Search
Send enquiry
  • Red Teaming

Effektive Governance-Strategien im Red Teaming

June 30, 2025

Effektive Governance-Strategien im Red Teaming: Kommunikation, Risikoanalyse und OPSEC

This blog post is written in German. A summary is provided in English.

Summary

This blog post explores effective governance strategies in red teaming, with particular focus on customer consultation, risk management, OPSEC, and the use of AI technologies.

Abstrakt

In diesem Blogbeitrag werden effektive Governance-Strategien im Red Teaming unter besonderer Berücksichtigung von Kundenabstimmung, Risikomanagement, OPSEC und dem Einsatz von KI-Technologien untersucht.

Die rasante Weiterentwicklung von KI-Technologien, wie beispielsweise LLMs, ermöglicht es Angreifern, Phishing-Angriffe automatisiert und überzeugend durchzuführen – eine Entwicklung, die eine optimale Vorbereitung der Blue-Teams und regelmäßige Überprüfungen der IT-Sicherheitsinfrastrukturen unerlässlich macht. Basierend auf der Definition von Governance und dem umfassenden Ansatz des Red Teaming wird gezeigt, wie sich durch klar definierte Testparameter, strukturierte Kommunikationsstrategien und präzise Risikobewertungen Sicherheitsüberprüfungen zur Identifikation von Schwachstellen in Produktivsystemen risikominimiert durchführen lassen. Die Methodik kombiniert eine dokumentenbasierte Analyse relevanter Normen mit empirischen Daten aus internen Experteninterviews, um Einblicke in die Umsetzung von Governance im Red Teaming zu gewinnen.

Einführung

Die kontinuierliche Weiterentwicklung von Angriffstechniken und der dazugehörigen Erkennungs- und Reaktionsmöglichkeiten sorgt dafür, dass sich die Bedrohungslandschaft ständig verändert – insbesondere durch den Boom von KI-Technologien, die sowohl Angreifern als auch Verteidigern mächtige Werkzeuge an die Hand geben. In diesem dynamischen Umfeld ist es entscheidend, Schwachstellen auf allen Ebenen – von der Infrastruktur über Prozesse bis hin zu menschlichen Faktoren – genau zu kennen.

Traditionell wurden hierzu häufig Penetrationstests durchgeführt, die isoliert einzelne Aspekte detailliert beleuchteten. Allerdings besteht dabei die Gefahr, dass der ganzheitliche Überblick verloren geht. Daher setzen immer mehr Unternehmen auf Red-Team-Assessments, die einen umfassenden, ganzheitlichen Ansatz verfolgen. Bei diesen Assessments wird bewusst ein offener Scope gewählt, um realistische Angriffsszenarien zu simulieren und das Verhalten der Verteidiger unter realen Bedingungen zu testen.

Doch ein solcher Ansatz ist ohne eine solide Governance nicht denkbar. Governance stellt den strukturellen Rahmen bereit, in dem alle Aktivitäten – von der Festlegung des Scope über die Abstimmung mit dem Kunden bis hin zur kontinuierlichen Evaluierung der Ergebnisse – transparent und kontrolliert ablaufen. Somit bildet Governance die Grundlage für eine effektive Sicherheitsstrategie, die den aktuellen und zukünftigen Herausforderungen gerecht wird.

Definition von Governance im Red Teaming

Nach ISO 37000 umfasst Governance das System von Richtlinien, Strukturen und Prozessen, mit dem eine Organisation geführt und kontrolliert wird. Es stellt sicher, dass Entscheidungen im Einklang mit ethischen, rechtlichen und gesellschaftlichen Anforderungen getroffen werden, und definiert die Verantwortlichkeiten, die Zuständigkeiten sowie die Mechanismen zur Überwachung und Rechenschaftspflicht. Governance bildet somit den Rahmen, in dem strategische Ziele gesetzt, Risiken gemanagt und die Leistung kontinuierlich verbessert werden – stets unter Berücksichtigung der Interessen aller Stakeholder.

