Löcher im Schutz von Unternehmensnetzwerken: Netzwerk-Schwachstellen

In einem früheren Blog haben wir darüber berichtet, welche Attacken Cyberkriminelle durchführen können, die mit dem Account eines normalen Anwenders operieren, ohne über die Rechte eines lokalen Administrators zu verfügen. Unter anderem haben wir das Beispiel angeführt, wie die so genannte Eilanmeldung im Rahmen der Domain-Autorisierung (Single-Sign-On) es einem Cyberkriminellen ermöglichen kann, Zugriff auf verschiedene Netzwerkressourcen zu erhalten, auch wenn er nur mit dem eingeschränkten Account eines gewöhnlichen Anwenders agiert. In diesem Blog betrachten wir detailliert die möglichen Angriffsvektoren auf Unternehmensnetzwerke von innen heraus, d.h. von einem infizierten Computer aus.

Nachdem sich ein Online-Gangster die Kontrolle über irgendein Anwendersystem innerhalb eines Unternehmensnetzwerks verschafft hat, lassen sich alle folgenden Ereignisse in drei aufeinanderfolgende Etappen einteilen: Einnistung im System, Analyse der Umgebung und Ausbreitung. Für die Umsetzung jeder dieser Etappen gibt es eine Vielzahl von Möglichkeiten, die sich durch die technischen Methoden, Strategien und Taktiken voneinander unterscheiden. Die möglichen Vorgehensweisen eines Cyberkriminellen, die auf die Einnistung, Analyse und Ausbreitung im Unternehmensnetzwerk ausgerichtet sind, sind auf dem unten stehenden Schema dargestellt.

netvuln

Schema der möglichen Vorgehensweisen eines Cyberkriminellen

Für IT-Sicherheitsexperten ist es wichtig, die Anzeichen zu kennen, die rechtzeitig auf die eine oder andere Attacke hinweisen. Mit Hilfe des vorgeschlagenen „Aktionswegweisers“ können IT-Sicherheitsfachleute eine Attacke erkennen, indem sie die Ereignisse im Netzwerk mit den verschiedenen möglichen Vorgehensweisen Cyberkrimineller abgleichen.

Einnistung im System

In den ersten Minuten und Stunden nach dem Eindringen in ein Unternehmensnetzwerk lädt ein Hacker normalerweise Tools (unter anderem schädliche) auf den attackierten Computer, die für die folgenden Aktionen benötigt werden: Sammeln von Informationen über das System und die installierte Software, Suche nach Dateien und Daten, Verbindungsherstellung mit dem Steuerungszentrum (C&C), Diebstahl von Kontodaten, Prüfung von Passwörtern, Hacken von Accounts, Erhöhung der Privilegien, Infektion des Systems, Abfangen des Netztraffics, Scannen der Geräte im Netz usw.

Um den Download aller benötigten Werkzeuge vor den Augen der Netzwerkadministratoren und IT-Sicherheitsexperten zu verbergen und den Alarm aller möglichen Schutzlösungen zu deaktivieren, greifen Cyberkriminelle auf Tricks und Kniffe unterschiedlicher Komplexität zurück:

  • Die Dateien werden über Allerwelts-Netzprotokolle/-Ports (HTTP, FTP, HTTPS, SFTP) übermittelt und gehen in dem enormen Strom des alltäglichen Anwender-Traffics unter.
  • Die Dateien werden unter Einsatz von Fast Flux-Netzen oder über Tor von gehackten Servern geladen.
  • Die Dateien werden gestückelt übertragen, in obfuskierter und/oder verschlüsselter Form.
  • Manchmal werden zur Übertragung verschiedene Steganografie-Arten benutzt, beispielsweise Verbergen von Daten in Audio/Video-Dateien, Bildern oder Headern von Internet-Protokollen (insbesondere, wenn die Allerweltsports von einer Firewall geschützt werden).

Nach dem Download der benötigten Tools versucht der Cyberkriminelle, sich Zugriff auf den Account des lokalen Administrators oder auf das Systemkonto zu verschaffen. Im ersten Fall wird üblicherweise Software zum Abfangen der Tastatureingaben, zum Überprüfen der Passwörter, zum Hacken von Accounts oder zum Phishing verwendet. Im zweiten Fall, also für den Zugriff auf den System-Account (d.h. auf Rechte auf Kernel-Ebene), kommen normalerweise Exploits zu Sicherheitslücken in Systemdiensten zum Einsatz.

