CCP-Weiß. APT-Angriffe Funktion und Schutz

Transkript

1 APT-Angriffe Funktion und Schutz CETUS Consulting 2015

2 Inhaltsverzeichnis 1. Dokumentinformation mit Einstufung Ablauf eines Angriffs Die Kompromittierung Informationen beschaffen Zugriff erhalten Die Ausbreitung im Netzwerk Die Ausschleusung der Daten Fazit Maßnahmen Analyse der eingesetzten Systeme auf aktuelle Patchlevel Kontrollieren Sie den Zugang zum Internet Kontrollieren Sie den Verkehr Machen Sie nicht jede Herstellerschweinerei mit... 9 CETUS Consulting 2015

3 Dokumentinformation mit Einstufung 1. Dokumentinformation mit Einstufung Autoren Frederik Humpert-Vrielink Version 1.0 Änderungshistorie Datum Änderung Autor Kapitel Erstellung s.o. Alle Einstufung Unbegrenzte Verteilung Freie Weitergabe ohne Beschränkung. Verschlüsselung: Weitere Einschränkungen: Nein Keine CETUS Consulting 2016

4 Ablauf eines Angriffs 2. Ablauf eines Angriffs Advanced Persistent Threats (kurz APTs) sind eine steigende Bedrohung innerhalb der digitalisierten Welt auch Krankenhäuser sind hiervor nicht sicher. APTs unterscheiden sich von anderen Hackerangriffen wie Ransomware oder Zufallswellen, da sie ein bestimmtes Ziel haben entweder die Steuerung von Geräten oder das Ausleiten von Patietendaten in einem Krankenhaus. APTs sind Advanced (fortschrittlich), da die Angreifer häufig Zero-Day-Malware und -Exploits entwickeln, die exakt auf die Zielorganisationen zugeschnitten sind. Hier unterscheidet sich ein APT von klassischer Ransomware, die weit gestreut wird und oft nur Zufallsopfer findet. APT starten oft zielgerichtete Phishing -Angriffe, um Benutzersysteme auszunutzen. APTs nutzen das gesamte Spektrum an logischen, physischen und sozialen Angriffsvektoren und sind meist sehr leistungsfähig und ausgeklügelt. APTs sind Persistent (andauernd), da sie ihr Ziel sehr beharrlich und methodisch auskundschaften, manipulieren und sich dann Daten widerrechtlich aneignen. Bei einem APT spielt es keine Rolle, ob das Ziel in einer Woche oder in einem Jahr erreicht wird Hauptsache, es wird erreicht. Ob APT-Angriffe auf Krankenhäuser eine hohe Gefahr darstellen, ist nicht klar. Allerdings dürfte klar sein, dass APT-Angriffe gerade auf Krankenhäuser, die in der klinischen Forschung für die Pharmaindustrie aktiv sind, eine Wahrscheinlichkeit darstellen. Es gibt keinen einheitlichen von APTs verwendeten Angriffsvektor und kein einheitliches Angriffsmuster. Deshalb ist es so schwer für Krankenhäuser, sich vor einem APT-Angriff zu schützen. Eine mehrstufige Sicherheitsstrategie (Defense-in-Depth) über logische, physische und soziale Grenzen hinweg ist deshalb von höchster Bedeutung. Während der APT versucht, sich durch das mehrstufige Sicherheitssystem zu arbeiten und an verschiedenen Angriffspunkten Logdaten aufgezeichnet werden, entsteht anhand des phasenübergreifenden Zusammenhangs der Kontext, was wann und wie vor sich geht. Zwar unterscheiden sich alle APTs voneinander, doch folgen sie einem Lebenszyklus. Zunächst wird eine Zielorganisation ausgekundschaftet, ein Host wird kompromittiert und Benutzerdaten werden gestohlen. Danach werden Tools installiert, um den dauerhaften Zugriff auf das System gewährleisten zu können und der APT bewegt sich durch das Netzwerk. Letztendlich werden die gewünschten Daten dann gestohlen. Wenngleich diese Aktivitäten gewöhnlich im Verborgenen erfolgen, dabei maßgeschneiderte Malware zum Einsatz kommt und gültige Benutzerdaten gestohlen werden, hinterlässt der APT in jeder Phase seines Lebenszyklus Spuren und Hinweise in den Protokollen. Abbildung 1 verdeutlicht dies. 3. Die Kompromittierung 3.1. Informationen beschaffen Zwar ist der Prozess der Informationsbeschaffung eines Ziels größte teils passiv, doch letztlich wird die Infrastruktur des Krankenhauses zu irgendeinem Zeitpunkt angegriffen. Informationen über potenzielle Opfer erhalten Angreifer auf einschlägigen Internetdiensten wie XING oder Facebook oder auf wissenschaftlichen Kongressen. So können gezielt Personen identifiziert werden, die ein lohnendes Ziel sind. Obwohl es viele Möglichkeiten gibt, einen Host zu kompromittieren, übermittelten Cyberkriminelle in der Vergangenheit meist maßgeschneiderte Malware mittels einer Spear-Phishing-Kampagne, wobei gewöhnlich Zero-Day-Schwachstellen ausgenutzt wurden. Diese Malware, die auf die Zielorganisation zugeschnitten ist, umgeht traditionelle, signaturbasierende Verteidigungsmechanismen. Der Zero CETUS Consulting 2016

