In unserer Blog-Serie haben wir einige Ideen vorgestellt wie man Sicherheitslücken im System mithilfe einfacher Testsoftware identifizieren kann. Es existieren natürlich auch komplexere Tools wie beispielsweise Metasploit, mit denen man innerhalb kurzer Zeit unterschiedliche Hacking-Szenarien durchspielen kann. Vom Prinzip her funktionieren diese Tools aber ganz ähnlich. Kurz gesagt: Experimentiert man mit einfachen Remote-Access-Trojanern (RATs), Reverse-Shells, Tools zum Knacken von Passwörtern/Hashes, Hash-Speicherauszügen und Pass-the-Hash-Angriffen innerhalb der eigenen IT-Umgebung kann man schon eine Menge erreichen.
Unabhängig von der gewählten Methode: Konzentrieren Sie sich bei allen Tests darauf, was ein Hacker sehen würde, wenn er es auf den Rechner eines durchschnittlichen Nutzers geschafft hat. Penetrationstests eignen sich hervorragend, um lokale Konten mit schwachen Passwörtern, allzu großzügig vergebene Netzwerkberechtigungen, weitreichende Zugriffsrechte bei File Shares und andere Sicherheitslecks ausfindig zu machen, bevor es ein Hacker tut.
RATs der nächsten Generation
In einem unserer ersten Blog-Einträge dieser Serie haben wir uns mit Remote-Access-Trojanern (RATs) beschäftigt. RATs sind ganz und gar nichts Neues, und Angreifer setzen sie häufig ein, um in ein Zielsystem einzudringen. RATs ermöglichen es Cyber-Kriminellen die Systeme ihrer Opfer systematisch „durchzuwühlen“: Da werde Verzeichnisse gescannt, Remote-Befehle ausgeführt und weitere Tools hochgeladen. Das eigentliche Ziel ist es jedoch, mithilfe des RATs fortschrittlichere Malware zu installieren, die sozusagen den „schmutzigen“ Teil des Geschäfts erledigt. Allerdings gibt es inzwischen eine neue Generation von RATware, die frühere Varianten in den Schatten stellt.
AlienSpy ist ein Java-basierter RAT, der tatsächlich klammheimlich ins System eindringt. Er kann Daten abgreifen sowie Kameras und Mikrofone aktivieren, um Mitarbeiter auszuspionieren. Und er ist bequem im Abo erhältlich.
Ein verwandter RAT ist Zbot oder Zeus. Er wurde gegen Banken eingesetzt, um riesige Mengen von Kontodaten zu entwenden. Eine Besonderheit der Zeus-Zbot-Familie und anderer RATs neueren Datums ist, dass sie dabei helfen, die Daten vom Rechner des Opfers zu entfernen.
Exfiltration: Der heimliche Diebstahl
Damit ist nicht gemeint, dass der Angreifer einen auf den ersten Blick unverdächtigen FTP-Download startet, der jedoch prinzipiell bemerkt werden kann. Stattdessen exfiltriert der RAT die Daten, indem er sie als HTTP-Interaktion versendet. In der Cyber-Technologie bezeichnet man das mit dem bekannten Kürzel „C2“ für Command and Control. Diese Methode wird gerne bei raffinierten APTs verwendet.
Die C2-Technik erfreut sich in den letzten Jahren zunehmender Beliebtheit und ist mittlerweile auch bei vielen Trojanern zu finden. Im Prinzip verhält sich der RAT dann wie ein Browser: Er nimmt Kontakt zur Website des Angreifers auf. Dazu verwendet er eine bekannte URL oder ein URL-Schema. Beide fest im RAT programmiert.
Die gestohlenen Daten werden dann in den POST-Anfragen versteckt. Über die HTTP-Antworten schicken die Angreifer zusätzlich neue Befehle zurück an den RAT. Das SANS-Institut hat beispielsweise ein hilfreiches Whitepaper veröffentlicht, in dem solche Interaktionen analysiert werden.
Durch die C2-Strategie haben RATs ihren Funktionsumfang deutlich erweitert. Theoretisch ist es möglich die Exfiltration von Daten per C2 zu bemerken, zum Beispiel mit Snort und anderen Intrusion-Detection-Systemen.