Red Teaming ist ein umfassender, angreifergetriebener Ansatz, der darauf abzielt, durch realitätsnahe Angriffssimulationen Schwachstellen in technischen Systemen, organisatorischen Abläufen und im Verhalten von Menschen aufzudecken und auszunutzen. Im Gegensatz zu herkömmlichen Penetrationstests, die den Fokus auf die Identifikation möglichst vieler Sicherheitslücken innerhalb eines Prüfgegenstands legen, bewertet Red Teaming die gesamte Sicherheitsarchitektur einer Organisation. Dabei werden nicht nur technische Defizite, sondern auch Reaktionsmechanismen und das Sicherheitsbewusstsein der Mitarbeiter unter möglichst realistischen Bedingungen getestet.

Im Gegensatz zu einem klassischen Penetrationstest werden Red-Team-Assessments typischerweise verdeckt durchgeführt. Dies stellt einen wesentlichen Unterschied dar und ermöglicht es daher, die Erkennungs- und Reaktionsfähigkeiten des Blue-Teams zu überprüfen und zu trainieren.

Die Integration von Governance in den Red-Teaming-Prozess stellt sicher, dass alle Testaktivitäten unter klar definierten Verantwortlichkeiten, standardisierten Abläufen und regelmäßigen Kontrollen erfolgen. So wird gewährleistet, dass Red-Team-Assessments transparent, ethisch und rechtssicher durchgeführt werden.

Zielsetzung des Blogbeitrags

Das Ziel dieses Beitrags besteht darin, effektive Governance-Strategien im Red Teaming zu identifizieren und ihre Praxistauglichkeit zu bewerten. Im Mittelpunkt stehen dabei drei wesentliche Aspekte:

Kundenabstimmung und Risikomanagement:
Es soll untersucht werden, wie klare Absprachen und eine akkurate Risikoanalyse einen sicheren Rahmen für Red-Team-Assessments schaffen.

OPSEC-Maßnahmen:
Es wird erörtert, wie durch gezielte operative Sicherheitsmaßnahmen – beispielsweise das Vier-Augen-Prinzip – die unauffällige Durchführung von Assessments gewährleistet werden kann.

Einsatz von KI:
Die Chancen und Herausforderungen, die sich durch den verstärkten Einsatz von KI-Technologien im Red Teaming ergeben, werden analysiert.

Die daraus gewonnenen Erkenntnisse sollen als praxisorientierter Leitfaden dienen und Unternehmen dabei unterstützen, Red-Team-Assessments sicher, effektiv und im Einklang mit strategischen sowie regulatorischen Vorgaben durchzuführen.

Methodik

Für die Bearbeitung dieses Themas wurden dokumentenbasierte Analyse und empirische Erhebung kombiniert.

Dokumentenbasierte Analyse:
Zunächst werden relevante Normen und offizielle Dokumente ausgewertet, um die theoretischen Grundlagen von Governance und Red Teaming zu erfassen.

Empirische Datenerhebung:
Ergänzend dazu fließen Daten aus internen Experteninterviews in die Untersuchung ein. Diese Interviews liefern praxisnahe Einblicke in die Umsetzung von Governance-Strategien im Red Teaming.

Kundenabstimmung und Risikomanagement

Die umfangreiche und präzise Abstimmung mit dem Kunden ist das Fundament eines erfolgreichen Red-Team-Assessments. Nur durch klare Kommunikation und detaillierte Vereinbarungen lassen sich Risiken minimieren und ein reibungsloser Projektablauf erreichen. Im Folgenden werden alle wesentlichen Aspekte jener Kundenabstimmung zusammengefasst.

Kundenabsprachen

Klare Kundenabsprachen dienen dazu, Missverständnisse zu vermeiden und unerwünschte Eingriffe in das Produktionssystem des Kunden auszuschließen. Vor Beginn eines Assessments müssen mehrere zentrale Punkte abgestimmt werden, um einen reibungslosen und sicheren Ablauf zu gewährleisten:

Verantwortlichkeiten:
Es wird eindeutig festgelegt, wer als primärer Ansprechpartner fungiert – typischerweise ein CISO oder eine andere verantwortliche Person. Dies schafft klare Kommunikationslinien und stellt sicher, dass im Falle von Fragen oder Problemen schnell reagiert werden kann.

