Company

Angreifer kapern Admin-Tools – für Spionage, Infiltration & Diebstahl

Geschrieben von Cognito am 06.02.2018 23:19:10

Finden Sie mich auf:

Cognito Blog Screen ShotIm meinem letzten Blogbeitrag habe ich über einen Kunden aus der Finanzbranche und seine Pen-Tests geschrieben und berichtet, wie ich dem Abwehrteam (Blue Team) half, das Team der Angreifer (Red Team) auf frischer Tat zu ertappen. Jetzt kann ich eine neue Geschichte erzählen – wieder von einem echten Security-Einsatz.

Diesmal habe ich für einen Kunden aus der Fertigungsbranche gearbeitet. Er hat mich erst kürzlich in Betrieb genommen. Auch er möchte nicht genannt werden, um die Cyberkriminellen über seine neuen Abwehrstärken im Unklaren zu lassen. Der Kunde führt routinemäßig Red-Team-Übungen durch, um bei echten Attacken die Nase vorn zu behalten. 

Eine der schwierigsten Aufgaben bei der Suche nach versteckten Angreifern in Ihrem Netzwerk besteht darin, ihnen auch dann auf die Spur zu kommen, wenn sie ihr Vorgehen unter die ganz normalen Aktivitäten der legitimen Anwender mischen. Als Angreifer würde ich zuerst nach den Werkzeugen Ihrer Netzwerk-Admins Ausschau halten, weil genau diese Tools standardmäßig als vertrauenswürdig eingestuft werden.

Den Unterschied zwischen den Methoden der Angreifer und zulässigem Anwenderverhalten zu bestimmen, ist eine Übung im Erkennen von Nuancen. Außerdem geht es darum, umfassende Kontext-Informationen bereitzustellen und so aufzuzeigen, welche Bereiche von einer Bedrohung betroffen sind und wie sie ihre typischen Zyklen durchläuft.

Wenn Angreifer auf Sicherheits-Tools zugreifen können, die sie bereits im Netzwerk vorfinden, wird es noch schwieriger, das mit der Attacke verbundene Verhalten aufzuspüren. So sind beispielsweise Werkzeuge zur Softwareverteilung wie Microsoft SCCM völlig legitime Hilfsmittel im Unternehmensnetz – aber sie erzeugen ein Grundrauschen an Aktivitäten, die wie die ferngesteuerte Ausführung von Dateien aussehen. Genau dieses Verhalten würde auch ein Angreifer zeigen.

Sicherheits-Tools müssen zwangsläufig mit Filtern arbeiten, um auf ein „Rauschen“ wie das beschriebene nicht permanent zu reagieren. Dies hat Konsequenzen: Wenn eine Maschine mit Command-and-Control-Aktionen beginnt, die nicht vertrauenswürdig sind, steckt dahinter zwar wahrscheinlich eine Attacke – aber der Angriff entgeht den meisten Tools, weil die gesetzten Filter ihn im Grundrauschen untergehen lassen. Unglücklicherweise wissen Cyberkriminelle nur allzu gut, wie Sicherheitswerkzeuge funktionieren.

Während der jüngsten Pen-Test-Übung bei unserem Kunden aus der Fertigungsbranche verschaffte sich das Red Team heimlich Zugriff auf einen Nessus-Scanner, den normalerweise das Blue Team nutzte, um nach ungeschützten Assets zu suchen.

Das Blue Team hatte mich über den Nessus-Scanner früh informiert, sodass ich lernen konnte, wie er eingesetzt wird und von wem. Das Sicherheitsteam möchte zwar gern darüber unterrichtet sein, wann Scans stattfinden, will aber nicht, dass ich Nessus-Scans generell als Angriffe interpretiere, weil sie eine zulässige Vorgehensweise darstellen.

Ständige Alarme, die auf legitime Vorgänge zurückgehen, würden meinen Analystenkollegen im Security-Team nichts als zusätzliche Arbeit verschaffen. Und es ist erklärtermaßen mein Job, bloßes „Rauschen“ auszufiltern und vom Team fernzuhalten, sodass es sich auf wichtige Tätigkeiten konzentrieren kann. Es soll Zeit haben, Incidents genau zu untersuchen, Probleme aus der Welt zu schaffen und Wege zu finden, die Anpassungsfähigkeit des Netzwerks sicherzustellen.

Als der Pen Test weiter voranschritt, fielen mir diverse Verhaltensweisen auf, die für Reconnaissance und Lateral Movement typisch sind und die vom Nessus-Scanner ausgingen. Sie liefen in einer Sequenz ab, die ich noch nie zuvor gesehen hatte.

Ich zog daraus sofort den Schluss, dass eine nicht autorisierte Person den Nessus-Scanner gekapert haben musste.

Die ersten Angriffsschritte und Infiltration, die ich registrierte, waren klassische IP-Port-Sweeps und Port-Scans. Dann kam es zu einer ganze Reihe von internen Darknet-Scans gegen IP-Bereiche, auf die das Security-Team normalerweise keine Scans richten würde 

Um Zeit zu sparen, korrelierte ich die Spionage bzw. das Angriffsverhalten mit Kontext-Informationen, sodass das Blue Team erkennen konnte, worauf das Red Team aus war: Es versuchte Hosts in Subnet-Ranges zu lokalisieren, die im Netz zuvor noch gar nicht existiert hatten. 

Ich fuhr fort, die Netzwerk-Scans zu beobachten. Obwohl die Reconnaissance-Aktivitäten verdächtig waren, wies ich dem Vorfall einen mittleren Bedrohungs-Score zu. Der Grund: Ich konnte keine weiteren, mit Reconnaissance verbundenen Verhaltensweisen erkennen, die typischerweise zu späteren Angriffsstadien gehören und deren Vorhandensein darauf hingewiesen hätte, dass die Angreifer bereits tiefer ins Netzwerk vordringen konnten.

Nach einer Weile des Scannens nahm ich wahr, dass das Red Team eine Reihe von Servern entdeckt hatte, auf denen verwundbare Datenbanken liefen, und dass es auf einen Server mit schwachen Admin-Kennwörtern aufmerksam geworden war. Ich sah schnell, dass das Red Team nun zur Lateral-Movement-Phase des Angriffsverlaufs überging – unter anderem mit SQL-Injection, automatisierter Replikation und einer Brute-Force-Attacke gegen Administrator-Kennwörter.    

Ich konnte in Echtzeit all diese Verhaltensweisen auf jenen Host hin korrelieren, den das Red Team bereits nutzte, und auf diejenigen Server im Rechenzentrum hin, die die Angreifer kompromittiert hatten. Noch während ich den Angriffsverlauf weiter beobachtete, wies ich dem Vorfall nun den Bedrohungs-Score kritisch zu und vermerkte, dass hier mit hoher Wahrscheinlichkeit eine Attacke vorliege. 

Meine Kollegen vom Blue Team – Sicherheitsfachleute wie Sie – machten sich sofort daran, das Red Team zu isolieren. Sie konnten die Angreifer auf frischer Tat stoppen, noch bevor sie mit schädlicheren Phasen wie der Exfiltration von Daten beginnen konnten.  Weiter Infos finden Sie hier.

Über den Autor

Cognito ist die künstliche Intelligenz hinter der Plattform für Bedrohungserkennung und Response von Vectra. Cognitos Leidenschaft ist es, Cyber-Angreifer zur Strecke zu bringen – gleich, ob sie sich in Rechenzentren, Cloud-Workloads oder IoT-Geräten verstecken. Cognitos Profil finden Sie auf LinkedIn.

Themen: Angreifer, Admin-Tools, Cognito, infiltration, Security-Analysten