Red Teaming: Angriffssimulationen professionell durchführen
Umfassender Guide zu Red-Team-Operationen: Unterschied zu Penetrationstests, TIBER-EU-Rahmenwerk, Red-Team-Phasen (Reconnaissance bis Reporting), C2-Infrastruktur, häufig genutzte TTPs und wie Unternehmen von Red Team Engagements profitieren.
Inhaltsverzeichnis (6 Abschnitte)
Red Teaming ist die realistischste Form der Sicherheitsüberprüfung: Ein spezialisiertes Team simuliert einen echten, zielgerichteten Angriff - mit denselben Methoden, Werkzeugen und Denkweise die tatsächliche Angreifergruppen einsetzen würden. Im Gegensatz zu einem Penetrationstest gibt es kein definiertes Scope, kein vorher vereinbartes Ziel - nur die Mission: "Kommt an die Kronjuwelen heran."
Red Team vs. Penetrationstest
| Penetrationstest | Red Team Operation | |
|---|---|---|
| Umfang | Definierter Scope (z.B. 5 IP-Ranges, 2 Webanwendungen) | Gesamte Organisation (Menschen, Prozesse, Technik) |
| Ziel | Möglichst alle technischen Schwachstellen finden | "Crown Jewels" erreichen (z.B. AD kompromittieren, Produktionsdatenbank lesen) |
| Dauer | 5-30 Tage | 4-12 Wochen |
| Wissen | Oft Grey-Box (Zugangsdaten, Source Code bekannt) | Black-Box (wie ein echter Angreifer) |
| Blue-Team | Weiß dass Test stattfindet | Weiß NICHT dass Übung läuft (echte Erkennung testen) |
| Outcome | Liste aller gefundenen Schwachstellen + Empfehlungen | Realistische Bewertung der Erkennungs- und Reaktionsfähigkeit |
Wann Penetrationstest, wann Red Team?
Ein Penetrationstest ist geeignet, wenn neue Systeme vor Go-Live geprüft werden müssen, wenn eine Compliance-Anforderung (ISO 27001, PCI DSS) besteht, bekannte Sicherheitslücken geprüft werden sollen oder die Ressourcen begrenzt sind. Ein Red Team Engagement ist richtig, wenn eine reife Sicherheitsorganisation mit vorhandenem SOC vorhanden ist, die Erkennungs- und Reaktionsfähigkeit getestet werden soll, eine realistische APT-Simulation angestrebt wird oder TIBER-EU / DORA-Compliance (Finanzsektor) gefordert ist.
TIBER-EU - Red Teaming im Finanzsektor
TIBER-EU (Threat Intelligence-based Ethical Red Teaming) wurde von der EZB und nationalen Notenbanken entwickelt und ist verpflichtend für systemrelevante Finanzinstitute zur DORA-Konformität. In Deutschland wird das Framework als TIBER-DE durch die Bundesbank umgesetzt; NIS2 stellt für kritische Infrastrukturen zunehmend ähnliche Anforderungen.
Phase 1 - Generic Threat Intelligence: Ein Threat Intelligence Provider analysiert, welche Angreifergruppen typischerweise auf Institute dieser Art und Größe zielen. Ergebnis ist ein Threat Landscape Report (TLR).
Phase 2 - Targeted Threat Intelligence: Spezifische Recherche über das Institut zu Systemen, Mitarbeitern und Angriffsvektoren. Ergebnis ist ein Targeted Threat Intelligence (TTI) Report.
Phase 3 - Red Team Test: 12 Wochen Simulation mit TTI-basierten Szenarien, realistischen APT-Methoden nach MITRE ATT&CK. Das Blue Team weiß nicht, dass der Test läuft.
Phase 4 - Closure: Findings werden mit dem Blue Team geteilt, ein Remediation-Plan erstellt und eine Purple Team Session durchgeführt.
Die Lieferobjekte umfassen den Scoped Red Team Test Report (vertraulich), einen Purple Team Report mit MITRE ATT&CK Coverage sowie einen Remediation Tracker.