Unter Verwendung der so erhaltenen Privilegien ist ein Cyberkrimineller in der Lage, tief ins System einzudringen, nachdem er ein Rootkit oder Bootkit ins Betriebssystem eingeschleust hat, er kann das System von allen Spuren des Eindringens säubern und seine Tools sowie die Spuren einer aktiven Infektion vor den lokalen Schutzmitteln verbergen. Wenn es einem Cyberkriminellen nicht gelungen ist, sich auf die „klassische“ Art und Weise im System festzusetzen, so kann er eine automatische Infektion des Systems konfigurieren, indem er einen Standard Task Schedulers verwendet.

Selbstverständlich können sich in jedem konkreten Fall die Arten des „Einnistens“ im System von der oben stehenden Beschreibung unterscheiden. Doch wie wir bereits eingangs erwähnten, ist es für Informationssicherheitsexperten wichtig, die Prinzipien der Angriffsdurchführung zu verstehen und sich die Aufgaben vorstellen zu können, die ein Cyberverbrecher zu lösen hat. So besteht im Stadium der Einnistung die Hauptaufgabe eines Angreifers darin, sich einen langfristigen und zuverlässigen Zugriff auf das attackierte System zu organisieren. Im Allgemeinen besteht die Lösung des Problems des entfernten Zugriffs aus zwei Teilen: Schaffung eines Datenübertragungskanals und Einschleusung von Mitteln zu entfernten Steuerung (Backdoor).

In Abhängigkeit von der Netzwerkkonfiguration, den Firewall-Policies und den Einstellungen der Angriffserkennungssysteme und der Systeme zur Verhinderung von Einschleusungen (IDS/IPS) wenden Cyberkriminelle entweder eine direkte Verbindung oder eine Rückverbindung an. Eine direkte Verbindung (ein Cyberkrimineller stellt eine Verbindung mit einem angegriffenen System her) ist beispielsweise nur dann möglich, wenn das System eine externe IP-Adresse und offene Netzwerk-Ports hat, wobei die externe Verbindung zu diesen nicht durch eine Firewall blockiert werden darf. Sind diese Voraussetzungen nicht gegeben, wird eine Rückverbindung aufgebaut, d.h. ein angegriffenes System stellt eine Verbindung mit einem entfernten Server her. Unabhängig vom Verbindungstyp werden für die Datenübermittlung dieselben Methoden benutzt, wie auch für den Download von Tools und Schadsoftware auf einen infizierten Computer, und zwar werden die Daten über Allerwelts-Protokolle/Ports in verschlüsselter/obfuskierter Form unter Verwendung von Fast Flux oder Tor übermittelt. Als Datenübertragungskanäle können Cyberverbrecher zudem gewöhnliche Anwendersoftware benutzen, wie z.B. Cloud-Speicher, E-Mail-Programme, IM-Clients usw.

Umgebungsanalyse

Vor, nach oder gleichzeitig mit der Einnistung im System muss ein Online-Verbrecher unbedingt Informationen über das Betriebssystem und seine Konfiguration, über die installierten Updates, Programme und Schutzlösungen sammeln. Diese Informationen sind nicht nur zur Einschätzung der aktuellen Situation und Planung der nächsten Angriffsschritte überaus nützlich, sondern auch bezüglich der richtigen Auswahl der erforderlichen Tools und Exploits.

Zum Sammeln von Systeminformationen sind die in den Betriebssystemen vorhandenen Mittel meist völlig ausreichend:

  • cmd, regedit, vbs, powershell in Windows,
  • bash, grep, python, perl in Unix/Linux und Mac OS.

Vom Standpunkt eines Hackers aus liegt eine Menge Vorteile in der Verwendung der oben aufgeführten Tools – sie sind in jedem System vorhanden und sogar für einen Nutzer mit eingeschränkten Rechten verfügbar. Zudem wird ihre Funktion von den meisten Schutzlösungen nicht kontrolliert. Zur Lösung der komplizierteren Aufgaben verwenden Online-Gangster sowohl allgemein bekannte als auch eigene Werkzeuge, die es ihnen ermöglichen, den Netzwerktraffic abzufangen, die Geräte im Netz zu scannen und sich mit verschiedenen Netzwerkdiensten zu verbinden, indem sie die Domain-Autorisierung verwenden usw. Wenn die Hacker-Tools dabei in, sagen wir einmal Python, geschrieben wurden, installieren die Verbrecher gewiss die notwendige Software auf einem infizierten Computer. In diesem Fall wird Python (und anderes dieser Art) vermutlich nicht mit Hilfe eines Rootkits im System verborgen werden, da dies Probleme mit der Funktion des Interpreters hervorrufen könnte.

