6 Lektionen: Lernen von echten Security-Bedrohungen

Roger A. Grimes unterstützt seit fast einem Jahrzehnt Unternehmen bei der Bekämpfung und Verhinderung von Cyberattacken. In dieser Zeit hat er viel erlebt und daher einige interessante Geschichten zu erzählen – inklusive der Lektionen, die er daraus gelernt hat. Wussten Sie etwa, wie Sie sich in einer Bespechung vor Lauschangriffen schützen? Oder welche Tricks Hacker einsetzen, um an Ihren Sicherheitsmaßnahmen vorbeizukommen? Was Grimes "auf die harte Tour" lernen musste, können Sie hier lesen. [...]

GESCHICHTE Nr. 2: NICHT ALLE ANGREIFER SIND PROFIS
In dieser Geschichte hat das APT-Team die totale Kontrolle über das Firmennetzwerk übernommen. Die Angreifer bauten fortlaufend neue Verbindungen im gesamten Netzwerk auf – Tag und Nacht. Sie versuchten erst gar nicht sich zu verstecken – es war ihnen egal, ob man sie entdecken würde oder nicht.

APT versuchen (fast) immer, die Passwort-Hashes zu kopieren und anschließend mit einem PtH-Tool den Rest des Netzwerkes zu übernehmen. Der Kunde von Grimes beschloss, dass er endlich die unsicheren LM-Hashes deaktivieren sollte – immerhin hat Microsoft bereits vor zehn Jahren zu diesem Schritt geraten und seit 2008 ist es bereits in den Standardeinstellungen deaktiviert. Die Hacker verwendeten die aufgezeichneten LM-Passwörter für die schmutzige Arbeit.

Grimes  hat seinem Kunden gesagt, dass seine Idee so nicht funktionieren würde, weil es standardmäßig zwei Typen von Passwort-Hashes für die Authentifizierung gibt: LM- und NT-Hashes. Die Angreifer haben allerdings bereits beide Typen heruntergeladen und das PtH-Tool würde mit beiden Hashes funktionieren. Grimes hat dem Kunden sogar die Syntax gezeigt, wie der Angreifer zwischen den beiden Hashes wechseln kann. Diese Funktion ist bei den Tools sehr verbreitet. Doch noch schlimmer: Selbst wenn man die Speicherung von den Hashes deaktiviert, werden sie immer noch im Arbeitsspeicher erstellt – sobald sich ein Nutzer einloggt. Es klingt verrückt, aber so funktioniert Windows.

Aber der Kunde ließ sich nicht von seiner Idee abbringen und hat die LM Hashes deaktiviert und die Passwörter zurückgesetzt. Anschließend hatten die Datenbanken keine LM-Passwörter mehr. Komischerweise hat dieser Ansatz tatsächlich funktioniert – weil das APT-Team nie einen anderen Passwort-Hash für ihre Attacken verwendet hat. Eigentlich wurde nur die Hashmethode umgestellt, und die PtH-Attacken haben aufgehört. Es hat sich später herausgestellt, dass die Angreifer nicht einmal ihre eigenen Tools richtig kannten.

Lektion: Man verbindet zwar oft den Begriff „Professionalität“ mit dem Begriff „Hacker“, aber nicht alle Angreifer sind so professionell wie man denkt. Und  ab und zu  ist auch die Meinung des Sicherheitsexperten nicht richtig. Technisch gesehen war die Meinung von Grimes nicht falsch, aber die Idee des Kunden hat dennoch funktioniert.

GESCHICHTE NR. 3: DIE MEDIZIN KANN DAS GIFT SEIN
Als Vollzeit-Sicherheitsberater von Microsoft wird Grimes oft gefragt, ob er Anti-APT-Projekte anderer Firmen leiten würde. Aber Grimes ist Mitarbeiter und kein Projektleiter. Es gibt eine Sicherheitsberatungsfirma, mit der er schon sehr oft zusammengearbeitet hat. Grimes kennt das Team der Firma sehr gut. Wer dort als erstes mit der Arbeit anfängt, übernimmt die Führung des Projektes und hält Kontakt mit dem IT-Leiter der Firma. Diese Sicherheitsfirma ist in der Sicherheitsbranche sehr bekannt und verkauft außerdem eine Software zur Systemüberwachung. Es gelingt ihnen häufig, dass sie in Folge ihrer Arbeit auch Ihre Software verkaufen können. Das Programm wird auf jedem Computer des Unternehmens installiert. Man kann damit unter anderem sehen, welche Programme und Services gerade ausgeführt werden.

In dieser Geschichte ist die Sicherheitsfirma als erstes am Standort eingetroffen und hat bereits alle Arbeiten verrichtet. Außerdem konnten sie wieder ihre Software erfolgreich verkaufen. Seit der Installation wurde kein Angriff mehr bemerkt und jeder dachte, dass die Systeme frei von Malware sind.

