Kontinuierliche Überwachung
und Scannen aller Assets Ihres Unternehmens - bei Bedarf mehrmals täglich, wöchentlich oder monatlich.
Automatisches Mapping
der externen Infrastruktur des Unternehmens, seiner Tochter- und Beteiligungsgesellschaften mit passiven/aktiven Methoden.
Die Asset Alteration Engine
verwendet u.a. hocheffektive Methoden des maschinellen Lernens mit dem Ziel Licht in die "Shadow IT" zu bringen.
Konfigurierbar
bis ins kleinste Detail und damit in den Händen geschulten Personals das Tool zum effektiven Schutz des Unternehmens.
Umfangreiche Fuzzing-Module
zur Erkennenung von Web-Schwachstellen (OWASP Top 10) aber auch von 0days in komplexen Webapplikationen.
Erfolgreich und kampferprobt
gegen Infrastruktur großer Konzerne wie AT&T, Daimler oder PayPal. Bestandteil von RCDC (Rafael Advanced Defense Systems Ltd.).

NEO ist eine Software, die es Ihnen erlaubt, alle Assets Ihres Unternehmens kontinuierlich im Blick zu behalten. In Zeiten, in denen viele Unternehmen "die Cloud" verwenden, mit diversen Agenturen und Freelancern gleichzeitig arbeiten, passieren schnell Fehler - von unerfahrenen Entwicklern programmierte Sicherheitslücken, Datenleaks auf Plattformen, wie github.com oder bitbucket.com oder einfach menschliche Fehler - die es einem maliziösen Angreifer erlauben in Ihr Unternehmen einzudringen und beispielsweise Daten zu stehlen. In den Medien lesen wir täglich von diesen Fällen. "Das Password war admin", "Das System wurde nicht aktualisiert, weil niemand von der Existenz wusste", "Ein Freelancer hat Zugangsdaten auf github.com hochgeladen". All das sind Probleme, die wir täglich sehen und die zu schweren IT-Sicherheitsvorfällen führen können. Die Funktionsweise von NEO ist an den echten Hacker angelehnt. Es werden nicht stupide CVE abgescannt und Warnungen rausgeschickt, die nur "False Positives" sind.

1
2
3

Schritt 1
Ausgangslage

Im Scope des Kunden sind alle zum Unternehmen gehörenden Domains inklusive Subdomains. Das System hat über längere Zeit etwa 300 Subdomains überwacht - ohne Auffälligkeiten.


Schritt 2
Änderung

Jede 720 Minuten hat NEO CMaS alle relevanten Daten zum Scope aktualisiert. Dabei wurden diverse Änderungen in den DNS-Einstellungen einer Subdomain erkannt. Diese Änderungen enthielten Tippfehler.


Schritt 3
Analyse

NEO CMaS hat die neuen Daten analysiert und diverse Anomalien und potentielle Probleme erkannt. Eine Nachricht ging an einen Analysten, damit dieser sich das Problem genauer anschauen kann. Im Raum steht ein potentieller "Subdomain takeover" über einen fehlerhaften CNAME-Eintrag.


Schritt 4
Gefahrenabwehr

Der Analyst stellt fest, dass im CNAME eine Domain eingetragen wurde, die jeder kaufen kann. Um die Gefahr abzuwehren hat die Legacy Technologies GmbH diese Domain gekauft.


Schritt 5
Benachrichtigung

Der Kunde wird benachrichtigt und kann den Fehler korrigieren. Da es sich hier um eine prestigeträchtige Airline aus dem Luxussegment, der die eigene Marke besonders wichtig ist, handelt, sind diese Art von "Fehlern" besonders kritisch. Ein Angreifer könnte sie für konkrete Angriffe (XSS, Drive by download, ...) nutzen oder damit Black Hat SEO betreiben. Letzteres wäre für die Marke schlecht.

Schritt 1
Ausgangslage

Im Rahmen eines privaten Bug Bounty Programs auf Intigriti, dessen Scope nur eine einzige Subdomain (subdomain.unternehmen.com) umfasste, ging es mehr um einen Penetrationstest. Das gesamte Zielsystem war hinter einem Login. Trotzdem haben wir NEO CMaS für das Ziel aktiviert.


Schritt 2
Scans

Da es sich um ein abgeschottetes System gehandelt hat, machen automatische Scans nach typisch Sicherheitslücken nur wenig Sinn. Diese Entscheidung hat ein Analyst gefällt. Lediglich Portscans und das Fuzzen nach Auffälligkeiten sowie Dateien wurde aktiviert. Hier wurden allerdings die Intervalle deutlich verkürzt.


