Zum Inhalt

Post-Exploitation Phase

Link zur offiziellen PTES-Dokumentation

Einleitung

Die Post-Exploitation Phase beginnt nach einem erfolgreichen Angriff und untersucht, was ein Angreifer mit dem erlangten Zugriff weiter erreichen kann.
In dieser Phase wird bewertet, wie tief ein Angreifer in ein System eindringen könnte, welche Daten gefährdet sind und welche weiteren Systeme betroffen sein könnten.

Ziel ist es, die tatsächlichen Auswirkungen eines erfolgreichen Angriffs realistisch darzustellen.

Um was geht es bei dieser Phase?

Die Post-Exploitation-Phase betrachtet die Situation nach dem ersten erfolgreichen Zugriff.
Der Fokus liegt auf:

  • der Ausweitung von Berechtigungen (Privilege Escalation)
  • der Seitwärtsbewegung im System oder Netzwerk (Lateral Movement)
  • dem Zugriff auf weitere sensible Daten
  • der Analyse erreichbarer Systeme und Ressourcen
  • der Bewertung des Gesamtschadens
  • der Einhaltung der Rules of Engagement

Es geht nicht darum, möglichst viel Schaden zu verursachen, sondern darum zu zeigen,
was realistisch möglich wäre, wenn ein Angreifer unentdeckt bleibt.

Wichtige Aussagen aus der PTES-Dokumentation

Im Folgenden gehe ich auf zentrale Sätze aus der offiziellen PTES-Dokumentation ein und erläutere deren Bedeutung.

Fiktives Beispiel: Post-Exploitation in der Praxis

Ausgangssituation

In der Exploitation-Phase wurde Zugriff auf ein normales Benutzerkonto der Webanwendung erlangt.
Das Konto besitzt keine administrativen Rechte, erlaubt jedoch den Zugang zum internen Kundenbereich.

Schritt 1: Analyse der Berechtigungen

Zunächst wird geprüft:

  • welche Aktionen mit dem kompromittierten Konto möglich sind
  • auf welche Daten zugegriffen werden kann
  • ob Hinweise auf weiterführende Systeme existieren

Ergebnis:
Das Benutzerkonto hat Zugriff auf interne Download-Bereiche und API-Endpunkte.

Schritt 2: Privilege Escalation

Der Tester untersucht, ob Berechtigungen erweitert werden können:

  • Analyse von Rollen und Rechten
  • Überprüfung fehlerhafter Zugriffskontrollen
  • Suche nach administrativen Funktionen ohne ausreichende Absicherung

Ergebnis:
Über eine schlecht geschützte Administrationsfunktion können erweiterte Rechte erlangt werden.

Schritt 3: Zugriff auf weitere Daten

Mit den erweiterten Rechten wird geprüft:

  • Zugriff auf weitere Kundendaten
  • Einsicht in interne Konfigurationsdaten
  • Download interner Dokumente

Ergebnis:
Sensible Kundendaten und Konfigurationsinformationen sind einsehbar.

Schritt 4: Lateral Movement (vereinfachtes Beispiel)

Es wird überprüft, ob der Zugriff weiter ausgedehnt werden kann:

  • Nutzung gemeinsamer Zugangsdaten
  • Zugriff auf weitere verbundene Systeme
  • Analyse interner Schnittstellen

Ergebnis:
Zugriff auf ein separates Abrechnungssystem wäre prinzipiell möglich.

Schritt 5: Begrenzung und Dokumentation

Der Tester:

  • bricht weitere Ausbreitungsversuche ab
  • verändert keine Daten
  • dokumentiert alle möglichen Zugriffswege

Alle Handlungen bleiben innerhalb der definierten Testgrenzen.

Ergebnis der Post-Exploitation-Phase

Diese Phase zeigt:

  • wie weit ein Angreifer nach dem ersten Zugriff kommen kann
  • welche Systeme und Daten realistisch gefährdet sind
  • dass ein einzelner erfolgreicher Exploit oft nur der Anfang ist

Die Ergebnisse sind essenziell für eine realistische Risikobewertung und fliessen direkt in das Reporting ein.