OSINT Footprinting: Deep Dive in den Kopf eines Hackers

Artikel von Anton Frank·9. April 2024

Die Welt der Cyberkriminalität entwickelt sich stetig weiter. Die Welt der Cybersicherheit tut es ihr gleich. Damit ein Hackerangriff möglichst erfolgreich sein kann, erfordert es daher eine Menge Vorarbeit seitens der Angreifer. Dieser Artikel behandelt das Vorgehen von Hackern, insbesondere die „Reconnaissance Phase“ und den Einsatz von „Open Source Intelligence“. Es werden Tools und Vorgehen beschrieben, die jedem frei zugänglich sind und dient der Aufklärung über die Gefahren.

Der Inhalt im Überblick

Was ist Open Source Intelligence (OSINT)?
Wie gehen Hacker in der Regel vor?
Welche Tools stehen Angreifern zur Verfügung?
Was heißt das nun?

Was ist Open Source Intelligence (OSINT)?

OSINT – ein Kunstwort bestehend aus der Abkürzung für Open Source Intelligence – beschreibt in der Regel die Beschaffung von frei zugänglichen Informationen über ein bestimmtes Unternehmen oder eine Person. Gängige Synonyme sind Discovery oder auch Reconnaissance. Fast immer dient OSINT Footprinting der Absicht, dem Opfer wirtschaftlich oder privat zu schaden.

Bei der Vorbereitung auf einen Hacking-Angriff unterscheiden Angreifer zwischen zwei Arten der Discovery: passive und active.

passive discovery

Der passive discovery-Prozess beinhaltet OSINT-Techniken, wie Suchmaschinenrecherche, Whois-Abfragen, Website-Analysen, E-Mail-Footprinting oder Social Media Analysen.

Zwar ist bei der passive discovery die Gefahr als Angreifer entdeckt zu werden minimal, jedoch sind die gewonnenen Informationen auch nur begrenzt wertvoll.

active discovery

Im Kontrast dazu steht der active discovery-Prozess, bei dem Techniken wie Banner Grabbing, Port Scanning, Enumeration, Vulnerability Scans zum Einsatz kommen. In diesem Fall interagiert der Angreifer bereits mit seinem Ziel und es besteht eine gewisse Gefahr entdeckt zu werden. Die dafür verwendeten Tools sind fast immer frei verfügbar und gut dokumentiert.

Welche Informationen braucht man für einen Hackerangriff?

Geht man von einem gezielten, gut vorbereiteten Hacking-Angriff aus, so ist es für Angreifer unerlässlich, sich im Vornherein mit einigen Punkten auseinanderzusetzen. Neben dem wichtigsten Punkt, Schwachstellen zu finden, gibt es noch weitere, die wichtig sind. Einige davon wären:

Allgemeine Informationen über das Unternehmen

Welche Geschäftsfelder deckt mein Ziel ab? Wie groß ist es? Wie hoch ist der Jahresumsatz? Mitarbeiterzahl? Welche und wie viele Zweigstellen gibt es?
Standort-Infos zum Einschätzen der Möglichkeiten für das physische Eindringen
Mitarbeiterdetails über Social Media
Adressen und Telefonnummern
Webpräsenz-Analysen
Newsartikel, die eventuell Rückschlüsse auf Schwachstellen erlauben.

Spezielle Informationen über das Zielnetzwerk

DNS-Informationen (externe/interne DNS-Namen)
Adressblöcke und Protokolle im Einsatz
Private oder inoffiziell betriebene Webpräsenzen (Rogue Webseiten)
Zugriffs- und Authentifizierungsmechanismen
Sicherheitstechnologien im Einsatz (Firewalls, VPN-Gateways, IDS/IPS)

Spezielle Informationen über Systeme

Systemnamen
Systemarchitektur + Betriebssystemversionen
Offene Ports
Dienstversionen
Nutzer, Gruppen und ggfs. Passwörter

Wie gehen Hacker in der Regel vor?

Warum die anfangs gewonnen Informationen für einen erfolgreichen Angriff enorm wichtig sind, wird anhand des typischen Ablaufs eines gezielten Hackerangriffs (auch attack chain genannt) deutlich.

Am Anfang steht die Opferauswahl (Phase 1)

In der ersten Phase bestimmen Angreifer nach diversen Kriterien ihr Ziel. Das könnten sowohl wirtschaftliche als auch politische oder relativ zufällige Gründe sein. Zum Beispiel kann aus anderer Quelle bekannt sein, dass Unternehmen „XY“ sicherheitstechnisch nicht besonders stark aufgestellt ist und damit der Erfolg eines Angriffs höher erscheint, selbst wenn es wirtschaftlich gar nicht das attraktivste Ziel ist.