Schritt 3
Fund

Nach einigen Tagen meldete NEO CMaS die Existenz einer Datei, die zuvor nicht vorhanden war. Hierbei handelte es sich um eine Sicherungsdatei, die vermutlich ein Administrator oder Entwickler für kurze Zeit erstellt hat. NEO CMaS konnte die Datei entdecken und herunterladen. Das besondere ist hier der Name der Datei gewesen. NEO ist in der Lage dynamische Wordlisten für diese Art von Prüfungen zu erstellen. Diese basieren u.a. auf dem Namen des Unternehmens, der Subdomain und den Daten, die das System sieht. Die Sicherungsdatei hatte den Namen "subdomain.unternehmen.com.zip".


Schritt 4
Analyse

Diese Art von Funde können alles und nichts sein. In dem Fall hatte der Analyst Glück. Vor ihm lag der gesamte Quellcode samt Zugangsdaten in den Konfigurationsdateien des Systems. Außerdem ermöglichte ihm dieses Wissen weitere Angriffe auf das System, die zum Fund von mehr als 5 unterschiedlichen IDOR geführt haben.


Schritt 5
Benachrichtigung

Alle Funde wurden natürlich im Rahmen des Programs an den Betreiber gemeldet und zügig geschlossen.

Schritt 1
Ausgangslage

Der Kunde ist ein Großkonzern mit hunderten von Subunternehmen und einem eigenen CIDR, das etwa 128.000 IP Addressen umfasst. Der Scope hier ist "das Unternehmen" und alles, was dazu gehört. Das Unternehmen unterhält ein eigenes Red Team, kommt mit der Arbeit aber nicht hinterher. Von 100 Stellen können nur einige Dutzend besetzt werden. Umso mehr ist Automatisierung wichtig.


Schritt 2
Anwendungsfall

Die Zusammenarbeit begann während der Zeit als der berühmte Exploit für die Citrix VPN veröffentlicht wurde. Die Fragestellung war, ob NEO CMaS mehr dieser verwundbaren System in der Infrastruktur finden kann. Die IT war sich sicher, dass es alle gefunden und aktualisiert hat. Aufgrund der Größe des Netzwerks und der Internationalisierung war man sich aber ganz sicher.


Schritt 3
Datenaufbereitung

NEO CMaS konnte fast alle Assets, die zum Unternehmen gehören, automatisch finden. Der "goldene Rest" wurde von einem unserer Analysten mit Hilfe spezieller Techniken (Permutationen, Alterationen, Fuzzing) innerhalb diverser Wildcard Domains gefunden. Der entscheidende Faktor!


Schritt 4
Funde

Neben diversen anderen Sicherheitslücken, Leaks von Daten innerhalb und außerhalb der IT-Systeme des Unternehmens, konnten weiterhin 7 weitere Citrix Server gefunden werden, die verwundbar waren. Ein Ergebnis, dass selbst die Unternehmens-IT verwundert hat und ein gutes Argument für kontinuierliches Asset Monitoring.

Schritt 1
Ausgangslage

Die IT-Systeme einer amerikanischen Hotelkette werden von NEO CMaS kontinuierlich überwacht. Die Infrastruktur umfasst etwa 5000 verschiedene Subdomains/IP-Addressen. Aufgrund der Größe und der Art, wie das Unternehmen global arbeitet (Freelancer, Agenturen, ...) passieren hier immer wieder grobe Fehler - diese sind vermeidbar - in Theorie. In Praxis braucht man jemanden, der sicherstellt, dass wirklich alles in Ordnung ist.


Schritt 2
Scans

NEO CMaS läuft hier auf Standard-Einstellungen - diese sind für einen Großteil von Unternehmen sehr gut geeignet. Auf einer alten Subdomain konnte das System nach einigen Monaten eine fehlerhafte Serverkonfiguration finden: die Inhalte von Ordner wurden ausgegeben. In vielen Fällen ist das kein Problem, in dem Fall war es das, denn einer der Ordner, die NEO prüft "uploads/" ist.


Schritt 3
Fund

Im "uploads"-Ordner konnte NEO eine Vielzahl (etwa 10.000 PDF-Dateien) finden. Dieser Umstand wurde einem Analysten gemeldet, damit dieser Einschätzen kann, ob dies ein Fall ist, der gemeldet werden muss.


Schritt 4
Analyse

Der Analyst hat innerhalb von Sekunden erkannt, dass in diesem Ordner zehntausende aktueller Rechnungen der Hotelkette liegen. Da es sich hierbei um so genannte PII Daten handelt, kann das schnell böse enden - vor allem für eine US-amerikanische Firma. In der Vergangenheit gab es für diese Art von "Problemen" Strafen in Millionenhöhe.


Schritt 5
Incident Response

Ein Fall wie dieser führt in der Regel zu einer tieferen Untersuchung, bei der geschaut werden muss, ob jemand eventuell schon Daten entwendet hat und wie man darauf reagieren muss. Normalerweise wird dann zügig die PR-Abteilung ins Boot geholt - man will nicht komplett das Gesicht verlieren.

