Cyberkriminelle setzen gestohlene Passwörter für ihre Angriffe ein und verwenden so gültigen Konten, um einzudringen. Besonders kompromittierte Administratorenkonten öffnen den Hackern Tür und Tor. Wie diese Attacken orchestriert werden und welche Maßnahmen zum Schutz sinnvoll sind, behandelt dieser Artikel (Sophos Hinsight #4).
Laut dem Sophos Active Adversary Playbook 2021 gehört die Verwendung gültiger Konten – über einen Benutzernamen und ein Kennwort – zu den fünf häufigsten Techniken für den Erstzugang bei Sicherheitsverletzungen (MITRE ATT&CK Technique). Gültige Anmeldeinformationen spielen in der Phase des Erstzugriffs eine wichtige Rolle. Außerden können sie natürlich auch während der gesamten Angriffskette verwendet werden, einschließlich Persistenz, Privilegienerweiterung und Umgehung der Verteidigung.
Wie eingangs beschrieben bedeutet die Nutzung gültiger Konten für Cyberangriffe für IT-Sicherheitsteams eine besondere Herausforderung. Zudem kann ein gültiges Konto innerhalb einer Organisation unterschiedliche Berechtigungsstufen haben (vom einfachen Benutzer bis hin zu Domänenadministratorrechten) und Anmeldedaten können auf viele verschiedene Arten erlangt werden.
Eine weitere Komplikation besteht darin, dass im Unternehmen möglicherweise Testkonten, Dienstkonten für den nicht-menschlichen Zugriff, APIs, Konten für Dritte für den Zugriff auf Ihre Systeme (z. B. einen ausgelagerten Helpdesk) oder Geräte mit fest codierten Anmeldedaten eingerichtet sind.
Viele Menschen nutzen ihre Unternehmensanmeldedaten auch für private Online-Dienste und die meisten verwenden hierbei eine E-Mail-Adresse anstelle des Benutzernamens, was die Bedrohungslage noch einmal verstärkt.
Auch die Wiederverwendung von Passwörtern ist leider immer noch weit verbreitet. Ein einziges durch Kriminelle gekapertes Passwort kann so den Schlüssel zu vielen weiteren Türen darstellen. Ein weiterer fataler Vorteil für die Cyberkriminellen: Im Zuge der COVID-19-Pandemie gingen Unternehmen umständehalber schnell dazu über, den Fernzugriff für alle zuzulassen, was die Angriffsfläche für die unbefugte Nutzung von virtuellen privaten Netzwerken (VPN) und Fernzugriffs-Tools weiter vergrößerte.
Die Liste der Möglichkeiten, um Anmeldedaten unbefugt zu erlangen ist tatsächlich umfangreich, deshalb hier nur der Blick auf einige der wichtigsten. Das Ziel der Hacker besteht darin, die höchste Berechtigungsstufe zu erlangen, die zum Erreichen ihrer Ziele erforderlich ist (z. B. Deaktivieren von Sicherheitsfunktionen, Exfiltrieren von Daten, Löschen von Backups und Bereitstellen von Ransomware). Da sie nicht erwarten, Domainadministratorkonten über einen Phishing-E-Mail-Angriff zu erhalten, beginnen sie mit einfacheren Zielen und arbeiten sich nach oben.
Externe Methoden wie Phishing (T1598), Brute-Force (T1110), Social Engineering (Es kann so einfach sein, dass sich jemand als Mitarbeiter eines vertrauenswürdigen IT-Anbieters ausgibt und um die Einrichtung eines Kontos bittet T1593.1) und SQL Injection (T1190) werden manchmal in Compilations of Many Breaches (COMB) zusammengefasst und im Darkweb gegen eine Gebühr oder sogar kostenlos zur Verfügung verbreitet.
Die Hacker versuchen, die erhaltenen Anmeldeinformationen mit Ihren externen Zugriffsmethoden abzugleichen und auszuprobieren (RDP – siehe Sophos Hindsight #2, VPN, FTP, Terminaldienste, CPanel, Fernzugriffstools wie TeamViewer, Cloud-Dienste wie Office 365 oder Sicherheitskonsolen). Da von den Benutzern nicht erwartet werden kann, dass sie sich mehr als ein paar Passwörter merken, werden Anmeldeinformationen häufig wiederverwendet, und Benutzernamen können oft aus E-Mail-Adressformaten abgeleitet werden. Aus diesem Grund ist die Multi-Faktor-Authentifizierung (MFA/2FA) für alle externen und internen Zugriffe wichtig (siehe Sophos Hindsight #1). Sobald ein Satz von Anmeldeinformationen erfolgreich mit einer Fernzugriffsmethode verknüpft wurde, kann der Bedrohungsakteur zu einem gültigen Benutzer werden und sich in Ihrem Unternehmen verstecken.
