Zur Stärkung der digitalen Resilienz hat sich das Durchführen von Penetrationstests in den letzten Jahren als wirksame Methode etabliert. Insbesondere durch DORA sowie die zunehmenden Angriffe staatlicher Akteure gewinnt das Thema „Red-Teaming“ zunehmend an Bedeutung.
Viele Begriffe rund ums „Red-Teaming“ werden jedoch häufig inflationär oder missverständlich verwendet. Das möchten wir an dieser Stelle ordnen.
A
Adversary Emulation
Adversary Emulation imitiert das Verhalten bestimmter realer Bedrohungsakteure (z. B. APT-Gruppen) so genau wie möglich. Dabei werden typische Taktiken, Techniken und Verfahren (TTPs) nachgestellt, basierend auf Erkenntnissen aus der Threat Intelligence. Ziel ist es, die Verteidigungs- und Erkennungsfähigkeiten einer Organisation gegen für sie relevante Angriffsarten gezielt zu testen und gezielt zu verbessern.
Adversary Simulation
Adversary Simulation simuliert potenzielle Angreiferverhalten und Angriffsszenarien, ohne sich dabei strikt an einen bestimmten realen Bedrohungsakteur zu halten. Stattdessen werden allgemeine oder hypothetische Taktiken eingesetzt, um Schwachstellen, Sicherheitslücken und Reaktionsprozesse im Gesamtsystem zu prüfen. Ziel ist es, die Sicherheitslage der Organisation breitflächig zu bewerten und ihre Resilienz gegenüber verschiedenen Angriffsvektoren zu stärken.
Assume Compromise
Bei der Vorgehensweise „Assume Compromise“ wird davon ausgegangen, dass Angreifer bereits Systeme kompromittiert haben (beispielsweise durch 0-day-Schwachstellen in externen Anwendungen, erfolgreiche Phishing-Angriffe, schadhaftes Software-Updates). Sicherheitsüberprüfungen und Tests zielen darauf ab, die Reaktionsfähigkeit und die Widerstandsfähigkeit der Systeme gegen Folgeangriffe zu prüfen und Schwachstellen zu identifizieren, die es Angreifern ermöglichen könnten, sich lateral zu bewegen oder Persistenz aufzubauen.
B
Beaconing
Beaconing bezeichnet das regelmäßige „Anklopfen“ eines kompromittierten Systems an einen Command-and-Control-Server (C2), um Befehle abzurufen oder Statusupdates zu senden. Beacons können in ihrer Frequenz, ihrem Timing und ihren Kommunikationsmethoden variieren, um ihre Erkennung zu erschweren.
BloodHound
BloodHound ist ein Tool, das Active Directory-Umgebungen analysiert. Es visualisiert, wie Angreifer Privilegien innerhalb eines Netzwerks eskalieren können. Durch die Analyse von Benutzer- und Computerbeziehungen hilft BloodHound dabei, Angriffswege (Attack Paths) sichtbar zu machen.
Blue Team
Das Blue Team ist für die Verteidigung einer Organisation verantwortlich. Es erkennt, analysiert und reagiert auf Angriffe oder verdächtige Aktivitäten. Dazu gehören unter anderem die Überwachung der Umgebung, Incident Response, Threat Hunting und die Härtung von Systemen und Prozessen, um Angriffsflächen zu reduzieren.
Beacon Object Files (BOF)
Ein Beacon Object File (BOF) ist ein kompiliertes C/C++-Programm, welches von C2-Frameworks wie Cobalt Strike benutzt und direkt in den Speicher geladen und ausgeführt werden kann. Da BOFs direkt im Prozess eines C2-Implants laufen, sind Sie schwerer zu erkennen als beispielsweise .NET-Tools, die meist mittels Fork&Run einen neuen Prozess erzeugen und die charakteristische Abhängigkeiten wie die clr.dll nachladen müssen.
C
Cobalt Strike
Cobalt Strike ist ein kommerzielles Adversary-Simulation-Tool, das zur Simulation fortgeschrittener Bedrohungen eingesetzt wird. Es bietet Funktionen wie die Verwendung von verschiedenen Protokollen zur Kommunikation mit dem C2-Server sowie die Möglichkeit, Tools in verschiedenen Formaten im Arbeitsspeicher eines Systems auszuführen. Zudem ist es modular anpassbar und wird daher häufig von echten Angreifern missbraucht.
