So verhindern Sie den Passwortklau

Cyberkriminelle setzen gestohlene Passwörter für ihre Angriffe ein und verwenden so gültigen Konten, um einzudringen. Besonders kompromittierte Administratorenkonten öffnen den Hackern Tür und Tor. Wie diese Attacken orchestriert werden und welche Maßnahmen zum Schutz sinnvoll sind, behandelt dieser Artikel (Sophos Hinsight #4).

Laut dem Sophos Active Adversary Playbook 2021 gehört die Verwendung gültiger Konten – über einen Benutzernamen und ein Kennwort – zu den fünf häufigsten Techniken für den Erstzugang bei Sicherheitsverletzungen (MITRE ATT&CK Technique). Gültige Anmeldeinformationen spielen in der Phase des Erstzugriffs eine wichtige Rolle. Außerden können sie natürlich auch während der gesamten Angriffskette verwendet werden, einschließlich Persistenz, Privilegienerweiterung und Umgehung der Verteidigung.

Ein schwieriges Thema für IT-Sicherheitsteams

Wie eingangs beschrieben bedeutet die Nutzung gültiger Konten für Cyberangriffe für IT-Sicherheitsteams eine besondere Herausforderung. Zudem kann ein gültiges Konto innerhalb einer Organisation unterschiedliche Berechtigungsstufen haben (vom einfachen Benutzer bis hin zu Domänenadministratorrechten) und Anmeldedaten können auf viele verschiedene Arten erlangt werden.

Eine weitere Komplikation besteht darin, dass im Unternehmen möglicherweise Testkonten, Dienstkonten für den nicht-menschlichen Zugriff, APIs, Konten für Dritte für den Zugriff auf Ihre Systeme (z. B. einen ausgelagerten Helpdesk) oder Geräte mit fest codierten Anmeldedaten eingerichtet sind.

Viele Menschen nutzen ihre Unternehmensanmeldedaten auch für private Online-Dienste und die meisten verwenden hierbei eine E-Mail-Adresse anstelle des Benutzernamens, was die Bedrohungslage noch einmal verstärkt.

Auch die Wiederverwendung von Passwörtern ist leider immer noch weit verbreitet. Ein einziges durch Kriminelle gekapertes Passwort kann so den Schlüssel zu vielen weiteren Türen darstellen. Ein weiterer fataler Vorteil für die Cyberkriminellen: Im Zuge der COVID-19-Pandemie gingen Unternehmen umständehalber schnell dazu über, den Fernzugriff für alle zuzulassen, was die Angriffsfläche für die unbefugte Nutzung von virtuellen privaten Netzwerken (VPN) und Fernzugriffs-Tools weiter vergrößerte.

Wie kommen die kriminellen Eindringlinge an echte Anmeldedaten?

Die Liste der Möglichkeiten, um Anmeldedaten unbefugt zu erlangen ist tatsächlich umfangreich, deshalb hier nur der Blick auf einige der wichtigsten. Das Ziel der Hacker besteht darin, die höchste Berechtigungsstufe zu erlangen, die zum Erreichen ihrer Ziele erforderlich ist (z. B. Deaktivieren von Sicherheitsfunktionen, Exfiltrieren von Daten, Löschen von Backups und Bereitstellen von Ransomware). Da sie nicht erwarten, Domainadministratorkonten über einen Phishing-E-Mail-Angriff zu erhalten, beginnen sie mit einfacheren Zielen und arbeiten sich nach oben.

Externe Methoden wie Phishing (T1598), Brute-Force (T1110), Social Engineering (Es kann so einfach sein, dass sich jemand als Mitarbeiter eines vertrauenswürdigen IT-Anbieters ausgibt und um die Einrichtung eines Kontos bittet T1593.1) und SQL Injection (T1190) werden manchmal in Compilations of Many Breaches (COMB) zusammengefasst und im Darkweb gegen eine Gebühr oder sogar kostenlos zur Verfügung verbreitet.