Zur Suche und Analyse anderer Geräte im Unternehmensnetzwerk setzen Cyberkriminelle Methoden des passiven und aktiven Scannens ein. Insbesondere mit Hilfe eines Sniffers zum Abhorchen des Traffics vom lokalen Netzwerk-Interface können problemlos verschiedene Geräte an ARP-Paketen oder aktiven Verbindungen erkannt werden, Adressen von Servern können identifiziert werden, auf denen sich Unternehmensanwendungen befinden, wie z.B. ActiveDirectory, Outlook, Datenbanken, Unternehmens-Websites und vieles mehr. Um genaue Informationen über einen konkreten Netzknoten zu erhalten, verwenden Cyberkriminelle Netzscanner (beispielsweise nmap), die die Identifizierung von verfügbaren Netzdiensten, das Erraten von Software-Name und -Version sowie das Auffinden einer Firewall und der Systeme IDS/IPS ermöglichen.

Ausbreitung

Nachdem sich ein Cyberkrimineller im System festgesetzt, einen zuverlässigen Kanal zum entfernten Zugriff organisiert und ausreichend Informationen über das Unternehmensnetzwerk gesammelt hat, ist sein weiteres Vorgehen normalerweise auf das Erreichen seines eigentlichen Zieles ausgerichtet – das kann im Diebstahl von vertraulichen Informationen bestehen, in Angriffen auf die Unternehmensinfrastruktur, den Erhalt der Kontrolle über kritische Systeme zu Erpressungszwecken oder aber es ist durch eigene Bedürfnisse motiviert. Mit Ausnahme von Fällen, in denen das zuerst angegriffene System auch das Endziel darstellt (beispielsweise das Notebook eines СЕО, der zentrale Server oder die Hauptwebsite), muss der Angreifer unbedingt die Kontrolle über andere Systeme innerhalb des Unternehmensnetzwerks erhalten – in Abhängigkeit von dem gewählten Infektionsziel kann der Infektionsversuch zielgerichtet oder breit gestreut sein.

Für einen Angriff auf die Infrastruktur ist eher eine Masseninfektion erforderlich – sowohl von Servern, die die Ausführung verschiedener Geschäftsprozesse gewährleisten, wie auch von Workstations der Betreiber und Administratoren. Will ein Cyberangreifer vertrauliche Informationen stehlen oder etwas erpressen, so muss er andererseits mit großer Vorsicht vorgehen und nur die vorrangigsten Systeme angreifen.

Die Ausbreitung innerhalb des Unternehmensnetzwerks kann mit einer Vielzahl von Mitteln umgesetzt werden. Ebenso wie bei der Einnistung im System und der Umgebungsanalyse wählen die Cyberkriminellen die einfachsten Lösungen, beispielsweise die Verwendung bestehender Accounts. Startet ein Online-Verbrecher beispielsweise Schadcode von einem Domain-Account des Anwenders eines infizierten Systems, so kann er sich problemlos mit verschiedenen Netzwerkdiensten verbinden (auf die der Anwender Zugriff hat), indem er die Domain-Autorisierung verwendet (Single Sign-On), d.h. also ohne Angabe von Nutzername und Kennwort. Verwendet er andererseits einen Abfänger der Tastatureingaben, so kann er leicht an Nutzername und Kennwort sowohl zum Domain-Account als auch zu anderen Services gelangen, die die Domain-Autorisierung nicht unterstützen. Zudem kann ein Cyberverbrecher versuchen, eine Sicherheitslücke in den Mechanismen zum Speichern und Überprüfen von Account-Daten ausnutzen oder versuchen das Passwort zu erraten.

