Glossar zu den Security News und - Bites

Hinweis: Die Liste ist bei weitem nicht vollständig und wird es wohl nie werden. Sollte jedoch etwas offensichtliches fehlen schreiben Sie mich bitte an. Das gleiche gilt natürlich auch wenn Sie Fehler finden ;)

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

A

top

Advanced Persistent Threat (APT, dt. Fortgeschrittene anhaltende Bedrohung) - bezeichnet eine Gruppe von Angreifern die erweiterte Kenntnisse, Ressourcen und Durchhaltevermögen besitzt. Hierbei werden diese im speziellen durch das Durchhaltevermögen (oftmals über mehrere Jahre hinweg) sowie die erweiterten Ressourcen (aka Geld spielt keine Rolle) von normalen Angreifern und Cyberkriminellen unterschieden. APTs handeln häufig im staatlichen Auftrag (siehe auch Threat Actor).

Amplification Attack - kommt meist in Zusammenhang mit DDoS zum Einsatz. Hierbei wird ein relativ kleiner Angriffstraffic von Bots “verstärkt” (amplified) und gegen das Opfer gesendet (z.B. eine kurze Frage erzeugt eine lange Antwort). I.d.R. gaukelt der Angreifer dem Bot vor das Opfer zu sein (siehe auch Spoofing). Bei Angriffen über das Internet wird häufig UDP verwendet.

Attribution - unter Attribution versteht man die Zuordnung eines Cyberangriffs zu einer bestimmten Person oder Gruppe. Im weiteren Schritt soll dann die wahre Identität der beteiligten Personen ermittelt werden.

B

top

Backdoor (dt. Hintereingang) - ist typischerweise eine Software, welche einem Angreifer einen versteckten Zugang zu einem übernommenen System zur Verfügung stellt.

Bot (oder auch Zombie) - ein System, welches durch einen Angreifer innerhalb eines Botnets für Angriffe verwendet werden kann.

Botnet - ein Zusammenschluss vieler gekaperter Systeme ( Bots), welche durch einen Angreifer kontrolliert werden.

Bug Bounty (dt. etwa Kopfgeld für eine Wanze) - Firmen bezahlen häufig ethiche Hacker dafür, dass diese gefundene ZeroDay Schwachstellen an die Firma melden (und nicht etwa anderweitig nutzen oder verkaufen). Diese sind oftmals in sog. Responsible Disclosure-Programmen definiert.

C

top

Command and Control (C2 oder C&C) - beschreibt die Kommunikation zwischen einem gekaperten Computer (sog. Bot) und dem Kontrollserver. Hierbei werden u.a. die auszuführenden Angriffe gesteuert.

Copy-paste compromises - beschreibt eine Angriffsart bei welcher fast ausschließlich Angriffswerkzeuge aus öffentlichen Quellen verwendet werden. Dies erschwert eine Attribution; hebt jedoch das Risiko durch Virenscanner o.ä. identifiziert zu werden.

Coordinated-Disclosure (dt. koordinierte Offenlegung) - beschreibt eine Strategie, wie mit einer gefundenen Schwachstelle umgegangen wird. Bei Coordinated-Disclosure wird die Lücke mit den zur verfügungstehenden Informationen dem Hersteller der Software gemeldet. Im Unterschied zu Responsible-Disclosure wird hierbei jedoch versucht eine vertrauensvolle Zusammenarbeit zwischen dem Hersteller und dem/der EntdeckerIn zu etablieren (siehe auch Full-Disclosure und Non-Disclosure).

Cross-site Scripting (XSS, selten auch CSS) - ist eine Web-Applikations- Schwachstelle, die es einem Angreifer ermöglich JavaScript Code in die Webseite einzuschleusen oder beim Opfer auszuführen. Typischerweise werden vier Arten unterschieden:

  • Reflected XSS
  • Stored XSS
  • DOM-based XSS
  • Mutation XSS

Cross-site Request Forgery (CSRF) - ist eine Web-Applikations- Schwachstelle, bei welcher der Angreifer Aktionen im Namen des Opfers tätigt.

Common Vulnerabilities and Exposures (CVE) - ist ein Schema, nach welchen mögliche Schwachstellen gelistet werden - siehe auch https://cve.mitre.org, https://nvd.nist.gov/vuln/search oder https://www.cvedetails.com/.