Grimes erzählt: „Ich bin ein großer Fan von Honeypots. Ein Honeypot ist eine Software, oder ein Gerät, dass als Angriffsziel von Hackern fungiert. Es existiert nur, um angegriffen zu werden. Ein Honeypot kann jedes Endgerät nachahmen, so wie beispielsweise einen Router oder Server. Sie eignen sich hervorragend, um unerkannte Attacken aufzudecken. Ich empfehle häufig eine Installation eines solchen Gerätes. Dafür kann man einen alten Computer verwenden, den niemand mehr verwendet und auf dem keinerlei Aktivitäten mehr stattfinden sollten. Sobald sich ein Hacker (oder Malware) zu diesem Computer verbindet, versendet der Honeypot einen Alarm und man weiß sofort, dass etwas nicht stimmen kann.“

Grimes hat die Firma bei der Installation von einigen Honeypots unterstützt. „Viele Kunden fragen mich, wie wir die Honeypots attraktiv für die Hacker machen können. Da muss ich immer lachen und sage, ‚keine Sorge, die kommen schon von alleine‘. In der Tat hat bis jetzt jeder Honeypot, den ich installiert habe, binnen ein oder zwei Tagen verdächtige Aktivitäten aufgezeichnet. Und die neuen Honeypots bei dieser Firma waren keine Ausnahme“, so Grimes weiter.

Und in der Tat: Es wurden Loginversuche über das Netzwerk, die von verschiedenen Arbeitsstationen kamen, aufgezeichnet. Keine der Station hatte einen Grund sich zu diesem PC zu verbinden. Also wurden ein paar Arbeitsstationen abgebaut und die Festplatten forensisch überprüft. Dabei wurde auf jedem PC ein Trojaner gefunden. Der Name des Trojaners? Es war der selbe Name wie jener der Anti-APT-Software der Sicherheitsfirma. Wie sich herausgestellt hat, haben die Angreifer die legitime Anti-APT-Software mit einem Trojaner ersetzt – und das auf fast jedem Computer.

Das erklärte einige Fragen, zum Beispiel, warum kein Angriff erkannt wurde. Die größere Frage ist allerdings, wie der Trojaner installiert werden konnte. Es stellte sich heraus, dass die Entwicklungsumgebung des Kunden bereits infiziert.

Lektion: Erstens, stellen Sie sicher, dass Ihre Entwicklungsumgebung sauber ist, verhindern Sie authentifizierte Änderungen und entwickeln Sie Methoden solche zu erkennen. Zweitens, Honeypots sind ein guter Weg um bösartige Aktivitäten zu erkennen. Drittens, beobachten Sie sich immer den Netzwerkverkehr – auffälligen Verbindungen muss immer nachgegangen werden.

GESCHICHTE NR. 4: IHRE PKI-SERVER GEHÖREN UNS
APT-Attacken auf Public Key Infrastructure (PKI) Server waren eher selten. Tatsächlich hat Grimes bis vor zwei Jahren noch nie einen gehackten PKI Server gesehen. „Aber jetzt passiert so etwas häufiger. In meiner Geschichte wird der PKI-Server unter anderem zum Erstellen von physikalischen Zugängen zu sensiblen Bereichen genutzt“, so Grimes.

Der Kunde des Sicherheitsexperten verwendete seinen internen PKI-Server zum Erstellen von Mitarbeiter-Smartcards. Die Smartcards wurden nicht nur für den PC-Login verwenden, sondern dienten auch als physikalische Zugangskarten zum Firmengelände und anderer Infrastruktur.

Der Root-CA(certification authority)-Server war eine virtualisierte VMware-Instanz, allerdings wurde der Host infiltriert. Die Hacker haben ein Image vom Server erzeugt, das Administrator-Passwort entschlüsselt und sich ihre eigene untergeordnete CA erstellt. Das CA wurde anschließend genutzt, um sich selber PKI-Zugänge zu allen Bereichen zu erteilen.

Was Grimes am meisten überraschte, war das Video das ihm sein Kunde zeigte. Auf dem Video sah man zwei unbekannte Personen, die sich als Mitarbeiter verkleidet hatten. Durch ihre selbst erstellte Smartcard hatten sie sogar ihr Auto auf dem Firmenparkplatz geparkt. Über den Mitarbeitereingang gingen die Personen zu einem Bereich, wo sich hochsensible Daten befanden.

Der Kunde konnte nicht sagen, was dort passiert ist, oder welche Daten entnommen wurden, allerdings war die Stimmung sehr schlecht. Grimes wurde eingeladen, um das Unternehmen bei der Erstellung von einem neuen PKI-Server zu unterstützen. Außerdem sollte er alle Geräte auf die neuen Schlüssel umstellen.

Lektion: Schützen Sie Ihre PKI-CA-Server. Offline CA sollten nur offline erreichbar sein. Auch deaktivierte Netzwerkkarten oder die fehlende Einbindung ins Firmennetzwerk sind nicht ideal – entfernen Sie das Netzwerkkabel, oder gleich die Netzwerkkarte, und sperren Sie den Server in einen „Safe“ ein. Machen Sie es Angreifern so schwer wie möglich. CA Private Keys sollten zusätzlich durch ein Hardware-Sicherheitsmodul geschützt werden. Alle Passwörter sollten möglichst lang und kompliziert sein (15 Zeichen und mehr). Außerdem kann es nicht schaden, wenn man regelmäßig die Liste der vertrauenswürdigen CA kontrolliert.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*