Der effektivste Verbreitungsweg innerhalb eines Unternehmensnetzwerks ist die Ausnutzung von Sicherheitslücken, da ein großer Teil des Schutzes des Unternehmensnetzwerks auf die Abwehr von äußeren Attacken konzentriert ist. Das hat zur Folge, dass sich innerhalb des Netzwerks eine Vielzahl unterschiedlichster Schwachstellen, ungeschützter Dienste, Testserver, Steuerungs-/Virtualisierungssysteme usw. finden. Die Praxis zeigt, dass – selbst wenn den IT-Ingenieuren und Informationssicherheitsexperten alle Sicherheitslücken im Unternehmensnetzwerk bekannt sind – deren Beseitigung Jahre dauert, da dieser Prozess eine Menge Ressourcen erforderlich macht (Personenstunden). Trotzdem verwenden erfahrene Hacker Exploits für bekannte Sicherheitslücken nur mit größter Vorsicht, und ziehen es vor, ungeschützte Unternehmensdienste anzugreifen – denn wenn im Netzwerk doch IDS/IPS verwendet wird (lokal oder auf Netzwerkebene), so kann der Einsatz von Exploits für bekannte Sicherheitslücken zur Entdeckung des Cyberkriminellen führen.

Erkennung von Angriffen

Auf jeder Angriffsetappe nutzen Cyberkriminelle häufig die Umgebung und die zur Verfügung stehenden Mittel zu ihren eigenen Zwecken aus und bleiben so vor dem Hintergrund der Aktivität gewöhnlicher Anwender unbemerkt. Zur Lösung dieses Problems muss das Zuviel an Umgebung und Geschäftsprozessen dort verringert werden, wo es möglich ist. Und in allen anderen Fällen muss unbedingt genau verfolgt werden, was vor sich geht, Anomalien müssen aufgedeckt und es muss auf sie reagiert werden.

Anschauliche Beispiele für so ein Zuviel in den Geschäftsprozessen sind der freie Zugriff auf Geschäftsaktiva (vertrauliche Dokumente, kritische Anwendungen, Ausrüstung usw.), die Rechte eines lokalen Administrators und die Möglichkeit, sich entfernt mit dem Unternehmensnetzwerk zu verbinden für diejenigen, die solche Rechte und einen solchen Zugriff überhaupt nicht benötigen. Das Gesagte bezieht sich nicht nur auf die Aufteilung der Rechte auf Domain-Ebene, sondern auch auf der Ebene von Anwendungssoftware – normalerweise benötigen Browser keinen Zugriff auf den Speicher anderer Prozesse, und es ergibt keinen Sinn, dass MS Office Treiber installiert.

Als Beispiel für ein Zuviel der Umgebung kann man das Vorhandensein von Software auf dem Computer eines durchschnittlichen Mitarbeiters ins Feld führen (der kein Entwickler, Tester, Administrator oder Informationssicherheitsspezialist ist), die in der Lage ist, Netzwerktraffic abzufangen, das Netz zu scannen, entfernten Zugriff herzustellen, einen lokalen HTTP/FTP-Server zu erstellen, Dritt-Netzwerk-Ausrüstung zu verwenden (Wi-Fi und 3G-Modems) oder Mittel zur Softwareentwicklung usw.

Eine effektive Strategie zur Verhinderung von Angriffen innerhalb des Unternehmensnetzwerks besteht darin, Cyberkriminellen keine Möglichkeit zu geben, verborgen zu agieren und sie vielmehr zu komplizierten und riskanten Manövern zu zwingen, die es Informationssicherheitsexperten ermöglichen, eine Attacke zu identifizieren und die Bedrohung rechtzeitig zu neutralisieren. Zu diesem Zwecke sollte es in einem Unternehmensnetzwerk zwei Dinge geben: einen klugen Schutz und ein Managementsystem für Informationssicherheit (Information Security Management System, ISMS). Informationssicherheit in einem Unternehmensnetzwerk, die auf der Iteration dieser beiden Technologien basiert, unterscheidet sich grundlegend von dem veralteten Schutzmodell, denn sie ist in der Lage alles zu sehen, was im Netz vor sich geht, und umgehend auf Bedrohungen zu reagieren.

Mit klugen Schutzmechanismen meinen wir durchaus die alt hergebrachten Antivirenprogramme, Firewalls, IDS/IPS/HIPS, Anwendungskontrollen, Gerätekontrollen und so weiter. Sie müssen allerdings in der Lage sein, mit dem ISMS zu interagieren. Solche Schutzmechanismen sollten nicht nur alle erdenklichen Informationen sammeln und an das ISMS übermitteln, sondern in der Lage sein, Befehle auszuführen, die das Blockieren von Zugriffsversuchen, eine Verbindungsherstellung, Datenübertragung über das Netz, den Start von Anwendungen, das Lesen und Schreiben von Dateien usw. beinhalten. Damit das alles auch so funktioniert, muss der zuständige IT-Sicherheitsexperte selbstverständlich in der Lage sein, legitime Aktivität von schädlicher zu unterscheiden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.