Zieldefinition und Scope:
Der Prüfungsumfang wird detailliert festgehalten, indem alle relevanten Aspekte, wie bspw. die anzugreifenden IP-Adressbereiche, Standorte, Systeme und Mitarbeiter, erfasst werden. Eine präzise Scope-Erfassung verhindert, dass Bereiche ungewollt getestet werden, und ermöglicht eine zielgerichtete Analyse der Sicherheitsinfrastruktur.

Testparameter – Zeitrahmen und Ausschlüsse:
Es wird ein klarer Zeitrahmen für das Assessment festgelegt und es werden explizite Ausschlüsse definiert, um kritische Systeme zu schützen. Die Festlegung von Rules of Engagement regelt zudem, welche Angriffstechniken, wie etwa Social Engineering, zulässig sind.

Formale Dokumentation:
Durch die Erstellung eines detaillierten Aufklärungsbogens werden alle vereinbarten Testbereiche und Risiken schriftlich festgehalten. Ergänzend wird eine sogenannte „Get-out-of-Jail-Free-Card“ ausgestellt, welche die Legitimität durchgeführter Angriffe vom Auftraggeber bescheinigt und im Zweifelsfall zur Klärung einer Situation genutzt werden kann.

Bild 1: Kundenabsprache

Diese Vereinbarungen werden typischerweise in einem ausführlichen Kick-off-Workshop erarbeitet, der den Rahmen für das gesamte Assessment definiert. Zusätzlich finden regelmäßige Jour-fixe-Termine statt, in denen der aktuelle Stand des Assessments, potenzielle Risiken und angedachte Angriffsszenarien kontinuierlich besprochen werden. Durch diesen strukturierten Kommunikationsprozess wird sichergestellt, dass alle Parteien – sowohl intern als auch seitens des Kunden – stets über den Umfang und die Grenzen des Assessments informiert sind. Dies trägt maßgeblich dazu bei, dass das Red-Team-Assessment unter klar definierten, sicheren Rahmenbedingungen durchgeführt wird.

Risikobewertung: Angriffsauswirkungen auf Produktivsysteme

Die Risikobewertung geplanter Angriffe spielt eine entscheidende Rolle im Verlauf eines Red-Team-Assessments. Hierbei muss im Vorhinein präzise evaluiert werden, wie mögliche Schäden und Eintrittswahrscheinlichkeiten minimiert werden.

Ein Beispiel hierfür wäre die Planung eines Passwort-Spraying-Angriffs. Dabei versucht der Angreifer, im Gegensatz zum herkömmlichen Brute-Force-Angriff nicht die Anmeldung eines Users mit vielen Passwörtern zur erraten, sondern testet mithilfe weniger, möglichst allgemeiner Passwörter (Firma2025, Sommer2025 etc.) alle ihm bekannten Useranmeldungen. In der Regel existieren Maßnahmen zum Schutz von Benutzerkonten vor derartigen Angriffen. Dabei führen zu viele fehlgeschlagene Anmeldeversuche zu einer Sperrung des betroffenen Kontos. Da ein Passwort-Spraying-Angriff auf eine breite Benutzerbasis abzielt, besteht somit das Risiko, massenhaft Benutzerkonten zu sperren und so das produktive Arbeitsgeschehen zu beeinträchtigen.

Um solche Szenarien zu vermeiden, werden zum einen die Risiken möglicher Angriffe schriftlich im Aufklärungsbogen vor jedem Assessment festgehalten, um so den Kunden möglichst gut über potenzielle Risiken aufzuklären. Zum anderen sollten kritische Angriffe in regelmäßigen Jour-fixe-Terminen präventiv besprochen und bewertet werden.

Kommunikationsstrategien mit dem Kunden

Der Kick-off-Workshop stellt einen essenziellen Bestandteil der Vorbereitungsphase dar. In diesem Treffen werden alle relevanten Aspekte des Red-Team-Assessments im Detail besprochen. Dabei werden unter anderem der Prüfumfang, bestehend aus Scope und Prüfzeitraum, die festgelegten Rules of Engagement, die Benennung der Ansprechpartner sowie die Abgrenzung der Testbereiche definiert. Durch die frühzeitige Klärung dieser Parameter wird sichergestellt, dass alle Beteiligten, sowohl auf Kundenseite als auch innerhalb des Red-Teams, ein gemeinsames Verständnis der Ziele, Vorgehensweisen und Grenzen haben.

