-
Technisches Gebiet
-
Die vorliegende Erfindung dient der Entwicklung und Erstellung von Abwehrmechanismen, Erkennungssoftware und Abwehrsoftware für Zielsysteme mit Anwendungssoftware wie z.B. SAP/ABAP, S/4HANA Systemen
-
Hintergrund der Erfindung
-
Heutzutage sind mittlere und große Unternehmen weltweit abhängig von Informationssystemen, die deren Geschäftsprozesse digital realisieren. Als Beispiel seien SAP/ABAP Umgebungen genannt, denn 92% der Forbes Global 2000 Unternehmen setzen SAP ein.
-
Diese Systeme verarbeiten sensitive Informationen und verarbeiten kritische Geschäftsprozesse wie Einkauf, Abrechnung, Verkauf, Finanzplanung, Produktion, Gehaltsabrechnungen, etc..
-
Für einen ordnungsgemäßen Betriebsablauf ist die Sicherheit und Integrität dieser Systeme unabdingbar.
-
Aufgrund der Bedeutung dieser Systeme sind in den letzten Jahren viele Sicherheitsprodukte zu diesen Systemen erschienen. Unter dem Schlagwort „Thread Detection“ sollen damit Angriffe und Anomalitäten frühzeitig erkannt und Schaden verhindert werden.
-
Analoge Sicherheitsrisiken existieren in der IT-Welt von Windows und Linux basierten Systemen. Hier sind zahlreiche Cyberangriffe unter dem Stichwort Advanced Persistent Threads (APT) bekannt, die oft erst nach Monaten oder Jahren erkannt werden. Hier gab es zuerst solche „Thread Detection“ Systeme, die anschließend auch für ERP Systeme adaptiert worden sind.
-
Es existiert noch kein bekannter APT im Applikation Layer eines Business Systems wie SAP/ABAP Umgebungen. Die Wirksamkeit der Threat Detection für solche Systeme kann daher aktuell nur auf einer Analyse des Benutzerverhaltens im System und Patternerkennung agieren.
-
Patent
EP 2709033 A1 und Patent
EP 2589198 A1 offenbaren andere Verfahren und Methoden in Bezug auf die Cybersicherheit in Business Systemen, beispielsweise SAP/ABAP Umgebungen.
-
Die vorliegende Erfindung hingegen offenbart Verfahren und Methoden welche die Simulation von automatisierten fortgeschrittenen APT Cyberangriffen auf die Systeme inklusive Risiko Illustration und ableitend die Bewertung existierender Sicherheitslösungen wie „Threat Detection“ Systeme ermöglichen. Als Beispiel seien hier SAP/ABAP Umgebungen genannt.
-
Aufgabe der Erfindung
-
Aufgabe der vorliegenden Erfindung ist die Bereitstellung eines Datenverarbeitungssystems mit dem Angriffe auf einen Server, auf dem Anwendungsprogramme auf der Anwendungsprogrammebene laufen, zu simulieren und entsprechende Überwachungsprogramme, -tools und Abwehrmechanismen zu entwickeln.
-
Diese Aufgabe wird erfindungsgemäß mit einem Datenverarbeitungssystem nach Anspruch 1 gelöst. Weitere erfindungsgemäße und vorteilhafte Ausgestaltungen ergeben sich durch die Merkmale der Unteransprüche.
-
Die Erfindung zeichnet sich dadurch aus, dass auf dem Server (Zielsystem) ein Betriebssystem installiert ist, wobei der Server über eine auf das Betriebssystem aufgesetzte Anwendungsprogrammebene, welche allgemein auch als „Application Layer“ bezeichnet wird, verfügt. In dieser Anwendungsprogrammebene ist zumindest eine Anwendungssoftware, insbesondere in Form einer Verwaltungssoftware und/oder Datenbank, wie z.B. in Form einer SAP und/oder SAP/ABAP-Umgebung, installiert und wird dort ausgeführt.
