Roger A. Grimes unterstützt seit fast einem Jahrzehnt Unternehmen bei der Bekämpfung und Verhinderung von Cyberattacken. In dieser Zeit hat er viel erlebt und daher einige interessante Geschichten zu erzählen – inklusive der Lektionen, die er daraus gelernt hat. Wussten Sie etwa, wie Sie sich in einer Bespechung vor Lauschangriffen schützen? Oder welche Tricks Hacker einsetzen, um an Ihren Sicherheitsmaßnahmen vorbeizukommen? Was Grimes "auf die harte Tour" lernen musste, können Sie hier lesen. [...]
GESCHICHTE NR. 5: BEHALTEN SIE DEN ÜBERBLICK ÜBER IHRE ACCOUNTS
Wie schon oben erwähnt, beinhaltet die Entfernung von Eindringlingen aus Unternehmens-Infrastruktur meistens eine Passwort-Rücksetzung. Wenn Sie die Passwörter ändern, dann müssen Sie das Passwort von jedem einzelnen Account ändern – aber das ist einfacher gesagt als getan. „Jeder meiner Kunden war sofort zu einer Passwortänderung bereit, aber wenn sie erkannten, wie viel Arbeit das ist und welchen Einfluss solch eine Änderung auf ihr Geschäft hat, schreckten viele doch wieder zurück. Es ist wirklich kompliziert, ein infiziertes Netzwerk zu reinigen“, erklärt Grimes.
Der Kunde von Grimes war in diesem Fall allerdings für eine Passwortänderung bereit und war bei seiner Recherche sehr gründlich. Es sollten nicht nur alle User- und Service Accounts zurückgesetzt werden, sondern auch alle Computer-Accounts. Die meisten Firmen machen keine Änderungen der Service- und Computer Accounts, da es mit sehr viel Aufwand verbunden ist. „Mir wird immer schwindelig, wenn es darum geht, die Konten aller Computer zurückzusetzen. Es ist immer kompliziert, diese Aktion gründlich durchzuführen.“
Die Passwörter wurden letztendlich alle ersetzt, es gab einige schwere Systemstörungen – einige waren so schlimm, dass es dem Geschäftsführer gemeldet werden musste. Aber am Ende der Woche waren alle Passwörter erfolgreich geändert. Nach einigen Tagen waren die Hacker allerdings wieder im System, zeichneten alle Mails auf und kontrollierten alle wichtigen Konten, inklusive der Konten von den IT-Sicherheitsmitarbeitern. „Wir waren perplex. Beim besten Willen: wir hatten alle Sicherheitslöcher behoben, jedes Passwort zurückgesetzt und konnten keine Backdoors mehr finden“, so Grimes.
Aber es gibt einen Account, der bereits in Windows integriert ist – „krbtgt“, er wird für Kerberos genutzt. Man sollte an diesem Account nichts verändern und ihn schon gar nicht löschen oder – wie Grimes und das IT-Team des Kundenunternehmens anfangs dachten – das Passwort ändern. Dieser Account wird außerdem nicht in der Benutzerverwaltung angezeigt, und das APT-Team wusste das.
„Ich lernte also, dass krbtgt benutzt wird, um einen Backdoor ins System einzubauen. Nachdem die Hacker eine Netzwerkumgebung übernommen haben, fügen Sie den krbtgt-Account in zusätzlichen Benutzergruppen ein. Da man normalerweise diesem Account keinerlei Beachtung schenkt, kann er als Backdoor genutzt werden. Eine gute Idee – wenn man ein böswilliger Hacker ist“, erklärt Grimes.
Der Kunde änderte also (wieder) alle Passwörter, diesmal inklusive des krbtgt-Accounts, und es traten keine Probleme mehr auf. Beachten Sie, dass eine Passwortänderung des krbtgt-Accounts viele Probleme verursachen wird, da dieser Account für den Authentifizierungsprozess notwendig ist. „Es ist ein harter Weg, aber wenn Sie ihn gehen müssen, dann werden Sie auch das schaffen“, spricht Grimes allen Betroffenen Mut zu.
Lektion: Stellen Sie sicher, dass Sie wissen, was „alle“ Accounts bedeutet. Wenn man einen einzelnen Account vergisst, war die ganze Arbeit umsonst.
GESCHICHTE NR. 6: ZU VIELE GESPEICHERTE INFORMATIONEN
Grimes‘ letzte Geschichte betrifft nicht direkt einen Kunden, sondern zeigt die generelle Entwicklung von Hacks über die letzten Jahre. Früher haben Hacker einfach alle Informationen gesammelt, die sie nur finden konnten. Es wurden alle alten E-Mails kopiert und Bots installiert, damit sie jede neue E-Mail mitlesen können. Oft wurden Trojaner installiert, um das Netzwerk und die Datenbanken zu überwachen. Sobald man neue Inhalte hinzufügt hat, wurden dieser sofort kopiert.
Viele Firmen haben (oder hatten) also einen Backupservice, von dem sie gar nichts wussten.
Aber das waren die alten Zeiten. Heutzutage sind Terabyte-Datenbanken keine Seltenheit und die Eindringlinge stehen vor einem Problem. Wenn sie einen kompletten Zugang ins System erhalten und erkennen, wo alle Daten gespeichert sind, können sie nicht mehr einfach alles kopieren. „Ich habe gesehen, dass sich die APT heutzutage sehr genau aussuchen, was kopiert wird und was nicht. Professionelle Hacker entwickeln ihre eigenen Suchmaschinen zum Durchsuchen der Daten. Manchmal verfügt die Suchmaschine sogar über eine eigene API oder basiert auf eine API von bekannten Suchmaschinen. Es werden also jeden Tag nur ein paar Gigabyte an Daten kopiert, aber deren Inhalt ist sehr hochwertig und wurde mit größter Sorgfalt ausgewählt“, erklärt Grimes.
Lektion: Hacker haben ebenso ein Problem mit dem Finden und dem Verwalten von großen Datenmengen wie Sie. Verhindern Sie, dass die APT Ihre Daten besser kennen und indexieren als Sie.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwester InfoWorld. (rnf/idg)
Be the first to comment