· 

Die 5 Phasen eines Hacking-Angriffs

Einführung

Ein Hacking-Angriff besteht aus weitaus mehr als nur dem Ausführen eines Skripts, wie es Script-Kiddies in der Regel gewohnt sind. Hacker gehen sehr systematisch vor und so haben sich insgesamt 5 Phasen etabliert, die einen Hacking-Angriff ausmachen. Diese sind jedoch nicht in Stein gemeißelt und können, je nach Angriff, unterschiedlich stark ausgeprägt sein. Beim Ethical Hacking ist es z. B. nicht unbedingt wichtig, dass man seine hinterlassenen Spuren im System verwischt, sondern wird den Fokus auf das Ausnutzen von Schwachstellen legen.


Phase 1: Reconnaissance

In der ersten Phase, der sogenannten Reconnaissance bzw. Aufklärung/Informationsbeschaffung, informiert man sich über die anzugreifende Infrastruktur. Dabei unterscheiden man zwischen der Active Discovery und der Passive Discovery. Bei der Active Discovery tritt man z. B. direkt mit Mitarbeitern aus einem bestimmten Unternehmen in Kontakt und versucht so an Informationen zu kommen. Eine beliebte Technik ist es, sich als Handwerker oder Putzkraft auszugeben, um so in den Büros an potentiell wertvolle Informationen zu kommen. Man kommuniziert aktiv mit Menschen. Bei der Passive Discovery auf der anderen Seite verzichtet man auf persönlichen Kontakt und versucht z. B. über Webauftritte an Informationen zu kommen. Zudem kann man in sozialen Medien nach den Mitarbeitern des Unternehmens suchen und DNS oder WHOIS Abfragen machen.


Phase 2: Scanning

In der zweiten Phase, dem Scanning, versucht man Schwachstellen in dem anzugreifenden System zu finden. Hierzu kann man systematisch nach Daten, die ein bestimmtes Netzwerkprotokoll bereitstellt, suchen. Diesen Vorgang nennt man Enumeration. Über Port-Scanning können offene Ports, Plattformen und vor allem verfügbare Dienste ermitteln. Über Vulnerability-Scans erhält man Informationen über Schwachstellen und Exploit-Möglichkeiten. Diese Scanner werden jedoch häufig erkannt und sollten in einem realen Angriffsszenario von Blackhat-Hackern möglichst vermieden werden.


Phase 3: Gaining Access

In der dritten Phase (Gaining Access) wird versucht, Zugang zu dem angegriffenen System erhalten. Durch Bufferoverflow-Attacken, Session-Hijacking, SQL-Injection, Cross Site Scripting, Code Injection und vielen weiteren Angriffsvektoren, wird versucht, aktiv einzudringen. Hier trennt sich die Hacker-Spreu vom Hacker-Weizen. Kaum ein Angriff gleicht dem anderen und so ist auf Seiten des Hackers ein umfangreiches Wissen für die erfolgreiche Umsetzung seines Ziels notwendig.


Phase 4: Maintaining Access

Nachdem man in das System eingedrungen ist, gilt es nun den Zugang auch zu behalten. Das ist Kernbestandteil der vierten Phase (Maintaining Access). Zu diesem Zweck installiert man sich Hintertüren oder Rootkits. Diese Phase wird aber auch dazu genutzt, um seinen Einfluss weiter auszubauen und andere Systeme zu infiltrieren. 


Phase 5: Covering Tracks

In der letzten Phase (Covering Tracks) versucht man, den Tatort zu bereinigen, d. h. seine Spuren zu verwischen. Was nützt dem Angreifer ein uneingeschränkter Zugang zum System, wenn die hinterlassenen Spuren zum Täter zurückführen oder entsprechende Sicherheitsmaßnahmen eingeleitet werden, um ihm den Zugang zu entziehen? Hierfür können Logfiles manipuliert oder gelöscht werden und das Auditing deaktiviert werden.

Kommentar schreiben

Kommentare: 0