Code Injection
Code Injection ist eine Technik, bei der schädlicher Code in ein laufendes Programm oder Prozess eingeschleust wird, um dessen Verhalten zu verändern. Dies ermöglicht es Angreifern, unautorisierte Befehle oder Code auszuführen und Daten zu manipulieren, indem der Zielprozess manipuliert wird.
Collection
In der Collection-Phase sammeln Angreifer gezielt Daten, die sie später stehlen oder für weitere Angriffe verwenden wollen. Dazu gehören sensible Dokumente, Datenbanken, E-Mails oder andere wertvolle Informationen, die unter anderem im Vorfeld in einer Reconnaissance-Phase identifiziert wurden.
Command and Control (C2)
Command and Control (C2) beschreibt Kommunikationskanäle, über die Angreifer kompromittierte Systeme fernsteuern. Über C2-Infrastrukturen werden Befehle übermittelt, Daten abgezogen oder weitere Schadsoftware nachgeladen. Die Kanäle werden oft getarnt, etwa durch legitime Protokolle oder verschlüsselten Netzwerkverkehr.
Command and Control (C2) Server
Ein C2-Server ist ein zentraler Kontrollpunkt, über den Angreifer oder Red Teams Befehle an kompromittierte Systeme senden und deren Aktionen überwachen. Diese Server koordinieren die Kommunikation zwischen dem Angreifer und den infizierten Endpunkten, und ermöglichen eine strukturierte Durchführung von Angriffen oder Sicherheitstests.
Covenant
Covenant ist ein C2-Framework, das speziell für Red Teaming und Adversary Simulation entwickelt wurde. Es basiert auf .NET und bietet moderne Angriffs- und Steuerungsmöglichkeiten über eine intuitive Weboberfläche. Covenant wird oft eingesetzt, um Angriffe in Windows-Umgebungen realistisch nachzubilden.
Credential Access
Credential Access umfasst Techniken, mit denen Angreifer versuchen, Zugangsdaten wie Passwörter, Tokens oder Schlüssel zu stehlen. Dies kann durch Keylogging, Passwort-Dumping, Credential Stuffing oder das Abgreifen von Zugangsdaten aus Speicher oder Netzwerkverkehr erfolgen.
Credential Dumping
Credential Dumping bezeichnet das Auslesen und Sammeln von Zugangsdaten (wie Passwörter oder Hashes) aus einem kompromittierten System. Typische Ziele sind Speicherbereiche wie der LSASS-Prozess unter Windows oder Passwortdatenbanken, die anschließend für Privilege Escalation oder Lateral Movement genutzt werden.
D
Defense Evasion
Defense Evasion umfasst Techniken die dazu dienen, Sicherheitsmechanismen wie Antivirus/EDR-Systeme oder Logging zu umgehen oder zu deaktivieren. Angreifer versuchen, ihre Aktivitäten zu verschleiern, um eine Erkennung zu vermeiden und länger unbemerkt im Netzwerk zu bleiben.
Discovery
Discovery (Erkundung) bezeichnet Aktivitäten, bei denen Angreifer Informationen über das interne Netzwerk, Systeme und Benutzer sammeln. Ziel ist es, ein Lagebild zu erstellen, um weitere Bewegungen im Netzwerk besser planen zu können – z. B. durch das Auflisten von Hosts, Benutzerkonten oder freigegebenen Ressourcen.
DLL Search Order Hijacking
DLL Search Order Hijacking ist ein Angriff, bei dem eine bösartige DLL (Dynamic Link Library) in einem legitimen Anwendungskontext geladen wird. Dieser Angriff nutzt die laxen Suchpfade von Anwendungen aus, um unerwünschten Code auszuführen, indem eine bösartige DLL bevorzugt geladen wird.
Drive-By Download
Ein Drive-By Download bezeichnet das unbeabsichtigte Herunterladen von Malware beim Besuch einer infizierten oder manipulierten Website. Der Download erfolgt meist ohne aktive Zustimmung oder Interaktion des Nutzers, oft durch das Ausnutzen von Schwachstellen im Browser oder in Plugins.