Schritt 1
Ausgangslage

Hier hatten wir eine kleine Infrastruktur mit etwa 10 verschiedenen IP-Addressen sowie ein gutes IT-Team, dass die eigenen Server gut im Griff hatte. Im Rahmen eines Proof of Concept konnte NEO nichts finden. Trotzdem konnte die Zusammenarbeit fortgesetzt werden - denn oft kommt es auf das Timing an, wenn es um Schwachstellen geht. Das war auch dem Kunden bewusst.


Schritt 2
Scans

Auch hier wurden die Standard-Einstellungen von NEO verwendet. NEO verfügt nicht nur über bekannte Methoden und Schwachstellenscans. Wir arbeiten ebenfalls mit bisher unbekannten Schwachstellen und Techniken. Oft sind genau das die Methoden, die zum Erfolg führen.


Schritt 3
Fund

Eine dieser Techniken konnte automatisch den serverseitigen Schutz aushebeln, der bisher dafür gesorgt hat, dass sogenannte "Heapdumps" von Java Software nur dem internen Team zur Verfügung standen. Der Bypass erlaubte es jedem alle Spring Actuator Endpunkte zu erreichen.


Schritt 4
Analyse

Heapdumps sind komplexe Dateien, die Alles und Nichts sein können. Manchmal hat man einen Heapdump, dieser enthält aber keine interessanten Daten. In dem Fall war es nicht so. Der Heapdump enthielt Dutzende Zugangsdaten zu diversen Systemen. Die Krönung ware hart einprogrammiert Amazon AWS Zugangsdaten.


Schritt 5
Incident response

Vor allem die Existenz der AWS Zugangsdaten hat den Kunden erschrocken. Eine tiefere Analyse der Daten und vor allem der Rechte dieser Zugangsdaten zeigt, dass ein Angreifer hiermit Zugang zur gesamten Cloud-Infrastruktur des Unternehmens auf Amazon hatte. Kritischer geht es eigentlich nicht mehr.

Schritt 1
Ausgangslage

Dieses Unternehmen hat etwa 35 verschiedene Subdomains, arbeitet viel in der AWS Cloud - eine kleine aber interessante Infrastruktur. Mit NEO versuchen wir aber auch einen Blick nach außen zu haben - Angriffe passieren auf die vielfältigsten Arten, beispielsweise in dem ein Mitarbeiter gehackt wird oder irgendwie seine Daten verliert.


Schritt 2
Scans

NEO CMaS überwacht das Unternehmen seit Monaten - ohne Ergebnisse. Es gibt keine Sicherheitslücken, keine alten Systeme, keine Misskonfigurationen. Alles sieht gut aus. Was NEO auch macht, ist externe Datenquellen überwachen - hier spielt github.com eine wichtige Rolle.


Schritt 3
Funde

Nachdem das Leakmonitoring-Modul aktiviert wurde, konnte NEO in den nächsten Wochen 4 verschiedene Leaks finden. Hierbei handelt es sich immer um den Leak von Zugangsdaten zu diversen Systemen des Unternehmens. So etwas mag man als Angreifer besonders gern. Zwei Mal wurden Zugangsdaten zu Github selbst und zwei Mal zum Artifactor Server des Unternehmens geleaked. Damit hatte der Angreifer Zugangs zu privater Software und konnte diese sogar verändern.


Schritt 4
Analyse

Bei dieser Art von Fund muss immer geprüft werden, ob die Daten valide und nutzbar sind. Oft sieht man, dass zwar Zugangsdaten geleaked werden, dieser aber erst nutzbar werden, wenn man Zugriff auf einen bestimmten Server hat oder im internen Netzwerk ist. Diese Umstände werden dem Unternehmen trotzdem gemeldet, weil genau diese kleinen Puzzleteile im Notfall ein unschönes Bild ergeben können.

Schritt 1
Ausgangslage

Auch hier spielte sich alles im Kontext "Bug Bounty Programm" ab. Das Unternehmen ist ein US-amerikanischer Telekommunikationsanbieter mit hunderttausenden von Assets und IP-Addressen. Ein großes Ziel - hierfür ist NEO CMaS prädestiniert. Für den aktuellen Fall ist von Relevanz, dass NEO mit Hilfe einer kostenpflichtigen API ein neues Asset automatisch ins Monitoring nehmen konnte. Dieses stellte sich als verwundbar heraus.


Schritt 2
Scans

Aufgrund der Menge der Assets, nutzen wir hier Einstellungen, die pro Asset in weniger als 1000 Zugriffe münden (pro Durchlauf). So haben wir eine gute Balance zwischen Schnelligkeit und Ergebnis. Dem Unternehmen an sich wurden Dutzende von Problemen gemeldet. Der hier beschriebene ist besonders interessant. Auf der IP des Assets wurde der offene Port 81 gefunden und gescannt. Dabei hat NEO CMaS alle Dateien untersucht, die es sah.