-
In der Anwendungsprogrammebene ist ebenfalls ein gesondertes Programm, insbesondere in Form eines Post Exploitation Framework (PEF), zum Abgriff von Informationen der Anwendungssoftware installiert.
-
Zudem erfolgt eine Datenkommunikation zwischen dem Server und einem Client, welcher entfernt von dem Server angeordnet sein kann, wobei diese Kommunikation über einen verschlüsselten Kommunikationskanal zwischen dem gesonderten Programm (PEF) und dem Client erfolgt, wobei die Übertragung von Befehlen und Daten in einem innerhalb des verschlüsselten Kommunikationskanals aufgebauten Tunnel erfolgt.
-
Das gesonderte Programm stellt eine sogenannte Schadsoftware dar, welche über den Client ferngesteuert werden kann. Die Handlungen, welche einen Angriff auf das Zielsystem, dem Server, sein können, gilt es zu erkennen, so dass auch geeignete Gegenmaßnahmen ergriffen werden können, um den Angriff und die Schadsoftware zu erkennen, abwehren und unterbinden zu können. Ein entsprechendes bereits vorhandenes Sicherheitstool kann hierdurch getestet werden. Sofern noch kein entsprechendes Sicherheitstool existiert kann dieses mit Hilfe des erfindungsgemäßen Dateiverarbeitungssystems entwickelt und getestet werden. Das erfindungsgemäße Dateiverarbeitungssystems bietet somit vorteilhaft ein Simulationstool für die Entwicklung von Erkennungs- und/oder Abwehrprogrammen für die Anwendungssoftware dar.
-
Vorteilhaft kann auf dem erfindungsgemäßen Datenverarbeitungssystem ein Verfahren zur Simulation eines Cyberangriffs inklusive Kontrolle des Servers (S) als Zielsystem (Business System) durchgeführt werden, wobei dies folgende Schritte umfasst:
- a. Bereitstellung des gesonderten Programms, insbesondere in Form eines Post Exploitation Frameworks (PEF) mit verschiedenen Komponenten zur Steuerung und Kommunikation mit einem Ziel, wobei ein Teil dieses Frameworks im Applikation Layer des Ziels läuft,
- b. Infektion der Anwendungssoftware (AS) mittels des PEF oder Erzeugung von Infektionscode zur manuellen Infektion,
- c. Steuerung und Kontrolle der Anwendungssoftware:
- i. über eine Ende-zu-Ende verschlüsselte Datenkommunikation, getunnelt in einem proprietären Protokoll des Zielsystems,
- ii. wobei die Steuerungsoptionen die Ausführung von
- 1. Betriebssystemkommandos
- 2. Datenbankbefehlen
- 3. Applikation Layer Code
- 4. Dateizugriff
- 5. und Socks5 Proxy Kommunikation umfassen;
-
Das erfindungsgemäße gesonderte Programm, insbesondere in Form eines Post Exploitation Framework (PEF) für das Anwenderprogramm, insbesondere in Form eines Business Systems, ist vorteilhaft in der Lage einen Advanced Persistent Threads (APT) zu simulieren. Damit wird es erstmalig möglich folgende Angriffsschritte in der Anwendungsprogrammebene (Application Layer) durchzuführen:
- • Verschlüsselte Command & Control Kommunikation zwischen Angreifer und Ziel
- • Tunneling der Kommunikation über ein proprietäres Protokoll eines Business und ERP-Kommunikationsprotokoll
- • Ausführung von Betriebssystemkommandos mit Rechten des ERP-Systems, lesende und schreibende Datenbankbefehle, Programmcode im ERP Applikation Layer.
- • Auf gleichem Wege lesender und schreibender Dateizugriff auf das Betriebssystem
- • Socks5 Proxy Wrapper/Tunneling
-
Erst mit Schaffung eines solchen Post Exploitation Frameworks für ein Business/ERP Systeme wird man in der Lage sein die bekannten APT Bedrohungen in der Welt der ERP-Systeme zu simulieren und daraus eine Aussage zur Wirksamkeit der Funktion der „Thread Detection“ Sicherheitssysteme zu treffen.