Die Hacker versuchen, die erhaltenen Anmeldeinformationen mit Ihren externen Zugriffsmethoden abzugleichen und auszuprobieren (RDP – siehe Sophos Hindsight #2, VPN, FTP, Terminaldienste, CPanel, Fernzugriffstools wie TeamViewer, Cloud-Dienste wie Office 365 oder Sicherheitskonsolen). Da von den Benutzern nicht erwartet werden kann, dass sie sich mehr als ein paar Passwörter merken, werden Anmeldeinformationen häufig wiederverwendet, und Benutzernamen können oft aus E-Mail-Adressformaten abgeleitet werden. Aus diesem Grund ist die Multi-Faktor-Authentifizierung (MFA/2FA) für alle externen und internen Zugriffe wichtig (siehe Sophos Hindsight #1). Sobald ein Satz von Anmeldeinformationen erfolgreich mit einer Fernzugriffsmethode verknüpft wurde, kann der Bedrohungsakteur zu einem gültigen Benutzer werden und sich in Ihrem Unternehmen verstecken.

Ein roter Hacker versteckt sich unter der Belegschaft (Bild: Sophos)

Vorgehen der Cyberkriminellen

Bevor ich zu den Methoden der Privilegienerweiterung komme, ist es wichtig zu wissen, dass es auch andere Zugriffsmethoden gibt, die keine Anmeldedaten erfordern. Exploits (T1212) oder Standardkennwörter (T1078.1) in VPN-Konzentratoren, Exchange, Firewalls/Routern, Webser und SQL-Injection wurden bereits genutzt, um Fuß zu fassen. Drive-by-Downloads können ebenfalls dazu verwendet werden, eine Hintertür einzurichten (T1189). Wenn man erst einmal drin ist, haben einfache Benutzerkonten immer noch genügend Zugang, um verschiedene Erkundungstechniken durchzuführen und einen Weg zu finden, um zu einem privilegierteren Zugang zu wechseln oder Konten zu erstellen, um den Zugang zu erhalten.

Cyberkriminelle gehen mit der Absicht vor, den Einsatz von Tools zu vermeiden, die verdächtig sein und entdeckt werden könnten, also versuchen sie es womöglich über diese Wege:

• Informationen über das System und die Umgebung mit einfachen Befehlen wie „whoami“ und „ipconfig“ ermitteln
• Das Gerät, auf dem man sich befindet (und alle zugeordneten Laufwerke) nach Dateien mit „Kennwörtern“ im Namen oder Inhalt durchsuchen
• LDAP durchsuchen, um zu sehen, welche anderen Konten interessant sein könnten
• Durchsuchen der Windows-Registrierung nach gespeicherten Anmeldeinformationen
• Durchsuchen von Web-Cookies nach gespeicherten Anmeldeinformationen
• Ein PowerShell-basiertes Befehls- und Steuerungstool ablegen, damit ich wieder eindringen kann, selbst wenn Sie ein Kennwort ändern oder einen Patch für Ihre Sicherheitslücke installieren (T1059.1)
• Herausfinden, welche Programme installiert sind – Fernzugriffstools und Admin-Tools wie PSExec und PSKill können sehr nützlich sein, wenn sie bereits vorhanden sind (T1592.2)

Zudem könnten Hacker zur Installation und/oder Verwendung von „potenziell unerwünschten Programmen“ übergehen. Die oben erwähnten PSExec und PSKill sind offizielle Microsoft-Verwaltungstools, werden aber auch in vielen anderen Bereichen eingesetzt. IOBit, GMER, Process Hacker, AutoIT, Nircmd, Port-Scanner und Packet-Sniffer wurden bei den von Sophos bearbeiteten Angriffen eingesetzt. Das Ziel dieser Tools ist es, alle Endpunkt-Sicherheitslösungen lahmzulegen, damit ein Bedrohungsakteur zum nächsten Schritt übergehen kann, bei dann Tools eingesetzt werden, die wahrscheinlich einen Alarm der IT-Security Systeme auslösen würden.