Da Red-Team-Assessments immer unvorhersehbare Entwicklungen aufweisen können, ist es entscheidend, vor Beginn jedes Assessments eine Kommunikationsstruktur mit dem Kunden aufzubauen. Durch die Einrichtung von Ad-hoc-Messenger-Gruppen, in denen alle relevanten Ansprechpartner gebündelt sind, wird sichergestellt, dass im Notfall umgehend und effizient kommuniziert werden kann – sodass zeitnah Unterstützung und Klärung gewährleistet sind.

Zusätzlich zu den Ad-hoc-Messenger-Gruppen bilden regelmäßige Jour-fixe-Termine einen zentralen Bestandteil der Kommunikationsstrategie. Diese fest eingeplanten Besprechungen ermöglichen einen kontinuierlichen Austausch zwischen dem Red-Team und den Ansprechpartnern beim Kunden. In diesen Meetings werden aktuelle Ergebnisse, mögliche Abweichungen vom geplanten Ablauf und potenzielle Risiken durch geplante Angriffe erörtert. So können frühzeitig auf unvorhergesehene Entwicklungen reagiert und notwendige Anpassungen im Prüfablauf vereinbart werden. Durch diesen strukturierten Kommunikationsrhythmus wird gewährleistet, dass alle Beteiligten stets auf dem neuesten Stand sind und im Ernstfall schnell und effektiv unterstützt werden können.

OPSEC im Red Teaming

Im Rahmen von Red-Team-Assessments spielt die operative Sicherheit (OPSEC) eine entscheidende Rolle. Während technische Prüfungen und strategische Abstimmungen wesentliche Bestandteile eines Assessments sind, stellt OPSEC sicher, dass die Angriffsaktivitäten möglichst unauffällig ablaufen und nicht zu unbeabsichtigten Alarmen führen. Des Weiteren soll sie dafür sorgen, dass keine Attribution zum Red-Team möglich ist. Das umfasst sowohl technische als auch organisatorische Maßnahmen, die vermeiden sollen, dass Angriffe durch abweichendes Verhalten, nicht obfuskierte Tools oder mangelnde interne Abstimmungen entdeckt werden. Die konsequente Anwendung von OPSEC-Prinzipien ist daher ein wichtiger Bestandteil, um den Erfolg eines jeden Red-Team-Assessments sicherzustellen.

Prinzipien der Tarnung: Vermeidung von Identifikation durch den Kunden

Im Rahmen von Red-Team-Assessments ist es essenziell, die Aktivitäten des Red-Teams so auszuführen, dass sie für den Kunden nicht als gezielte Sicherheitsüberprüfung erkennbar sind. Dies wird erreicht durch eine Kombination aus technischen und organisatorischen Maßnahmen:

Technische Maßnahmen:
Technische Maßnahmen im Red Teaming beinhalten einige Ansätze, die darauf abzielen, die digitalen Spuren von Angriffen möglichst zu minimieren und deren Erkennung durch Sicherheitsmechanismen wie EDR- und SIEM-Systeme durch Anomalieerkennung zu verhindern. Ein zentraler Aspekt ist dabei die weitgehende Eliminierung von Log-Einträgen, die auf verdächtige Aktivitäten hinweisen könnten. Dies umfasst nicht nur das gezielte Löschen oder Verschleiern von Protokolldaten, sondern auch die Anpassung von Angriffstechniken, sodass sie sich nahtlos in den normalen Systembetrieb einfügen.

Ein wesentlicher Punkt ist die Modifikation von Angreifer-Tools, um deren Verhaltensmuster zu normalisieren. Standardmäßig eingesetzte Tools wie Mimikatz weisen oft charakteristische Signaturen und Abläufe auf, die von EDR-Systemen oder Sicherheitsanalysten schnell erkannt werden können. Daher sollte der Einsatz von nicht obfuskierten Versionen solcher Tools idealerweise vermieden werden. Falls der Einsatz unumgänglich ist, müssen zusätzliche Obfuskierungstechniken angewendet werden. Dies kann durch das Einführen von Verschleierungsmethoden erfolgen, die den Code modifizieren oder variabel gestalten, sodass dessen typische Signaturen nicht mehr identifizierbar sind.

