DE102021123255A1 - Datenverarbeitungssystem mit mindestens einem Server (S) als Zielsystem - Google Patents

Datenverarbeitungssystem mit mindestens einem Server (S) als Zielsystem Download PDF

Info

Publication number
DE102021123255A1
DE102021123255A1 DE102021123255.4A DE102021123255A DE102021123255A1 DE 102021123255 A1 DE102021123255 A1 DE 102021123255A1 DE 102021123255 A DE102021123255 A DE 102021123255A DE 102021123255 A1 DE102021123255 A1 DE 102021123255A1
Authority
DE
Germany
Prior art keywords
data processing
pef
application
application layer
processing system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021123255.4A
Other languages
English (en)
Inventor
Thomas Werth
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Werth It GmbH
Original Assignee
Werth It GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Werth It GmbH filed Critical Werth It GmbH
Priority to DE102021123255.4A priority Critical patent/DE102021123255A1/de
Publication of DE102021123255A1 publication Critical patent/DE102021123255A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

Datenverarbeitungssystem mit mindestens einem Server (S) als Zielsystem, auf dem ein Betriebssystem (OS) installiert ist und welcher über eine auf das Betriebssystem (OS) aufgesetzte Anwendungsprogrammebene (Application Layer) verfügt, in der zumindest eine Anwendungssoftware (AS), insbesondere in Form einer Verwaltungssoftware und/oder Datenbank, insbesondere SAP, installiert ist und ausgeführt wird,
- wobei zusätzlich zur Anwendungssoftware (AS) ein gesondertes Programm (PEF) zum Abgriff von Informationen der Anwendungssoftware (AS) in der Anwendungsprogrammebene (Application Layer) installiert ist,
- und dass eine weitere Datenverarbeitungseinheit (Client) über einen verschlüsselten Kommunikationskanal mit dem gesonderten Programm (PEF) kommuniziert, wobei die Kommunikation, insbesondere die Übertragung von Befehlen und Daten in einem innerhalb des verschlüsselten Kommunikationskanals aufgebauten Tunnel (T) erfolgt.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung dient der Entwicklung und Erstellung von Abwehrmechanismen, Erkennungssoftware und Abwehrsoftware für Zielsysteme mit Anwendungssoftware wie z.B. SAP/ABAP, S/4HANA Systemen
  • Hintergrund der Erfindung
  • Heutzutage sind mittlere und große Unternehmen weltweit abhängig von Informationssystemen, die deren Geschäftsprozesse digital realisieren. Als Beispiel seien SAP/ABAP Umgebungen genannt, denn 92% der Forbes Global 2000 Unternehmen setzen SAP ein.
  • Diese Systeme verarbeiten sensitive Informationen und verarbeiten kritische Geschäftsprozesse wie Einkauf, Abrechnung, Verkauf, Finanzplanung, Produktion, Gehaltsabrechnungen, etc..
  • Für einen ordnungsgemäßen Betriebsablauf ist die Sicherheit und Integrität dieser Systeme unabdingbar.
  • Aufgrund der Bedeutung dieser Systeme sind in den letzten Jahren viele Sicherheitsprodukte zu diesen Systemen erschienen. Unter dem Schlagwort „Thread Detection“ sollen damit Angriffe und Anomalitäten frühzeitig erkannt und Schaden verhindert werden.
  • Analoge Sicherheitsrisiken existieren in der IT-Welt von Windows und Linux basierten Systemen. Hier sind zahlreiche Cyberangriffe unter dem Stichwort Advanced Persistent Threads (APT) bekannt, die oft erst nach Monaten oder Jahren erkannt werden. Hier gab es zuerst solche „Thread Detection“ Systeme, die anschließend auch für ERP Systeme adaptiert worden sind.
  • Es existiert noch kein bekannter APT im Applikation Layer eines Business Systems wie SAP/ABAP Umgebungen. Die Wirksamkeit der Threat Detection für solche Systeme kann daher aktuell nur auf einer Analyse des Benutzerverhaltens im System und Patternerkennung agieren.
  • Patent EP 2709033 A1 und Patent EP 2589198 A1 offenbaren andere Verfahren und Methoden in Bezug auf die Cybersicherheit in Business Systemen, beispielsweise SAP/ABAP Umgebungen.
  • Die vorliegende Erfindung hingegen offenbart Verfahren und Methoden welche die Simulation von automatisierten fortgeschrittenen APT Cyberangriffen auf die Systeme inklusive Risiko Illustration und ableitend die Bewertung existierender Sicherheitslösungen wie „Threat Detection“ Systeme ermöglichen. Als Beispiel seien hier SAP/ABAP Umgebungen genannt.
  • Aufgabe der Erfindung
  • Aufgabe der vorliegenden Erfindung ist die Bereitstellung eines Datenverarbeitungssystems mit dem Angriffe auf einen Server, auf dem Anwendungsprogramme auf der Anwendungsprogrammebene laufen, zu simulieren und entsprechende Überwachungsprogramme, -tools und Abwehrmechanismen zu entwickeln.
  • Diese Aufgabe wird erfindungsgemäß mit einem Datenverarbeitungssystem nach Anspruch 1 gelöst. Weitere erfindungsgemäße und vorteilhafte Ausgestaltungen ergeben sich durch die Merkmale der Unteransprüche.