Beliebte Tools

Zu den beliebten Tools zum Auffinden von Konten mit höheren Berechtigungen gehören Mimikatz, IcedID, PowerSploit und Cobalt Strike. Trickbot war früher ein alter Favorit. Sie verfügen über ausgefeilte Fähigkeiten, um genau die Informationen zu erfassen, zu interpretieren, zu exportieren und zu manipulieren, die Netzwerke zur Authentifizierung von Benutzer:innenn verwenden (z. B. Kerberos).

Die Daten sind zwar bis zu einem gewissen Grad verschlüsselt, aber das hat sich für geschickte Hacker nur als lästiges Hindernis erwiesen. Der verschlüsselte Token, der das gültige Konto repräsentiert, kann oft über das Netz weitergegeben und akzeptiert werden, bekannt als Pass-the-Hash und Pass-the-Ticket Techniken.

Umfangreiche Tabellen mit Passwörtern und deren verschlüsselten Versionen werden verwendet, um ein verschlüsseltes Passwort schnell mit der Klartextversion abzugleichen. Keylogging-Tools können verwendet werden, um die Tastaturanschläge auf einem Gerät aufzuzeichnen, wenn sich jemand das nächste Mal anmeldet. Es wurden bestimmte Sicherheitslücken gefunden, die den Zugriff auf Anmeldedaten auch ohne Verwaltungsrechte ermöglichen, z.B. HiveNightmare/SeriousSam und PrintNightmare.

Und als ob das alles nicht schon schlimm genug wäre, gibt es leicht erhältliche Toolkits wie LaZagne, die alles für die Cyberkriminellen erledigen und sogar Passwörter abrufen, die in Browsern, Instant-Messaging-Software, Datenbanken, Spielen, E-Mails und WiFi gespeichert sind.

Gültige Anmeldeinformationen sind ein Einfallstor

Gültige Anmeldedaten, insbesondere mit Verwaltungsrechten, haben einige wichtige Vorteile für die Angreifer. Sie können unternehmensweit verwendet werden, um Gruppenrichtlinien zu ändern, Sicherheitstools zu deaktivieren, Konten zu löschen und neue zu erstellen. Daten können exfiltriert und dann verkauft, zu Erpressungszwecken oder zur Industriespionage verwendet werden.

Sie können für Imitations- und Kompromittierungsangriffe auf geschäftliche E-Mails mit einem hohen Maß an Authentizität verwendet werden. In den meisten Fällen werden sie Ransomware-as-a-Service verbreiten und ausführe ist. Und wenn das nicht gelingt, haben wir gesehen, dass Angreifer einfach das gültige Konto verwenden, um BitLocker zu aktivieren (oder den Schlüssel zu verschieben).

Schutz für Unternehmen

Das Problem ist ernst, die Folgen sind real, aber die Lösungen sind bekannt und werden durch Menschen, Prozesse und Technologie angegangen. Die Schulung der Beschäftigten in Sachen Cybersicherheit konzentriert sich in der Regel auf die folgenden Inhalte:

• Erkennen von Phishing-E-Mail
• Keine Wiederverwendung von Passwörtern – Passwortmanagement-Tools
• Keine Arbeitspasswörter für persönliche Konten
• Anforderungen an die Komplexität von Passwörtern
• Vermeiden dubioser Websites

In Bezug auf Verfahren und Technologie sollten diese Dinge beachtet werden:

• Die Multi-Faktor-Authentifizierung sollte so weit wie möglich eingesetzt werden.
• Die externe Angriffsfläche sollte so klein wie möglich sein und auf dem neuesten Stand gehalten werden
• Reduzierung der Anzahl der Konten auf höchster Ebene auf ein Minimum. Acht Domänenadministratoren sind zu viel…
• Beschränkung der Nutzung lokaler Administrationsrechte
• Dienstkontenhygiene – Entfernung nicht genutzter Dienst- und Testkonten
• Kontrolle und Überwachung der Verwendung von leistungsstarken Admin-Tools und potenziell unerwünschten Programmen
• Überwachung auf unerwartete Anmeldungen (z. B. nach Ort und Zeit)