Zusätzlich wird empfohlen, dynamische Parameter in den Tools zu implementieren, um das Verhalten unvorhersehbar zu machen und somit den Vergleich mit bekannten Mustern zu erschweren. All diese Maßnahmen tragen dazu bei, dass Angriffsaktivitäten im System als normale, unauffällige Vorgänge interpretiert werden und die Wahrscheinlichkeit einer Identifikation durch automatisierte Systeme oder manuelle Analysen signifikant sinkt.

Organisatorische Maßnahmen:
Die Einhaltung interner OPSEC-Richtlinien wird maßgeblich durch das konsequente Anwenden des Vier-Augen-Prinzips bei kritischen Aktionen unterstützt. Dies bedeutet, dass bei sensiblen Schritten stets mindestens zwei Teammitglieder involviert sind, um die Durchführung zu überwachen, Entscheidungen gemeinsam zu validieren und so das Risiko von Informationslecks deutlich zu reduzieren. Durch diese Maßnahmen wird effektiv verhindert, dass Rückschlüsse auf die Identität und Vorgehensweise des Red-Teams gezogen werden können, wodurch die Diskretion und Sicherheit der Operationen gewährleistet sind.

Fallbeispiel: Konsequente OPSEC

Ein praxisnahes Fallbeispiel verdeutlicht eindrücklich die Bedeutung einer konsequenten Umsetzung von Governance-Richtlinien im Bereich der OPSEC während eines Red-Team-Assessments. In einem Assessment wurde ein Rechtschreibfehler in der Konfiguration eines Softwareverteilungsprogramms festgestellt, das vom Red-Team verwendet wurde. Dieser vermeintlich unbedeutende Fehler ermöglichte es einem Blue-Team-Analysten, auf Aktivitäten des Red-Teams im System des Kunden zu schließen.

Obwohl der Fehler innerhalb des Red-Teams erkannt wurde, wurde die Korrektur auf den Folgetag verschoben. Diese Verzögerung bot dem Blue-Team ausreichend Zeit, den Fehler als Indiz zu nutzen und somit die Angriffsaktivitäten zu entlarven. Dadurch konnte der Kunde seine Reaktionsfähigkeiten prüfen und trainieren. Das Red-Team musste anschließend neue Wege zur weiteren Ausbreitung im internen Netz identifizieren und ausnutzen.

Dieses Beispiel zeigt, wie entscheidend es ist, auch kleinste Unstimmigkeiten sofort zu beheben und strikte OPSEC-Maßnahmen umzusetzen. Die lückenlose Einhaltung von Governance-Richtlinien – von der präzisen Konfiguration bis hin zur sofortigen Reaktion auf Fehler – ist unerlässlich, um die Diskretion des Red-Teams zu wahren und die Integrität des Assessments sicherzustellen.

KI im Red Teaming

Im Red Teaming werden KI-gestützte Tools bereits experimentell eingesetzt, beispielsweise zur Feinabstimmung von E-Mail-Inhalten mithilfe von ChatGPT oder Gemini sowie zur Unterstützung bei Scripting-Aufgaben. KI birgt insbesondere Potenziale im Bereich des Social Engineering, indem sie hilft, authentische Kommunikationsmuster zu generieren und die Erstellung sowie Anpassung von Skripten effizienter zu gestalten.

Risiken und Einschränkungen

Der Einsatz KI-gestützter Tools birgt Risiken, die vor allem den Umgang mit sensiblen Daten betreffen. Strenge Datenschutzvorgaben (z. B. DSGVO) müssen eingehalten werden, um unbefugten Zugriff zu verhindern. Fehler in der Datenverarbeitung können zu ungenauen Ergebnissen führen, während mangelnde Transparenz der KI-Entscheidungsprozesse die Nachvollziehbarkeit erschwert. Zudem können Schwachstellen in den KI-Systemen selbst als neue Angriffsvektoren dienen. Insgesamt erfordert der KI-Einsatz eine sorgfältige Balance zwischen Innovation und strikten Sicherheits- und Compliance-Maßnahmen.

