Ein Pentest muss nicht unbedingt in starren Phasen eingeteilt sein! Allerdings existieren mittlerweile definierte Phasen, die sich in fast allen Pentests wiederfinden lassen.
Phase 1: Reconnaissance/Information Gathering
In dieser Phase werden möglichst viele Informationen über das Ziel in Erfahrung gebracht. Sowohl technische Informationen als auch Lagepläne sowie Informationen über Mitarbeiter können hier erhoben werden, um später z.B. gezielte Phishing-Angriffe durchzuführen oder Wörterbuchlisten für Bruteforce- und Password-Spraying-Angriffe vorzubereiten.
Auch Metasploit enthält viele Module, die für diese Phase hilfreich sind. Dazu später aber mehr. An dieser Stelle möchte ich noch ein paar weitere Tools auflisten, bei denen es sich lohnt, sie für diese Phase anzusehen:
Recon-NG: Ein modular aufgebautes Reconnaissance-Framework, das sich sehr stark an der Bedienung von Metasploit orientiert und unter Kali Linux läuft.
Foca: Ein grafisches Windows-Tool, das sich sehr gut dazu eignet, Informationen über Firmen von deren Webseite zu erheben.
PowerMeta: Ein sehr aktuelles Powershell-Gegenstück zu Foca, das sich ebenfalls dazu eignet, über Suchmaschinen an Dokumente und Metadaten von Firmen zu gelangen. Läuft ebenfalls unter Windows/Powershell.
Phase 2: Exploitation
In der Exploitation-Phase wird sich Zugriff auf die Zielsysteme verschafft. Dies kann natürlich durch das Anwenden von Exploits geschehen, aber auch durch das Ausnutzen von Konfigurationsschwachstellen sowie fehlenden, schwachen oder Standardkennwörtern.
Ein weiterer Weg, in ein Zielsystem oder eine Firma einzudringen, ist das Social Engineering bzw. das Spearphishing. Hierbei wird versucht, zum Beispiel Mitarbeiter einer Firma dazu zu bringen, Malware selbst auszuführen, indem z.B. gezielt Mails auf Zielpersonen zurechtgeschnitten werden, um so eine »glaubhafte Story« zu erzählen, die das Vertrauen der Mitarbeiter weckt und so beispielsweise das Ausführen von Anhängen oder das Klicken auf Links in E-Mails auslöst.
Wichtig: Werden während Penetrationtests Exploits entwickelt?
Eine interessante Fragestellung ist, ob während eines guten Penetrationtests Exploits genutzt werden sollten oder sogar während eines Tests neue Exploits für gefundene Schwachstellen entwickelt werden sollten. Die Meinungen gehen hier wahrscheinlich auseinander. So existieren Philosophien, die besagen, dass ein guter Pentest komplett ohne Exploits auskommt. Leider ist es tatsächlich die Realität, dass die meisten Firmen auch im Jahre 2022 noch über einfache Konfigurationsschwachstellen sowie unvorsichtige Mitarbeiter komplett kompromittiert werden können … Bei der Frage, ob während eines Pentests neue Exploits entwickelt werden können, sind sich die meisten Pentester aber wahrscheinlich einig: Abgesehen von kleinen Scripts oder manipulierten Webseitenaufrufen wird wohl kaum ein Pentester Zeit haben, in einem 3-bis-5-Tage-Pentest einen hochtrabenden Exploit für eine neu gefundene Schwachstelle zu entwickeln.
Hier verlassen sich erfahrene Pentester lieber auf wohlbekannte und gut getestete Exploits, um unnötige Probleme und Ausfälle zu vermeiden.
Phase 3: Privilege Escalation & Post Exploitation
In der dritten Phase wird systematisch versucht, die Rechte auf den kompromittierten Zielsystemen zu erweitern, zum Beispiel vom wenig privilegierten Anwender zum Systemadministrator (Privilege Escalation).
In der Post-Exploitation-Phase werden die kompromittierten Zielsysteme auf interessante Informationen untersucht, die für sich genommen schon das Ziel eines Pentests sein könnten (z.B. Kreditkartendaten), sowie auf Informationen, die es ermöglichen könnten, weitere Applikationen oder Systeme zu übernehmen (z.B. Passwörter).
Phase 4: Go back to 1 / Pivot and Escalate
Nachdem ein Zielsystem übernommen wurde, kann es häufig dazu dienen, als Sprungpunkt genutzt zu werden und weitere Systeme anzugreifen. So kann z.B. ein aus dem Internet erreichbarer Webserver im nächsten Schritt dazu genutzt werden, weitere Systeme in einer DMZ anzugreifen. Dies wird Pivoting genannt.
Man spricht hierbei einmal von horizontaler Eskalation – dem Kompromittieren weiterer Systeme oder Benutzer in der gleichen Berechtigungsstufe bzw. dem gleichen Netzwerksicherheitsabschnitt – sowie von vertikaler Eskalation – dem Kompromittieren von Systemen in anderen Schutzzonen bzw. dem Kompromittieren von höher berechtigten Accounts (z.B. Windows-Domänenadministratoren).
Dieser Artikel ist ein Auszug aus dem Buch „Penetration Testing mit Metasploit“ von Sebastian Brabetz. Alle Infos zum Buch, das Inhaltsverzeichnis und eine kostenlose Leseprobe findet ihr bei uns im Shop.