  • Die Erfindung zeichnet sich dadurch aus, dass auf dem Server (Zielsystem) ein Betriebssystem installiert ist, wobei der Server über eine auf das Betriebssystem aufgesetzte Anwendungsprogrammebene, welche allgemein auch als „Application Layer“ bezeichnet wird, verfügt. In dieser Anwendungsprogrammebene ist zumindest eine Anwendungssoftware, insbesondere in Form einer Verwaltungssoftware und/oder Datenbank, wie z.B. in Form einer SAP und/oder SAP/ABAP-Umgebung, installiert und wird dort ausgeführt.
  • In der Anwendungsprogrammebene ist ebenfalls ein gesondertes Programm, insbesondere in Form eines Post Exploitation Framework (PEF), zum Abgriff von Informationen der Anwendungssoftware installiert.
  • Zudem erfolgt eine Datenkommunikation zwischen dem Server und einem Client, welcher entfernt von dem Server angeordnet sein kann, wobei diese Kommunikation über einen verschlüsselten Kommunikationskanal zwischen dem gesonderten Programm (PEF) und dem Client erfolgt, wobei die Übertragung von Befehlen und Daten in einem innerhalb des verschlüsselten Kommunikationskanals aufgebauten Tunnel erfolgt.
  • Das gesonderte Programm stellt eine sogenannte Schadsoftware dar, welche über den Client ferngesteuert werden kann. Die Handlungen, welche einen Angriff auf das Zielsystem, dem Server, sein können, gilt es zu erkennen, so dass auch geeignete Gegenmaßnahmen ergriffen werden können, um den Angriff und die Schadsoftware zu erkennen, abwehren und unterbinden zu können. Ein entsprechendes bereits vorhandenes Sicherheitstool kann hierdurch getestet werden. Sofern noch kein entsprechendes Sicherheitstool existiert kann dieses mit Hilfe des erfindungsgemäßen Dateiverarbeitungssystems entwickelt und getestet werden. Das erfindungsgemäße Dateiverarbeitungssystems bietet somit vorteilhaft ein Simulationstool für die Entwicklung von Erkennungs- und/oder Abwehrprogrammen für die Anwendungssoftware dar.
  • Vorteilhaft kann auf dem erfindungsgemäßen Datenverarbeitungssystem ein Verfahren zur Simulation eines Cyberangriffs inklusive Kontrolle des Servers (S) als Zielsystem (Business System) durchgeführt werden, wobei dies folgende Schritte umfasst:
    1. a. Bereitstellung des gesonderten Programms, insbesondere in Form eines Post Exploitation Frameworks (PEF) mit verschiedenen Komponenten zur Steuerung und Kommunikation mit einem Ziel, wobei ein Teil dieses Frameworks im Applikation Layer des Ziels läuft,
    2. b. Infektion der Anwendungssoftware (AS) mittels des PEF oder Erzeugung von Infektionscode zur manuellen Infektion,
    3. c. Steuerung und Kontrolle der Anwendungssoftware:
      1. i. über eine Ende-zu-Ende verschlüsselte Datenkommunikation, getunnelt in einem proprietären Protokoll des Zielsystems,
      2. ii. wobei die Steuerungsoptionen die Ausführung von
        1. 1. Betriebssystemkommandos
        2. 2. Datenbankbefehlen
        3. 3. Applikation Layer Code
        4. 4. Dateizugriff
        5. 5. und Socks5 Proxy Kommunikation umfassen;
  • Das erfindungsgemäße gesonderte Programm, insbesondere in Form eines Post Exploitation Framework (PEF) für das Anwenderprogramm, insbesondere in Form eines Business Systems, ist vorteilhaft in der Lage einen Advanced Persistent Threads (APT) zu simulieren. Damit wird es erstmalig möglich folgende Angriffsschritte in der Anwendungsprogrammebene (Application Layer) durchzuführen:
    • • Verschlüsselte Command & Control Kommunikation zwischen Angreifer und Ziel
    • • Tunneling der Kommunikation über ein proprietäres Protokoll eines Business und ERP-Kommunikationsprotokoll
    • • Ausführung von Betriebssystemkommandos mit Rechten des ERP-Systems, lesende und schreibende Datenbankbefehle, Programmcode im ERP Applikation Layer.
    • • Auf gleichem Wege lesender und schreibender Dateizugriff auf das Betriebssystem
    • • Socks5 Proxy Wrapper/Tunneling
  • Erst mit Schaffung eines solchen Post Exploitation Frameworks für ein Business/ERP Systeme wird man in der Lage sein die bekannten APT Bedrohungen in der Welt der ERP-Systeme zu simulieren und daraus eine Aussage zur Wirksamkeit der Funktion der „Thread Detection“ Sicherheitssysteme zu treffen.
  • Bisher bekannte Post Exploitation Frameworks laufen nur jedoch auf der Betriebssystemebene und nicht in dem Applikation Layer. Einer der Hauptgründe ist, dass hier immer ein eigener Prozess benötigt wird, der eigenständig eine Kommunikation mit dem „Angreifer“ aufbauen oder aufrechthalten kann. Dies ist in dieser Form im Applikation Layer bisher technisch nicht existent.