Dropper
Ein Dropper ist eine spezielle Art von Malware, deren primäre Aufgabe es ist, weitere schädliche Programme (z. B. Backdoors oder Ransomware) auf das Zielsystem zu laden und auszuführen. Dropper tarnen sich oft als harmlose Dateien, um erste Schutzmechanismen zu umgehen.
E
Execution
In der Execution-Phase führen Angreifer bösartigen Code oder Befehle auf einem Zielsystem aus. Ziel ist es, Kontrolle über Systeme zu erlangen oder die Grundlage für weitere Aktionen und Angriffe zu legen. Dies kann durch Malware, Skripte oder missbrauchte legitime Tools geschehen.
Exfiltration
Exfiltration ist die Phase, in dem Angreifer gesammelte Daten unbemerkt aus dem Zielnetzwerk entwenden. Techniken umfassen das Übertragen über verschlüsselte Kanäle, das Verstecken von Daten in legitimen Protokollen oder das Staging auf externen Servern.
Exploit
Ein Exploit ist ein gezieltes Stück Code oder eine Technik, mit der eine Schwachstelle in Software oder Systemen ausgenutzt wird. Durch einen Exploit verschaffen sich Angreifer unautorisierten Zugriff, führen unautorisiert Code aus oder lösen unerwünschtes Verhalten aus, oft als erster Schritt zu einer tieferen Kompromittierung.
Exploitation Chain
Eine Exploitation Chain ist eine Abfolge von Exploits und Techniken, die systematisch eingesetzt werden, um von einem anfänglichen Zugang zu einer vollständigen Kompromittierung eines Systems oder Netzwerks zu gelangen. Diese Kette wird von Angreifern oder Red Teams genutzt, um sich durch das gezielte Ausnutzen von Schwachstellen und die Anwendung fortgeschrittener Techniken in der Umgebung seitwärts oder vorwärts zu bewegen.
H
Havoc
Havoc ist ein Open-Source-Post-Exploitation C2-Framework, das für die Durchführung von komplexer Penetrationstests sowie Red-Team Assessments entwickelt wurde. Es bietet eine modulare Architektur, die es Benutzern erlaubt, eigene Erweiterungen zu schreiben und nahtlos in bestehende Workflows zu integrieren. Es bietet eine grafische Benutzeroberfläche ähnlich zu Cobalt-Strike und wird primär durch C5pider entwickelt. Ende 2025 soll eine neue kommerzielle Version erscheinen.
I
Indicators of Compromise (IoCs)
IoCs sind Daten oder Artifakte, die bei (forensischen) Untersuchungen Hinweise auf eine potenzielle oder bestehende Sicherheitsverletzung liefern. Diese Indikatoren können Dateien, IP-Adressen, Hash-Werte oder ungewöhnliches Netzwerkverkehrsmuster umfassen, die auf die Anwesenheit von Cyberangriffen hindeuten. Das Identifizieren und Analysieren von IoCs spielt eine wesentliche Rolle bei der rechtzeitigen Erkennung von Angriffen sowie um Angriffe im Anschluss zu verstehen.
Initial Access
Initial Access beschreibt eine Phase im Angriffszyklus, in der ein Angreifer erstmals Zugang zu einem Zielsystem oder Netzwerk erhält. Typische Techniken sind Phishing, Ausnutzung von Schwachstellen in externen Anwendungen oder der Missbrauch gestohlener Anmeldedaten.
Initial Foothold
Ein Initial Foothold beschreibt den ersten erfolgreichen Zugangspunkt, den ein Angreifer in einem Zielsystem oder Netzwerk erlangt. Dieser Zugangspunkt wird oft durch die Ausnutzung einer Schwachstelle erreicht und dient als Ausgangspunkt für weiterführende Angriffe, wie Lateral Movement oder den Aufbau von Persistenzmechanismen. Das Erkennen und Sichern dieser Footholds ist entscheidend, um die Ausbreitung eines Angriffs zu verhindern.
L
Lateral Movement
Lateral Movement beschreibt die erfolgreiche Fortbewegung eines Angreifers innerhalb eines Netzwerks auf weitere Systeme. Die gängigsten Protokolle und Tools die dabei genutzt werden sind RDP, SMB, WMI oder PsExec.