Die Reconnaissance-Phase (Phase 2)

Phase 2 der attack chain beinhaltet die passive discovery, welche OSINT-Techniken umfasst. Diese wird gefolgt von der active discovery, bei der sich Angreifern einen tieferen Einblick in das Ziel verschaffen. Die hier gewonnen Informationen ebnen den Angreifern den Weg für das weitere Vorgehen.

Es folgt die Bewaffnung (Phase 3)

Nach dem Zusammentragen aller notwendiger Informationen geht es um die Wahl der „Waffen“ in der sogenannten weaponization-Phase. Ob und welche Malware ausgerollt werden kann, wie die Angreifer in die Netzwerke gelangen, und sich dort bewegen können, sind hierbei die wichtigsten Punkte. Informationen aus Phase 2 über Betriebssystem und Version, Domains, Größe des Ziels und vieles mehr sind entscheidend für die Wahl der Bewaffnung.

Die Auslieferung (Phase 4)

In der delivery-Phase wird die Auslieferung des Angriffs an das Ziel beschrieben. Hier wird i.d.R. versucht die vorher entwickelte Malware in ein Zielnetzwerk einzubringen. Die aus Phase 2 gewonnene Informationen z.B. über Mitarbeiter, Standorte, Webseiten sind hier ausschlaggebend für die Wahl der delivery.

Exploit Phase (Phase 5)

In dieser Phase wird die am Ziel eingebrachte Malware je nach der missbrauchten Schwachstelle ausgeführt. Hier dienen die in Phase 2 gesammelten Daten dazu, dass die Malware möglichst effektiv viele Systeme erreichen und befallen kann.

Installation Phase (Phase 6)

Eng angelehnt an die Phase 5 ist die Installationsphase. Hier wird die Malware auf den Zielsystemen installiert, Backdoors geschaffen oder Dropper hinterlegt. Ist dieser Schritt einmal gelungen, hat der Angreifer im schlimmsten Fall Remotezugriff auf das infizierte System.

Actions on Objective (Phase 7)

In der siebten und letzten Phase können Angreifer das Ziel ihres Angriffs umsetzen. Bei klassischen Ransomware-Angriffen wäre dies der Moment, das System zu verschlüsseln, oder Daten zu exfiltrieren/zerstören. Angreifer würden in dieser Phase auch die sogenannte Ransomnote, also das Erpresserschreiben, hinterlassen. Hier könnten Informationen aus Phase 2 dazu genutzt werden, abzuschätzen, in welcher Höhe eine Lösegeldforderung als bezahlbar erscheint (z.B. anhand der Größe des Unternehmens, Umsatz etc.)

Welche Tools stehen Angreifern zur Verfügung?

Angefangen mit der einfachen Suche über gängige Suchmaschinen lassen sich bereits wertvolle Informationen darüber gewinnen, welche Webadressen zum Ziel existieren, wo deren Standorte sind, welche kürzlich veröffentlichte News zum Ziel existieren, über dessen Marktposition, ob eventuell aktuell Werbeaktionen laufen und mit etwas Glück lassen sich auch öffentliche Profile von Mitarbeitern finden.

Social Media Footprinting

Perfekt für das Ausspähen und Social Engineering Angriffe auf Mitarbeiter:innen eignen sich die typischen Social Media Plattformen Instagram, X, Facebook, YouTube, LinkedIn, Xing und Pinterest.

Fast ohne großen Aufwand lassen sich hier bereits wichtige Informationen wie Geburtstag oder Namen von Partnern/Angehörigen/Freunden rausfinden. Das Teilen von persönlichen Interessen, beruflichem Werdegang, offiziellen und inoffiziellen Informationen zum Unternehmen, welches gerne durch fehlende interne Kommunikation zur Vertraulichkeit in die Öffentlichkeit gerät, beschreibt nur einige potenzielle Quellen für die Gestaltung einer potenten Phishingkampagne. Darüber hinaus können die Informationen auch zur Hilfe genommen werden, um Passwörter effektiver zu bruteforcen, da Passwörter leider zu einem großen Teil nach wie vor aus berechenbaren Bestandteilen zusammengesetzt werden, die fast immer auf Persönliches zurückzuführen sind.

Google Hacking

Im nächsten Schritt kann man sogenanntes Google Hacking nutzen. Dabei werden die Suchanfragen durch bestimmte Befehle in der Google-Suchleiste genutzt, um die Suche auf sehr weniger Ergebnisse zu reduzieren. Ein klassisches Beispiel dafür sind die Befehle intext und filetype. Gebe ich zum Beispiel intext:username und filetype:log ein, wird meine Suche auf öffentlich zugängliche Webseiten beschränkt, in denen sich Logdateien befinden mit dem Schlagwort „username“. Mit etwas Geschick und der Hilfe von Pentesting-Datenbanken lassen sich über ähnliche Herangehensweisen auch den Usernamen zugehörige Passwörter, sowie die passende Login-Seite und weitere Schwachstellen herausfinden.