  • Somit ist aktuell nur eingeschränkt mit manueller Tätigkeit eine Simulation einfacher Cyberangriffe auf Business Systeme möglich. Ein Benutzer müsste sich dazu über einen grafischen Client im ERP anmelden. Anschließend verdächtige Aktionen starten. Zusätzlich kann über die technische API ein Auditor anfragen generieren, die ebenfalls verdächtige Aktivitäten simulieren. Dies ist jedoch maximal teilautomatisierbar und nur mit Transportverschlüsselung (bei SAP zum Beispiel SNC) statt mit Ende zu Ende Verschlüsselung möglich. Damit existieren starke Einschränkungen in der aktuellen Möglichkeit zur Simulation oder Durchführung von gefährlichen Cyberattacken auf die wichtigen Systeme. Insbesondere vor dem Hintergrund steigenden Cyberbedrohungen ist dies zu wenig.
  • Entsprechend verfügen aktuell auch staatliche Einrichtungen nicht über die offensiven Cyberfähigkeiten eines Post Exploitation Frameworks im Applikation Layer. Dies würde auch für diese Zielgruppe eine erhebliche Verbesserung darstellen. Insbesondere im Hinblick auf die Möglichkeit beliebigen Datenverkehr zum Zielsystem zu tunneln und von dort über einen integrierten Socks-Proxy in das Zielnetzwerk senden zu können.
  • Die vorliegende Erfindung überwindet die bisherige Barriere der Nutzung eines Post Exploitation Frameworks in dem Applikation Layers eines Business System. Aktuell werden solche Frameworks oft in Penetration Tests genutzt, jedoch eingeschränkt auf den Betriebssystem Layer. Damit werden aus Sicht eines Penetration Testers Einschränkungen und Hindernisse wie Zugriff auf den Applikation Layer, Überwindung von Firewall/Zones, Umgehung von Berechtigungskonzepten und Authentifizierung sowie Lateral Movement Einschränkungen (Übernahme/Kontrolle weiterer Systeme) zwischen Business Systemen überwunden. Es wird hierzu auf 3 verwiesen.
  • Dies wird erreicht indem die Erfindung eine Architektur mit Client-Komponente (zur Steuerung) und Server-Komponente (zur Ausführung im Applikation Layer) bereitstellt. Diese Komponenten ermöglichen die automatisierte Simulation fortgeschrittener Cyberattacken. Zur Steuerung von Systemen über verschiedene Zonen hinweg ist zusätzlich noch eine „Proxy“ Komponente vorgesehen, die den Datenverkehr über die Firewall Grenzen hinweg leitet.
  • Figurenliste
    • 1 ist ein Block Diagramm, welches die Komponenten der Erfindung und deren Kommunikation und Ausführung darstellt;
    • 2 beschreibt die getunnelte und verschlüsselte Datenübertragung zwischen Client und Server Komponente;
    • 3 beschreibt die Kommunikationsoptionen zwischen Client und Server. Die Kommunikation über mehrere Proxy Systeme hinweg ist meist das Ergebnis eines erfolgreichen lateral movements im Zielnetzwerk;
    • 4 zeigt wie moderne Threat Detection Systeme basierend auf der Analyse von Benutzerverhalten umgangen werden;
    • 5 ist ein Screenshot eines user interfaces;
    • 6 beschreibt die SOCKS5 Proxy Funktionalität getunnelt über ein proprietäres Protokoll ohne die Notwendigkeit einer permanenten Socket Verbindung zwischen Client und Proxy.
  • Die Erfindung stellt eine Kommunikation, siehe 2, zwischen den beiden Komponenten bereit, die die Daten Ende-zu-Ende verschlüsselt übertragt. Damit wird eine patternbasierte Erkennung von Angriffen auf Netzwerkebene verhindert.
  • Enthalten sind sodann weitere Methoden, die über diese sichere Verbindung die Möglichkeit zur Ausführung von Betriebssystemkommandos, Datenbankbefehlen und Application Layer Code bieten. Ebenso wird eine Methode für den lesenden und schreibenden Zugriff auf das Dateisystem verfügbar gemacht. Über diese Methoden wird die Angriffserkennung über Benutzerverhalten umgangen, wie es in 4 dargestellt ist.
  • Eine weitere Komponente erlaubt es eine als „Socks Proxy“ bekannte Funktionalität anzubieten. Im Stand der Technik benötigen solche Socks Proxies aktuell eine ständige Socket Verbindung zwischen Client und Proxy, um den Datenverkehr eingehend und ausgehend weiterzurreichen. Die erfindungsgemäße Lösung überwindet diese Hürde und ermöglicht es den Datenverkehr über ein proprietäres Protokoll zum Zielsystem zu senden - OHNE eine permanente Socketverbindung zwischen Client und Proxy-Endpunkt aufzuweisen, wie es in 6 dargestellt ist.
  • Über diese Methoden lassen sich automatisierte Angriffe realisieren, die Beispielsweise innerhalb des Applikation Layers Daten des Systems auslesen oder verändern sowie die Möglichkeit bieten über Firewall/Zonen Grenzen hinweg angeschlossene Systeme „einzunehmen“.
  • Entsprechend gibt es eine weitere Methode, die alle Aktivitäten der Erfindung sicher protokolliert, so dass am Ende eines Einsatzes sämtliche Aktionen automatisch dokumentiert worden sind.
  • Ein Aspekt der Erfindung ist ein System, dass die Kontrolle von mindestens einem ZielSystem inklusive Durchführung automatisierter fortschrittlicher Cyberangriffe erlaubt:
    • • Client Engine zur Verwaltung und Steuerung der Zielsysteme
      • ◯ Subkomponente zur Kommunikation und Befehlsübermittlung an die Server Engine
      • ◯ Logging Komponente zur automatischen Dokumentation aller Aktivitäten