Schritt 3
Funde

Hierbei wurde eine Javascript-Datei durch Fuzzing gefunden, die eine bestimmte auffällige Signatur enthielt. Außerdem wurde eine "download.asp" in einem der Verzeichnisse gefunden. Die Antwort dieser Datei war ein HTTP Status 200 ohne Inhalt - so etwas ist immer interessant.


Schritt 4
Analyse

In der Javascript-Datei konnte unser Analyst den Aufbau von Requests an eine andere Datei einsehen und so einen Zugriff mit Hilfe von Burp Suite bauen, der aktzeptiert wurde. Das Ergebnis war die Fähigkeit Dateien mit eigenem Inhalt und Dateiendung in jeden beliebigen Ordner des zugrunde liegenden Windows Servers zu schreiben. Effektiv ist das die berühmte "Remote Code Execution", in dem man eine Shell in den www-root legt. Der Fund wurde als "kritischer Fund" vergütet.

Der beste Schutz:  Besser und schneller sein als der Angreifer dank NEO

  • 24/7 kontinuierliche Überwachung und Scannen Ihrer Assets.
  • NEO sucht automatisch in kurzen Abständen nach neuen Assets, die zu Ihrem Unternehmen gehören - man muss NEO nur einen "Seed" geben.
  • Shadow IT stellt ein großes Problem dar - NEO's Alteration Engine ist in der Lage zuverlässig diese Art von Assets zu finden und so der regulären Überwachung zuzuführen.
  • NEO scannt nicht nur nach bekannten Sicherheitslücken, es setzt zielgerichtet Fuzzing ein, um Anomalien zu finden. Unsere Analysten können aus diesen Anomalien oft schwere Sicherheitslücken machen. Dank unserer umfangreichen Fuzzing-Module konnte NEO sogar "0days" in weltweit eingesetzter Software, wie Github Enterprise finden.
  • Methoden des maschinellen Lernens werden eingesetzt, um die Einstellungen für automatisierte Angriffe und Checks zu optimieren - das Ziel ist eine möglichst große Abdeckung bei einer kleinen Anzahl von Zugriffen. Das macht NEO gut einsetzbar gegen Live/Produktionsumgebungen.
  • Neben klassischen Sicherheitslücken sucht NEO auch nach Datenlecks, fehlerhaften Konfigurationen oder Leaks auf externen Portalen. Ein echter Angreifer nimmt oft den einfachsten Weg.
  • Durch den breiten Einsatz von Cloudanbietern entstehen neue Risiken. NEO entschärft diese proaktiv, in dem es beispielsweise verweise Subdomains automatisch übernimmt und so dem Zugriff von Angreifern entzieht.
  • NEO ist skalierbar. Es ist in der Lage Millionen von Assets täglich mehrmals zu scannen, wenn es nötig sein sollte. So gewährleisten wir eine kontinuierliche Überwachung - der echte Angreifer arbeitet genauso. Er wartet, bis jemand einen Fehler macht.
  • NEO bereitet große Datenmengen - Portscans, Dateiscans, ... - übersichtlich auf, so dass ein geschulter Red Teamer mit einem Blick relevante Informationen extrahieren kann. Nicht alles lässt sich automatisieren!
  •   Requester Module erlauben es eigene Module zum Scannen nach unternehmensspezifischen Problemen in einem bequemen Frontend zu erstellen.
  • NEO ist kampferprobt. Unsere Analysten verwenden es täglich gegen stark geschützte Assets von beispielsweise PayPal, AT&T oder Daimler - mit Erfolg. Des Weiteren hat sich NEO CMaS in komplexen Umgebungen (KRITIS) bewährt und ist offizieller Bestandteil des "RAFAEL Cyber Defense Center - RCDC" Produktpakets des israelischen Unternehmens "Rafael Advanced Defense Systems Ltd.".
  • Das Wissen, um neuen IT-Probleme kommt so außerdem zurück in die Software und macht diese besser. NEO ist ein System, das ständig von echten Hackern optimiert wird.

Lust auf einen Proof of Concept?

Weil wir wissen, dass NEO gut funktioniert, bieten wir Interessenten an das Tool eine kurze Zeit laufen zu lassen. Sie bekommen einen kurzen Bericht über das, was in kurzer Zeit gefunden wurde sowie über potentielle initialle Angriffsvektoren. Einer unserer Analysten setzt sich mit Ihnen zusammen und bespricht den Bericht und gibt wertvolle Tipps. So etwas entspricht natürlich nur einer Momentaufnahme - wem IT-Sicherheit wirklich wichtig ist, der lässt die eigene Infrastruktur non stop überwachen - Fehler passieren bekanntlich regelmäßig.

PoC/Demo anfragen