussetzt, sollte dies mit einem Partner tun, auf den er sich absolut verlassen kann. Ich behandle alle Informationen streng vertraulich und bin 100% integer in dem, was ich tue.
Forschungsorientierung

IT-Security ist kein Produkt, sondern ein ständiger Lernprozess. Deshalb investiere ich viel Zeit in Weiterbildung und Forschung. Meine Ergebnisse im Bereich Endpoint Security konnte ich bereits auf mehreren internationalen IT-Security Konferenzen präsentieren.
Qualität statt Quantität

Mit der Offensive Security habe ich meine Leidenschaft zu meiner Kernkompetenz gemacht. Ich verkaufe keine Produkte oder Lizenzen, sondern lebe rein von meiner Expertise im Bereich der IT-Security. Qualität geht bei mir klar vor Quantität.

Making sense of IT:Security

Red Team Approach

Beim Red Team Approach handelt es sich um ein Tool, das kleinen und mittleren Unternehmen (KMUs) ermöglicht, reale Cyber-Angriffe zu simulieren.

Penetration Testing

Penetration Testing konzentriert sich auf die technische Analyse Ihrer Systeme und bildet die Grundlage für einen effektiven Härtungsprozess.

Assumed Breach

Das Assumed Breach Szenario ermöglicht eine Angriffssimulation mit Fokus auf die Post-Breach-Phase im Unternehmensnetzwerk.