Die Abwehr von Angriffen, die nicht auf Diebstahl oder Erpressung, sondern auf die Zerstörung von Systemen abzielen, erfordert einen anderen Ansatz, wie die russischen Cyberangriffe auf die Ukraine zeigen. [...]
Die russischen Cyberangriffe auf ukrainische Unternehmen erinnern uns daran, dass die Angreifer nicht immer darauf aus sind, Daten zu stehlen oder Geld zu erpressen. Manchmal wollen sie einfach nur so viel Schaden wie möglich anrichten. Sowohl Microsoft als auch Mandiant haben kürzlich Informationen über diese zerstörerischen Angriffe veröffentlicht und darüber, wie man sich besser vor ihnen schützen kann.
Unabhängig vom geografischen Standort können wir alle davon lernen, wie diese Angriffe ablaufen und wie sie abgewehrt werden. Die Angriffe waren in ihrer Zerstörungskraft extrem. Wie Microsoft in seinem Blog anmerkt, überschreibt die Malware in diesem Fall den MBR [Master Boot Record] ohne einen Mechanismus zur Wiederherstellung. Dies führt dazu, dass das System nicht mehr gebootet werden kann und ohne eine vollständige Neuinstallation oder Wiederherstellung von einem vollständigen Backup des Systems nicht mehr reparabel ist. Die erste Lektion besteht also darin, sicherzustellen, dass Sie über die Tools und Ressourcen verfügen, um entweder Ihre Workstation-Images vollständig neu bereitzustellen oder Ihre Plattformen vollständig wiederherstellen zu können.
Das Dokument von Mandiant enthält praktische Informationen über die besten Methoden, um sich vor Schaden und Zerstörung durch ähnliche Angriffe zu schützen. Überlegen Sie bei der Lektüre des Dokuments, ob Sie diese Schutzmaßnahmen bereits ergriffen haben.
Schützen Sie nach außen gerichtete Geräte und Systeme mit Multi-Faktor-Authentifizierung
Mandiant empfiehlt, mit den externen Geräten zu beginnen. Wir hatten lange Zeit ein schwammiges internes Netzwerk und eine verstärkte Hülle. Wenn die äußere Hülle erst einmal durchdrungen ist, ist es relativ einfach, laterale Angriffe innerhalb Ihrer Unternehmensressourcen zu starten. Überprüfen Sie also zunächst, ob Ihre externen Geräte und alle anderen Geräte, die einen Fernzugriff ermöglichen, eine mehrstufige Authentifizierung erfordern.
Niemand oder nichts sollte in der Lage sein, sich mit einem einfachen Benutzernamen und Passwort anzumelden. Überprüfen Sie jedes Edge-Gerät, um festzustellen, ob das Gerät von Haus aus die Verwendung einer Authentifizierungsanwendung anstelle eines einfachen Passworts unterstützt. Es ist nicht immer notwendig, absolut sicher zu sein, nur ein bisschen sicherer als das Netzwerk neben Ihrem.
Identifizieren Sie wertvolle Ziele in Ihrem Netzwerk
Überprüfen Sie Ihr Netzwerk auf wertvolle Ziele, die für destruktive Angriffe ausgewählt werden könnten. Die Schlüsselressource, über die Sie verfügen, ist weder sexy noch revolutionär. Es gibt sie schon seit Jahren: die Datensicherung. Sie sollten eine Rotation von Backups durchführen, um sicherzustellen, dass Sie über Offsite- und Off-Domain-Sicherungsmedien verfügen. Wenn alle Ihre Backup-Speicherorte mit einer Domäne verbunden sind und der Angreifer auf diesen Speicherort zugreifen kann, können auch Ihre Backups betroffen sein. Der Zugriff auf die Virtualisierungsinfrastruktur sollte über begrenzte Konten erfolgen, die für einen solchen Zugriff ausgelegt und geschützt sind. Auch hier sollten Sie beim Schutz von HyperV und anderen Virtualisierungsplattformen die Zwei-Faktor-Authentifizierung und andere Verfahren für den privilegierten Zugriff in Betracht ziehen.