      • ◯ Infektions Komponente zur automatischen Generierung von Applikation Layer Code zur Infektion mit der Server Engine
    • • Server Engine im Applikation Layer zur Ausführung der Steuerbefehle im Zielsystem
      • ◯ Kommunikation Subkomponente zur Entgegennahme von Steuerbefehlen
      • ◯ OS CMD Subkomponente zur Ausführung von Betriebssystem befehlen
      • ◯ Code Execution Subkomponente zur Ausführung von Applikation Layer Code
      • ◯ Database Subkomponente zur Ausführung von Datenbankbefehlen
      • ◯ Dateizugriff Subkomponente für den Zugriff auf das Dateisystem
      • ◯ Socks5 Proxy Wrapper ohne Notwendigkeit einer permanenten Socket Verbindung
  • In einem weiteren Aspekt stellt die Erfindung eine Methode bereit Sicherheitsrisiken in den Systemen zu illustrieren:
    1. 1. Infektion von mindestens einem Zielsystem in einem Zielnetzwerk.
    2. 2. Nutzung der Komponenten zur Ermittlung der Eigenschaften, Ressourcen und Daten des Zielsystems.
    3. 3. Nutzung der Komponenten zum Zugriff auf die Daten und Ressourcen des Systems.
    4. 4. Verwendung der erhaltenen Daten (zum Beispiel verbundene Systeme) für ein lateral movement (Übernahme weiterer Systeme) im Zielnetzwerk. Auf diesem Weg lassen sich mit der Erfindung weitere Systeme im Zielnetzwerk „unter Kontrolle“ bringen
    5. 5. Wiederholung der Schritte 2-4 (bis zur vollständigen Kontrolle der existierenden Systeme)
    6. 6. Auswertung der Dokumentation zur Illustration der realen Gefährdungslage Ein anderer Aspekt der Erfindung liegt in der Bewertung der Angriffserkennungsrate vorhandener „Threat Detection“ Sicherheitsysteme.
      1. 1. Durchführung der Methode Illustration der Sicherheitsrisiken
      2. 2. Für jedes „kontrollierte“ System:
        1. a. Auflistung der durchgeführten Aktionen aus der automatischen Dokumentation der Aktivtäten
        2. b. Prüfung der Alarme in den jeweils zuständigen „Threat Detection“ Systemen, ob die verdächtigen Aktivitäten erkannt wurden.
        3. c. Notierung aller nicht erkannten Aktivitäten zur Bewertung der Detectionrate.
  • Das hier dargestellte Verfahren und System bietet ein Post Exploitation Framework (PEF), welches im Applikation Layer von Business Systemen lauffähig ist. Beispielsweise in SAP/ABAP Umgebungen. Damit verbessert diese Erfindung vorhandene PEFs, welche „nur“ auf Betriebssystemebene und NICHT im Applikation Layer betrieben werden können. [Referenz: R1, R2,R3] Dies bietet völlig neue Möglichkeiten der Post Exploitation von Business Systemen, da somit in deren Kern - im Applikation Layer- „operiert“ wird statt auf Betriebssystemebene.
  • Diese Erfindung überwindet Unzulänglichkeiten bisheriger PEFs durch die Nutzung eines gänzlichen anderen Layers zur Ausführung der PEF. Dieser neue Ansatz ermöglicht die Evasion bekannter Threat Detection Systeme (MS Defender, Antivirus Produkte [im OS-Layer]) sowie die Möglichkeit im Applikation Layer zu operieren statt wie bisher „nur“ auf Betriebssystemebene. Ein Beispiel hierfür ist die dynamische Ausführung von Application Layer Code.
  • Vorteile der aktuellen Erfindung gegenüber bisherigen PEFs umfassen mindestens folgende Punkte:
    • Threat Detection Evasion: Standard Threat Detection Systeme agieren auf dem Betriebssystem Layer. Da hier ein anderer Layer verwendet wird, können diese Systeme keine Gefahren erkennen. Auch spezielle Threat Detection Systeme (beispielsweise für SAP) verlassen sich auf Benutzerverhalten oder Patternerkennung im Netzwerkverkehr sowie Log-Auswertung. Da hier jedoch ein PEF aktiv ist und kein Benutzer Aktionen (beispielsweise Transaktionen in der SAP-GUI) nutzt, können auch diese keine Gefahren erkennen, da weder Benutzer Aktionen noch anderes „geloggt“ wird. [Referenz: R5]
  • Einfachheit: Es wird kein zusätzlicher Netzwerkport oder eine zusätzliche Netzwerkverbindung benötigt. Sämtlicher Datenverkehr wird über proprietäre Protokolle gesendet.
  • Somit lassen sich Firewalls umgehen und die Steuerung von Systemen bis in die tiefsten Zonen realisieren.
  • Unbegrenzte Möglichkeiten: Durch den Socks5 Support ohne Notwendigkeit einer permanenten Socket-Verbindung lassen sich nahezu unbegrenzte weitere Angriffstools verwenden, die das Zielsystem als Proxy ins „interne Zielnetzwerk“ nutzen können. [Referenz: R6]
  • Anpassbarkeit: Durch die Möglichkeit beliebigen Applikation Code (bei SAP: ABAP Code) auszuführen, lassen sich beliebige Operationen und Modifikationen im Herz des Business Systems dynamisch zur Laufzeit ausführen. Eine Begrenzung auf statisch vorgefertigte Funktionalität existiert somit nicht.
  • Test Optionen: Erstmalig besteht die Möglichkeit die Wirksamkeit von speziellen Threat Detectionen Systemen für Business Systeme bezüglich der Erkennung von fortgeschrittenen Cyberangriffen zu testen.
