Open Source Intelligence ft. Moritz Samrock

Willkommen zurück bei PreachFM. Man könnte jetzt meinen, für alle,

die schon den Titel gelesen haben, dem Robert gehen die Gäste aus.

Nein, nicht der Fall.

Aber da ich weiterhin Content nach Laune mache, habe ich heute wieder den lieben

Moritz eingeladen, der sich auch gleich nochmal ganz kurz vorstellen wird für

die Leute, die vor, ich würde mal sagen, fünf, sechs Folgen angefangen haben, PreachFM zu hören.

Hat ganz einfach den Hintergrund, wir hatten das letzte Mal eine superschöne

Konversation über Honeypots und Deception,

haben danach dann auch noch ein bisschen geschnackt und haben beide festgestellt,

dass wir so ein, zwei Themen eigentlich haben, über die wir gerne mal zusammen

auch gerne reden würden.

Und da ich ja keinerlei Redaktionsplan habe, habe ich Moritz,

glaube ich, am Montag angeschrieben, ob er diese Woche Lust hätte. Er hatte Lust und Zeit.

Und deswegen reden wir heute über das schöne Thema OSINT. Aber da geht es gleich zu.

Moritz, stell dich doch trotzdem nochmal kurz vor für die Leute,

die vor zwei, drei Wochen erst angefangen haben, PreachFM zu hören.

Ja, sehr gerne. Ich bin Moritz Samrock. Ich bin einer der Hacker und auch Gesellschafter

bei Laocoon Security in Bonn und wir

haben uns auf offensive Cybersicherheitsdienstleistungen spezialisiert.

Also alles, was das ganze Thema Penetrationstesting und Red Teaming angeht.

Das ist so unser Kern, Unternehmenskern.

Ja, wie gesagt, ich kann, wir hatten schon eine Folge, wie gesagt, aufgenommen.

Dein Kollege, der Andreas, war auch schon mal zu Gast. Das ist mittlerweile

schon fast zwei Jahre, glaube ich, her. Da haben wir über Red Teaming gesprochen.

Auch eine sehr, sehr interessante Folge. Also gerne nochmal reinhören,

wenn ihr es noch nicht gehört habt.

Ja, heute soll es um das ganze Thema OSINT gehen. Wir haben davor schon besprochen,

das soll jetzt keine Erklärbär-Show werden.

Das heißt, wer wirklich die absoluten Grundlagen sich mal anschauen will,

in Gänze gerne Chat-GPT fragen.

Aber trotzdem, um nochmal so ein bisschen zumindest den Anfang zu erklären,

was ist OSINT denn und wieso machen wir das Ganze denn?

Ja, OSINT, der Begriff setzt sich eigentlich zusammen aus den Begriffen Open

Source und Intelligence.

Intelligence, das zeigt auch schon, das kommt aus dem Bereich so Intelligence

Services, militärisches Nachrichtenwesen, wo es verschiedene Arten von Ins gibt quasi.

Also es gibt SIGINT-Signalerfassung im Grunde und der Begriff OSINT beschreibt

eigentlich die Sammlung von offen verfügbaren,

also öffentlich verfügbaren Informationen und in dem Intelligence-Bereich dann

auch die Auswertung, um das in der Strategie, in das Lagebild mit einfließen zu lassen.

Also das bedeutet wirklich, dass nur öffentlich verfügbares Material auf die

eine oder andere Art und Weise gesammelt wird.

Das heißt, wir sprechen explizit nicht davon, irgendwelche geschützten Datenbanken,

Polizeidatenbanken oder ähnliches, das ist da alles nicht dabei,

sondern wirklich nur Informationen,

die irgendwie irgendwo im Netz in dem Fall vermutlich verfügbar sind.

Und was das alles ist, das gehen wir wahrscheinlich noch im Laufe der Folge noch darauf ein.

Genau, ich glaube, da wird wahrscheinlich sogar die Folge gar nicht ausreichen,

um über alles zu reden, was da Teil von sein kann, weil ich glaube,

das ist ja auch eine ganz gute Beschreibung.

Es kann im Grunde genommen alles sein, was irgendwo öffentlich verfügbar ist

und selbst öffentlich verfügbar kann ja auch alles heißen.