Bevor ich zu den Methoden der Privilegienerweiterung komme, ist es wichtig zu wissen, dass es auch andere Zugriffsmethoden gibt, die keine Anmeldedaten erfordern. Exploits (T1212) oder Standardkennwörter (T1078.1) in VPN-Konzentratoren, Exchange, Firewalls/Routern, Webser und SQL-Injection wurden bereits genutzt, um Fuß zu fassen. Drive-by-Downloads können ebenfalls dazu verwendet werden, eine Hintertür einzurichten (T1189). Wenn man erst einmal drin ist, haben einfache Benutzerkonten immer noch genügend Zugang, um verschiedene Erkundungstechniken durchzuführen und einen Weg zu finden, um zu einem privilegierteren Zugang zu wechseln oder Konten zu erstellen, um den Zugang zu erhalten.
Cyberkriminelle gehen mit der Absicht vor, den Einsatz von Tools zu vermeiden, die verdächtig sein und entdeckt werden könnten, also versuchen sie es womöglich über diese Wege:
Zudem könnten Hacker zur Installation und/oder Verwendung von „potenziell unerwünschten Programmen“ übergehen. Die oben erwähnten PSExec und PSKill sind offizielle Microsoft-Verwaltungstools, werden aber auch in vielen anderen Bereichen eingesetzt. IOBit, GMER, Process Hacker, AutoIT, Nircmd, Port-Scanner und Packet-Sniffer wurden bei den von Sophos bearbeiteten Angriffen eingesetzt. Das Ziel dieser Tools ist es, alle Endpunkt-Sicherheitslösungen lahmzulegen, damit ein Bedrohungsakteur zum nächsten Schritt übergehen kann, bei dann Tools eingesetzt werden, die wahrscheinlich einen Alarm der IT-Security Systeme auslösen würden.
Zu den beliebten Tools zum Auffinden von Konten mit höheren Berechtigungen gehören Mimikatz, IcedID, PowerSploit und Cobalt Strike. Trickbot war früher ein alter Favorit. Sie verfügen über ausgefeilte Fähigkeiten, um genau die Informationen zu erfassen, zu interpretieren, zu exportieren und zu manipulieren, die Netzwerke zur Authentifizierung von Benutzer:innenn verwenden (z. B. Kerberos).
Die Daten sind zwar bis zu einem gewissen Grad verschlüsselt, aber das hat sich für geschickte Hacker nur als lästiges Hindernis erwiesen. Der verschlüsselte Token, der das gültige Konto repräsentiert, kann oft über das Netz weitergegeben und akzeptiert werden, bekannt als Pass-the-Hash und Pass-the-Ticket Techniken.
Umfangreiche Tabellen mit Passwörtern und deren verschlüsselten Versionen werden verwendet, um ein verschlüsseltes Passwort schnell mit der Klartextversion abzugleichen. Keylogging-Tools können verwendet werden, um die Tastaturanschläge auf einem Gerät aufzuzeichnen, wenn sich jemand das nächste Mal anmeldet. Es wurden bestimmte Sicherheitslücken gefunden, die den Zugriff auf Anmeldedaten auch ohne Verwaltungsrechte ermöglichen, z.B. HiveNightmare/SeriousSam und PrintNightmare.
Und als ob das alles nicht schon schlimm genug wäre, gibt es leicht erhältliche Toolkits wie LaZagne, die alles für die Cyberkriminellen erledigen und sogar Passwörter abrufen, die in Browsern, Instant-Messaging-Software, Datenbanken, Spielen, E-Mails und WiFi gespeichert sind.
Gültige Anmeldedaten, insbesondere mit Verwaltungsrechten, haben einige wichtige Vorteile für die Angreifer. Sie können unternehmensweit verwendet werden, um Gruppenrichtlinien zu ändern, Sicherheitstools zu deaktivieren, Konten zu löschen und neue zu erstellen. Daten können exfiltriert und dann verkauft, zu Erpressungszwecken oder zur Industriespionage verwendet werden.
Sie können für Imitations- und Kompromittierungsangriffe auf geschäftliche E-Mails mit einem hohen Maß an Authentizität verwendet werden. In den meisten Fällen werden sie Ransomware-as-a-Service verbreiten und ausführe ist. Und wenn das nicht gelingt, haben wir gesehen, dass Angreifer einfach das gültige Konto verwenden, um BitLocker zu aktivieren (oder den Schlüssel zu verschieben).
Das Problem ist ernst, die Folgen sind real, aber die Lösungen sind bekannt und werden durch Menschen, Prozesse und Technologie angegangen. Die Schulung der Beschäftigten in Sachen Cybersicherheit konzentriert sich in der Regel auf die folgenden Inhalte:
In Bezug auf Verfahren und Technologie sollten diese Dinge beachtet werden:
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…