Schutz vor lateralen Bewegungen
Prüfen Sie, welche Schutzmaßnahmen Sie gegen laterale Bewegungen haben. In meinem Büro habe ich die Local Administrator Password Solution (LAPS) implementiert, um sicherzustellen, dass Querbewegungen aufgrund eines gemeinsam genutzten lokalen Administrationspassworts nicht auftreten können. Überprüfen Sie die Verwendung der typischen Firewall-Ports, auf die es Angreifer abgesehen haben, um sich Zugang zu verschaffen: Port 445, 135 und 139. Ermitteln Sie, welche Workstations und Server diese Ports abfragen und wie Sie die Firewall-Ports in Ihrem Netzwerk am besten isolieren und begrenzen können.
Überprüfen Sie die Verwendung und Exposition von Remote-Protokollen
Vergewissern Sie sich in erster Linie, dass das Remote Desktop Protocol (RDP) nicht nach außen hin sichtbar ist. Falls doch, beschränken Sie RDP auf die Geräte, die es benötigen.
Mandiant weist darauf hin, dass zu den Remoteprotokollen, die Sie auf Ihren sensiblen Geräten blockieren sollten, die Datei- und Druckfreigabe, Remote Desktop, Windows Management Instrumentation (WMI) und Windows Remote Management gehören. Das bedeutet, dass Sie die Art und Weise, wie Ihr IT-Personal Systeme verwaltet und wartet, überprüfen müssen. Die alte Methode des einfachen Fernzugriffs auf Server und Desktops ist nicht mehr sicher. Vergewissern Sie sich, dass Ihre eigenen Verwaltungsprozesse keine Unsicherheiten mit sich bringen.
Prüfen Sie auf offene oder veraltete Passwörter
Benutzernamen und Passwörter sind ein wichtiger Zugangspunkt und damit ein wichtiger Angriffspunkt. Menschen verwenden Passwörter oft wieder, und Anwendungen platzieren oft Anmeldeinformationen auf Systemen und führen dadurch Schwachstellen ein. Mandiant weist darauf hin, dass wir oft versteckte Passwörter in unseren Netzwerken zurücklassen und uns des Risikos nicht bewusst sind.
Viele von uns haben Active Directory (AD)-Netzwerke, die im Laufe der Zeit von einer älteren, weniger sicheren AD-Infrastruktur aufgerüstet wurden. Möglicherweise sind noch viele dieser alten Einstellungen in unserem Netzwerk vorhanden. Ein Beispiel dafür ist die Einstellung WDigest. Obwohl die WDigest-Authentifizierung jetzt in Windows 8.1 und Windows Server 2012 R2 und höher standardmäßig deaktiviert ist, haben Sie möglicherweise immer noch Klartextpasswörter im LSASS-Speicher gespeichert, um die Authentifizierung zu unterstützen. Mandiant empfiehlt, den folgenden Registrierungsschlüssel zu entfernen, um das Speichern von Kennwörtern zu blockieren:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential
REG_DWORD = "0"
Ich habe auch gesehen, dass bei älteren Systemen das WDigest-Kennwort gespeichert und zurückgelassen wurde, was es Angreifern leicht macht, diese Informationen abzugreifen.
Implementieren Sie Windows Defender Credential Guard
Wie Steve on Security feststellte, ist Credential Guard „ein Windows-Dienst, der Anmeldeinformationen davor schützt, von einem Computer abgeschöpft zu werden. Er schützt die von Windows für die einmalige Anmeldung verwendeten Geheimnisse davor, gestohlen und auf anderen Computern verwendet zu werden. Windows verfügt über dokumentierte APIs, die es Software ermöglichen, auf Anmeldeinformationen und Geheimnisse zuzugreifen, die sich im Speicher befinden. Microsoft kann diese APIs nicht deaktivieren, da wir alle Branchensoftware entwickelt haben, die auf sie angewiesen ist. Der Einsatz von Credential Guard erschwert Angreifern den Zugriff auf diese Anmeldedaten.
Die meisten der Empfehlungen von Mandiant können in unseren derzeitigen Netzwerken umgesetzt werden. Wir brauchen kein neues Serverbetriebssystem oder Workstations mit Windows 11, um viele dieser Empfehlungen umzusetzen. Alles, was wir brauchen, sind Tests und Zeit, um die notwendigen Anpassungen bei der Implementierung unserer Netzwerke vorzunehmen. Nehmen Sie sich jetzt die Zeit, um Ihr Netzwerk schwerer angreifbar zu machen. Sorgen Sie dafür, dass die Angreifer nicht Sie angreifen, sondern auf ein weniger sicheres Netzwerk ausweichen.
Be the first to comment