Das muss ja nicht zwingend auf dem Internet beschränkt sein.

Du hast schon über den militärischen Bereich gesprochen, das kann auch nochmal

aus anderen Quellen kommen.

Es gibt natürlich eine gewisse Abgrenzung zu der sonstigen, ich würde mal sagen

Cyber Threat Intel, auch wenn man da natürlich dazu sagen muss,

Cyber Threat Intel kann natürlich trotzdem aus öffentlich verfügbaren Quellen entstehen.

Genau, also man muss auch sagen, Threat Intelligence, ein großer Part von Threat

Intelligence ist eigentlich auch OSINT.

Also das ist so einer der ersten Schritte natürlich, wenn man jetzt beispielsweise

einfach eine Bedrohung hat.

Man sieht, irgendjemand greift gerade meine Netzwerke an. Dann ist natürlich

ein erster Schritt zum Beispiel zu sehen, was für eine IP-Adresse ist das?

Und dann zu schauen, welchem autonomen System ist das möglicherweise zuzuordnen?

Wenn ich jetzt sage, okay, das ist von DigitalOcean, ist das eine Sache.

Wenn ich aber sehe, okay, das kommt aus einem anderen Unternehmensnetzwerk,

solche Sachen, das sind öffentlich verfügbare Informationen,

also zum Beispiel Who-Is-Einträge, ja, auch DNS-Einträge und ähnliches.

Öffentlich verfügbar für jedermann, perfektes Beispiel für OSINT.

Und dann die Sammlung in dem ersten Schritt, die Analyse dann aber auch in dem

nächsten Schritt, weil es geht ja nicht darum.

Zufällig alles zu suchen, was man so finden kann, sondern man möchte ja auf

ein gewisses Ziel einzahlen am Ende des Tages.

Und jetzt bei dem Beispiel, wer greift mich an?

Threat Intel. Ja, dann möchte ich natürlich herausfinden, ja, wer ist das?

Und im nächsten Schritt natürlich auch, um dann Maßnahmen zu ergreifen,

Einfache Maßnahme natürlich auch, diese IP zu blocken, möglicherweise auch die

ganze IP-Range, wenn man davon ausgehen kann, dass möglicherweise der Angreifer

nicht nur Zugriff auf eine einzige IP oder auf einen einzigen Host mit dieser IP hat.

Wenn wir jetzt über Threat Intel reden, reden wir ja eigentlich vorrangig immer

über die Verteidigungsseite.

Also darüber, dass ich einen Sog habe, dass ich im Allgemeinen vielleicht ein

Produkt irgendwie fieden möchte, um dann einen Abgleich zu machen zu den Daten,

die ich sammle, zu dem, was irgendwie Böses gerade unterwegs ist.

Wenn wir über OSINT sprechen, sprechen wir ja leider auch ganz,

ganz stark darüber, was die Angreifer eben über uns in Erfahrung bringen können.

Und das ist ja eigentlich, finde ich, auch eine sehr, sehr interessante Komponente

durch OSINT, im Grunde genommen sich so ein bisschen die Angreiferperspektive

auf das eigene Unternehmen, auf die eigene Landschaft einfach mal anzuschauen.

Ja, absolut. Also man muss sagen, wirklich OSINT ist der erste Schritt eigentlich

eines jeden Cyberangriffs.

Selbst bei hochautomatisierten Angriffen steht ja am Anfang immer eine Information

und sei das jetzt ein neu veröffentlichter Proof of Concept und damit geschaut,

welche Systeme sind eigentlich alles betroffen und die werden dann im nächsten Schritt ausgenutzt.

Also so ein klassisches Beispiel ist da die Exchange-Lücke vor einigen Jahren.

Da wird natürlich erstmal das Internet gescannt, was innerhalb von wenigen Minuten

tatsächlich möglich ist und dann

ja natürlich im nächsten Schritt dann die betroffenen Systeme ausgenutzt.