-
Bisher bekannte Post Exploitation Frameworks laufen nur jedoch auf der Betriebssystemebene und nicht in dem Applikation Layer. Einer der Hauptgründe ist, dass hier immer ein eigener Prozess benötigt wird, der eigenständig eine Kommunikation mit dem „Angreifer“ aufbauen oder aufrechthalten kann. Dies ist in dieser Form im Applikation Layer bisher technisch nicht existent.
-
Somit ist aktuell nur eingeschränkt mit manueller Tätigkeit eine Simulation einfacher Cyberangriffe auf Business Systeme möglich. Ein Benutzer müsste sich dazu über einen grafischen Client im ERP anmelden. Anschließend verdächtige Aktionen starten. Zusätzlich kann über die technische API ein Auditor anfragen generieren, die ebenfalls verdächtige Aktivitäten simulieren. Dies ist jedoch maximal teilautomatisierbar und nur mit Transportverschlüsselung (bei SAP zum Beispiel SNC) statt mit Ende zu Ende Verschlüsselung möglich. Damit existieren starke Einschränkungen in der aktuellen Möglichkeit zur Simulation oder Durchführung von gefährlichen Cyberattacken auf die wichtigen Systeme. Insbesondere vor dem Hintergrund steigenden Cyberbedrohungen ist dies zu wenig.
-
Entsprechend verfügen aktuell auch staatliche Einrichtungen nicht über die offensiven Cyberfähigkeiten eines Post Exploitation Frameworks im Applikation Layer. Dies würde auch für diese Zielgruppe eine erhebliche Verbesserung darstellen. Insbesondere im Hinblick auf die Möglichkeit beliebigen Datenverkehr zum Zielsystem zu tunneln und von dort über einen integrierten Socks-Proxy in das Zielnetzwerk senden zu können.
-
Die vorliegende Erfindung überwindet die bisherige Barriere der Nutzung eines Post Exploitation Frameworks in dem Applikation Layers eines Business System. Aktuell werden solche Frameworks oft in Penetration Tests genutzt, jedoch eingeschränkt auf den Betriebssystem Layer. Damit werden aus Sicht eines Penetration Testers Einschränkungen und Hindernisse wie Zugriff auf den Applikation Layer, Überwindung von Firewall/Zones, Umgehung von Berechtigungskonzepten und Authentifizierung sowie Lateral Movement Einschränkungen (Übernahme/Kontrolle weiterer Systeme) zwischen Business Systemen überwunden. Es wird hierzu auf 3 verwiesen.
-
Dies wird erreicht indem die Erfindung eine Architektur mit Client-Komponente (zur Steuerung) und Server-Komponente (zur Ausführung im Applikation Layer) bereitstellt. Diese Komponenten ermöglichen die automatisierte Simulation fortgeschrittener Cyberattacken. Zur Steuerung von Systemen über verschiedene Zonen hinweg ist zusätzlich noch eine „Proxy“ Komponente vorgesehen, die den Datenverkehr über die Firewall Grenzen hinweg leitet.
-
Figurenliste
-
- 1 ist ein Block Diagramm, welches die Komponenten der Erfindung und deren Kommunikation und Ausführung darstellt;
- 2 beschreibt die getunnelte und verschlüsselte Datenübertragung zwischen Client und Server Komponente;
- 3 beschreibt die Kommunikationsoptionen zwischen Client und Server. Die Kommunikation über mehrere Proxy Systeme hinweg ist meist das Ergebnis eines erfolgreichen lateral movements im Zielnetzwerk;
- 4 zeigt wie moderne Threat Detection Systeme basierend auf der Analyse von Benutzerverhalten umgangen werden;
- 5 ist ein Screenshot eines user interfaces;
- 6 beschreibt die SOCKS5 Proxy Funktionalität getunnelt über ein proprietäres Protokoll ohne die Notwendigkeit einer permanenten Socket Verbindung zwischen Client und Proxy.