  • Automatisierung: Die Post Exploitation in Business Systemen ist bislang nur manuell und limitiert möglich (bei SAP zum Beispiel über die Nutzung von Transaktionen in der SAP GUI. Dies kann nun automatisiert durch die Verwendung der Komponenten dieser Erfindung erfolgen.
  • Im Kern besteht die Erfindung aus diesen logischen Komponenten:
    • • Ein Benutzerinterface
    • • Eine Client Core Engine
    • • Eine Server Core Engine
      • ◯ Verschiedene Module/Komponenten zur Funktionalität eines PEF
    • • Eine optionale Socks Server Proxy Engine
  • Der Anwender nutzt die grafische Oberfläche zur Bedienung und Konfiguration der Zielsysteme. Er wählt die auszuführenden „Sub-"Komponenten der PEF aus und startet diese auf den Zielsystemen. Ein Zusammenspiel aller Komponenten ist nicht zwingend erforderlich. So kann die Erfindung auch ohne eine grafische Oberfläche funktionieren, ebenso wie die Module auch eigenständig funktionieren.
  • Beispielsweise kann ein Anwender ein Ziel in der Oberfläche auswählen und die Console „OS CMD“ auswählen. Dort gibt er dann seinen Befehl ein und bekommt das Resultat der Ausführung des Befehls auf dem Ziel angezeigt. Im Hintergrund kommuniziert die PEF von der Client Engine zur Server Engine, übernimmt die Ausführung des Befehls und sendet das Ergebnis zurück an den Client. Dabei agiert die Server Engine komplett im Applikation Layer des Ziels.
  • ARCHITEKTUR
  • Wie zuvor beschrieben besteht die Erfindung aus 5 Komponenten, diese werden nun im Detail beschrieben.
  • BENUTZERINTERFACE
  • Das Benutzerinterface erlaubt dem Nutzer die Steuerung der PEF. Hier kann er die Zielsysteme auswählen und Konfigurieren. Neue Zielsysteme werden durch einschleusen der PEF über anderweitig erkannte Möglichkeiten (Exploits) hier aufgenommen. Hat der Benutzer ein Zielsystem ausgewählt, sieht er die dazu bereits geöffneten Konsolen / Sub-Komponenten als Baum unterhalb des Systems angezeigt. Er kann dort neue Konsolen öffnen oder vorhandene zur Detailansicht selektieren. In der Detailansicht sind dann die je nach Komponententyp verfügbaren Optionen nutzbar. Beispielsweise für die Komponente OS-Kommandos eine Pseudoshell (Befehlsinterpreter) in der beliebige OS-Befehle ausgeführt werden können.
  • Über die Oberfläche lässt sich die PEF auch wieder vom Zielsystem deinstallieren. Ebenso besteht hier die Möglichkeit das Log von allen durchgeführten Operationen zu exportieren.
  • CLIENT Software (Client Core Engine)
  • Diese Komponente übernimmt verschiedene Aufgaben in dem Verfahren. Sie verwaltet alle bekannten Ziele und deren Konfiguration in einer Datenbank. Zur Aufnahme neuer Ziele bietet Sie die Option Applikation Layer Code für die Server Komponente zu erzeugen. Dieser Code ist dann über einen Exploit oder anderen Weg in das Ziel System einzuschleusen (dies ist nicht Aufgabe eines PEF). Die Client Engine kann die Server Komponente auch direkt im Ziel installieren, sofern ein Zugang mit ausreichenden Berechtigungen eingegeben wird oder bereits ein Ziel kontrolliert wird und dort verbundene Systeme infiziert werden sollen.
  • Eine Kern Aufgabe der Core Engine ist die Kommunikation mit den Zielen. Hierzu nutzt die Core Engine ein proprietäres Protokoll des Ziels. Bei SAP kann dies unter anderem RFC, WebRFC, WebSocket RFC sein. Dieses Protokoll verwendet der Client, um remote den Code der PEF Server Engine aufzurufen. Bei jedem Aufruf werden verschlüsselt die Datenpakete der PEF als Nutzlast im Protokoll übertragen.
  • In dieser Nutzlast enthalten sind dann die verschiedenen Befehlsoptionen mit Zusatzdaten zur Ausführung der Befehle/Auswahl des Benutzers.
  • Befindet sich das Ziel tief in einem Zielnetzwerk hinter verschiedenen Firewalls/Zonen, so kann der Client mehrere PEF-Proxy-Systeme ansprechen und verwenden, um mit dem Zielsystem auf diesem Weg zu kommunizieren.
  • Der Client protokolliert jede Kommunikation mit dem Server zur transparenten Dokumentation der simulierten Cyberattacke Vorgangs.
  • Bei der Verwendung des Socks5 Proxy Wrapper erzeugt der Client ein Netzwerksocket auf dem Client, der von dritten Applikationen wie ein Socks5 Proxy genutzt werden kann. Der Client unterschiedet zwischen Request und Response Anfragen an den Server zur Datenübertragung und für den Empfang von Daten.
  • SERVER Software (Server Core Engine)
  • Die Server Komponente läuft im Applikation Layer des Ziels. Sie nimmt über ein proprietäres Protokoll die verschlüsselten Befehle des Clients entgegen.
  • Jede Anfrage wird zunächst entschlüsselt und ausgewertet zu welcher Sub Komponente die Anfrage passt. Dann werden die entschlüsselten Daten für die Sub Komponente an diese weitergereicht. Anschließend wird die Antwort der Sub Komponente an den Client zurückgesandt.