Red Team Phasen - PTES-Erweiterung für Full-Scope
Phase 1: Pre-Engagement (2-4 Wochen) umfasst die Definition der Rules of Engagement (RoE): Was darf simuliert werden (Ransomware, DDoS, physischer Einbruch)? Die Get-out-of-jail-Karte (wen anrufen wenn Alarm ausgelöst wird), Emergency Stop-Kriterien und Scoping (welche Systeme sind out-of-scope). Das Management definiert die Crown Jewels: "Was ist das schlimmste was einem Angreifer gelingen könnte?" Parallel wird Threat Intelligence über die Organisation gesammelt.
Phase 2: OSINT und externe Reconnaissance (1-2 Wochen) beinhaltet LinkedIn-Recherche zu Mitarbeitern, Technologien und IT-Dienstleistern, OSINT zu öffentlichen Code-Repos, Paste-Sites und Darknet, Shodan/Censys zur Analyse der externen Angriffsfläche, Domain-Reconnaissance (Subdomains, MX, SPF, DKIM) sowie Suche nach Credential-Leaks über HaveIBeenPwned und Darknet-Quellen.
Phase 3: Initial Access versuchen (2-4 Wochen) umfasst Spear-Phishing-Kampagnen auf Basis der OSINT-Erkenntnisse, Passwort-Spray auf VPN/OWA mit geleakten Credentials, Exploitation öffentlicher Dienste (Web-App, VPN-CVE), physischen Zugang über Social Engineering oder Badgecloning sowie Supply-Chain-Angriffsvektoren über Drittanbieter-Zugänge.
Phase 4: Post-Exploitation und Lateral Movement (2-4 Wochen) umfasst Privilege Escalation von User zu Admin zu Domain Admin, Credential Harvesting (Mimikatz, LaZagne, Browser-Passwörter), Lateral Movement (PsExec, WMI, Pass-the-Hash), Persistence über Registry, Scheduled Tasks oder Golden Ticket sowie das Aufrechterhalten der C2-Kommunikation.
Phase 5: Crown Jewels erreichen bedeutet die definierten Ziele zu erreichen und jeden Schritt mit Timestamps und Screenshots zu dokumentieren: AD-Vollkompromittierung (DCSync, Domain Admin), Zugriff auf Produktionsdatenbank, Zugriff auf das CEO-Postfach oder Deployment von Ransomware auf einem Testrechner.
Phase 6: Reporting und Purple Team liefert eine Executive Summary ("Wir haben X in Y Wochen erreicht"), einen Technical Report mit jeder TTP und Beweis, eine MITRE ATT&CK Navigator-Übersicht über genutzte und erkannte TTPs, eine Purple Team Session in der das Blue Team die Aktionen des Red Teams sieht, sowie einen gemeinsamen Aktionsplan zur Remediation.
C2-Framework - Command and Control
C2 (Command and Control) ist die Kommunikationsinfrastruktur des Red Teams: Implants auf kompromittierten Systemen kommunizieren verschlüsselt mit dem C2-Server, über den Befehle gesendet, Daten exfiltriert und Persistenz aufrechterhalten werden. Die folgenden Frameworks sind ausschließlich für autorisiertes Red Teaming bestimmt.
Cobalt Strike gilt als Goldstandard für Red Teams. Das Beacon-Implant unterstützt HTTP/HTTPS/DNS/SMB-Kommunikation und lässt sich über Malleable C2 Profiles so tarnen, dass der Traffic wie legitimer Netzwerkverkehr aussieht. Cobalt Strike ist kommerziell (~3.500 USD/Jahr pro Nutzer) und wird leider auch von Ransomware-Gruppen missbraucht.
Havoc ist eine kostenlose Open-Source-Alternative ähnlich Cobalt Strike, aktiv entwickelt und von EDR-Systemen noch weniger gut erkannt.