Living off the Land (LotL) / Living off the Land Binaries (LOLBins)
„Living off the Land“ bedeutet, dass Angreifer vorhandene, legitime Tools und Funktionen des Betriebssystems nutzen, um beispielsweise Code auszuführen und Aktivitäten zu tarnen.
LOLBins sind legitime Systemdateien oder Skripte, die ursprünglich für administrative oder diagnostische Zwecke entwickelt wurde. Angreifer nutzen diese Dateien jedoch, um schädliche Aktivitäten auszuführen, ohne neue, verdächtige Dateien ins System einzuschleusen. Typische Beispiele sind rundll32.exe, wmic.exe und certutil.exe.
M
Malware
Malware (kurz für „Malicious Software“) ist ein Oberbegriff für alle Arten von Schadprogrammen, die darauf abzielen, Systeme zu schädigen, Daten zu stehlen oder sich unbefugt Zugriff zu verschaffen. Dazu zählen Viren, Trojaner, Ransomware, Spyware und viele andere Varianten.
Metasploit
Metasploit ist eines der bekanntesten Frameworks für Penetrationstests. Es ermöglicht Sicherheitsforschern und Red Teams, Schwachstellen auszunutzen, Payloads zu erstellen und Exploits automatisiert zu testen. Metasploit ist modular aufgebaut und wird auch zur Entwicklung neuer Angriffstechniken genutzt.
Mimikatz
Mimikatz ist ein bekanntes Tool, das entwickelt wurde, um Passwörter, Hashes und andere Authentifizierungsinformationen aus Windows-Systemen auszulesen. Es wird häufig genutzt, um Schwächen in Windows-Sicherheitsmechanismen wie dem Credential Storage und Single Sign-On zu demonstrieren.
MITRE ATT&CK Framework
Das MITRE ATT&CK Framework ist eine umfassende Wissensbasis bekannter Angriffstechniken, die auf realen Beobachtungen von Cyberangriffen basieren. Es dient als Klassifizierungsschema, das Unternehmen hilft, Bedrohungen besser zu verstehen und zu analysieren, um angemessene Verteidigungsmaßnahmen zu entwickeln. Das Framework kategorisiert die Techniken nach den Phasen des Cyberangriffs und ist ein wertvolles Werkzeug für Sicherheitsexperten, um ihre Abwehrmechanismen zu verfeinern und effektive Sicherheitsstrategien zu etablieren.
Mythic
Mythic ist ein Cross-Plattform-Post-Exploitation C2-Framework, das von Red Teams verwendet wird, um Engagements mit hohem Komplexitätsgrad durchzuführen. Es zeichnet sich durch seine benutzerfreundliche Schnittstelle und seine Anpassungsfähigkeit aus, die es Benutzern erlaubt, schnell auf sich ändernde Szenarien zu reagieren. Mythic unterstützt mehrere Kommunikationsprotokolle und ist darauf ausgelegt, möglichst realistische Angriffssimulationen durchzuführen, um die Sicherheitsniveau eines Unternehmens fundiert zu bewerten.
O
Obfuscation
Obfuscation bezieht sich auf Techniken, die den ursprünglichen Code oder Inhalte verschleiern, um die Erkennung durch Sicherheitssysteme zu vermeiden. Diese Techniken erschweren die Analyse und Erkennung von Malware und sind ein häufig genutztes Mittel, um sich unbemerkt im Netzwerk fortzubewegen oder Code auszuführen.
Offensive Security ist ein Bereich der IT-Sicherheit, der gezielt aktive Angriffe simuliert, um Schwachstellen frühzeitig zu identifizieren und Sicherheitslücken aufzudecken. Zu den typischen Methoden zählen Red-Teaming, Penetration Testing, Exploit-Entwicklung sowie Adversary Emulation und Simulation. Ziel ist es, Organisationen besser auf reale Bedrohungen vorzubereiten, indem Schwachstellen identifiziert und behoben werden ggf. IoCs zur rechtzeitigen Erkennung abgeleitet werden können, bevor ein echter Angriff stattfindet.