  • Folgende Sub Komponenten sind verfügbar:
  • MODULE der SERVER CORE ENGINE
  • OS CMD Subkomponente:
    • Diese nimmt Betriebssystembefehle entgegen. Diese Befehle werden dann über den Applikation Layer Code (bei SAP ist dies ABAP Code) auf dem Betriebssystem ausgeführt. Das Ergebnis wird eingelesen und zurückgegeben.
  • Applikation Code Execution Subkomponente:
    • Diese Komponente übernimmt die Ausführung von Application Layer Code im Zielsystem. Dazu wird der empfangene und entschlüsselte Applikation Layer Code mit Hilfe dieser Komponente im Zielsystem zur Ausführung gebracht. Das Resultat des Codes wird an den Client zurückgesendet.
  • Database Command Execution Subkomponente:
    • Diese Komponente übernimmt die zur Ausführung von Datenbankbefehlen auf die Datenbank des Zielsystems. Dazu führt diese Komponente die erhaltenen SQL Befehle mittels Applikation Layers Code auf der Datenbank des Zielsystems aus. Die Ergebnisse der SQL Befehle werden an den Client zurückgesendet.
  • Dateizugriff Subkomponente:
    • Diese Komponente wrappt den lesenden und schreibenden Zugriff auf das Dateisystem des Ziels. Dateien können auf diesem Weg auf dem Zielsystem gelesen und geschrieben werden. Der Inhalt der Dateien oder „Erfolgsmeldungen“ werden an den Client zurückgesendet. Für den Dateizugriff kann diese Komponente entweder Applikation Layer Code nutzen oder der Zugriff wird über die OS CMD Komponente gewrappt.
  • Socks5 Proxy Wrapper:
    • Diese Komponente ermöglicht die Nutzung eines Socks5 Proxies über ein proprietäres Protokoll über Firewall Zonen hinweg. Bei dem ersten Aufruf startet diese Komponente einen Socks5 Proxy auf dem Zielsystem. Dazu überträgt der Client das Binary eines SOCK5 Proxies passend zu dem Betriebssystem des Ziels. Diese Socks5 Proxy Komponente speichert und startet das Binary. Zusätzlich werden zwei weitere Worker-Binaries übertragen. Diese agieren als Relay zur Datenübertragung zwischen dem Socks5 Proxy Binary und der Socks5 Proxy Komponente der PEF mit dem Socks Proxy Binary.
  • Fortan nimmt der PEF Client auf einer permanenten Verbindung Daten eines zu tunnelnden Programmes entgegen und überträgt diese Daten mittels Request/Response Verbindungen über den Applikation Layer Code der Komponente mittels OS CMD Wrapper zu den zwei Binaries. Diese Binaries konvertieren die „none-persisten“ Connection zu einer persistenten Verbindung und senden die darin enthaltenen Daten an den Port des lokalen Socks5 Proxies auf dem Zielsystem. Dies gelingt, dadurch dass der erste Worker Binary die Response/Request Verbindungen entschlüsselt und an den zweiten Worker weiterleitet. Dieser zweite Worker hält eine permanente Verbindung zu dem Socks Proxy und tauscht über Request/Response Verfahren die Daten mit dem ersten Worker aus. Somit kann er die Request/Response Daten in eine permanente Verbindung überführen.
  • Auf selben Weg leiten diese beiden Binaries auch die Antworten des Socks5 Proxies auf gesendete Anfragen über die Komponente der PEF zurück an den PEF Client und von dort an das zu tunnelnde Programm. Zum Erhalt der Antworten ruft die PEF Client Engine periodisch einen Read Request bei den beiden Worker Binaries auf. Empfängt diese Komponente einen solchen Read Request, werden die empfangenen Daten des Wrappers eingelesen und an den Client gesendet. Auf diesem Weg ist eine vollständige Tunnelung eines Socks5 Proxies über ein proprietäres Protokoll möglich, ohne dass die es verwendeten dritten Applikationen eine permanente Socket Verbindung zum eigentlich Socks5 Proxy benötigen.
  • PROXY ENGINE
  • Die Proxy Engine Komponente empfängt PEF Daten von einem Client oder einer vorgeschalteten Proxy Engine Komponente und reicht diese Daten direkt an sein konfiguriertes Zielsystem weiter. Dieses Zielsystem kann wiederum eine Proxy Engine oder eine Server Engine sein. Die Kommunikation nutzt ein proprietäres Protokoll des Business Systems. Die Nutzdaten werden unverändert (verschlüsselt) weitergesendet.
  • Referenzen
  • Patente:
  • Patent EP 2709033 A1 und Patent EP 2589198 A1
  • Dokumente:
  • Die Referenzen dienen nur zur Verdeutlichung der Thematik. Sie stehen in keinen Bezug zu diesem Dokument.
    R1: Übersicht verfügbarer Post Exploitation Frameworks (Open Source) - Kein Applikation Layer support.
    https://github.com/topics/post-exploitation
    R2: Übersicht eines „staatlichen“ Post Exploitation Frameworks - - Kein Applikation Layer support.
    https://research.kudelskisecurity.com/2017/05/18/the-equation-groups-post-exploitation-toolsdanders-ritz-and-more-art-1
    R3: Beispiel eines sehr populären Post Exploitation Frameworks - Kein Applikation Layer support.
    https://www.powershellempire.com/
    R4: SOCKS5 Proxy Beschreibung und Implementation:
    • https://www.inet.no/dante/

