APT und gezielte Angriffe
Aktuelles aus der Incident Response
Statt klassischer Phishing-Mails geraten zunehmend Sicherheitslösungen selbst ins Visier der Kriminellen. Sie nutzen gezielt Schwachstellen in Firewalls, VPNs und AD-Strukturen, um in Unternehmensnetzwerke einzudringen – oft mit Bordmitteln und schwer erkennbar.
Save to Folio
Während noch vor wenigen Jahren über 90 Prozent der Ransomware-Angriffe mit Klicks von Mitarbeitenden auf bösartige Links begannen, hat die Implementierung wirksamer Verteidigungsmaßnahmen diesen Anteil deutlich reduziert. Cyberkriminelle reagieren darauf, indem sie sich neue Wege suchen – und zunehmend aus einer unerwarteten Richtung angreifen.
Wer in ein Unternehmensnetzwerk eindringen will, muss im Regelfall zunächst an der Firewall vorbei. Diese Brandschutzmauer soll vor allem das gewaltsame Eindringen (Brute Force) sowie die Ausnutzung von Schleichwegen in TCP/IP (offene Ports und Protokolle) verhindern. Doch auch Firewalls sind grundsätzlich Hardware, auf welcher Software läuft. Und so haben mit dem Rückgang erfolgreicher Angriffe im E-Mail-Bereich viele Angreifergruppen damit begonnen, sich näher mit den programmierbaren Komponenten dieser Lösungen auseinanderzusetzen.
Dabei stellte sich heraus, dass auch Firewall-Software Schwachstellen aufweisen kann – wie praktisch jedes Softwareprodukt. Viele Opfer unterstützen die Täter sogar noch unbewusst, indem sie die Webkonsole ihrer Firewall vom Internet aus zugänglich machen. Einige dieser Schwachstellen sind so gefährlich, dass Angreifer nicht nur von außen eindringen können, sondern auch die Sicherheitskomponente als Basis für den Angriff missbrauchen.
Der Zugriff erfolgt über VPN-Tunnel und SSH. Mit einfacher Befehlsfolge werden wichtige Komponenten im Netzwerk identifiziert, beispielsweise ESXi-Server. Weil diese Kommunikationswege auf ESXi standardmäßig geschlossen sein sollten, ist dabei ein kleiner Umweg über das Active Directory notwendig, wo die Täter sich selbst die nötigen Berechtigungen erteilen. Da ein ESXi-Server als proprietäres System keine eigenen Sicherheitsmaßnahmen installiert hat, steht der Verschlüsselung nun nichts mehr im Wege.
Das Perfide an dieser Taktik ist, dass alles mit Bordmitteln erfolgen kann – so genanntes „Living off the Land“. So umgehen die Täter zwischengeschaltete Sicherheitslösungen und andere Gegenmaßnahmen.
Empfehlungen zum Schutz vor solchen Angriffen
- Auch eine Firewall funktioniert mit Software. Entsprechend kann sie Sicherheitslücken haben. Da diese Lösungen aufgrund ihrer exponierten Lage besonders spannend für Kriminelle sind, sollten Schwachstellen dort mit höchster Priorität gepatcht werden. Neben Herstellern und Fachhandelspartnern unterstützt beispielsweise auch das BSI dabei, Informationen über gefährdete Systeme zu verteilen. Prüfen Sie, ob derartige Informationen Sie schnell genug erreichen und erarbeiten Sie Prozesse für eine rasche Installation von Patches!
- Eine SIEM-Lösung oder ein ähnlicher Prüfmechanismus kann erkennen, ob zu einer ungewöhnlichen Zeit oder von einer ungewöhnlichen IP-Adresse auf die Firewall zugegriffen wurde. Das System ist auch in der Lage, Brute-Force-Attacken als solche zu erkennen. Das setzt natürlich voraus, dass die Firewall-Logs auch an das SIEM weitergeleitet werden!
- EDR- und NDR-Lösungen liefern wichtige Frühwarnsignale – etwa bei ungewöhnlichen Aktivitäten im Active Directory oder auffälligem Netzwerkverkehr. Gelingt es Angreifern jedoch, sich dort gültige Berechtigungen zu verschaffen, imitiert der anschließende VPN-Zugriff legitimen Traffic und wird deutlich schwerer erkennbar. Entscheidend ist daher, die Kompromittierung des Active Directory frühzeitig zu erkennen, bevor der Angreifer im Netzwerk etabliert ist. Zero-Trust-Ansätze können helfen, indem sie auch formal gültige Zugänge kontinuierlich prüfen.
- Backup und Rücksicherungsprozesse sollten heutzutage selbstverständlich sein. Dennoch möchten wir darauf hinweisen, dass diese vor allem für kritische Systeme extrem wichtig sind.
- Der Vollständigkeit halber sei darauf hingewiesen, dass IPS-Lösungen (Intrusion-Prevention-Systeme) die Ausnutzung auch solcher Schwachstellen verhindern können. Da dies aber bei einer Firewall logisch vor dem Gerät erfolgen muss, ist dies jedoch für die meisten Unternehmen aus Kostengründen vermutlich nicht umsetzbar.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.