OPSEC (Operational Security)
OPSEC ist eine Prozessmethode, die dazu dient, vertrauliche Informationen vor unautorisiertem Zugriff zu schützen, indem potenziell anfällige Informationen identifiziert und entsprechende Schutzmaßnahmen implementiert werden. Im Kontext von Red Teaming umfasst OPSEC Maßnahmen zur Sicherstellung, dass die Aktivitäten des Teams unentdeckt bleiben.
P
Payload
Ein Payload ist das, was passiert, wenn der Angriff „funktioniert“. Payloads können verschiedene Funktionen erfüllen, etwa eine Hintertür installieren, weitere Schadsoftware nachladen, Systeminformationen stehlen oder Dateien verschlüsseln.
Penetration Testing (Pentest)
Angekündigte, breite und manuelle Prüfung zur Identifikation von Schwachstellen in Web-Anwendungen, Netzwerken, Infrastrukturen, …
Der Fokus liegt auf der Entdeckung technischer Sicherheitslücken in den getesteten Systemen.
Persistence
Persistence umfasst Maßnahmen, die es Angreifern ermöglichen, nach einem Neustart oder bei einer Unterbrechung weiterhin Zugriff auf ein kompromittiertes System zu behalten. Beispiele sind das Einrichten von Backdoors, das Modifizieren von Autostart-Einträgen oder das Einfügen von Schadcode in legitime Dienste.
Persistence Mechanisms
Persistence Mechanisms beziehen sich auf Techniken, die von Angreifern oder Red Teams eingesetzt werden, um dauerhaft Zugriff auf ein kompromittiertes System zu behalten. Diese Techniken können geplante Aufgaben, Registry-Einträge oder andere Methoden umfassen, die sicherstellen, dass der Code auch nach einem Neustart des Systems aktiv bleibt.
Phishing
Phishing ist eine Form des Social Engineerings, bei dem Nutzer über gefälschte Nachrichten (z. B. E-Mails) dazu verleitet werden sollen, sensible Informationen preiszugeben, auf schädliche Links zu klicken oder bösartige Programme auszuführen. Ziel ist häufig der Diebstahl von Anmeldedaten oder einen Initial Foothold auf einem System zu bekommen.
Pivoting
Pivoting beschreibt die Technik, nach dem ersten Zugriff auf ein System dieses als Sprungbrett zu verwenden, um sich im Netzwerk weiterzubewegen. Das kompromittierte System wird dabei genutzt, um Zugriff auf andere interne Systeme zu erhalten, die beispielsweise von externen Systemen nicht direkt erreichbar sind.
Privilege Escalation
In viele Definitionen bezeichnet (vertikale) Privilege Escalation, dass Angreifer versuchen, ihre Berechtigungen auf einem kompromittierten System zu erhöhen. Ziel ist es, von einem eingeschränkten Benutzerkonto zu administrativen Rechten (z. B. root oder SYSTEM) zu gelangen, um mehr Kontrolle und Möglichkeiten für weitere Aktionen zu erhalten.
Diffenziert muss man allerdings noch die horizontale Privilege Escalation betrachten, bei der versucht wird, auf weitere Ressourcen (beispielsweise einen weiteren Account) desselben Berechtigungslevels zuzugreifen.
Process Hollowing
Process Hollowing ist eine spezielle Injection-Technik, bei der der Inhalt eines legitimen Prozesses durch schädlichen Code ersetzt wird. Dies hilft Angreifern, ihre Aktivitäten als legitime Prozesse zu tarnen und Erkennungssysteme zu umgehen.
Purple Team
Ein Purple Team verbindet die Perspektiven von Red und Blue Team. Es fördert gezielt die Zusammenarbeit zwischen Angreifern und Verteidigern, um die Effektivität beider Seiten zu steigern. Oft werden Angriffe bewusst gemeinsam geplant und durchgeführt, um Detektionsmechanismen zu testen und unmittelbar Verbesserungen in der Verteidigung umzusetzen.
R
Reconnaissance
Reconnaissance (Aufklärung) bezeichnet meistens die erste Phase eines Angriffs, bei der Informationen über ein Ziel gesammelt werden, welche in späteren Phasen Verwendung finden. Dies umfasst z. B. das passive Sammeln von öffentlich verfügbaren Daten (OSINT), das aktive Scannen von IP-Adressen oder das Ermitteln von Informationen von Mitarbeitenden zur späteren Ausnutzung.