Mythic ist ein modulares C2-Framework mit Web-UI, über 70 verfügbaren Agenten und Multi-Operator-Support für große Red Teams.
Brute Ratel C4 (BRc4) ist ein kommerzielles Framework, das von ehemaligen EDR-Ingenieuren speziell mit Fokus auf EDR-Umgehung entwickelt wurde.
Malleable C2 Profiles tarnen den Beacon-Traffic so, dass er wie legitime Dienste aussieht. Ein Beispielprofil könnte den Traffic als Microsoft-Update-Anfragen tarnen:
http-get {
set uri "/windowsupdate/v6/GetManifest.aspx";
client {
header "Host" "update.microsoft.com";
header "User-Agent" "Windows-Update-Agent/10.0.10011.16384";
metadata {
base64url;
parameter "CatalogID";
}
}
}Für die C2-Infrastruktur wird ein VPS bei einem Cloud-Provider mit vorgelagertem Redirector genutzt, um den direkten C2-IP-Fingerabdruck zu verhindern. Häufig wird ein CDN wie Cloudflare zur Tarnung eingesetzt. Bei der Domain-Auswahl ist eine mindestens ein Jahr alte Domain mit guter Reputation in Web-Proxy-Datenbanken und einem legitim wirkenden Namen entscheidend.
Häufige Red Team TTPs
Red Teams nutzen Techniken aus dem MITRE ATT&CK Framework. Die wichtigsten Kategorien:
Initial Access: Spear Phishing Attachment (T1566.001) mit Word/Excel-Makros, ISO-Files oder HTML-Smuggling sowie Exploitation Public-Facing Applications (T1190) wie Log4Shell, Citrix oder Exchange ProxyLogon.
Execution: PowerShell (T1059.001) mit Download-Cradles und AMSI-Bypässen sowie Windows Command Shell (T1059.003).
Persistence: Scheduled Tasks (T1053.005) und Registry Run Keys (T1547.001).
Privilege Escalation: Valid Accounts mit erbeuteten Credentials (T1078) und Access Token Manipulation (T1134).
Defense Evasion: Deaktivieren von Antivirus (T1562.001), Löschen von Event Logs (T1070.004) und Obfuskierung von Dateien (T1027).
Credential Access: LSASS Memory Dumping via Mimikatz (T1003.001) und Kerberoasting (T1558.003) mit anschließendem Offline-Crack.
Lateral Movement: SMB/Windows Admin Shares via PsExec (T1021.002) und Windows Remote Management via WinRM (T1021.006).
Exfiltration: DNS-Tunneling mit dnscat2 oder iodine (T1048) sowie Exfiltration über den C2-Kanal (T1041).
Red Team Report - Struktur
Executive Summary (2-3 Seiten): Zeitraum und Scope, ob und wie die Ziele erreicht wurden, kritische Findings in drei bis fünf Punkten, Gesamtrisikobewertung und die wichtigsten Sofortmaßnahmen.
Attack Narrative (Kernstück): Chronologischer Ablauf des Angriffs mit Screenshots, Timestamps und Beweisen - für Nicht-Techniker verständlich. Beispiel: "Tag 1: Spear-Phishing-Mail an 3 Targets... Tag 7: Domain Admin durch Kerberoasting..."
Technical Findings: Jedes Finding mit zugehöriger MITRE ATT&CK-Technik (T-Nummer), CVSS-Score, Beweisen, einer Sofortmaßnahme und einer langfristigen Maßnahme.
MITRE ATT&CK Abdeckung: Übersicht welche TTPs eingesetzt wurden, welche das Blue Team erkannt hat und welche unentdeckt blieben, als Navigator-Export für die Visualisierung.
Remediation Roadmap: Sofortmaßnahmen in weniger als 7 Tagen für kritische Lücken, kurzfristige Härtung innerhalb von 30 Tagen, strukturelle Verbesserungen innerhalb von 90 Tagen und Architekturverbesserungen innerhalb eines Jahres.
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.