-
Die Erfindung stellt eine Kommunikation, siehe 2, zwischen den beiden Komponenten bereit, die die Daten Ende-zu-Ende verschlüsselt übertragt. Damit wird eine patternbasierte Erkennung von Angriffen auf Netzwerkebene verhindert.
-
Enthalten sind sodann weitere Methoden, die über diese sichere Verbindung die Möglichkeit zur Ausführung von Betriebssystemkommandos, Datenbankbefehlen und Application Layer Code bieten. Ebenso wird eine Methode für den lesenden und schreibenden Zugriff auf das Dateisystem verfügbar gemacht. Über diese Methoden wird die Angriffserkennung über Benutzerverhalten umgangen, wie es in 4 dargestellt ist.
-
Eine weitere Komponente erlaubt es eine als „Socks Proxy“ bekannte Funktionalität anzubieten. Im Stand der Technik benötigen solche Socks Proxies aktuell eine ständige Socket Verbindung zwischen Client und Proxy, um den Datenverkehr eingehend und ausgehend weiterzurreichen. Die erfindungsgemäße Lösung überwindet diese Hürde und ermöglicht es den Datenverkehr über ein proprietäres Protokoll zum Zielsystem zu senden - OHNE eine permanente Socketverbindung zwischen Client und Proxy-Endpunkt aufzuweisen, wie es in 6 dargestellt ist.
-
Über diese Methoden lassen sich automatisierte Angriffe realisieren, die Beispielsweise innerhalb des Applikation Layers Daten des Systems auslesen oder verändern sowie die Möglichkeit bieten über Firewall/Zonen Grenzen hinweg angeschlossene Systeme „einzunehmen“.
-
Entsprechend gibt es eine weitere Methode, die alle Aktivitäten der Erfindung sicher protokolliert, so dass am Ende eines Einsatzes sämtliche Aktionen automatisch dokumentiert worden sind.
-
Ein Aspekt der Erfindung ist ein System, dass die Kontrolle von mindestens einem ZielSystem inklusive Durchführung automatisierter fortschrittlicher Cyberangriffe erlaubt:
- • Client Engine zur Verwaltung und Steuerung der Zielsysteme
- ◯ Subkomponente zur Kommunikation und Befehlsübermittlung an die Server Engine
- ◯ Logging Komponente zur automatischen Dokumentation aller Aktivitäten
- ◯ Infektions Komponente zur automatischen Generierung von Applikation Layer Code zur Infektion mit der Server Engine
- • Server Engine im Applikation Layer zur Ausführung der Steuerbefehle im Zielsystem
- ◯ Kommunikation Subkomponente zur Entgegennahme von Steuerbefehlen
- ◯ OS CMD Subkomponente zur Ausführung von Betriebssystem befehlen
- ◯ Code Execution Subkomponente zur Ausführung von Applikation Layer Code
- ◯ Database Subkomponente zur Ausführung von Datenbankbefehlen
- ◯ Dateizugriff Subkomponente für den Zugriff auf das Dateisystem
- ◯ Socks5 Proxy Wrapper ohne Notwendigkeit einer permanenten Socket Verbindung
-
In einem weiteren Aspekt stellt die Erfindung eine Methode bereit Sicherheitsrisiken in den Systemen zu illustrieren:
- 1. Infektion von mindestens einem Zielsystem in einem Zielnetzwerk.
- 2. Nutzung der Komponenten zur Ermittlung der Eigenschaften, Ressourcen und Daten des Zielsystems.
- 3. Nutzung der Komponenten zum Zugriff auf die Daten und Ressourcen des Systems.