Common Vulnerability Scoring System (CVSS) - bewertet die Kritikalität einer Schwachstelle anhand von verschiedenen Metriken - siehe auch https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator. Der CVSS teilt sich in drei verschiedene Scores auf:

  • Base Score (i.d.R. wird dieser genannt)
  • Temporal Score
  • Environmental Score

Common Weakness Enumeration (CWE) - ist eine Liste mit verschiedenen Schwachstellen- und Verwundbarkeitenkategorien - siehe auch https://cwe.mitre.org/.

D

top

Distributed Denial of Server (DDoS) - dies ist verteilter DoS. Hierbei wird häufig ein Botnet für den Angriff verwendet.

Denial of Service (DoS) - ist eine Angriffsart, in welcher ein Service oder ein System so gestört wird, dass dieses den Dienst verweigert. Die benötigte Funktionalität steht somit nicht zur Verfügung.

Data Leakage Prevention - bezeichnet ein System, welches den Abfluss von kritischen Unternehmensdaten erkennen und verhindern soll. Hierfür sind die Daten bereits bestmöglichst klassifiziert.

Drive-by Downloads (dt. Drive-by Downloads) - bezeichnet eine Infektionsmöglichkeit bei der reinen Betrachtung (also ohne Nutzerinteraktion) einer Webseite. Hierbei kommen oftmals browserbasierte Exploit-Kits zur Anwendung.

Dropper (dt. -) - ist ein ausführbares Programm, welches meist zur initialen Ausführung der eigentlichen Malware (siehe auch Malware) dient und damit den eigentlichen Angriff startet.

E

top

Egress (auch Egress-Datenverkehr oder -Firewallregeln) - bezeichnet einen Netzübergang, welcher von Innen nach Außen stattfindet (siehe auch Ingress).

Elevation of Privilege (EOP; Microsoft Term) - eine andere Bezeichnung für Privilege Escalation.

Exfil (kurz für Exfiltration) - bezeichnet einen Vorgang, bei welchem ein Angreifer Daten seiner Opfer ausleitet und auf Server, welche unter eigener Kontrolle sind, überträgt.

Exploit (dt. Exploit) - ist ein Programm, welches eine Sicherheitslücke (auch Schwachstelle oder Vulnerability) ausnutzt.

Exploit-Kit (dt. Exploit-Kit) - oftmals reicht ein einzelner Exploit nicht aus um das Ziel zu erreichen. Hier werden verschiedene Exploits zu einem Exploit-Kit zusammengefasst. Diese werden dann der Reihenfolge nach auf dem Opfersystem ausgeführt. Meist sind Eploit-Kits speziell für verschiedene Softwarekomponenten und Versionen vorhanden.

Exploitation (dt. Ausnutzung) - nach der erfolgreichen Auslieferung der Malware (siehe auch Malware) startet (teilweise durch dSimon Schröppel -> Notennachmeldungas Opfer) diese. Hierbei startet die Phase der Ausbeutung. Hierbei wird die eigentliche Payload ausgeführt.

F

top

Full-Disclosure (dt. vollständige Veröffentlichung) - beschreibt eine Strategie, wie mit einer gefundenen Schwachstelle umgegangen wird. Bei Full-Disclosure wird die Lücke mit allen zur verfügungstehenden Informationen für alle zugänglich im Internet veröffentlicht. Der Softwarehersteller hat hierbei keine Möglichkeit im Vorfeld Patches zu erstellen und verteilen (siehe auch Responsible-Disclosure, Coordinated-Disclosure und Non-Disclosure).

G

top

Ghosting (oder auch covertness) - beschreibt die Spurenverwischung nach erfolgreichen Angriffen. Das Ziel ist hierbei nicht nur die Nachverfolgbarkeit der Aktionen zu verhindern sondern bestmöglichst alle Spuren zu eliminieren (siehe auch Operational Security und Plausible Deniability).

H

top

Hardening - beschreibt im Allgemeinen Maßnahmen, welche die IT-Sicherheit eines Systems mit vorhandenen Mitteln erhöhen. Der Begriff findet häufig im Zusammenhang mit dem Betriebssystem Verwendung (Server oder OS Hardening), ist jedoch nicht darauf begrenzt.

Horizontal Movement - beschreibt die Erweiterung der bisher vorhanden Privilegien innerhalb eines Computers/Systems. Schwachstellen dieser Art werden oft auch als Privilege Escalation bezeichnet.

High Privilege Account (HPA) - ein Account, welcher sehr hohe Rechte in einem Computer/System besitzt. Häufig ist dies der Administratoren/Root Account, es gibt aber auch weitere Account in diesem Bereich.