Red-Teaming
Meist verdeckte Nutzung realistischer Taktiken, Techniken und Prozeduren (TTPs) unter Einsatz technischer, physischer und Social-Engineering-Komponenten. Ziel ist es, die Sicherheit bestehender Prozesse, Abwehrmaßnahmen und Systeme umfassend zu testen und zu verifizieren, indem sowohl technische als auch menschliche Schwachstellen berücksichtigt werden.
Red Team Operations Manual (RTOM)
Das Red Team Operations Manual (RTOM) ist eine umfassende Dokumentation, die Richtlinien und Protokolle für die Durchführung von Red Team Operationen enthält. Es beschreibt die Standards, Verfahren und Best Practices, die in Simulationen und Sicherheitsbewertungen von einem Red Team angewendet werden, um konsistente und effektive Tests sicherzustellen. Ein gut entwickeltes RTOM unterstützt die Teams bei der Planung, Durchführung und Bewertung von Sicherheitsoperationen und trägt zur Professionalisierung und Effektivität von Red Team Einsätzen bei.
Reflective DLL Injection
Reflective DLL Injection ist eine Technik, bei der eine DLL direkt in den Speicher eines laufenden Prozesses injiziert wird, ohne dass sie im Dateisystem vorhanden sein muss. Diese Methode erlaubt es, Erkennungssysteme zu umgehen und die Injektion von Code unauffällig durchzuführen.
Remote Code Execution (RCE)
Remote Code Execution bezeichnet eine Sicherheitslücke, die es Angreifern ermöglicht, beliebigen Code auf einem entfernten System auszuführen. RCE-Schwachstellen zählen zu den gefährlichsten, da sie direkten Zugriff auf Systeme gewähren können – oft ohne Benutzerinteraktion.
Reverse Shell
Eine Reverse Shell ist ein Angriffstyp, bei dem das Zielsystem eine Verbindung zu einem entfernten Server aufbaut und dem Angreifer Kontrolle über die Kommandozeile gewährt. Dadurch kann der Angreifer Befehle direkt auf dem kompromittierten System ausführen, auch wenn Firewalls eingehenden Datenverkehr blockieren.
Rubeus
Rubeus ist ein vielseitiges, auf C# basierendes Werkzeug zur Interaktion mit dem Kerberos-Authentifizierungsprotokoll. Es wird oft von Red Teams eingesetzt, um Sicherheitslücken in Kerberos-Umgebungen aufzudecken, indem es Angriffstechniken wie Ticket-Granting Ticket (TGT) Extraction, Pass-the-Ticket und Kerberoasting ermöglicht. Mit Rubeus können Schwachstellen in der Implementierung von Kerberos ausgenutzt werden, um potenziellen unbefugten Zugang aufzuzeigen.
Rules of Engagement (RoE)
Die Rules of Engagement (RoE) sind ein Satz von vereinbarten Richtlinien und Rahmenbedingungen, die den Umfang und die Grenzen eines Red Team Assessments oder einer Penetrationstest-Übung definieren. Sie legen fest, welche Methoden erlaubt sind, welche Systeme oder Daten tabu sind, und wie Kommunikation erfolgen soll. Die RoE sind essenziell, um Missverständnisse zu vermeiden und sicherzustellen, dass die Tests sicher, legal und abgestimmt auf die Ziele der Organisation durchgeführt werden.
S
Schwachstellenscan
Automatisierte, breit angelegte Untersuchung von IT-Systemen zur Identifikation öffentlich bekannter Schwachstellen. Der Fokus liegt auf der schnellen und automatisierten Erkennung potenzieller Sicherheitslücken durch einen Abgleich mit Schwachstellendatenbanken, ohne manuelle Verifikation, Ausnutzung oder tiefergehende Analyse.
Shellcode
Shellcode ist sogenannter Position-Idependent-Code (PIC), der unabhängig von seiner Position im Speicher ausgeführt wird. Viele Implants von den meisten C2-Frameworks werden als Shellcode ausgeliefert.
