„Pass the Hash“-Angriffe genauer betrachtet, Teil 2

Letzte Woche habe ich an einem Webinar teilgenommen, das sich an IT-Mitarbeiter richtete. Thematisch sollte es ein „Rundumschlag“ zu aktuellen Bedrohungen werden, eine Art Hacker Crashkurs sozusagen. Als repräsentatives Fallbeispiel...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Letzte Woche habe ich an einem Webinar teilgenommen, das sich an IT-Mitarbeiter richtete. Thematisch sollte es ein „Rundumschlag“ zu aktuellen Bedrohungen werden, eine Art Hacker Crashkurs sozusagen. Als repräsentatives Fallbeispiel wählten die beiden Sicherheits-Gurus einen cleveren und sehr zielgerichteten Phishing-Angriff aus. Dieser führte zu einem APT-Angriff, der wiederum eine DLL Hijacking-Attacke enthielt. Ich war überrascht zu sehen, wie gezielt die Hacker nach Passwort-Hashwerten suchten, nachdem sie einmal erfolgreich ins Netzwerk eingedrungen waren.

Pass the Hash (PtH), so habe ich gelernt, ist ein Standard-Hackertrick um an neue Identitäten zu gelangen. Das macht Sinn. Hacker bevorzugen es, Anmeldeinformationen auf genau diese Weise zu nutzen und sich direkt als Benutzer anzumelden, anstatt mehrere Hintertüren im C2-Stil nutzen zu müssen. Ohne eine ausgefeilte Überwachung ist die Wahrscheinlichkeit überaus gering, den oder die Eindringlinge in Echtzeit oder auch im Nachhinein zu identifizieren.

Vermeiden Sie den Local Admin

Wie im ersten Teil zu Pass the Hash-Angriffen schon beschrieben setzt PtH voraus, dass ein Angreifer für das System, in das er erfolgreich eingedrungen ist, die Administrationsrechte besitzt. Der im System gespeicherte Hash ist meist genau mit diesen lokalen Administrationsrechten ausgestattet. Er wird als solches aber nicht dazu genutzt die eigentliche Identität festzustellen. Stattdessen dient der Hash zum Verschlüsseln und Entschlüsseln von Nachrichten in einem Challenge-Response-Protokoll.

Tatsächlich wird der Hash-Code nur dazu missbraucht, die Identität eines Benutzers zu übernehmen. Der schwierigste Part ist es also, an die lokalen Administrationsrechte zu kommen. Leider ist genau das keine allzu große Hürde. Auf Windows-Systemen (vor Vista) wird das lokale Admin-Konto automatisch erstellt und im schlimmsten Falle hat die IT für jedes System auch noch dasselbe Admin-Passwort vergeben.

Angenommen ein Laptop wird durch Malware aus einer Phishing-Mail kompromittiert. Die Malware wird versuchen, mit Brute-Force-Angriffen die lokalen Admin-Passwörter auszulesen. Von diesem System aus können die Hacker dann auf weitere Geräte und Server zugreifen. Die nötigen Anmeldeinformationen werden aus dem Speicher mittels der PtH-Toolkits gelesen oder es wird einfach das generelle Admin-Passwort verwendet.

Pass the Hash-Angriffe genauer betrachtet Teil 2

Es kann für Administratoren durchaus enervierend sein, aber die Benutzerkontensteuerung ist ein guter Schutz gegen PtH.

Glücklicherweise verzichten neuere Windows-Versionen wie Windows 7 und 8 auf standardmäßige lokale Administrationskonten. Microsoft hat sogar eine neue Malware-Abwehr über die Benutzerkontensteuerung eingeführt. Sie verlangt jetzt eine ausdrückliche Genehmigung für einen Benutzer oder eine Software, wenn Nutzer oder Programm erweiterte Rechte benötigten oder einfordern.

Administratoren kennen die Benutzerkontensteuerung aus den Popups für Zustimmungs- oder Zugangsdatenabfragen. Diese sind zwar lästig, verhindern aber ein ungehindertes Ausführen von Malware und APTs.

Unternehmen mit älteren Betriebssystemen sollten auf IT-Richtlinien setzen, die von den Benutzern komplexe Passwörter verlangen, die nicht einfach zu erraten sind. Der Aufwand ist gering und erschwert es Hackern, einfache Admin-Passwörter zu ermitteln und über den wieder verwendeten Hash Zugriff auf weitere Systeme zu erlangen. Sinnvoll kann es auch sein, den Gerätenamen (oder eine Variation davon) im Passwort mit zu verwenden.