Die Angreifer ändern jedoch die serverseitigen URLs immer wieder, und in den HTTP-Headern oder im Datenstrom selbst gibt es nur wenige Hinweise darauf, dass vielleicht etwas nicht stimmen könnte.
Werden die C2-Interaktionen verschlüsselt, ist es extrem schwierig, die Hacker-Aktivitäten zu entdecken. Auch hierzu gibt es ein entsprechendes Whitepaper des SANS-Instituts, wie man am besten mit diesen abgeriegelten Kanälen umgeht. Das ist allerdings alles andere als trivial.
Was tun?
Die traurige Wahrheit: Leistungsstarke RATware in der Cloud zu mieten ist selbst für „Möchtegern-Hacker“ problemlos möglich, die passende Phishing-Kampagne gibt es meist gleich mit dazu.
Dringt ein RAT zufällig in ein lohnenswertes und schlecht geschütztes Zielsystem ein, lassen sich wertvolle Daten mit vergleichsweise wenig Aufwand stehlen.
Will man IT-Führungskräfte und Vorstandsetagen überzeugen, dass es für dieses Problem trotzdem eine Lösung gibt, würde das in etwa so klingen:
Hacker werden es immer schaffen, in Systeme einzudringen. Die verwendete Malware wird schlicht besser und besser. Schadsoftware (und den damit verbundenen Datendiebstahl) mit konventionellen Mitteln zu bemerken ist praktisch kaum noch möglich.
Ausschließlich auf besseren Schutz durch Viren- und Portscanner oder DLP zu setzen reicht nicht mehr aus. Ein Schlüssel liegt darin, ungewöhnliche Aktivitäten früher durch eine selektive Überwachung aufzudecken.
Bleibt allerdings die Frage wie man einen Angreifer entdeckt, der hochentwickelte Tarnmethoden einsetzt.
Aber: Früher oder später muss ein Cyber-Dieb das Filesystem verwenden. Daran führt kein Weg vorbei.
Er muss sich durch Ordner navigieren, nach Dateien suchen, temporäre Dateien mit Daten oder Code hochladen oder erstellen, Ordner kopieren, verschieben, umbenennen oder löschen und Dateien mit gestohlenen Daten an Übergabepunkte zum Exfiltrieren übertragen.
Solche Aktivitäten lassen sich aber durchaus nachvollziehen und der Angreifer identifizieren – sofern man detaillierte Informationen über die Dateiereignisse im Betriebssystem hat.
Der springende Punkt ist, dass Hacker die Zugangsdaten eines existierenden Nutzers verwenden. Und die üblichen Zugriffsmuster eines solchen Nutzers lassen sich statistisch erfassen. Deutliche Abweichungen von einem als normal definierten Verhalten liefern wichtige Hinweise darauf, wo möglicherweise gerade ein Hacker zugange ist.
Gemeint ist die Analyse des Nutzerverhaltens. Mit ihrer Hilfe kann man zwischen einem echten Nutzer unterscheiden und einem Nutzer, der sich mit gefälschten oder geliehenen Zugangsdaten ins Netzwerk eingeschlichen hat.
Doch zurück zum Thema Penetrationstests.
Diese Tests spielen bei der Risikoanalyse eine entscheidende Rolle. Sie sollten ein IT-System ständig auf Risiken hin überprüfen und Governance-Prozesse für sensible Daten einführen wie etwa die Berechtigungen einschränken, veraltete Daten entfernen und die Data Owner identifizieren.
Zumindest macht man es mit diesen Methoden potentiellen Angreifern deutlich schwerer.
Wie bei vielen Techniken zur Verteidigung gilt auch hier:
Wenn es zu schwierig oder zeitaufwendig wird, suchen sich die Angreifer lieber ein anderes Ziel. Denn Zeit ist auch bei Hackern Geld.
Bekommt man es dennoch mit besonders hartnäckigen und ausdauernden Eindringlingen zu tun, hilft die Analyse des Benutzerverhaltens.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
-1.png)