5 Die Kompromittierung Day-Angriff stellt sicher, dass das Ziel unabhängig vom Patch-Level kompromittiert werden kann. Die Spear-Phishing-Versuche sind in der Regel so ausgeklügelt, dass sie wie eine seröse - Nachricht wirken und der Arzt oder Verwaltungsmitarbeiter den -Anhang öffnet oder den Hyperlinks im -Text folgt. Wenn der Mitarbeiter einen schadhaften Anhang öffnet oder einem schadhaften Hyperlink folgt, startet der Exploit. Abbildung 1 - Spurensuche einer APT Attacke Diese Exploits sind so programmiert, dass sie oftmals Größen beschränkungen hinsichtlich der Code- Menge unterliegen, die eingeschleust werden kann. Unmittelbar nachdem der Exploit gestartet ist, nimmt die Malware gewöhnlich Verbindung zur Infrastruktur auf, um den restlichen schadhaften Code (Payload) herunterladen und installieren zu können. Hier können intelligente Sicherheitsmaßnahmen greifen Zugriff erhalten Sobald ein Host kompromittiert ist, muss der APT sicherstellen, dass er Zugriff erhält.zudem werden sowohl auf dem zuerst kompromittierten Host als auch auf den anderen Hosts der Netzwerk-Infrastruktur Tools für den Remotezugriff installiert. Ziel ist es, den ursprünglichen Angriff auszudehnen, damit selbst bei Erkennung einer oder mehrerer der Sicherheitsverletzungen die Zugriffsmöglichkeiten erhalten bleiben. Die Tools für den Remotezugriff dienen dabei als Türöffner, sollte die Kompromittierung der Benutzerdaten erkannt werden. Im Allgemeinen werden die gestohlenen Benutzerdaten in der nächsten Phase des APT-Angriffs genutzt. Alternativ kann ein APT auch polymorphe Programme installieren, die langsam alle Dateien des Netzwerks verschlüsseln und ein Lösegeld erpressen. Remote-Zugriffs Tools werden nicht einfach nur installiert. Sie können auch dazu genutzt werden, weitere Prozesse, die auf der Whitelist stehen, anzustoßen. So können sie dann beispielsweise weitere CETUS Consulting 2016

6 Die Kompromittierung Module installieren, dabei die entsprechenden Datenpakete verschleiern, sich an anderer Stelle installieren und konfigurieren, so dass sie auch nach einem Neustart des Systems wieder genutzt werden können. Zudem ist es möglich, dass diese Tools sich abschließend selbst löschen, um alle Spuren zu beseitigen. Nach einem Neustart sind dann lediglich die neu installierten Module vorhanden. Wie die ausgeklügelten x64bit-apt-payloads gezeigt haben, nutzte ein bestimmtes Rootkit den Code, der in die Padding-Bytes oder den Whitespace einer JPG-Datei eingebettet ist. Diese Datei verbreitete sich im Internet und wurde von dem ersten ursprünglichen Malware-Payload in der Phase der Kompromittierung aufgerufen. Die Datei entpackte ihren Code, kompilierte den bis dahin verschlüsselten Code, und versetzte sich dann in den Sleep-Modus, um auf weitere Aufrufe oder Aktionen zu warten. Anschließend rief die Datei weitere Module im Internet auf. Dieser ungehinderte Zugang durch die Hintertür gibt dem APT-Angreifer Zeit, um über Tage, Monate und in einigen Fällen Jahre hinweg in das System einzudringen und sich Daten und Informationen anzueignen. Abbildung 2 verdeutlicht dies Die Ausbreitung im Netzwerk In dieser Phase des Angriffs versucht der APT herauszufinden, wo sich die gewünschten Daten befinden und durchdringt das Netzwerk, um an diese Daten zu gelangen. Oftmals werden kompromittierte Benutzerdaten verwendet, da böswillige Aktivitäten schwerer nachzuweisen sind, wenn sie mit den Benutzerdaten eines autorisierten Mitarbeiters des Unternehmens ausgeführt werden. Abbildung 2 - Ereignisse eines APT-Angriffs 3.4. Die Ausschleusung der Daten Der Datendiebstahl ist die letzte Phase eines klassischen APT-Lebenszyklus. Dabei identifiziert der APT die gewünschten Daten, sammelt diese und übermittelt sie an den Angreifer. Alternativ kann CETUS Consulting 2016