- 4. Verwendung der erhaltenen Daten (zum Beispiel verbundene Systeme) für ein lateral movement (Übernahme weiterer Systeme) im Zielnetzwerk. Auf diesem Weg lassen sich mit der Erfindung weitere Systeme im Zielnetzwerk „unter Kontrolle“ bringen
- 5. Wiederholung der Schritte 2-4 (bis zur vollständigen Kontrolle der existierenden Systeme)
- 6. Auswertung der Dokumentation zur Illustration der realen Gefährdungslage Ein anderer Aspekt der Erfindung liegt in der Bewertung der Angriffserkennungsrate vorhandener „Threat Detection“ Sicherheitsysteme.
- 1. Durchführung der Methode Illustration der Sicherheitsrisiken
- 2. Für jedes „kontrollierte“ System:
- a. Auflistung der durchgeführten Aktionen aus der automatischen Dokumentation der Aktivtäten
- b. Prüfung der Alarme in den jeweils zuständigen „Threat Detection“ Systemen, ob die verdächtigen Aktivitäten erkannt wurden.
- c. Notierung aller nicht erkannten Aktivitäten zur Bewertung der Detectionrate.
-
Das hier dargestellte Verfahren und System bietet ein Post Exploitation Framework (PEF), welches im Applikation Layer von Business Systemen lauffähig ist. Beispielsweise in SAP/ABAP Umgebungen. Damit verbessert diese Erfindung vorhandene PEFs, welche „nur“ auf Betriebssystemebene und NICHT im Applikation Layer betrieben werden können. [Referenz: R1, R2,R3] Dies bietet völlig neue Möglichkeiten der Post Exploitation von Business Systemen, da somit in deren Kern - im Applikation Layer- „operiert“ wird statt auf Betriebssystemebene.
-
Diese Erfindung überwindet Unzulänglichkeiten bisheriger PEFs durch die Nutzung eines gänzlichen anderen Layers zur Ausführung der PEF. Dieser neue Ansatz ermöglicht die Evasion bekannter Threat Detection Systeme (MS Defender, Antivirus Produkte [im OS-Layer]) sowie die Möglichkeit im Applikation Layer zu operieren statt wie bisher „nur“ auf Betriebssystemebene. Ein Beispiel hierfür ist die dynamische Ausführung von Application Layer Code.
-
Vorteile der aktuellen Erfindung gegenüber bisherigen PEFs umfassen mindestens folgende Punkte:
- Threat Detection Evasion: Standard Threat Detection Systeme agieren auf dem Betriebssystem Layer. Da hier ein anderer Layer verwendet wird, können diese Systeme keine Gefahren erkennen. Auch spezielle Threat Detection Systeme (beispielsweise für SAP) verlassen sich auf Benutzerverhalten oder Patternerkennung im Netzwerkverkehr sowie Log-Auswertung. Da hier jedoch ein PEF aktiv ist und kein Benutzer Aktionen (beispielsweise Transaktionen in der SAP-GUI) nutzt, können auch diese keine Gefahren erkennen, da weder Benutzer Aktionen noch anderes „geloggt“ wird. [Referenz: R5]
-
Einfachheit: Es wird kein zusätzlicher Netzwerkport oder eine zusätzliche Netzwerkverbindung benötigt. Sämtlicher Datenverkehr wird über proprietäre Protokolle gesendet.
-
Somit lassen sich Firewalls umgehen und die Steuerung von Systemen bis in die tiefsten Zonen realisieren.
-
Unbegrenzte Möglichkeiten: Durch den Socks5 Support ohne Notwendigkeit einer permanenten Socket-Verbindung lassen sich nahezu unbegrenzte weitere Angriffstools verwenden, die das Zielsystem als Proxy ins „interne Zielnetzwerk“ nutzen können. [Referenz: R6]
-
Anpassbarkeit: Durch die Möglichkeit beliebigen Applikation Code (bei SAP: ABAP Code) auszuführen, lassen sich beliebige Operationen und Modifikationen im Herz des Business Systems dynamisch zur Laufzeit ausführen. Eine Begrenzung auf statisch vorgefertigte Funktionalität existiert somit nicht.
