IT-Security: Verdeckt angreifen mit Beacon Object Files

Damit Angriffe mittels Command-and-Control-Frameworks erfolgreich sind, muss der Schadcode unentdeckt bleiben. Er lässt sich in Beacon Object Files verstecken.

Artikel verschenken

1

12.02.2025, 10:00 Uhr

Lesezeit: 13 Min.

iX Magazin

Von

Moritz Thomas
Patrick Eisenschmidt

IT-Security: Verdeckt angreifen mit Beacon Object Files
- Viele Wege der Codeausführung
BOFs erklärt
BOFs und COFF
Anders als die anderen: Brute Ratel C4
Die APIs im Vergleich: viele Unterschiede

Artikel in iX 3/2025 lesen

In Red-Teaming-Operationen simuliert ein versiertes Expertenteam realitätsnahe Cyberangriffe und versucht, kritische Infrastrukturen und sensible Datenbestände zu kompromittieren. Ziel ist es, die Abwehr gegen fortgeschrittene Bedrohungen (Advanced Persistent Threats, APTs) zu evaluieren und zu stärken. Während Penetrationstests viele Schwachstellen erkennen sollen und oft automatisierte Werkzeuge einsetzen, fokussiert sich das Red Teaming darauf, komplexe Angriffsszenarien nachzustellen und sogenannte Kill Chains aufzuzeigen, die den Zugang zu für das Unternehmen lebenswichtigen Systemen oder Daten ermöglichen.

Dazu nutzen Red Teams Command-and-Control-Frameworks (C2/C&C), die eine Fernsteuerung kompromittierter Systeme erlauben und Bewegungen innerhalb von Netzwerken ermöglichen. Ein C2-System setzt sich typischerweise aus einem Teamserver zur zentralen Steuerung und Implants auf den kompromittierten Systemen zusammen. Letztere führen die vom Teamserver übermittelten Befehle aus und senden Daten zurück an den Server.

Viele Methoden der Codeausführung auf kompromittierten Systemen werden von AV- und EDR-Software erkannt.
Beacon Object Files (BOFs) sind eine Technik, Schadcode auszuführen, indem er als Object File vorkompiliert und dynamisch nachgeladen wird.
Erstmals hat das Command-and-Control-Framework Cobalt Strike diese Technik eingesetzt. Inzwischen gibt es BOFs auch für Brute Ratel, allerdings ist die Schnittstelle inkompatibel.

Angesichts der diversifizierten Angriffstechniken und Computerumgebungen müssen Red Teams mehrere C2-Frameworks beherrschen und ihre jeweiligen Stärken und Schwächen kennen. Eines der bekanntesten Frameworks, Cobalt Strike (CS), wurde 2012 veröffentlicht und bietet umfassende Unterstützung bei der Organisation und Strukturierung von Implants über verschiedene Kampagnen zur Angriffssimulation hinweg, erleichtert das Sammeln und Exfiltrieren von Daten und unterstützt Red Teamer bei ihrer Ausbreitung innerhalb von Unternehmensnetzwerken.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Amazon Fire TV Stick 4K Select mit Vega OS im Test

Amazon hat seinen ersten Fire TV Stick mit dem eigenen Betriebssystem Vega OS herausgebracht – und das ist bezüglich der Installation eigener Apps beschränkt.

In Ruhe genießen: Elf Over-Ear-Kopfhörer im Test

Viele Over-Ear-Kopfhörer klingen gut, Modelle mit Active Noise Cancellation filtern Störgeräusche heraus. Doch was taugen Bose, Sonos, Sony & Co. wirklich?

36 Geschenketipps der c’t-Redaktion zu Weihnachten 2025

Fachkräftemangel am Nordpol. Redakteurinnen und Redakteure der c’t helfen dem Weihnachtsmann gerne. 36 handverlesene Geschenkideen für den Gabentisch.

Kaufberatung: So finden Sie die passenden PC-Komponenten für Ihre Anwendungen

PC-Selbstbauer stehen vor einer riesigen Auswahl an CPUs, SSDs und Grafikkarten. Wir geben Tipps, wie Sie die richtigen Teile für Ihre Bedürfnisse auswählen.