Threat Research

Warum Admins ihre Lieblings-Tools lieber mit dem Skalpell statt mit dem Vorschlaghammer bearbeitet sollten

Sicherheit in der Retrospektive – Folge 1
Was können wir aus den Fehlern von IT-Abteilungen, die erfolgreichen Cyberangriffen vorangegangen sind, lernen? In der mehrteiligen Artikelserie “Sicherheit in der Retrospektive” reisen die Sophos-Experten zurück in die Zukunft und widmen sich verschiedenen spezifischen Aspekten der IT-Sicherheit, um Empfehlungen abzuleiten, die für jeden umsetzbar sind.

Den Start machen die kleinen Helferlein der IT-Abteilungen. Wie im Sophos Active Adversary Playbook 2021 beschrieben, greifen Hacker gerne auf Tools zurück, die auch von IT-Administratoren und Sicherheitsexperten verwendet werden, um so die automatische Erkennung verdächtiger Aktionen zu erschweren. Viele dieser Tools werden von Sicherheitsprodukten als „Potenziell Unerwünschte Anwendungen“, kurz PUAs oder auch Risk Ware bzw. Risk Tools erkannt, sind aber von IT-Teams teilweise für den täglichen Gebrauch unerlässlich. Für den Umgang mit diesen Programmen sollten sich Administratoren hinsichtlich der IT-Policy des Unternehmens zwei zentralen Fragen stellen: Müssen alle Anwender berechtigt sein, diese Dienstprogramme zu nutzen und müssen diese Dienstprogramme auf jedem Gerät ausgeführt werden können?

Was sind PUAs?
PUAs sind Admin-Tools, die mit einem Betriebssystem gebündelt sind (z.B. PowerShell) und bieten Möglichkeiten zur Automatisierung und Verwaltung von Geräten in einem Netzwerk. Darüber hinaus gibt es zusätzliche Tools von Drittanbietern, die häufig zur Erweiterung von Funktionen wie Port-Scanning, Paketerfassung, Skripting, Überwachung, Sicherheitstools, Komprimierung und Archivierung, Verschlüsselung, Debugging, Penetrationstests, Netzwerkverwaltung und Fernzugriff verwendet werden. Die meisten dieser Anwendungen laufen mit System- oder Root-Zugriff. 

Warum die Ausschlussliste der IT problematisch ist
Sofern Admin-Tools intern vom eigenen IT-Team installiert und verwendet werden, sind diese Anwendungen nützliche Werkzeuge. Geschieht dies aber durch andere Anwender, gelten sie als PUAs und werden von seriösen Sicherheitslösungen für Endgeräte oft als solche gekennzeichnet. Um die ungehinderte Nutzung dieser Tools zu ermöglichen, fügen viele Administratoren die von ihnen verwendeten Tools einfach zu einer globalen Ausschluss- oder Zulassungsliste in ihrer Sicherheitskonfiguration hinzu. Leider ermöglicht diese Methode auch die Installation und Verwendung der Tools durch Unbefugte, oft ohne jegliche Überwachung, Warnungen oder Benachrichtigungen.

Kritische PUAs
Hier sind einige der gängigsten PUAs und ihre Funktionen, die Angreifer gerne nutzen:

PSExec: ein leichtgewichtiger Telnet-Ersatz, der es dem Nutzer ermöglicht, Prozesse auf anderen Systemen auszuführen, komplett mit voller Interaktivität für Konsolenanwendungen und ohne manuell Client-Software installieren zu müssen. Zu den leistungsfähigsten Anwendungen gehören das Starten interaktiver Kommandozeilen (Command Prompts) auf entfernten Systemen und remotefähiger Programme wie IpConfig, die ansonsten nicht in der Lage sind, Informationen über entfernte Systeme anzuzeigen.

PSKill: kann Prozesse auf entfernten Systemen beenden, sogar ohne vorheriger Client-Installation auf dem Zielcomputer.

Process Hacker: ein Tool zur Ressourcenüberwachung, das oft verwendet wird, um Sicherheits- und Log-Software zu beenden.

Anydesk/TeamViewer/RDPWrap: oder jedes andere Tool, das für den Fernzugriff, besonders via Internet, entwickelt wurde, kann von einem Angreifer verwendet werden.

GMER: als Anti-Rootkit-Tool entwickelt nutzen Bedrohungsakteure seine Fähigkeiten, um Sicherheitsprozesse auszuhebeln.

