Oftmals werden Social Engineering Einsätze als Modul im Rahmen einer Attack Simulation durchgeführt. Bei einem Einsatz prüfen unsere Social Engineers, ob relevante Schwachstellen in der physischen Sicherheit oder Verbesserungsmöglichkeiten in der Awareness der Mitarbeitenden bestehen, welche entweder direkt ausgenutzt werden oder zu einem weiterführenden Angriff im internen Netzwerk führen könnten. In diesem Blog-Beitrag wird die reale Situation eines vergangenen Auftrags in anonymisierter Form genutzt, um unser Vorgehen bei einem solchen Einsatz zu beschreiben. Das Ziel des Auftrags: In verschiedenen Filialen sowie im Hauptstandort Zugang zu sensitiven Räumen oder Objekten erhalten, um dadurch direkt an relevante Informationen zu gelangen oder die Vorbedingungen für einen internen, digitalen Angriff zu schaffen.

Social Engineering

Der Begriff des Social Engineering umfasst viele mögliche Aktionen, um unaufmerksame, gutgläubige, hilfsbereite, unwissende oder unsichere Mitarbeiter zu einer unsicheren Aktion zu veranlassen. Um diesen dynamischen Raum an Möglichkeiten zu strukturieren, orientiert sich die Redguard bei Social Engineerings an dem folgenden Prozess:

Preparation:

Zuerst müssen die Rahmenbedingungen festgelegt und die Legalität abgeklärt werden. Insbesondere, wenn ein sogenannter Social Engineer vor Ort ist, muss in der sogenannten “Get out of Jail Free Card” festgehalten werden, was in diesem Social Engineering erlaubt ist und was nicht. In dieser Durchführung hat sich der SE absprachegemäss auf mögliche Zutrittsmethoden fokussiert. Es waren beispielsweise Impersonierung von Mitarbeitenden und Lieferanten, Fälschung von Zutritts-Badges und das Täuschen von Mitarbeitenden zum Erlangen von Zutritt erlaubt. Wie immer, war die Anwendung von physischer Gewalt ausgeschlossen.

Als Nächstes haben wir in öffentlich zugängigen Quellen nach Informationen gesucht (Open Source Intelligence, kurz OSINT), welche bei dem Einsatz helfen können. Hierbei wurden beispielsweise Kartendienste genutzt, um uns einen Überblick über die Gegebenheiten des Standorts zu verschaffen und mögliche Eintrittspunkte zu identifizieren. Auch wurden online Recherchen getätigt, um möglicherweise relevante Personen und Dienstleister zu identifizieren und ein passendes Szenario zu entwickeln. So konnten online Namen und Funktionen von Schlüsselpersonen und Lieferanten identifiziert werden, welche zur Erstellung von Fake-Badges genutzt wurden.

Infiltration:

Diese Phase fokussiert sich auf die verschiedenen Eintrittsmöglichkeiten und zeigt Schwachstellen im von extern zugängigen Bereich (Perimeter) auf. Um das Szenario glaubhafter zu machen, kommen in dieser Phase oftmals zusätzliche Requisiten zum Einsatz. Dies kann beispielsweise spezifische Arbeitskleidung, ein Brief mit einem Auftrag oder ein simples Paket mit Adresse einer Person in der Firma sein.

Am Tag des Einsatzes verkleidete sich unser Social Engineer als IT-Servicetechniker. Unterstützend dazu wurden die in der vorherigen Phase gesammelten Informationen genutzt, um Auftragsdokumente und den Badge eines IT-Servicetechnikers zu fälschen. Unterstützt von der Verkleidung, den zuvor gesammelten Informationen und passenden Ausreden konnte unser SE den Standort komplett erkunden und auch mit Mitarbeitenden interagieren, ohne aufzufallen. Diese Interaktionen wurden auch erfolgreich genutzt, um sich Zutritt zu den gesicherten Büroräumlichkeiten zu verschaffen.

Exploitation:

Sobald der Perimeter überwunden wurde, geht es meist darum, den gewonnenen Zutritt auszunutzen, um weitere Ziele zu erreichen. Diese Ziele werden auf den Kunden zugeschnitten und vorgängig vereinbart, um ein sinnvolles Szenario zu erlangen. Ein solches Ziel kann beispielsweise das Platzieren von Geräten im Netzwerk sein, um später einen Fernzugriff zu etablieren und interne Angriffe durchzuführen.

In diesem Szenario war ein Ziel, dass sich der Social Engineer Zutritt zu gesicherten Bereichen des Standorts verschafft. Tatsächlich konnte er durch Absuchen des Standorts einen Schlüsselsafe identifizieren, welcher höchstwahrscheinlich Schlüssel für einen gesicherten Bereich beinhaltet und eine oft vorhandene Dekodierungs-Schwachstelle aufweist. Bei diesem Angriff wird ein dünnes Stück Metall zwischen die Räder des Kombinationsschlosses eingeführt, um Unregelmässigkeiten in den Rädern zu spüren und das Schloss so öffnen zu können.

Der Social Engineer war dadurch in der Lage, innert kurzer Zeit die korrekte Zahlenkombination zu erfühlen und den Schlüsselsafe zu öffnen. Der Schlüsselsafe beinhaltete auch tatsächlich einen Schlüssel, welcher für den Zutritt zu einem abgeschlossenen Bereich in der Nähe genutzt werden konnte.

Persistence:

Hier wird versucht, sich einen permanenten Zutritt zum Standort oder dem Objekt zu verschaffen. Oftmals sind es gefundene Zugangscodes, Generalschlüssel oder Mitarbeitender-Badges, welche diesen während des Einsatzes entwendet werden. Gelingt dies, so bedeutet dies, dass unser Social Engineer in der Lage wäre, wiederholt in die Räumlichkeiten einzudringen. Auch in diesem Szenario wurden Wege gefunden, welche es einem Angreifer erlauben könnten, wiederholt in die Räumlichkeiten einzudringen.

Disengagement:

Im Disengagement geht es darum, den Standort unentdeckt zu verlassen, oder wie in diesem Auftrag die Auffälligkeit der Aktionen stetig zu erhöhen, um ein Auffallen unseres Social Engineer zu provozieren. Dies hilft abzuschätzen, wie weit ein Angreifer gehen kann, bis er oder sie schlussendlich auffällt und prüft die bestehenden Prozesse, welche einen solchen Fall abdecken. Zudem löst es auch in den betroffenen Personen einen Erfolg aus, an das sie sich längerfristig erinnern. So erhöht sich deren Awareness.

Report:

Der wohl wichtigste Teil eines Social Engineering ist das Reporting. Nach Durchführung der Szenarien dokumentierte der Social Engineer alle relevanten Beobachtungen im Detail, gab Kontext zu den verschiedenen Schwachstellen und Empfehlungen zur Behebung der Risiken. Die hier beschriebenen Aktionen waren dabei nur ein Bruchteil eines mehrtägigen Einsatzes, welcher sich über verschiedene Standorte erstreckte.

Der Kunde erhielt durch die gewonnenen Informationen eine bessere Übersicht über die aktuellen Schwachstellen. Identifizierte Risiken und Empfehlungen von Redguard wurden innert kürzester Zeit analysiert und entsprechende Gegenmassnahmen getroffen.

Wie sieht es bei Ihnen aus?

Wie schätzen Sie Ihren Standort und Mitarbeitenden ein? Sind Sie auch an einem Audit des Zugangs in Ihre Räumlichkeiten interessiert? Schauen Sie sich unser Social Engineering-Angebot an und treten Sie mit uns in Kontakt!