    R5: Funktionsweise eines Threat Detection Systems am Beispiel von SAP ETD:
    • https://blogs.sap.com/2019/07/22/sap-enterprise-threat-detection-etd-and-securitv-informationand-event-management-siem.-what-is-the-difference-and-how-can-they-work-together/
    • R6: Aktuelle Verfahren und Werkzeuge für Cyberangriffe auf Business Systeme am Beispiel SAP
    • http://online.fliphtml5.com/bjcs/gowt/#p=1
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • EP 2709033 A1 [0008, 0063]
    • EP 2589198 A1 [0008, 0063]

Claims (11)

  1. Datenverarbeitungssystem mit mindestens einem Server (S) als Zielsystem, auf dem ein Betriebssystem (OS) installiert ist und welcher über eine auf das Betriebssystem (OS) aufgesetzte Anwendungsprogrammebene (Application Layer) verfügt, in der zumindest eine Anwendungssoftware (AS), insbesondere in Form einer Verwaltungssoftware und/oder Datenbank, insbesondere SAP, installiert ist und ausgeführt wird, - wobei zusätzlich zur Anwendungssoftware (AS) ein gesondertes Programm (PEF) zum Abgriff von Informationen der Anwendungssoftware (AS) in der Anwendungsprogrammebene (Application Layer) installiert ist, - und dass eine weitere Datenverarbeitungseinheit (Client) über einen verschlüsselten Kommunikationskanal mit dem gesonderten Programm (PEF) kommuniziert, wobei die Kommunikation, insbesondere die Übertragung von Befehlen und Daten in einem innerhalb des verschlüsselten Kommunikationskanals aufgebauten Tunnel (T) erfolgt.
  2. Datenverarbeitungssystem nach Anspruch 1, dadurch gekennzeichnet, dass über die weitere, insbesondere entfernt von dem Server (S) angeordnete Datenverarbeitungseinheit (Client) ein Angriff auf die Anwendungssoftware (AS), insbesondere in Form eines Abgriffs oder Veränderung der Anwendungsdaten, erfolgt, um entweder a) die Funktion ein Sicherheitstools (AC), welches die Anwendungssoftware (AS) und/oder deren Daten überwacht zu testen und/oder zu verbessern oder b) ein Sicherheitstools (AC), welches die Anwendungssoftware (AS) und/oder deren Daten überwacht, zu entwickeln.
  3. Datenverarbeitungssystem nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Datenverarbeitungssystem ein Simulationstool für die Entwicklung von Erkennungs- und/oder Abwehrprogrammen für die Anwendungssoftware (AS) bildet.
  4. Datenverarbeitungssystem nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass auf dem Datenverarbeitungssystem ein Verfahren zur Simulation eines Cyberangriffs inklusive Kontrolle des Servers (S) als Zielsystem (Business System) durchgeführt wird, wobei dies folgende Schritte umfasst: a. Bereitstellung des gesonderten Programms, insbesondere in Form eines Post Exploitation Frameworks (PEF) mit verschiedenen Komponenten zur Steuerung und Kommunikation mit einem Ziel, wobei ein Teil dieses Frameworks im Applikation Layer des Ziels läuft, b. Infektion der Anwendungssoftware (AS) mittels des PEF oder Erzeugung von Infektionscode zur manuellen Infektion, c. Steuerung und Kontrolle der Anwendungssoftware: i. über eine Ende-zu-Ende verschlüsselte Datenkommunikation, getunnelt in einem proprietären Protokoll des Zielsystems, ii. wobei die Steuerungsoptionen die Ausführung von 1. Betriebssystemkommandos 2. Datenbankbefehlen 3. Applikation Layer Code 4. Dateizugriff 5. und Socks5 Proxy Kommunikation umfassen.
  5. Datenverarbeitungssystem nach Anspruch 4, dadurch gekennzeichnet, dass die Bereitstellung des Post Exploitation Frameworks (PEF) folgendes beinhaltet: a. Direkte Injektion und Ausführung von Applikation Layer Code, der weiteren Applikation Layer Code im Zielsystem einschleust, welcher die Server Komponente des Post Exploitation Frameworks beinhaltet; b. Erzeugung von Code zur Infektion, der anschließend manuell zur Ausführung im Zielsystem gebracht werden kann; c. Generierung von Injektionscode, der über Firewall/Zonen Grenzen hinweg weitere Systeme infizieren kann.
  6. Datenverarbeitungssystem nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass ein proprietäres Protokoll genutzt wird, um darin getunnelt verschlüsselte Kommunikationsdaten des Post Exploitation Frameworks (PEF) zwischen Client und Server (S) zu übertragen.
  7. Datenverarbeitungssystem nach einem der Ansprüche 4 bis 6, dadurch gekennzeichnet, dass das Post Exploitation Framework (PEF) aus dem Applikation Layer heraus Betriebssystembefehle im Kontext der Business Anwendung auf dem Betriebssystem (OS) ausführt.
  8. Datenverarbeitungssystem nach einem der Ansprüche 4 bis 7, dadurch gekennzeichnet, dass das Post Exploitation Framework (PEF) aus dem Applikation Layer heraus Datenbankbefehle auf die Datenbank der Anwendungssoftware (AS) ausführt.
  9. Datenverarbeitungssystem nach einem der Ansprüche 4 bis 8, dadurch gekennzeichnet, dass das Post Exploitation Framework (PEF) aus dem Applikation Layer heraus Code im Applikation Layer der Anwendung ausführt.
  10. Datenverarbeitungssystem nach einem der Ansprüche 4 bis 9, dadurch gekennzeichnet, dass das Post Exploitation Framework (PEF) aus dem Applikation Layer heraus Dateizugriff auf das Dateisystem des Betriebssystems der Anwendungssoftware (AS) hat.
  11. Datenverarbeitungssystem nach einem der Ansprüche 4 bis 10, dadurch gekennzeichnet, dass das Post Exploitation Framework (PEF) aus dem Applikation Layer heraus Zugriff auf einen Socks5 Proxy wrappt und somit dritten Anwendungen die Nutzung eines Socks5 Proxy auf dem Zielsystem getunnelt durch sämtliche Firewall Zonen hinweg ermöglicht.
DE102021123255.4A 2021-09-08 2021-09-08 Datenverarbeitungssystem mit mindestens einem Server (S) als Zielsystem Pending DE102021123255A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102021123255.4A DE102021123255A1 (de) 2021-09-08 2021-09-08 Datenverarbeitungssystem mit mindestens einem Server (S) als Zielsystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021123255.4A DE102021123255A1 (de) 2021-09-08 2021-09-08 Datenverarbeitungssystem mit mindestens einem Server (S) als Zielsystem