7Zip/Gzip/WinRar: diese Komprimierungstools nutzen Angreifer, um Daten zu kombinieren, zu verkleinern und zu exfiltrieren. In der Regel zu Erpressungszwecken.

Nirsoft-Tools: eine Sammlung von Tools zur Passwort-Wiederherstellung, Deinstallation von Software plus: Fähigkeit, Befehlszeilentools ohne Anzeige einer Benutzeroberfläche auszuführen.

IOBit: bringt leistungsstarke Deinstallationsfunktionen mit und wird häufig zum Entfernen von Sicherheitssoftware verwendet.

ProcDump: ein Debugging-Tool, das den Speicher auf die Festplatte auslagern kann. Es ermöglicht Angreifern, speicherinterne Informationen wie Anmeldedaten offenzulegen.

Wie setzen Cyberkriminelle PUAs ein?
Die Konfiguration von Sicherheitsrichtlinien, die PUAs zulassen, sollte deshalb mit Bedacht erfolgen. Denn ein solcher Freifahrtschein ist für die Cyberkriminellen Gold wert und zudem besteht keinerlei Einblick in Verwendung, Absicht und Kontext des Tools.

Wurde ein Tool ausgeschlossen, kann ein Bedrohungsakteur dennoch versuchen, es zu installieren und zu nutzen, selbst wenn es noch nicht auf einem bestimmten Gerät installiert ist. Die als „Living off the land“ bekannte Angriffstechnik setzt allerdings voraus, dass Angreifer bereits vorhandene Funktionen und Tools nutzen, um eine Entdeckung so lange wie möglich zu vermeiden. Sie ermöglichen es den Akteuren, die Entdeckung, Zugriff auf Anmeldedaten, Berechtigungserweiterungen, Umgehung von Verteidigungsmaßnahmen, Persistenz, seitliche Bewegungen im Netzwerk, Sammeln und die Exfiltration durchzuführen, ohne dass auch nur eine einzige rote Fahne geschwenkt wird.

Sobald der Gegner bereit ist, die letzte Phase seiner Attacke auszurollen (zum Beispiel Ransomware), ist es bereits zu spät:

  • die Sicherheitstools des Unternehmens sind bereits deaktiviert (durch PSKill oder IOBit)
  • ein hohes Maß an Zugriffsrechten wurde erlangt (durch GMER oder ProcDump)
  • Daten liegen schon im Dark Web (in 7Zip-Dateien) und
  • die Malware ist bereits auf wichtigen Systemen (oder schlimmer, auf Domain Level File Shares wie SYSVOL oder NETLOGON) zur Ausführung vorbereitet (durch PSExec).

Je mehr PUAs die Angreifer finden können, desto größer ist ihr Aktionsradius.

Zulassen von PUAs im Unternehmen nur im kontrollierten Modus
Im ersten Schritt gilt es, die aktuellen globalen Ausnahmen im Unternehmen zu überprüfen:

  • Sind sie notwendig?
  • Wird ein Grund für den Ausschluss genannt – oder war er „schon immer da“? Verantwortliche sollten nachforschen, warum die Sicherheitslösung die PUA zunächst einmal erkannt hat – könnte sie bereits böswillig genutzt werden?
  • Müssen die Ausschlüsse wirklich für ALLE Server und Endgeräte gelten?
  • Ist das Admin-Tool immer noch erforderlich, oder lässt es sich auf eine integrierte Funktion ausweichen?
  • Ist mehr als ein Tool nötig, um das gleiche Ergebnis zu erzielen?

Auf Basis zahlreicher Fallbeispiele empfiehlt Sophos, PUAs nur auf einer sehr kontrollierten Basis zuzulassen: bestimmte Anwendungen, spezifische Maschinen, genaue Zeiten und ausgewählte Benutzer. Dies kann über eine Richtlinie mit dem erforderlichen Ausschluss erreicht werden, die bei Bedarf auch wieder entfernt wird. Jede entdeckte Nutzung von PUAs, die nicht erwartet war, sollte untersucht werden, da sie ein Hinweis darauf sein kann, dass sich ein Cyberkrimineller bereits Zugang zu den Systemen verschafft hat.

Folge 1 aus “Sicherheit in der Retrospektive”, bei der es um den Schutz von Offline-Systemen geht, gibt es hier.

Antwort hinterlassen

Your email address will not be published. Required fields are marked *