7 Die Kompromittierung auch die Fernsteuerung bestimmter Geräte vorgenommen werden. Im Krankenhaus möglicherweise tödlich. Meist werden die verschiedenen Daten dabei gesammelt und auf einem einzigen Host aggregiert, um sie dann aus dem Netzwerk zu schleusen. Es kann aber auch vorkommen, dass sie direkt an den Angreifer übermittelt werden. Oftmals werden die Daten in einer verschlüsselten Datei zusammengeführt, um sicherzustellen, dass DLP-Lösungen (Data Loss Prevention) diese Daten nicht analysieren, wenn sie das Netzwerk verlassen. Krankenhäuser verfügen oft nicht über derartige Lösungen, so dass dieser Aufwand noch nicht einmal nötig wäre. Dabei ist zu beachten, dass die Methode zum Ausleiten von Daten und der Austrittspunkt nicht notwendigerweise gleich dem Eintrittspunkt sind Fazit In der Vergangenheit erkannten viele Krankenhäuser erst lange Zeit später, dass sie Opfer eines Advanced Persistent Threats wurden. Ransomware fällt im Allgemeinen deutlich früher auf. Auch heute gibt es sicher zahlreiche Krankenhäuser, die Opfer eines APTs sind und es nicht wissen. Abbildung 3 - Spurensuche - welche Logs werden generiert? Gängige Sicherheitslösungen bieten heute nicht die notwendigen Sicherheitsmechanismen, um einen APT erfolgreich abzuwehren selbst die Lösungen nicht, die das Defense-in-Depth -Modell nutzen. Auch eine Antivirenlösung oder IDS/IPS-Software kann diese zielgerichteten Angriffe oftmals auch Zero-Day Malware oftmals nicht aufspüren CETUS Consulting 2016

8 Maßnahmen Sobald gültige Benutzerdaten kompromittiert wurden, wird es noch schwieriger, einen APT zu erkennen. Sofern Unternehmen jedoch ein starkes Defense-in-Depth Modell, ein umfassendes, automatisiertes und kontinuierliches Monitoring mit einer ausgeklügelten Sicherheitsanalyse kombinieren, können sie APTs früher und präziser denn je erkennen. So lassen sich auch die Auswirkungen dieser Angriffe deutlich verringern. 4. Maßnahmen So schwer es für Krankenhäuser ist, APTs zu erkennen und zu beseitigen oder Ransomware gänzlich auszuschließen, so einfach ist es, das Risiko auf einen geringen Rest zu minimieren Analyse der eingesetzten Systeme auf aktuelle Patchlevel APTs und Ransomware nutzen meist bekannte Sicherheitsschwachstellen oder Zero-Day-Exploits in Systemen oder "Convenience-Produkten" zur einfachen Dateinanzeige oder zur Videoansicht aus. Prüfen Sie umgehend, ob Ihre Systeme auf den aktuellen Patchleveln sind. Das Risiko, dass die Ransomware oder ein APT dann zuschlägt wird damit minimiert. Systeme, die nicht aktualisiert werden können, sollten bei erhöhter Gefahr vom Internet getrennt werden oder so isoliert, dass Schädlinge keinen Netzwerkzugriff erhalten können. Schaffen Sie einfache und verwaltbare Netzwerkstrukturen, die schnell aktualisiert werden können. Das Zeitfenster vom Bekanntwerden einer Zero-Day Schwachstelle oder einer Sicherheitslücke bis zum Exploit und damit einem möglichen Angriff oder einer Zufallswelle beträgt weniger als sieben Tage. Angreifer sind schnell und meist gut ausgerüstet. Zudem sind Exploit-Kits frei verfügbar Kontrollieren Sie den Zugang zum Internet APTs und Ransomware kommunizieren meist mit einem externen Server - dem sogenannten Command-and-Control Server. Dieser Server wird oft über Standard-HTTP Ports wie 80 oder 443 adressiert, um nicht erkannt zu werden. Sobald verschlüsselte Zugänge genutzt werden, ist die Analyse über technische Intrusion Detection Systeme schwer bis nicht machbar, da die verschlüsselten Datenstreams nicht analysiert werden können. Daher ist als Vorbeugung wichtig, zu prüfen, welche Kommunikationspartner über verschlüsselte Verbindungen adressiert werden müssen. Ein Whitelist-Verfahren zu etablieren ist zwar aufwändig, aber aktuell der einzige vermutlich wirksame Schutz, um für APTs und Ransomware die Kommunikation mit dem Command & Control-Server zu unterbinden. Im Vertrauenskreis Ihrer Kommunikationspartner ist das Risiko, Opfer einer Ransomware oder eines APTs zu werden gering. Daher kann hier auch die verschlüsselte Kommunikation zugelassen werden. Auch wenn diese Entscheidung unpopulär ist, weil manche Internetanbieter dann nicht mehr ohne weiteres erreichbar sind, minimiert Sie das Risiko doch erheblich. Ein Schädling könnte dann nicht mehr mit seinem Command & Control System kommunizieren und den Payload nicht mehr nachladen. Auch der Einfallsvektor über manipulierte Links z.b. zu Dropbox oder OneDrive ist nicht mehr möglich CETUS Consulting 2016