Frei zugängliche Web-Tools

Daneben stehen Angreifer eine ganze Reihe von frei zugänglichen Tools zur Verfügung, die oft kreativ eingesetzt werden. Netcraft.com z.B. ist ein webbasiertes Tool, das genutzt werden kann, um herauszufinden, welche Webtechnologien und speziell welche Produkte auf Webseiten eingesetzt werden, wo diese gehostet sind und weitere, ähnliche Informationen.

Die wayback machine aka archive.org ermöglicht es, archivierte Versionen von Webseiten aufzurufen. So lassen sich teilweise Informationen, wie Namen, Telefonnummern oder auch Metadaten aus früheren Ständen einer Webseite gewinnen, die erst in späteren Versionen entfernt wurden.

Mit Hilfe von shodan.io, welches eigentlich als Suchmaschine für das Internet of Things konzipiert wurde, lassen sich ebenfalls durch bestimmte Suchanfragen und Befehle Geräte finden, die über das öffentliche Internet verfügbar sind. Oft sind solche Geräte auch entweder gar nicht oder nur mit (leicht herauszufindenden) Default-Passwörtern geschützt. Das ist vor allem bei Sicherheitskameras ein großes Problem, aber auch lassen sich so Access Points, Haussteuerungssysteme, VoIP-Geräte, Switches, Router und anderes erreichen und missbrauchen.

Was heißt das nun?

Landet man als Unternehmen erst einmal im Fokus eines Angreifers, so kann es schnell gehen, bis ein Angreifer erfolgreich Zugriff erlangt und Malware ausgeführt hat. Es erscheint daher sinnvoll, sich von vornherein Gedanken zu machen, an welcher Stelle Schwachstellen vorliegen könnten. Zum einen wäre da das Einfallstor Mensch, welches es unerlässlich macht, Mitarbeiter über die Gefahren der unbedachten Informationsweitergabe in sozialen Medien aufzuklären und gleichzeitig dafür zu sorgen, dass diese auch auf dem aktuellen Stand zu den damit zusammenhängenden Phishingkampagnen bleiben.

Zum anderen könnten von technischer Seite regelmäßige Penetrationstest auch die letzten Schwachstellen in einem System aufspüren, bevor ein Angreifer dies tut und diese für sich nutzen kann. Allgemein ist es empfehlenswert, ein Sicherheitskonzept zu entwickeln, welches die oben genannten Informationen möglichst unter Verschluss hält und die OSINT-Phase für Angreifer zu einem solche Ausmaß unattraktiv gestaltet, dass diese gar nicht erst auf die Idee kommen, weiter in das System eindringen zu wollen.

- Hacker
  Werden französische Polizisten bald zu Hackern?News·13. Juli 2023
- Vom einsamen Hacker zum Startup: So arbeiten moderne CybergangsFachbeitrag·7. Juli 2023
- Penetration Testing: Die Kunst, wie ein Hacker zu denkenFachbeitrag·2. Juni 2023
Mehr zum Thema
- Hacking
  Wie Relay-Attacken Keyless-Fahrzeuge gefährdenFachbeitrag·1. März 2024
- Penetration Testing: Die Kunst, wie ein Hacker zu denkenFachbeitrag·2. Juni 2023
- Die versteckte Aufklärungspflicht bei DatenschutzvorfällenFachbeitrag·26. Februar 2021
Mehr zum Thema
- Phishing
  LfDI Baden-Württemberg veröffentlicht TätigkeitsberichtFachbeitrag·21. Februar 2024
- E-Mail-Analyse als Tool zur Bekämpfung von CybercrimeFachbeitrag·2. Februar 2024
- Man-in-the-Middle-Attacke: Die unsichtbare BedrohungFachbeitrag·27. Oktober 2023
Mehr zum Thema
- Social Engineering
  Datenschutz im BackofficeFachbeitrag·2. Dezember 2019
- Studie zur IT-Sicherheit: Malware-Anstieg von 36 %News·18. April 2016
- Gefahr durch Social Engineering - Bezahldienstleister geknacktNews·24. Mai 2012
Mehr zum Thema
- Suchmaschine
  AlgorithmWatch – Wo ist sie hin, die Filterblase?News·13. September 2017
- Möglichkeiten von Big Data: Suchmaschine diagnostiziert KrebsNews·15. Juni 2016
- Google verlangt Einwilligung: „Ich stimme zu“News·23. November 2015
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.