Untersagen Sie lokale Netzwerk-Logins

Bei älteren und neueren Windows-Betriebssystemen ist es ebenfalls sinnvoll, den lokalen Administratoren die direkte Vernetzung mit anderen Systemen zu untersagen. In einer Active Directory-Umgebung würden Sie dies mittels eines Group Policy Object (GPO)-Editors umsetzen. Hier werden dann die Benutzerrechte gemäß den Netzwerkrichtlinien vergeben. Wie das im Einzelnen funktioniert können Sie hier nachlesen.

Zusammengefasst: Sie deaktivieren die Anmelderechte des Remote-Logins im Netzwerk und legen dann die Nutzer und Gruppen gemäß den spezifischen Benutzerrichtlinien an.

Limitieren Sie Hashes

Die genannten Maßnahmen berücksichtigen schon einen großen Teil der Angriffspunkte für PtH-Attacken. In unserem Eingangsbeispiel haben die Hacker zu SQL-Injection-Techniken gegriffen, um Daten des Datenbankservers, der mit erhöhten Rechten ausgeführt wurde, zu stehlen. Das Ergebnis: die Eindringlinge konnten auf High-Level-Hashes zugreifen.

Die grundlegenden Sicherheitsprinzipien sollten im Vordergrund stehen: nutzen Sie keine Dienste – seien es SQL-Server oder andere IT-Infrastrukturen – mit Zugriffsrechten auf Domain- oder Unternehmenslevel. Diese Berechtigungen liegen weit über dem, was Systemprogramme für die Ausführung ihrer Aufgaben in der Regel benötigen. Sollte die Software einmal beeinträchtigt sein, würden die Befehle automatisch auf einem erhöhten Zugriffslevel ablaufen.

Doch das ist nicht immer praktisch umsetzbar, und natürlich werden auch zukünftig noch Zero-Day-Attacken auf uns zukommen. Die Grundidee ist es, die Ausbreitung der „schlechten“ Hashes – typischerweise Domain-Administratoren – im Netzwerk zu begrenzen. Es ist wichtig, sich bewusst zu machen, dass mit einem Single-Sign-On der Hash bei den DAs schon beim Einloggen in das System gespeichert wird.

Die Grundregel ist einfach: Nur Domain-Administrationen dürfen Zugang zu Systemen mit hohem Berechtigungslevel erhalten. Zugangsberechtigungen zu diesen Konten dürfen definitiv nicht auf alten Mitarbeiter-Laptops oder Computern gespeichert sein.

Es gibt für Systemadministratoren immer die Möglichkeit ein separates Konto ohne Domain-Administrationsberechtigungen zu erstellen, wenn Endgeräte gewartet werden sollen.

So verhindern Sie, dass Hacker oder interne Eindringlinge die Kontrolle über ihr System und den Domain-Administrator-Hash erlangen, nur weil dieser gerade zufällig im Speicher aufzufinden war.

The post „Pass the Hash“-Angriffe genauer betrachtet, Teil 2 appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

analyse-des-nutzerverhaltens-–-was-ist-damit-genau-gemeint?
Analyse des Nutzerverhaltens – was ist damit genau gemeint?
Wir führen Analysen durch, um Daten zu schützen und Sicherheitsvorfälle wenn möglich schon in einem frühen Stadium zu verhindern. Soweit ist das nichts Neues. Mithilfe einer Firewall werden zum Beispiel...
aktuelle-analyse-der-finra-zu-cyberkriminalität
Aktuelle Analyse der FINRA zu Cyberkriminalität
Ein Hacker-Diebstahl von Passwörtern, Kreditkarten- und Sozialversicherungs-nummern kann zu immensen finanziellen Verlusten führen. Doch sehen wir uns ein Worst-Case-Szenario an: Was passiert, wenn Hacker sich Zugang zu unseren Renten- und...
„pass-the-hash“-angriffe-genauer-betrachtet-,-teil-1
„Pass the Hash“-Angriffe genauer betrachtet , Teil 1
Wir haben an dieser Stelle schon häufiger vor grundsätzlichen Passwort-Attacken gewarnt. Man kann jedoch eine Reihe von Vorsichtsmaßnahmen ergreifen, welche die Erfolgschancen solcher Attacken wenigstens mindern. Dazu gehört es beispielsweise,...
schwachstellen-in-kerberos:-pass-the-ticket-angriffe,-eine-echte-bedrohung
Schwachstellen in Kerberos: Pass-the-Ticket-Angriffe, eine echte Bedrohung
August ist ein guter Zeitpunkt, um Schattenseiten zu erforschen. Anfang des Monats fand die jährliche Black-Hat-Konferenz statt, auf der stets interessante Vorträge gehalten werden. Ich habe erst kürzlich über Kerberos...