Eigene Testangriffe fahren

Es gibt unterschiedliche Methoden, um erfolgte Angriffe auf Ihr Unternehmensnetz zu beobachten und die Systeme zu schützen. Neben Antivirus-Software und klassischer Netzwerk-Intrusion-Detection eignen sich kommerzielle "Endpoint Detection and Response"-Lösungen wie FireEye Endpoint Security [1] oder Tanium [2] ebenso wie das quelloffene GRR Rapid Response [3] zur gezielten Überwachung von Endpunkten. Diese bieten dabei meist auch die Möglichkeit, bei einem Verdacht automatisiert einzugreifen. Security Monitoring mittels SIEM-Software und manuelle Bedrohungsanalysen, wie von einschlägigen Dienstleistern angeboten, sind ebenfalls ein probates und häufig eingesetztes Mittel.

Solche Systeme sind aber nicht zwangsläufig auch in das Penetration-Testing von Unternehmen eingebunden. Eins vorweg: Auch kommerzielle Produkte sind häufig in der eingesetzten Konfiguration unterschiedlich und individuell für Sie als Kunden angepasst. So kann es passieren, dass diese eben nicht alle Bedrohungen oder Angriffsindikatoren zuverlässig erkennen. Der "APTSimulator" stellt nun auf einem Windows-System einen gezielten Angriff nach. Wichtig ist hierbei, dass Sie den Simulator nicht auf einem Produktivsystem verwenden sollten, wenn Sie es danach noch einsetzen möchten. Um auf Nummer sicher zu gehen, zeigt Ihnen das Programm beim Start einen entsprechenden Hinweistext an. Starten Sie also besser eine virtuelle Maschine oder nutzen Sie einen alten ausgemusterten Arbeitsplatzrechner für die Tests.

APTSimulator stellt Angriffe nach

Laden Sie die ZIP-Datei aus dem Github-Repository [4] und entpacken diese an einen entsprechenden Ort auf Ihrem Testsystem. Das Passwort zum Entpacken lautet "apt". Navigieren Sie nun in diesen Ordner und starten als Windows Administrator "APTSimulator.bat". Nachdem Sie die Warnung abgenickt haben, zeigt sich das Programm in Form eines

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.