Human Intelligence (HUMINT) - ist eine Informationsbeschaffungsmethode bei welcher Informationen von Menschen gesammelt und anschließend analysiert werden. HUMINT wird häufig für die Attribution eingesetzt und zählt zu den nachrichtendienstlichen Methoden (siehe auch SIGINT und OSINT).

I

top

Insecure Direct Object Reference (IDOR) - ist eine Web-Applikations-Schwachstelle, bei welcher der Webbrowser eine direkte Referenz of Objekte des Webservers mitgeteilt bekommt.

Identitiy and Access Management (IAM) (manchmal auch Identity Management (IdM)) - beschäftigt sich mit der Verwaltung verschiedenener Identititäten und Rechte (siehe auch NPA, UPA, HPA).

Indicators of Attack (IoA) - beschreiben Indizien, nach welchen gesucht werden kann, um einen erfolgreichen Angriff zu erkennen.

Indicators of Compromise (IoC) - beschreiben Indizien, nach welchen gesucht werden kann, um auf einen möglichen Angriff zu erkennen. Diese werden häufig über Threat Intelligence Platformen verteilt.

Ingress (auch Ingress-Datenverkehr oder -Firewallregeln) - bezeichnet einen Netzübergang, welcher von Außen nach Innen stattfindet (siehe auch Egress).

Implants - sind Soft- oder Hardware-Komponenten, welche in ein System eingebracht werden um einen Foothold (dt. etwa “Fuß in der Tür”) zu erreichen. (siehe auch Backdoor

Intrusion Set - Die Zusammenfassung ähnlicher Vorfälle. Ein Intrusion Set ist ein gruppierter Satz von Verhaltensweisen und Ressourcen (siehe auch TTPs)

Island Hopping (dt. Inselhüpfen) - bezeichnet eine Angriffstrategie, bei welcher zunächst kleinere Firmen (oder alternativ auch Standorte in fremden Ländern), welche mit dem eigentlichen Ziel zusammenarbeiten, angegriffen und übernommen werden. Von dort aus starten dann die echten Angriffe gegen das Ziel. ANM: Meist werden aber auch Daten des eigentlichen Ziels aus dem inital infiltierten System exfiltriert (siehe auch Exfil).

K

top

Kritische Infrastruktur (KRITIS) - Systeme von wesentlicher Bedeutung von gesellschaftlicher Funktionen Wikipedia:Kritische_Infrastrukturen.

L

top

Lateral Movement - beschreibt die Ausbreitung eines Intruders in Netzwerk. Sprich’ der/die AngreiferIn bewegt sich lateral von einem Computer/System zu einem anderen.

Least Privilege Principle - ist ein Design-Prinzip, welches besagt, dass alle Subjekte mit möglichst geringen Rechten ausgestattet werden.

M

top

Malware (dt. schädliche Software) - ist ein Programm, welches unter Nutzung eines Exploits die gewünschte Payload auf dem Zielsystem ausführt.

N

top

Non-Disclosure (dt. keine Offenlegung) - beschreibt eine Strategie, wie mit einer gefundenen Schwachstelle umgegangen wird. Bei Non-Disclosure werden keinerlei Informationen zur gefundenen Schwachstelle veröffentlicht (siehe auch Full-Disclosure, Responsible-Disclosure und Coordinated-Disclosure).

Non-Personal Account (NPA) - typischerweise ein Systemaccount. Diese werden häufig zum Starten von Prozessen o.ä. eingesetzt (siehe auch Identity and Access Management).

O

top

Operational Security (OpSec) - versteht man Methoden und standardisierte Handlungsabläufe um die eigenen Spuren zu verwischen und somit eine Attribution zu erschweren.

Open Source Intelligence (OSINT) - ist eine Informationsbeschaffungsmethode bei welcher Daten aus freizugänglichen Quellen gesammelt und analysiert werden. OSINT wird häufig für die Attribution eingesetzt und zählt zu den nachrichtendienstlichen Methoden (siehe auch SIGINT und HUMINT).

P

top

Payload (dt. Nutzdaten) - entspricht dem auszuführenden schädlichen Code in einer Malware.

Persistence - bezeichnet den Zustand dauerhaft Zugang zu einem übernommenen System zu besitzen (siehe auch Backdoor und Implants).

Plausible Deniability (dt. Glaubhafte Abstreitbarkeit) - siehe auch Wikipedia:Glaubhafte_Abstreitbarkeit.

Privilege Escalation (auch Elevation of Privilege (kurz: EOP)) - stellen eine Kategorie an Schwachstellen dar, mit welcher die Privilegien erweitert werden können, z. B.: vom normalen Nutzer ( UPA) zum Administratorennutzer ( HPA).