Aber diese Phase der aktiven Informationsgewinnung in diesem Fall,

also man kann Informationen natürlich passiv gewinnen durch irgendwelche Quellenabfragen

oder man kann natürlich auch die Ziele direkt angehen mit einem Scanning oder ähnlichem,

um eben Informationen zu gewinnen und dann zu sagen, okay, wie greifen wir das Unternehmen an.

Da gehört aber natürlich auch ganz, ganz viel links und rechts dazu,

was möglicherweise nicht mal das Unternehmen selbst so direkt betrifft.

Also das kann auch die Auswertung möglicherweise von Pressemitteilungen sein.

Wir sind jetzt in einer Partnerschaft mit Unternehmen XY.

Und wenn man dann rausfindet, ja, okay, das Unternehmen ist vielleicht auch

anfällig, das könnte vielleicht mit dem Ziel,

ein größeres Unternehmen zu kompromittieren, eine Art, ich will nicht sagen,

Supply Chain Angriff sein,

aber es ist wahrscheinlich einfacher, einen einzelnen Zulieferer oder Dienstleister

oder sowas anzugreifen, als direkt den großen Konzern, beispielsweise um auf

bestehende Kommunikation dann aufzubauen, wenn es um das Thema Phishing oder sowas geht.

Es kann natürlich aber auch sein, dass man weiß, okay, welche Software oder

ähnliches wird eingesetzt im Unternehmen oder ja, welche Unternehmen man schon

in der Unternehmensgruppe oder ähnliches betroffen.

Also es hat ganz, ganz viele Aspekte, die man natürlich als Angreifer da betrachten kann.

Das ist auch das Gemeine sozusagen aus Verteidigersicht, denn als Verteidiger

muss man natürlich irgendwie alles im Blick haben und dem Angreifer reicht ja

am Ende des Tages die eine Lücke, die er ausnutzen kann,

um dann den ersten Schritt in das Unternehmen zu machen.

Ich glaube, man muss auch mal so ein bisschen aus meiner persönlichen Erfahrung

unterscheiden, was es aus Angreifersicht so ein Maß-Scale-O sind.

Also wirklich, ich will erstmal ein Ziel finden, das potenziell verwundbar ist

und da kann man schon durchaus nach Dingen, ich würde mal sagen,

suchen, also nach äußeren Attributen, die ein Unternehmen vielleicht verwundbarer

machen. Keine Ahnung, es gibt...

Es gibt ja ganz oft mittlerweile public verfügbare Leaks.

Das muss jetzt nicht immer ein Passwort oder ein Username sein,

das kann auch erstmal nur eine E-Mailing-List sein.

Wenn ich allerdings sehe, da sind sehr, sehr viele E-Mail-Adressen drauf,

dann weiß ich irgendwie, müssen die da drauf gekommen sein.

Nein, es gibt aber natürlich dann auch, wenn man sagt, ich mache zum Beispiel

massenhafte Phishing-Kampagnen und schaue einfach mal, wer anbeißt,

dann natürlich auch spezifischere O sind.

Also wirklich, ich schaue mir jetzt das spezielle Opfer an. Wenn man jetzt mal

noch nicht vom Worst Case eines tatsächlichen Angreifers ausgeht.

Ihr macht ja auch viel Red Teaming.

Es gibt natürlich immer den Fall, dass ihr beispielsweise schon den Access bekommt.

Da haben wir ja auch in der letzten Folge so ein bisschen drüber gesprochen.

Was ist da so Vorteil, was ist Nachteil?

Gegebener Access oder ihr müsst euch erst irgendwo einen Access in die Infrastruktur suchen. Buchen.

Was wären so Schritte, die typischerweise ihr zum Beispiel auch,

ohne dass jetzt euer komplettes Playbook natürlich offen liegt,

aber was sind so typische Schritte, die ihr beispielsweise vornehmt,

um so ein bisschen osentechnisch euch mal umzuschauen bei einem potenziellen Red Team Opfer?

Ja, also es ist natürlich erstmal wichtig, wenn wir dann so ein Red Teaming

durchführen, dass das Opfer das Potenzielle gar nicht so schnell mitbekommt,

dass wir tatsächlich schon angreifen.