Publications (1)

Publication Number Publication Date
DE102021123255A1 true DE102021123255A1 (de) 2023-03-09

Family

ID=85226583

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021123255.4A Pending DE102021123255A1 (de) 2021-09-08 2021-09-08 Datenverarbeitungssystem mit mindestens einem Server (S) als Zielsystem

Country Status (1)

Country Link
DE (1) DE102021123255A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116700110A (zh) * 2023-06-30 2023-09-05 中汽院新能源科技有限公司 基于多模块划分的分布式驱动新能源汽车控制方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2589198A1 (de) 2010-07-01 2013-05-08 Nuñez Di Croce, Mariano Automatisierte sicherheitsbeurteilung von geschäftskritischen systemen und anwendungen
EP2709033A1 (de) 2012-09-17 2014-03-19 Virtual Forge GmbH System und Verfahren zur Detektion von Datenextrusion in Softwareanwendungen

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2589198A1 (de) 2010-07-01 2013-05-08 Nuñez Di Croce, Mariano Automatisierte sicherheitsbeurteilung von geschäftskritischen systemen und anwendungen
EP2709033A1 (de) 2012-09-17 2014-03-19 Virtual Forge GmbH System und Verfahren zur Detektion von Datenextrusion in Softwareanwendungen

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
BYOB – Guide. Malwared LLC, 2020. URL: https://byob.dev/guideArchiviert in https://web.archive.org am 16.06.2021 [abgerufen am 10.06.2022]
BYOB – How It Works. Malwared LLC, 2020. URL: https://byob.dev/docs Archiviert in https://web.archive.org am 16.06.2021 [abgerufen am 10.06.2022]
How does reverse SSH tunneling work? In: Stack Exchange. URL: https://unix.stackexchange.com/questions/46235/how-does-reverse-ssh-tunneling-workArchiviert in https://web.archive.org am 06.09.2021 [abgerufen am 10.06.2022]
Secure Shell. In: Wikipedia, the free encyclopedia. Bearbeitungsstand: 11.08.2021. URL: https://en.wikipedia.org/w/index.php?title=Secure_Shell&oldid=1038305159 [abgerufen am 10.06.2022]
Server (computing). In: Wikipedia, the free encyclopedia. Bearbeitungsstand: 27.08.2021. URL: https://en.wikipedia.org/w/index.php?title=Server_(computing)&oldid=1040880104 [abgerufen am 10.06.2022]
User space and kernel space. In: Wikipedia, the free encyclopedia. Bearbeitungsstand: 13.08.2021. URL: https://en.wikipedia.org/w/index.php?title=User_space_and_kernel_space&oldid=1038541495 [abgerufen am 10.06.2022]

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116700110A (zh) * 2023-06-30 2023-09-05 中汽院新能源科技有限公司 基于多模块划分的分布式驱动新能源汽车控制方法
CN116700110B (zh) * 2023-06-30 2024-03-26 中汽院新能源科技有限公司 基于多模块划分的分布式驱动新能源汽车控制方法

Similar Documents

Publication Publication Date Title
DE112011101831B4 (de) Schutz vor websiteübergreifenden Scripting-Attacken
DE60132833T2 (de) Computersystemschutz
DE112014001229B4 (de) Verfahren, Datenverarbeitungssystem und Computerprogrammprodukt zum Verarbeiten einer Datenbank-Client-Anforderung
DE10249428B4 (de) Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
CN105139139B (zh) 用于运维审计的数据处理方法和装置及系统
US7703127B2 (en) System for verifying a client request
DE60031340T2 (de) Geschützter Zugang durch Netzwerk-Firewalls
DE112011103273B4 (de) Verfahren, Computerprogrammprodukt und Vorrichtung zur Weitergabe von Identitäten über Anwendungsebenen unter Verwendung von kontextabhängiger Zuordnung und gesetzten Werten
CN107612924A (zh) 基于无线网络入侵的攻击者定位方法及装置
DE112018004408B4 (de) Identifikation von angriffsströmen in einer mehrschichtigen netzwerktopologie
CN107273748A (zh) 一种基于漏洞poc实现安卓系统漏洞检测的方法
Lindqvist et al. eXpert-BSM: A host-based intrusion detection solution for Sun Solaris
CN107579997A (zh) 无线网络入侵检测系统
DE102008016197A1 (de) Identifizieren eines Anwendungsbenutzers als Quelle einer Datenbank-Aktivität
CN107566401A (zh) 虚拟化环境的防护方法及装置
DE102021123255A1 (de) Datenverarbeitungssystem mit mindestens einem Server (S) als Zielsystem
DE10241974B4 (de) Überwachung von Datenübertragungen
DE112021000455T5 (de) Deep packet analyse
EP3824612B1 (de) Penetrationstestverfahren, computerprogramm und vorrichtung zur datenverarbeitung
EP3105898B1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur
CN107517226A (zh) 基于无线网络入侵的报警方法及装置
EP3745287B1 (de) Schützen einer softwareapplikation
EP3239882B1 (de) Zugriff auf eine protokolldatei
DE102015111625A1 (de) Verfahren zur Bildung einer virtuellen Umgebung in einem Betriebssystem eines Computers
WO2014029389A1 (de) Verfahren zur abgesicherten nutzung von transportablen datenträgern in geschlossenen netzwerken

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed