IR ist zu einem Schachspiel mit Angreifern geworden, die die Bemühungen von Respondern geschickt vereiteln und sich in Systemen festsetzen können. Hier erfahren Sie, wie sie es anstellen und wie Sie sie für immer loswerden können. [...]
Letzten Monat berichtete das britische National Cyber Security Centre, dass ein Unternehmen fast 9 Millionen US-Dollar an Angreifer für einen Entschlüsselungsschlüssel gezahlt hat, nachdem es Opfer eines Ransomware-Angriffs wurde. Das Unternehmen konnte seine Dateien wiederherstellen, aber die Ursache des Angriffs wurde nicht identifiziert.
Dann griff derselbe Angreifer das Netzwerk des Unternehmens erneut an und nutzte denselben Mechanismus wie zuvor, um seine Ransomware erneut zu verbreiten. „Das Opfer hatte keine andere Wahl, als das Lösegeld erneut zu zahlen“, so die Autoren des Berichts.
Die Entdeckung zu umgehen ist eine Schlüsselstrategie für Angreifer aller Art. Cyberkriminelle, die die Reaktion eines Unternehmens auf einen Vorfall überstehen und nach einem erfolgreichen Angriff in dessen Systemen bleiben, können erneut zuschlagen oder ihren Zugang an andere Kriminelle weiterverkaufen. Insbesondere Unternehmensspione oder staatliche Aggressoren verfügen über die Ressourcen und den Willen, in Unternehmenssystemen zu verweilen, auch nach der Erkennung und Behebung.
Hier sind einige Techniken, die Angreifer einsetzen, um Incident-Response-Teams zu umgehen – und wie man ihnen entgegenwirken kann.
1. Die Schwachstelle erneut ausnutzen
Wenn das Incident-Response-Team den ursprünglichen Angriffsvektor nicht finden kann, dann können die Angreifer einfach wieder eindringen, erklärt Tony Harris, Director of Global Incident Response Capability bei Booz Allen Hamilton. Aus diesem Grund müssen Unternehmen zunächst sicherstellen, dass sie Snapshots von Systemen, Netzwerkprotokollen und anderen potenziellen Beweisen erhalten, bevor die Systeme gelöscht und wiederhergestellt werden. Nach einem Vorfall ist auch ein guter Zeitpunkt, um sicherzustellen, dass alles gepatcht und auf dem neuesten Stand ist.
Was ist, wenn die Angreifer ursprünglich über ein System kamen, das nicht auf dem Radar des Unternehmens war? „In ziemlich vielen Fällen, die wir bearbeitet haben, waren die Schwachstellen das Ergebnis von Schatten-IT“, sagt Harris. „Die Unternehmen haben Patches installiert, aber ein System oder eine Umgebung war nicht in ihrem Inventar.“ Jetzt ist der richtige Zeitpunkt für eine vollständige Bestandsaufnahme, sagt er, einschließlich der Verwendung von Netzwerkanalyse-Tools, um den Datenverkehr zu Systemen zu identifizieren, die nicht existieren sollten.
Wenn ein Unternehmen noch kein EDR-System (Endpoint Detection and Response) einsetzt, ist jetzt ein guter Zeitpunkt dafür, es zu installieren, um verdächtige Verhaltensweisen oder Netzwerkverkehr zu erkennen, die darauf hindeuten könnten, dass ein Angreifer noch immer Fuß gefasst hat. „Es ist wichtig, dass diese Tools so gründlich wie möglich in der gesamten Umgebung eingesetzt werden“, sagt Harris.
Die Tatsache, dass ein Angriff stattgefunden hat, gibt den Sicherheitsteams einen zusätzlichen Hebel, um die benötigte Technologie zu erhalten. „Es ist der einzige Zeitpunkt, an dem Ihr CISO die ultimative Autorität hat, um Probleme in der Umgebung zu beheben“, sagt Harris. „Lassen Sie niemals einen guten Vorfall ungenutzt verstreichen.“
2. Ghost Credentials
Sobald Angreifer in einem System sind, versuchen sie oft, neue Benutzerkonten für sich selbst zu erstellen oder die von bestehenden oder ehemaligen Mitarbeitern zu kapern. „Wenn sie lange genug in der Umgebung sind, um Anmeldedaten zu erhalten, werden sie im ersten Schritt die extrahierten Anmeldedaten verwenden, um wieder in Ihre Umgebung zu gelangen“, sagt Harris.
Wenn diese Konten nicht durch Multi-Faktor-Authentifizierung (MFA) geschützt sind oder wenn die Angreifer in der Lage sind, die MFA-Anmeldeinformationen zu umgehen oder zurückzusetzen, dann können sie nach einem unternehmensweiten Passwort-Reset möglicherweise wieder in die Umgebung gelangen.
Wenn diese Konten jedoch zu Schatten-IT- oder Schatten-Cloud-Systemen gehören, von denen das Sicherheitsteam nichts weiß, müssen sich die Angreifer möglicherweise nicht einmal um einen Passwort-Reset kümmern. Unternehmen sollten auch eine Bestandsaufnahme der Anmeldeinformationen durchführen, sagt er. Dazu gehört es, unnötige Konten zu deaktivieren, die Mitarbeiter in der Vergangenheit nicht genutzt haben, oder die Berechtigungen zu reduzieren, wenn Mitarbeiter nicht alle diese Funktionen für ihre Arbeit benötigen. Es wird schmerzhaft sein – die Umsetzung von Least Privilege ist immer schmerzhaft – aber die Sicherheitsteams werden durch den Angriff einen zusätzlichen Vorteil haben.
Incident Responder sollten auch alle Systeme, einschließlich der neu identifizierten Schatten-IT, auf kürzlich erstellte Konten oder Konten, bei denen die Privilegien kürzlich erweitert oder reaktiviert wurden, untersuchen. „Oftmals deaktivieren Unternehmen Konten, anstatt sie zu löschen“, sagt Harris. „Habe ich Konten, die aktiviert sind, die eigentlich deaktiviert werden sollten?“
Das gilt auch für nicht-menschliche Anmeldedaten. „Angreifer verschaffen sich Zugang zu Service-Accounts, wie sie beispielsweise von Backup-Lösungen oder der internen Kommunikation im Netzwerk genutzt werden“, sagt Harris. „Diese Anmeldeinformationen müssen ebenfalls geändert werden.“
Was ist mit Systemen, von denen die IT gar nichts weiß, weil sie in der Cloud liegen? „Das kommt leider recht häufig vor“, sagt Harris. Für bekannte Cloud-Infrastrukturen und SaaS-Abonnements haben Unternehmen in der Regel eine gewisse Kontrolle über Zugriffsrechte und Konten auf Administratorenebene. Wenn das nicht der Fall ist, müssen sie mit den einzelnen Anbietern zusammenarbeiten, um die Passwörter zurücksetzen zu lassen.
Im Fall von Shadow-Cloud-Implementierungen besteht die erste Aufgabe darin, sie aufzuspüren. „Verwenden Sie Netzwerküberwachungs-Tools, um zu verstehen, welche Aktivitäten Sie sehen“, sagt Harris. „Wenn Sie eine Cloud-Management-Ebene in Ihre Netzwerkumgebung einbauen, können Sie einen Teil der Schatten-Cloud eliminieren und verstehen, wer sie nutzt und wo Sie stehen.“
Angreifer können betrügerische Cloud-Konten nutzen, um sich mit Mitarbeitern des Unternehmens zu verbinden oder sich auf andere Weise in das System einzuschleichen. Noch kritischer ist, dass sie damit auch ihren eigentlichen Angriff fortsetzen können. „Viele Bedrohungsakteure nutzen Cloud-Umgebungen, um Daten zu extrahieren und sich mit Command-and-Control-Servern zu verbinden“, sagt Harris. „Jetzt ist es an der Zeit, all diese Probleme zu lösen.“
3. Zurücksetzen von Passwörtern
Eine Best Practice der Incidence Response ist es, alle Passwörter zurückzusetzen, nachdem ein Einbruch entdeckt wurde. „Unternehmen werden immer schlauer“, sagt Harris. „Sie setzen Multi-Faktor-Authentifizierungslösungen ein und machen es Kriminellen schwerer, wieder in das Netzwerk zu gelangen.“
MFA kann es auch legitimen Mitarbeitern erschweren, wieder in das Netzwerk zu gelangen, was bei großen Unternehmen zu einer Flut von Anrufen beim Helpdesk führen kann, die um Hilfe bitten. „Je nach Größe des Unternehmens kann es sein, dass Zehntausende von Mitarbeitern ihre Passwörter ändern und den Helpdesk anrufen“, sagt Harris. „Wir haben gesehen, dass kriminelle Akteure dies ausnutzen. Sie rufen beim Helpdesk an und versuchen, sich wieder einzuloggen, indem sie einen Mitarbeiter oder eine andere Person imitieren und darum bitten, sich ein Einmalpasswort auf ihr Gerät schicken zu lassen – unter ihrer neuen Telefonnummer. In einigen Fällen waren sie damit erfolgreich.“
Um sich gegen diese Taktik zu wehren, müssen Helpdesks ein Phishing-Training absolvieren, sagt Harris. „Sie müssen die Nuancen dessen, was die Leute fragen, verstehen“, sagt er. „Idealerweise sollten sie nach einem Faktor fragen, den ein Bedrohungsakteur nicht kennen sollte.“
Einige Helpdesks nutzen auch die Analyse von Stimmabdrücken, mit deren Hilfe die Identität eines Mitarbeiters bestätigt werden kann. „Jedes Mal, wenn jemand versucht, durch die MFA zu kommen, wenn er nach einer Änderung fragt, sollte das einen Alarm auslösen“, fügt Harris hinzu. „Wir sollten ein paar mehr Fragen stellen, um zu überprüfen, ob wir eine geeignete Person in der Leitung haben.“
Die Analyse des Benutzerverhaltens kann auch helfen, zu erkennen, ob ein Benutzerkonto kompromittiert wurde, sagt Harris. „Wenn ein Benutzer in Sandusky, Ohio, lebt und sich eine Stunde später von Kalifornien aus anmeldet, haben wir wahrscheinlich ein Problem. Es ist unmöglich, dass er in einer Stunde von Ohio nach Kalifornien kommt.“
Auch hier kann ein Sicherheitstraining helfen. Wenn ein Mitarbeiter sich anmeldet und sieht, dass seine vorherige Anmeldung zu einem Zeitpunkt erfolgte, zu dem er offline war, sollte er das Problem erkennen und melden. Wenn ein Unternehmen bereits betroffen war, werden die Mitarbeiter für diese Art der Aufklärung empfänglicher sein.
4. Verstecken in IoT-Geräten
Eine häufige Taktik von Angreifern ist es, IoT-Geräte als Einstiegspunkt oder als Versteck zu nutzen, bis die Luft rein ist, sagt Derek Manky, Chief of Security Insights bei FortiGuard Labs. „IoT-Geräte werden in der Regel nicht inspiziert oder segmentiert, wie es eigentlich sein sollte“, sagt er. „Sie sind ein erstklassiges Ziel für Angreifer, um sie zu infizieren – und um auf ihnen zu bleiben.“
Um potenziell infizierte Geräte zu identifizieren, können Unternehmen Lehren aus der Pandemiebekämpfung ziehen. „Stellen Sie sie unter Quarantäne“, sagt Manky. „Wie bei COVID-19 muss man die Ausbreitung eindämmen und die Bedrohung eindämmen. Es gibt keinen Grund, warum dieses IoT-Gerät, das gerade erst eingeführt wurde, im selben Netzwerk sein und Zugriff auf eine Kundendatenbank haben sollte.“
Zero Trust ist ein guter Ansatz, um dies zu tun, oder Sie können ein SIEM-System (Security Information and Event Management) verwenden, um verdächtigen Datenverkehr zu identifizieren und dann die angreifenden Geräte zu isolieren, sagt Manky. „Warum stellt mein Drucker eine Verbindung zu einem Schurkenserver im Ausland her?“
Die Analyse des Benutzerverhaltens, bei der künstliche Intelligenz und maschinelles Lernen eingesetzt werden, um ungewöhnliche Verhaltensweisen zu erkennen, wird ebenfalls zu einem leistungsstarken Tool zur Abwehr dieser Bedrohung, insbesondere wenn die Systeme automatisch Richtlinien hinzufügen können, um bösartige Verhaltensweisen zu blockieren. „Menschen sind manchmal etwas langsam“, sagt Manky.
5. Verstecken in vertrauenswürdiger Software
Der SolarWinds-Angriff entpuppt sich als schlimmer, als wir dachten. Diesen Monat berichteten Trustwave-Forscher über die Entdeckung von drei neuen Sicherheitslücken in SolarWinds-Produkten – allesamt kritische Fehler, von denen einer sogar die Remote-Code-Ausführung mit hohen Rechten ermöglicht.
Sicherheitsteams achten oft nicht auf die Kommunikationskanäle von vertrauenswürdigen Softwaresystemen, außer um zu überprüfen, ob die Software selbst gepatcht und auf dem neuesten Stand ist. SolarWinds hat bewiesen, dass dies ein großer Fehler sein kann. Diese Angreifer konnten monatelang in Systemen unentdeckt bleiben – auch in Systemen der Sicherheitsfirma FireEye und in Systemen des Verteidigungsministeriums und anderer Regierungsbehörden.
Wenn es sich bei der kompromittierten Software um ein Netzwerk-Management-Tool oder ein Software-Entwicklungs-Tool handelt, können die Folgen verheerend sein, sagt Joe McMann, CSO und Leiter der Cyberstrategie bei Capgemini Nordamerika. Angreifer können auf die Server zugreifen, auf denen diese Software ausgeführt wird, sowie auf andere Systeme, die an dasselbe Netzwerk angeschlossen sind, sagt er, und sich von dort aus verbreiten.
„Man sollte nach Dingen suchen, die die Software nicht tun sollte“, sagt Jerry Bessette, Leiter des Cyber Incident Response Programms von Booz Allen Hamilton. Bessette war zuvor Leiter der Abteilung für technische Operationen der Cyber-Abteilung des FBI, wo er das nationale Cyber Incident Response Team leitete.
Wenn es die Ressourcen zulassen, müssen Unternehmen sogar Software, die sie im Verdacht haben, in einen Einbruch verwickelt zu sein, von Dritten überprüfen lassen oder bei den Anbietern nachfragen, wie die Software mit ihren Herstellern kommuniziert, um herauszufinden, ob die Verbindungen, die sie herstellt, legitim sind.
Niemand scheint die Kommunikationskanäle der Partner zu überprüfen, sagt Bryan Sartin, Chief Services Officer bei eSentire, einer Firma für Cybersicherheit. „Ich würde Ihnen gerne sagen, dass alle Arten von Scans stattfinden“, sagt er. „Aber nur sehr wenige – und nur sehr wenige große Unternehmen – praktizieren das.“
Wenn das Sicherheitsteam den Verdacht hat, dass ein Problem in einem Softwareprodukt eines Drittanbieters liegen könnte, und Zero Trust oder Netzwerksegmentierung nicht vorhanden sind, ist es außerdem an der Zeit, dies zu ändern. „Wenn es nicht vollständig aktiviert ist, sollten Sie es unbedingt einschalten“, sagt Sartin. „Sie können die Möglichkeiten der Bedrohungsakteure einschränken, sich innerhalb Ihres Netzwerks zu bewegen. Es ist die offene, ungehinderte Kommunikation, die die Ausbreitung von Bedrohungen ermöglicht.
Dazu gehört auch die Begrenzung der ausgehenden Kommunikation mit Dritten. Vor dem SolarWinds-Hack haben die Sicherheitsteams das oft übersehen, sagt Sartin. Zumindest im Moment wird dieses Problem etwas sichtbarer. Mit der Zeit könnten diese Lektionen jedoch in Vergessenheit geraten. „Die Idee, den ausgehenden Datenverkehr wirklich zu überprüfen – ich fürchte, das wird verloren gehen“, sagt er.
*Maria Korolov berichtet seit 20 Jahren über neue Technologien und aufstrebende Märkte.
Be the first to comment