SecTor 2025 | Nachverfolgung von Angreifer-Schritten durch den Cyber-Physischen Angriffslebenszyklus
Aktuelle cyber-physische Angriffe auf Wasserversorgungsanlagen zeigen, dass eine erfolgreiche Systemintrusion nicht automatisch zu physischen Schäden führt, da inhärente Sicherheitskontrollen und physikalische Gesetze wirken. Während Medienberichte Bedrohungen oft übersteigern, beinhalten tatsächliche Vorfälle von 2016 bis 2023 häufig dieselbe Malware, die identische Infrastrukturen angreift, ohne nennenswerte Weiterentwicklungen. Eine effektive Ausnutzung erfordert die Manipulation von Regelkreisen durch das Vortäuschen von Sensorsignalen anstatt das direkte Erzwingen von Aktuatoren, da moderne Systeme Millionen von Zuständen validieren, bevor Befehle ausgeführt werden. Diese Analyse zeigt, dass die wahre Schwachstelle in der Steuerungsebene liegt, die für Standard-Bedrohungsintelligenz-Bewertungen weitgehend unsichtbar bleibt.
Teil 10: Hacking DarkHaven (vollständiges Netzwerk) - Hack Smarter Labs
Die Analyse deckt eine kritische Schwachstelle auf, bei der fest codierte Anmeldeinformationen für eine Zertifizierungsstelle in einer Notepad++-Sitzung auf einem kompromittierten Webserver offengelegt wurden. Durch den Wechsel vom fehlerhaften Sliver-Framework zu NetExec gelang es dem Angreifer, das Domänenkonto 'CA auth' und das Passwort 'Overgrown Carrot' aus dem Prozess Service Web Pool zu extrahieren. Dieser Vorfall verdeutlicht ein häufiges Unternehmensversagen, bei dem sensible Wartungsskripte im Klartext verbleiben und laterale Bewegungen zum Domänencontroller und CA-Server ermöglichen. Die technische Ausführung unterstreicht die Notwendigkeit von Tool-Redundanz, wenn primäre Penetration-Testing-Module keine erforderlichen Argumente oder Funktionen bereitstellen.