-
Test Optionen: Erstmalig besteht die Möglichkeit die Wirksamkeit von speziellen Threat Detectionen Systemen für Business Systeme bezüglich der Erkennung von fortgeschrittenen Cyberangriffen zu testen.
-
Automatisierung: Die Post Exploitation in Business Systemen ist bislang nur manuell und limitiert möglich (bei SAP zum Beispiel über die Nutzung von Transaktionen in der SAP GUI. Dies kann nun automatisiert durch die Verwendung der Komponenten dieser Erfindung erfolgen.
-
Im Kern besteht die Erfindung aus diesen logischen Komponenten:
- • Ein Benutzerinterface
- • Eine Client Core Engine
- • Eine Server Core Engine
- ◯ Verschiedene Module/Komponenten zur Funktionalität eines PEF
- • Eine optionale Socks Server Proxy Engine
-
Der Anwender nutzt die grafische Oberfläche zur Bedienung und Konfiguration der Zielsysteme. Er wählt die auszuführenden „Sub-"Komponenten der PEF aus und startet diese auf den Zielsystemen. Ein Zusammenspiel aller Komponenten ist nicht zwingend erforderlich. So kann die Erfindung auch ohne eine grafische Oberfläche funktionieren, ebenso wie die Module auch eigenständig funktionieren.
-
Beispielsweise kann ein Anwender ein Ziel in der Oberfläche auswählen und die Console „OS CMD“ auswählen. Dort gibt er dann seinen Befehl ein und bekommt das Resultat der Ausführung des Befehls auf dem Ziel angezeigt. Im Hintergrund kommuniziert die PEF von der Client Engine zur Server Engine, übernimmt die Ausführung des Befehls und sendet das Ergebnis zurück an den Client. Dabei agiert die Server Engine komplett im Applikation Layer des Ziels.
-
ARCHITEKTUR
-
Wie zuvor beschrieben besteht die Erfindung aus 5 Komponenten, diese werden nun im Detail beschrieben.
-
BENUTZERINTERFACE
-
Das Benutzerinterface erlaubt dem Nutzer die Steuerung der PEF. Hier kann er die Zielsysteme auswählen und Konfigurieren. Neue Zielsysteme werden durch einschleusen der PEF über anderweitig erkannte Möglichkeiten (Exploits) hier aufgenommen. Hat der Benutzer ein Zielsystem ausgewählt, sieht er die dazu bereits geöffneten Konsolen / Sub-Komponenten als Baum unterhalb des Systems angezeigt. Er kann dort neue Konsolen öffnen oder vorhandene zur Detailansicht selektieren. In der Detailansicht sind dann die je nach Komponententyp verfügbaren Optionen nutzbar. Beispielsweise für die Komponente OS-Kommandos eine Pseudoshell (Befehlsinterpreter) in der beliebige OS-Befehle ausgeführt werden können.
-
Über die Oberfläche lässt sich die PEF auch wieder vom Zielsystem deinstallieren. Ebenso besteht hier die Möglichkeit das Log von allen durchgeführten Operationen zu exportieren.
-
CLIENT Software (Client Core Engine)
-
Diese Komponente übernimmt verschiedene Aufgaben in dem Verfahren. Sie verwaltet alle bekannten Ziele und deren Konfiguration in einer Datenbank. Zur Aufnahme neuer Ziele bietet Sie die Option Applikation Layer Code für die Server Komponente zu erzeugen. Dieser Code ist dann über einen Exploit oder anderen Weg in das Ziel System einzuschleusen (dies ist nicht Aufgabe eines PEF). Die Client Engine kann die Server Komponente auch direkt im Ziel installieren, sofern ein Zugang mit ausreichenden Berechtigungen eingegeben wird oder bereits ein Ziel kontrolliert wird und dort verbundene Systeme infiziert werden sollen.
-
Eine Kern Aufgabe der Core Engine ist die Kommunikation mit den Zielen. Hierzu nutzt die Core Engine ein proprietäres Protokoll des Ziels. Bei SAP kann dies unter anderem RFC, WebRFC, WebSocket RFC sein. Dieses Protokoll verwendet der Client, um remote den Code der PEF Server Engine aufzurufen. Bei jedem Aufruf werden verschlüsselt die Datenpakete der PEF als Nutzlast im Protokoll übertragen.
-
In dieser Nutzlast enthalten sind dann die verschiedenen Befehlsoptionen mit Zusatzdaten zur Ausführung der Befehle/Auswahl des Benutzers.
-
Befindet sich das Ziel tief in einem Zielnetzwerk hinter verschiedenen Firewalls/Zonen, so kann der Client mehrere PEF-Proxy-Systeme ansprechen und verwenden, um mit dem Zielsystem auf diesem Weg zu kommunizieren.
-
Der Client protokolliert jede Kommunikation mit dem Server zur transparenten Dokumentation der simulierten Cyberattacke Vorgangs.
-
Bei der Verwendung des Socks5 Proxy Wrapper erzeugt der Client ein Netzwerksocket auf dem Client, der von dritten Applikationen wie ein Socks5 Proxy genutzt werden kann. Der Client unterschiedet zwischen Request und Response Anfragen an den Server zur Datenübertragung und für den Empfang von Daten.
-
SERVER Software (Server Core Engine)
-
Die Server Komponente läuft im Applikation Layer des Ziels. Sie nimmt über ein proprietäres Protokoll die verschlüsselten Befehle des Clients entgegen.
-
Jede Anfrage wird zunächst entschlüsselt und ausgewertet zu welcher Sub Komponente die Anfrage passt. Dann werden die entschlüsselten Daten für die Sub Komponente an diese weitergereicht. Anschließend wird die Antwort der Sub Komponente an den Client zurückgesandt.
-
Folgende Sub Komponenten sind verfügbar:
-
MODULE der SERVER CORE ENGINE
-
OS CMD Subkomponente:
- Diese nimmt Betriebssystembefehle entgegen. Diese Befehle werden dann über den Applikation Layer Code (bei SAP ist dies ABAP Code) auf dem Betriebssystem ausgeführt. Das Ergebnis wird eingelesen und zurückgegeben.
-
Applikation Code Execution Subkomponente:
- Diese Komponente übernimmt die Ausführung von Application Layer Code im Zielsystem. Dazu wird der empfangene und entschlüsselte Applikation Layer Code mit Hilfe dieser Komponente im Zielsystem zur Ausführung gebracht. Das Resultat des Codes wird an den Client zurückgesendet.
-
Database Command Execution Subkomponente:
- Diese Komponente übernimmt die zur Ausführung von Datenbankbefehlen auf die Datenbank des Zielsystems. Dazu führt diese Komponente die erhaltenen SQL Befehle mittels Applikation Layers Code auf der Datenbank des Zielsystems aus. Die Ergebnisse der SQL Befehle werden an den Client zurückgesendet.
-
Dateizugriff Subkomponente:
- Diese Komponente wrappt den lesenden und schreibenden Zugriff auf das Dateisystem des Ziels. Dateien können auf diesem Weg auf dem Zielsystem gelesen und geschrieben werden. Der Inhalt der Dateien oder „Erfolgsmeldungen“ werden an den Client zurückgesendet. Für den Dateizugriff kann diese Komponente entweder Applikation Layer Code nutzen oder der Zugriff wird über die OS CMD Komponente gewrappt.
-
Socks5 Proxy Wrapper:
- Diese Komponente ermöglicht die Nutzung eines Socks5 Proxies über ein proprietäres Protokoll über Firewall Zonen hinweg. Bei dem ersten Aufruf startet diese Komponente einen Socks5 Proxy auf dem Zielsystem. Dazu überträgt der Client das Binary eines SOCK5 Proxies passend zu dem Betriebssystem des Ziels. Diese Socks5 Proxy Komponente speichert und startet das Binary. Zusätzlich werden zwei weitere Worker-Binaries übertragen. Diese agieren als Relay zur Datenübertragung zwischen dem Socks5 Proxy Binary und der Socks5 Proxy Komponente der PEF mit dem Socks Proxy Binary.
-
Fortan nimmt der PEF Client auf einer permanenten Verbindung Daten eines zu tunnelnden Programmes entgegen und überträgt diese Daten mittels Request/Response Verbindungen über den Applikation Layer Code der Komponente mittels OS CMD Wrapper zu den zwei Binaries. Diese Binaries konvertieren die „none-persisten“ Connection zu einer persistenten Verbindung und senden die darin enthaltenen Daten an den Port des lokalen Socks5 Proxies auf dem Zielsystem. Dies gelingt, dadurch dass der erste Worker Binary die Response/Request Verbindungen entschlüsselt und an den zweiten Worker weiterleitet. Dieser zweite Worker hält eine permanente Verbindung zu dem Socks Proxy und tauscht über Request/Response Verfahren die Daten mit dem ersten Worker aus. Somit kann er die Request/Response Daten in eine permanente Verbindung überführen.
-
Auf selben Weg leiten diese beiden Binaries auch die Antworten des Socks5 Proxies auf gesendete Anfragen über die Komponente der PEF zurück an den PEF Client und von dort an das zu tunnelnde Programm. Zum Erhalt der Antworten ruft die PEF Client Engine periodisch einen Read Request bei den beiden Worker Binaries auf. Empfängt diese Komponente einen solchen Read Request, werden die empfangenen Daten des Wrappers eingelesen und an den Client gesendet. Auf diesem Weg ist eine vollständige Tunnelung eines Socks5 Proxies über ein proprietäres Protokoll möglich, ohne dass die es verwendeten dritten Applikationen eine permanente Socket Verbindung zum eigentlich Socks5 Proxy benötigen.
-
PROXY ENGINE
-
Die Proxy Engine Komponente empfängt PEF Daten von einem Client oder einer vorgeschalteten Proxy Engine Komponente und reicht diese Daten direkt an sein konfiguriertes Zielsystem weiter. Dieses Zielsystem kann wiederum eine Proxy Engine oder eine Server Engine sein. Die Kommunikation nutzt ein proprietäres Protokoll des Business Systems. Die Nutzdaten werden unverändert (verschlüsselt) weitergesendet.
-
Referenzen
-
Patente:
-
-
Dokumente:
-
Die Referenzen dienen nur zur Verdeutlichung der Thematik. Sie stehen in keinen Bezug zu diesem Dokument.
R1: Übersicht verfügbarer Post Exploitation Frameworks (Open Source) - Kein Applikation Layer support.
https://github.com/topics/post-exploitation
R2: Übersicht eines „staatlichen“ Post Exploitation Frameworks - - Kein Applikation Layer support.
https://research.kudelskisecurity.com/2017/05/18/the-equation-groups-post-exploitation-toolsdanders-ritz-and-more-art-1
R3: Beispiel eines sehr populären Post Exploitation Frameworks - Kein Applikation Layer support.
https://www.powershellempire.com/
R4: SOCKS5 Proxy Beschreibung und Implementation:
- https://www.inet.no/dante/
R5: Funktionsweise eines Threat Detection Systems am Beispiel von SAP ETD: - https://blogs.sap.com/2019/07/22/sap-enterprise-threat-detection-etd-and-securitv-informationand-event-management-siem.-what-is-the-difference-and-how-can-they-work-together/
- R6: Aktuelle Verfahren und Werkzeuge für Cyberangriffe auf Business Systeme am Beispiel SAP
- http://online.fliphtml5.com/bjcs/gowt/#p=1
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- EP 2709033 A1 [0008, 0063]
- EP 2589198 A1 [0008, 0063]