9 Maßnahmen 4.3. Kontrollieren Sie den Verkehr Bis eine Ransomware oder ein APT von Virenscannern oder Schutzsoftware entdeckt wird, vergeht eine gewisse Zeit. Um dieses Zeitfenster zu sichern, können Sie nach Bekanntwerden einer gefährlichen Ransomware oder potenzieller APT-Gefahren die Einfallstore absichern. Dazu gehören einfache Maßnahmen wie das blockieren von Anhängen oder das blockieren von Zugriffen auf Cloudienste wie Dropbox, OneDrive oder GoogleDrive. Falls Ihr Krankenhaus oder Unternehmen nicht vollständig auf Anhänge verzichten kann, wählen Sie den Königsweg: Implementieren Sie einen sogenannten Vertrauenskreis (Circle-of-Trust) mit den Kommunikationspartnern, die Ihnen bekannt sind und häufig Anhänge von außen schicken. Mit diesen Partnern bilden Sie dann eine Whitelist, deren Anhänge nicht blockiert werden. Gleichzeitig implementieren Sie einen Prozess, diese Whitelist zu pflegen und zu aktualisieren. Der Aufwand ist geringer als die Kosten eines Sicherheitsvorfalls. Weitergehend können Sie die Kommunikation per signierter zulassen und forcieren. Bitten Sie Ihre Kommunikationspartner, nur noch signierte s mit Identitätsnachweis zu versenden und weisen Sie darauf hin, dass Anhänge nur noch von signierten s akzeptiert werden. Diese werden dann ebenfalls nicht blockiert. Auch diese Maßnahme ist einfach, aber oft unpopulär, weil die Sensibilisierung nicht vorhanden ist. Für den Zugang von Anhängen unbekannter Absender können Sie eigene Adressen einrichten, die auf speziellen Arbeitsplätzen bearbeitet werden, die wenige bis gar keine Rechte im Netzwerk besitzen. Bedenken Sie immer der Luxus, dass unbegrenzt und überall zur Verfügung steht benötigt für sicheren Betrieb auch die Wahrnehmung der Nutzer. Bis diese Wahrnehmung und Sensibilisierung nicht vorhanden ist, helfen nur strenge technische Maßnahmen Machen Sie nicht jede Herstellerschweinerei mit Die Heterogenität der Anwendungen in einem Krankenhaus führt oft zu nicht klar konzipieren Architekturen und nicht klar definierten Sicherheitsvorgaben. Nutzen Sie die aktuelle Gelegenheit, um Ihr Haus auf Sicherheitslücken bei vernetzten Medizingeräten und IT-Systemen, die nicht regelmäßig aktualisiert werden zu durchforsten. Schließen Sie die Lücken oder treffen Sie organisatorische Vorgaben. Etablieren Sie für zukünftige Beschaffungen klare Regelungen, nach denen vorzugehen ist. Weichen Sie nicht von diesen Regelungen ab, nur so schaffen Sie es, eine sichere Betriebsstruktur für Ihre IT durchzusetzen CETUS Consulting 2016