Das heißt, wir versuchen natürlich zum spätmöglichsten Zeitpunkt dann tatsächlich

mit den Systemen des Opfers in Kontakt zu treten, sozusagen irgendwelche Requests

dorthin zu schicken, zu scannen oder ähnliches, sondern im Vorfeld tatsächlich

so viel wie möglich zu finden,

was noch gar nichts zu tun hat mit dem Unternehmen oder beziehungsweise mit

den Services des Unternehmens selber.

Es gibt natürlich ganz, ganz viele verschiedene Arten von Informationsquellen,

angefangen von ganz einfachen Suchmaschinen.

Also es gibt unterschiedlichste Dinge, die man durchsuchen kann im großen Stil.

Also Google kann man natürlich auch bedienen mit verschiedenen Suchparametern,

um vielleicht auch schon Fehlkonfigurationen, irgendwelche Directory-Listings

oder sowas ausfindig zu machen. Das passiert auch natürlich,

machen manche Tools automatisiert.

Das kann aber ein erster Anhalt sein, um zu sehen, ob irgendwo vielleicht was

nicht ganz so ordentlich gesichert wurde, irgendein Backup oder sowas öffentlich verfügbar ist.

Es gibt Anwendungen, die im großen Stile zum Beispiel auch Bucket,

also irgendwelche S3-Buckets oder sowas gern nach Inhalten machen.

Die zum Beispiel eigentlich nur auf den Webseiten eingebettet werden,

um jetzt irgendwelche größeren Bilder oder Videos darzustellen.

Allerdings gibt es da auch manchmal irgendwelche Fehlkonfigurationen,

dass dann doch noch irgendwelche Sachen drinstehen zum Beispiel.

Oder ich hatte das letztens, da haben wir quasi Vertriebsgespräche,

also Aufnahmen von Vertriebsgesprächen in einem großen S3-Bucket gefunden.

Und das ist natürlich dann Gold, wenn wir dann wirklich auch Kommunikation haben,

Insider wissen, dass wir vielleicht im Zuge einer Phishing-Kampagne oder sowas

dann nutzen können oder vielleicht sogar werden dann eigentlich Internas geteilt,

die wir dann auch nutzen können, um darauf zuzugreifen,

auf das Unternehmen zuzugreifen.

Du hast natürlich auch schon Passwort-Leaks genannt. Das ist natürlich auch

etwas, wo wir nach wie vor fortsuchen, weil wir brauchen keine Schwachstellen

am Ende des Tages, wenn wir uns einfach irgendwo einloggen können.

Das ist natürlich ein gefundenes Fressen für uns als Angreifer.

Was ich super gerne mache, ist eben nicht durch die Fronttür zu purzeln,

also so die Hauptwebseite und vielleicht auch der Mail-Server,

vielleicht auch der VPN.

Das sind eigentlich relativ sichere und gut gesicherte Komponenten in aller

Regel bei größeren Unternehmen auf jeden Fall. weil da ist es das,

wo auch die Verteidiger natürlich sagen, okay, da haben wir ein Auge drauf.

So eine Subdomain-Enumeration ist super charmant, weil man da natürlich immer

mal wieder auch Dinge findet, die irgendwie aus irgendwelchen Gründen noch online

sind, obwohl sie Testproduktionen oder Testnetzwerke sind,

irgendwelche Entwicklermaschinen und da geht ganz schön viel.

Und das kann man sehr, sehr schön machen über Zertifikate, was wenige wissen.

Natürlich, okay, alle haben gelernt, Während man soll über HTTPS kommunizieren,

dafür braucht man SSL, TLS-Zertifikate.

Die sind aber, wenn sie nicht selbst signiert sind, tatsächlich öffentlich.

Da gibt es unterschiedliche Quellen, die man da einfach angehen kann,

um dann die sogenannte Chain of Trust zu missbrauchen im Grunde,

um eben dann öffentlich verfügbare Zertifikate zu bekommen.

Und das sind oftmals eben dann Zertifikatsname gleich Subdomain-Name.

Und da findet man auch immer mal wieder nette Beschreibungen von solchen Subdomains.

Also wir hatten das schon mal, dass wir dann irgendwelche Windows-internen oder

Microsoft-internen Subdomains gefunden haben.