Sliver
Sliver ist eine Open-Source-Kommandozeilenbasierte C2 Plattform, die von Sicherheitsforschern und Red Teams genutzt wird, um Penetrationstests und Red-Team-Assessments durchzuführen. Es unterstützt plattformübergreifende Operationen und bietet Funktionen wie verschlüsselte Kommunikation, Agenten für verschiedene Betriebssysteme und eine Vielzahl von Post-Exploitation-Tools. Es zielt darauf ab, kommerzielle Alternativen herauszufordern, indem es eine umfassende und flexible Lösung für offensive Sicherheitsmaßnahmen bietet.
Social Engineering
Social Engineering ist die Manipulation von Personen, um vertrauliche Informationen preiszugeben oder sicherheitskritische Handlungen auszuführen. Dabei wird oft das Vertrauen, die Hilfsbereitschaft oder die Angst der Zielperson ausgenutzt, um technische Sicherheitsmaßnahmen zu umgehen.
Spear Phishing
Spear Phishing ist eine gezielte Form des Phishings, bei der Angreifer ihre Nachrichten individuell auf die Zielperson oder Organisation zuschneiden. Durch die Verwendung personalisierter Informationen wirken die Angriffe glaubwürdiger und haben eine höhere Erfolgsquote als breit gestreute Phishing-Kampagnen.
T
Tactics, Techniques, and Procedures (TTPs)
TTPs sind reale Taktiken, Techniken und Prozeduren, die von Cyberangreifern verwendet werden, um ihre Ziele zu erreichen. „Taktiken“ beschreiben die übergeordneten Ziele eines Angriffs, „Techniken“ spezifizieren die Mittel zur Erreichung dieser Ziele und „Verfahren“ umfassen die spezifischen Methoden, die für die Implementierung der Techniken verwendet werden. Das Verständnis von TTPs ist entscheidend für die Erkennung und Abwehr von Bedrohungen, da es Sicherheitsteams ermöglicht, Angriffsmethoden zu antizipieren und proaktive Maßnahmen zu ergreifen.
Threat Hunting
Threat Hunting ist der proaktive Prozess der Suche nach Anzeichen von bösartigem Verhalten in einem Netzwerk, die von traditionellen Sicherheitstools möglicherweise nicht erkannt werden. Es beinhaltet die manuelle oder halbautomatische Analyse von Netzwerkverkehr, Logs und anderen Daten, um potenzielle Bedrohungen zu entdecken und zu neutralisieren, bevor sie Schaden anrichten können. Threat Hunter arbeiten oft eng mit Red Teams zusammen, um die Entdeckungsfähigkeiten laufend zu verbessern.
TLPT (Threat-Led Penetration Testing)
Threat-Led Penetration Testing ist eine besonders realistische Form des Penetration Tests, die auf aktuellen Bedrohungsszenarien basiert. Statt allgemein Schwachstellen zu suchen, orientiert sich TLPT an tatsächlichen Taktiken und Techniken relevanter Angreifergruppen.
Tunneling
Tunneling ist die Technik, legitime Protokolle (wie HTTPS, DNS oder SSH) zu verwenden, um den Command-and-Control-Traffic zu verstecken oder Netzwerksperren zu umgehen. Dadurch können Angreifer ihre Kommunikation verschleiern und bestehende Sicherheitskontrollen überwinden.
V
Vulnerability Assessment
Ein Vulnerability Assessment ist die systematische Identifikation und Bewertung von Schwachstellen in einer IT-Umgebung. Im Gegensatz zu einem Penetrationstest wird hier üblicherweise nicht versucht, Schwachstellen auszunutzen, sondern sie nur aufzudecken und zu priorisieren. Der Fokus liegt auf einem umfassenden Überblick über die aktuell erreichbare Angriffsfläche.
W
Watering Hole Attack
Bei einer Watering Hole Attack kompromittieren Angreifer eine legitime Website, die von ihren eigentlichen Zielen regelmäßig besucht wird. Nutzer werden dadurch unbemerkt infiziert, wenn sie die manipulierte Seite aufrufen. Ziel ist es, Angriffe auf bestimmte Gruppen oder Organisationen möglichst unauffällig zu platzieren.