Zukünftige Entwicklungen

Zukünftige Entwicklungen könnten den Einsatz von KI bei der Automatisierung von Website-Fuzzing-Prozessen vorsehen, was einen groß angelegten Informationsgewinn ermöglichen würde – wenngleich diese Ansätze derzeit noch kostenintensiv sind. Ebenso wird der Einsatz von Deepfakes im Social Engineering als möglicher Trend betrachtet. Insgesamt wird erwartet, dass KI in Zukunft eine bedeutendere Rolle im Red Teaming einnehmen wird, wobei strikte Governance-Vorgaben und Datenschutz weiterhin zentrale Anforderungen bleiben.

Fazit und Ausblick

Im Anschluss wird ein Einblick in zukünftige Entwicklungen und Herausforderungen im Bereich der Governance-Strategien im Red Teaming gegeben und mögliche Ansätze für Optimierungen werden veranschaulicht.

Zusammenfassung der wichtigsten Erkenntnisse

In diesem Blogbeitrag wurde gezeigt, dass eine strukturierte Governance im Red Teaming essenziell ist, um ganzheitliche Sicherheitsüberprüfungen risikominimiert durchzuführen. Zu den zentralen Erkenntnissen zählen:

Klare Kundenabstimmung und Scope-Definition:
Durch präzise Festlegung des Prüfungsumfangs und regelmäßige Abstimmungen wird sichergestellt, dass Testaktivitäten eindeutig definiert und potenzielle Risiken frühzeitig erkannt werden.

Effektive OPSEC-Maßnahmen:
Die Kombination aus technischen und organisatorischen Maßnahmen – wie die Minimierung von Log-Spuren, der Einsatz obfuskierter Tools und das konsequente Vier-Augen-Prinzip – sorgt dafür, dass Angriffe unauffällig bleiben und nicht zu unbeabsichtigten Alarmen führen.

Integration von Governance-Prinzipien:
Die Einbindung von Governance-Standards in den gesamtenRed-Teaming-Prozess gewährleistet, dass sowohl interne Sicherheitsvorgaben als auch Kundenanforderungen eingehalten werden. Dies schafft einen strukturierten Rahmen, der den sicheren und effektiven Ablauf der Assessments unterstützt.

Chancen und Herausforderungen durch KI:
Der Einsatz von KI im Red Teaming eröffnet vielversprechende Möglichkeiten, wie die Automatisierung von Angriffsszenarien, eine präzisere Simulation von Social-Engineering-Angriffen und die Optimierung von Scripting-Aufgaben.

Bild 2: Bestandteile

Gleichzeitig bestehen jedoch große Herausforderungen: Strenge Datenschutzvorgaben und Compliance-Anforderungen müssen stets eingehalten werden, um sensible Daten zu schützen. Fehler in der KI-Datenverarbeitung oder mangelnde Transparenz der Entscheidungsprozesse können zu ungenauen Ergebnissen und neuen Angriffsvektoren führen. Insgesamt erfordert der KI-Einsatz eine ausgewogene Balance zwischen neuen Technologien und strikten Governance-Maßnahmen, um auf längere Sicht eine sichere und effektive Sicherheitsstrategie zu gewährleisten.

Zukunftsperspektiven

Die fortschreitende Integration von KI in das Red Teaming hat großes Potenzial für zukünftige Entwicklungen. So könnte die Automatisierung von Website-Fuzzing-Prozessen, unterstützt durch KI, zu einem breiten Informationsgewinn führen und dadurch die Effizienz bei der Identifikation von Schwachstellen deutlich erhöhen. Gleichzeitig bietet der Einsatz von Deepfakes im Bereich Social Engineering die Möglichkeit, noch realistischere Angriffsszenarien zu simulieren und die Reaktionsfähigkeit der Blue-Teams weiter zu testen.