Proof of Concept (PoC) - im Bereich der IT-Sicherheit meist ein kleines Programm, welches beweist, dass eine Schwachstelle vorhanden ist und genutzt werden kann. Hierbei wird meist eine unschädliche Payload (z.B. der Taschenrechner) ausgeführt.

R

top

Remode Code Execution (RCE; manchmal auch: Remote Command Execution) - beschreibt eine Schwachstelle in welcher ein schadhafter Code oder Kommando aus der ferne auf einem fremden Computer/System ausgeführt werden kann.

Reverse Shell (oder auch Reverse TCP-Shell, Connect Back Shell) - entspricht normalerweise einer Payload innerhalb einer Malware, welche selbstständig eine TCP-Verbindung zu dem Angreifersystem (siehe auch Command and Control) aufbaut und dem Angreifer eine Shell auf dem Opfersystem zur Verfügung stellt (vgl. meterpreter).

Responsible-Disclosure (dt. verantwortungsvolle Offenlegung) - beschreibt eine Strategie, wie mit einer gefundenen Schwachstelle umgegangen wird. Bei Repsonsible-Disclosure wird die Lücke mit den zur verfügungstehenden Informationen dem Hersteller der Software gemeldet. Typischerweise bekommt dieser eine Frist von 90 Tagen um die Lücke zu schließen und Patches zu verteilen. Danach werden Informationen zur Schwachstelle im Internet veröffentlicht (siehe auch Full-Disclosure, Coordinated-Disclosure und Non-Disclosure).

S

top

Security Appetit (vergleiche auch Risk Appetit) - ist der Wert auf einer festgelegten Skala, der das Schutzbedürfnis bezüglich IT-Sicherheit wiederspiegelt.

Scrubbing Farm - ist meist ein vorgeschaltenes Netzwerk, welches im Falle eines DDoS Angriffs den Netzwerktraffic bestmöglichst von den Angriffstraffic reinigt um den zu schützenden Service aufrecht zu erhalten.

Signals Intelligence (SIGINT) - ist eine Informationsbeschaffungsmethode bei welcher Kommunikationsdaten und Signale gesammelt und analysiert werden. SIGINT wird häufig für die Attribution eingesetzt und zählt zu den nachrichtendienstlichen Methoden (siehe auch HUMINT und OSINT).

SQL Injection (SQLI) - ist eine Web-Applikations- Schwachstelle mit deren man die SQL Abfragen im Backend manipuliert.

Spoofing - bedeutet das Vorgaukeln einer falschen Identität um ein Opfer zu täuschen.

T

top

Tactics, Tools and Procedures (TTP, dt. Taktiken, Tools und Vorgehen) - beschreiben das typische Verhaltensmuster von Angreifern. Besonders bei wiederkehrenden Aufgaben werden diese nach strikten vorgelöst.

Threat Actor (dt. Bedrohungsakteur) - eine formale oder lose Organisation, welche über längere Zeiträume Cyberangriffe durchführt; z. B. Vereinigung von Hackern oder eine (militärische) Einheit (siehe auch APT).

U

top

Universal Private Account (UPA) - das ist der Account mit welchem man typischerweise an einem Computer/System arbeitet (siehe auch Identity and Access Management).

V

top

Vulnerability (dt. Schwachstelle oder auch Sicherheitslücke) - bezeichnet eine verwundbare Stelle in einer Anwendung.

W

top

Weaponization (dt. Bewaffung) - hierbei verbindet der Angreifer einen Exploit mit dem auszuführenden schädlichen Code (siehe auch Payload).

Webshell - werden häufig auf gehackten Webservern platziert um diese aus der Ferne steuern zu können.

Wormable (Microsoft Sprachweise) - bezeichnet eine Schwachstelle, welche durch eine Malware (sog. Würmern) zur selbstständigen Ausbreitung genutzt werden kann. Diese sind meist:

  • aus der Ferne nutzbar (siehe auch RCE)
  • mit hohen Privilegien versehen (z.B. die betroffene Software wird mittels eines High Privilege Accounts ausgeführt)
  • ohne Authentifizierung/Anmeldung nutzbar

Diese Kombination gehört somit zu den kritischen (critical) Schwachstellen und hat i.d.R. einen CVSS BaseScore von 9 - 10.

X

top

eXternal XML Entities (XXE) - ist eine Web-Applikations-Schwachstelle, bei welcher mittels Input Injection die XML Daten manipuliert werden.

Z

top

Zombie - eine andere Bezeichnung für Bot.