Back 2 Reality

Der Fall: Eine Gruppe greift einen fiktiven Energieversorger an.

Möglichkeit 1: Niemand bekommt etwas mit. Das Licht geht aus.

Möglichkeit 2: Die ITler des Energieversorgers sehen, dass da etwas Verdächtiges in ihren Logs war. Die Logs sind aber voller solcher verdächtiger Dinge und es ist ohnehin unklar, was genau da passiert, wer zuständig ist und ob das nicht vielleicht vom Dienstleister kommt und so sein soll. Keine Reaktion. Das Licht geht aus.

Möglichkeit 3: Sie finden eine Backdoor in ihrem System, daraufhin wird ein Forensik-Team aktiv. Nach Stunden, eher Tagen, können sie vielleicht sagen, mit welcher IP-Adresse diese Backdoor kommuniziert hat. Sie geben mir diese IP-Adresse für den Hackback.

Möglichkeit 4: Eine Mitarbeiterin meldet, dass sie eine Phishing-Mail erhalten hat und nach Ausführung des Datei-Anhangs gemerkt hat, dass damit was nicht stimmt. Sie hat es dann ihrer IT-Sicherheits-Abteilung zurückgemeldet, nach Stunden oder Tagen bekomme ich diese E-Mail.

Bestenfalls läuft die "Verteidigung" gut und reagiert in den Fällen 3 und 4 entsprechend sinnvoll. Damit ich überhaupt hackbacktechnisch aktiv werden kann, nehmen wir mal an, dass, bis ich die E-Mail und IP-Adresse habe, nicht schon alles verschlüsselt wurde. Klar, ich kann nur dann gegenangreifen, wenn der Angriff nicht schon erfolgreich war - sonst wäre es kein Gegenangriff. Um hier weiter im Gedankenxperiment zu bleiben, nehme ich also überall den Best Case an und dass der Angriff läuft, aber noch nicht erfolgreich war.

Ich starte den Tag also um 09:00 Uhr, ohne Gin Tonic, aber mit Kaffee, von irgendwoher kommt cooler Industrial Techno und ich habe eine IP-Adresse und eine E-Mail. Ich schaue mir die E-Mail im Detail an und stelle fest:

Sie wurde über ein fehlkonfiguriertes Mail-Gateway eines japanischen Beauty-Shops versendet. Die Malware, die nachgeladen wurde, befand sich wahrscheinlich in einer Cloud-Instanz in Kalifornien, ist aber wieder weg und die IP schon neu vergeben. Das ist übrigens ein verkürztes, aber reales Alltags-Beispiel.

Die Angreifer haben sich wahrscheinlich nach der initialen Kompromittierung bereits ausgebreitet, Nutzeraccounts und Remote-Zugänge übernommen und benutzen die erste "Stage" der Backdoor ohnehin seit Tagen nicht mehr. Wer bekommt da jetzt den Hackback ab? Die Leute in Japan? Die Leute in Kalifornien?

Zwei Monate später ...

Ein Rechtshilfeersuchen ergibt vielleicht zwei Monate später, dass die Cloud-Instanz in Kalifornien einer Autovermietung gehört. Sie haben ein schwaches Passwort und keine Ahnung, was da passiert ist. Hier geht es also nicht weiter.

Aber ich habe ja noch die andere IP-Adresse. Neuer Kaffee, neuer Beat. Ich stelle fest, die IP gibt es noch und wir machen gedanklich die Annahme (!), das sei wirklich die IP der Bad Guys. Ein Geheimdienst versichert mir das auch und jetzt kommt der Hackback-Befehl. Normalerweise weiß ich das an der Stelle nicht unbedingt, aber ich nehme weiterhin den Best Case an.

Ich scanne die IP und finde nichts außer einem Port, über den die Backdoor kommuniziert hat. Wenn alles schön aktuell ist und die Bad Guys wissen, was sie tun, passiert da jetzt nichts weiter: Der Hackback ist vorbei, bevor er wirklich angefangen hat. Aber ich habe ja eine passende Zero Day, denn das ist mein Gedankenexperiment. Ich übernehme also mit der Zero Day die Kontrolle über die IP-Adresse.