Neben diesen Fortschritten wird es zukünftig zunehmend darauf ankommen, Governance-Prinzipien kontinuierlich an die wandelnden Anforderungen anzupassen. Dies bedeutet, dass strenge Datenschutz- und Compliance-Vorgaben und das konsequente Vier-Augen-Prinzip weiterentwickelt werden müssen, um den komplexeren Risiken im KI-gestützten Red Teaming gerecht zu werden. Die enge Verzahnung von innovativen KI-Technologien und bewährten Sicherheitsstrategien wird somit ein zentraler Erfolgsfaktor sein, um langfristig eine robuste und zukunftssichere Sicherheitsarchitektur zu gewährleisten.

Hannes Allmann

Dualer Student

Category
  • Red Teaming
Date
Navigation

Further blog articles
Red Teaming

The Key to COMpromise – Part 4

February 26, 2025 – In this final part of our series on COM hijacking, we will examine a custom-named pipe IPC protocol implemented by Bitdefender Total Security and detail our approach to reverse engineering it. We will explore how we could use COM hijacking and this custom communication to gain SYSTEM privileges (CVE-2023-6154). Additionally, we will examine how to mitigate the vulnerabilities discussed throughout this series of blog posts. Lastly, we will demonstrate how COM hijacking can be exploited to perform a Denial-of-Service (DoS) attack on security products.

Author: Alain Rödel and Kolja Grassmann

Mehr Infos »
Red Teaming

The Key to COMpromise – Part 3

February 12, 2025 – In this third part of our blog post series, we will cover the details of two additional vulnerabilities we found based on COM hijacking. The first vulnerability impacted Webroot Endpoint Protect (CVE-2023-7241), allowing us to leverage an arbitrary file deletion to gain SYSTEM privileges. In the second case, we targeted Checkpoint Harmony (CVE-2024-24912) and used a file download primitive to gain SYSTEM privileges.

Author: Alain Rödel and Kolja Grassmann

Mehr Infos »
Red Teaming

The Key to COMpromise – Part 2

January 29, 2025 – In this post, we will delve into how we exploited trust in AVG Internet Security (CVE-2024-6510) to gain elevated privileges.
But before that, the next section will detail how we overcame an allow-listing mechanism that initially disrupted our COM hijacking attempts.

Author: Alain Rödel and Kolja Grassmann

Mehr Infos »
Red Teaming

TLPT: Bedroh­ungs­­­orientierte Penetra­tions­tests nach DORA

January 24, 2025 – Since January 17, 2025, the Digital Operational Resilience Act (DORA) has been put into practice. One important aspect of DORA is the requirement of regularly performing threat-led penetration tests (TLPT). Only selected entities within the financial sector are required to conduct TLPTs. Even though TLPTs sound like a new concept, they have actually existed in Germany since 2020 in form of TIBER tests. This blog post describes the concepts behind TLPTs and how they are conducted. Furthermore, alternatives for targeted and budget-oriented red team assessments are given.

Author: Michael Brügge

Mehr Infos »
Red Teaming

The Key to COMpromise – Part 1

January 15, 2025 – In this series of blog posts, we cover how we could exploit five reputable security products to gain SYSTEM privileges with COM hijacking. If you’ve never heard of this, no worries. We introduce all relevant background information, describe our approach to reverse engineering the products’ internals, and explain how we finally exploited the vulnerabilities. We hope to shed some light on this undervalued attack surface.

Author: Alain Rödel and Kolja Grassmann

Mehr Infos »
Blog

Loader Dev. 4 – AMSI and ETW

April 30, 2024 – In the last post, we discussed how we can get rid of any hooks placed into our process by an EDR solution. However, there are also other mechanisms provided by Windows, which could help to detect our payload. Two of these are ETW and AMSI.

Author: Kolja Grassmann

Mehr Infos »
Blog

Loader Dev. 1 – Basics

February 10, 2024 – This is the first post in a series of posts that will cover the development of a loader for evading AV and EDR solutions.

Author: Kolja Grassmann

Mehr Infos »
Do you want to protect your systems? Feel free to get in touch with us.
Send Enquiry
Contact Details

Competent IT security consulting, pentests, incident response and training

cirosec GmbH
Ferdinand-Braun-Straße 4
74074 Heilbronn, Germany

Quicklinks
Social Media
Legal
Search
Search