Ich gehe da nicht zu sehr ins Detail, aber an sich lässt sich da schon immer

wieder was finden, auch einfach aufgrund der Beschreibung oder des Namens der

Subdomain, wo man sagt, okay, das ist durchaus was, wo wir mal draufschauen können.

Und da gibt es einfach sehr, sehr viele Quellen. Aber wie gesagt,

Passwörter sind natürlich immer sehr, sehr wertvoll.

Ich habe noch so ein paar andere Beispiele, die, also wie gesagt, es gibt alles.

Wir werden hier nicht mal ein Zehntel dessen aufzeigen können,

was so ein, am Ende ist es ja ein Attack-Surface, den ich da habe.

Also alles, was ich ja irgendwie rauspuste, ist mal direkter,

mal indirekter Teil meines Attack-Surface.

Selbst die Darstellungen, da sprechen wir später vielleicht nochmal drüber,

so in Sachen Spearfishing,

selbst das, was meine Mitarbeiter auf LinkedIn posten, ist ja indirekt Teil

meiner Angriffsfläche, weil ich dadurch natürlich einen Social Engineering Angriff

sehr, sehr schön machen kann.

Was direktere Dinge sind, was ich die letzten Jahre eben ganz oft gesehen habe,

irgendwas auf GitHub hochgeladen, irgendein Projekt öffentlich verfügbar,

irgendwo IP-Adressen drin und

das ist noch so das Netteste, aber ganz oft natürlich auch Schlimmeres.

Was anderes, was ich neulich auch wieder mir gedacht habe, es gab ja so ein paar News darüber,

dass es Angreifer zumindest versucht haben,

die haben Unternehmen massivst mit Spam beschossen, also wie so ein Bruteforcing

über E-Mail im Grunde genommen und haben die Unternehmen so unter Wasser gesetzt,

dass sie dann irgendwann angerufen haben im Namen des Anti-Spam-Providers und haben gesagt, Hey,

wir sehen gerade bei euch geht es total ab.

Braucht ihr irgendwie Hilfe? Wenn ja, schaltet uns doch mal remote drauf.

Auch da, es gibt genug Unternehmen, da kann ich relativ schnell rausfinden,

welche Anti-Spam-Appliance verwendet wird.

Auch da wieder anhand von Zertifikaten ganz oft.

Teilweise muss ich einfach nur raten.

Also auch da gibt es ja mittlerweile genug Skripte, die zur Abfrage dienen können.

Im Grunde genommen können wir ja die Grenze zwischen OSINT und dann dem eigentlichen

Angriff ziehen, da wo es dann wirklich aktiv wird, also wirklich ein aktives

Eingreifen und nicht nur ein passives Suchen.

Trotzdem muss man natürlich sagen, die Grenzen verschwimmen irgendwann immer so ein bisschen.

Wenn ich jetzt mal vielleicht so auf diese ganze Sache eingehe,

wir haben jetzt viel drüber gesprochen, was kann OSINT sein,

was ist es vielleicht auch nicht und ich glaube viele können das jetzt auch

schon ein bisschen schlussfolgern, aber um es vielleicht nochmal so ein bisschen

eine Diskussion aufzumachen.

Wieso sollte sich ein Unternehmen, besonders vielleicht, ich sage jetzt mal

ein Unternehmen, das jetzt nicht gerade das riesige eigene Sock hat und so weiter

und jetzt auch nicht den ganzen Tag Zeit haben, sich damit zu beschäftigen,

trotzdem mal mit sowas wie einer Hoseinanalyse beschäftigen?

Ja, einfach auch um zu wissen, was sieht denn eigentlich ein Angreifer,

wenn er sich für das Unternehmen interessiert? Was findet man denn eigentlich so raus?

Weil natürlich legt man viel Wert in der IT-Sicherheit darauf,

dass wenn man dann tatsächlich angegriffen wird,

dass man das irgendwie erkennt, dass man Angreifer blockiert,

irgendwelche Web-Application-Firewalls filtern, irgendwelchen schädlichen Traffic raus.

Aber wirklich mal zu sehen, ja, ich hatte es schon angesprochen,

wenn sich jemand einloggt, dann