Angriffe auf das Backup enttarnen : Wie intelligente Tools den Missbrauch legitimer Tools durch Hacker erkennen
Cyberkriminelle nehmen verstärkt Backups ins Visier, um Unternehmen erpressbar zu machen. Statt spezieller Malware nutzen sie zunehmend bestehende Tools wie PowerShell oder WMI, um unentdeckt zu bleiben. Unser Autor zeigt, welche Methoden Hacker einsetzen und wie sich solche Angriffe erkennen lassen.
Hacker wollen auf der Suche nach den entscheidenden und daher gut monetarisierbaren Daten eines Unternehmens möglichst lange unerkannt bleiben. Sogenannte Living-off-the-land-(LOL)-Attacken – also Angriffe, die ohne Installation von Codes oder Scripten im Zielsystem auskommen – leben von einer langen Lebensdauer im Opfersystem. Die Täter nutzen existierende Tools zur Administration und für das Systemmanagement, um gegenüber der IT-Sicherheit unerkannt zu bleiben. Cyberkriminelle missbrauchen also die Binärdateien und Skripte mittels ausführbarer Elemente für ihre Zwecke.
Herkömmliche signaturbasierte Ansätze zur Erkennung von Angriffen, wie Endpoint Detection and Response (EDR) oder das Monitoring von Log-ins, können diese Zweckentfremdung nur schwer, langsam und kostenintensiv erkennen. Ein verändertes Assemblieren von Technologiekomponenten sowie wechselnde Versionen von Betriebssystemen erschweren zusätzlich die Identifikation von Anomalien und Angriffen. Oft führt auch die Suche nach Stealth-Verfahren, außergewöhnlichen Kommandozeilen, bösartigen Skripten oder modifizierten Dateinamen zu häufigeren Fehlalarmen und missverständlichen Informationen.
Lockvogel-Infrastruktur
Frühwarntechnologien zum Schutz von Informationen müssen deshalb in der Lage sein, die stillen Angreifer auf ihrem Weg zu den Daten durch ständig wechselnde Umgebungen proaktiv zu überwachen. Dazu stellen Threat-Deception-Tools einem Angreifer verschiedene Fallen:
- Köder-Token, die als Bits oder Informationsfragmente über das Netzwerk bis hin zur Perimeter-Grenze verteilt sind, verleiten Angreifer bei ihrer Informationssuche zu verräterischen Aktionen, ohne dass ein Schaden entstehen kann.
- Bedrohungssensoren sind realitätsgetreu nachgebaute Lockvögel, die tatsächlich existierende Assets und Abläufe nachbilden. Ohne großen Ressourcenbedarf imitieren sie verschiedene Dienste auf TCP/IP-Layer in produktiven Umgebungen. Sie liefern präzise Alarme zu den tatsächlichen Interaktionen von Cyberkriminellen. Für die IT-Abwehr sind die Sensoren ausgefiltert, um Fehlalarme zu vermeiden.
- Systemsensoren, die ein vollständiges System mit Betriebssystem emulieren, stellen Proxy-Dienste bereit, welche die Cyberkriminellen versuchen, für sich zu nutzen. Diese Sensoren verwickeln die Hacker in eine Kette von Scheininteraktionen und -erfolgen. Es existieren verschiedene Sensoren für Windows, Web Server, SQL oder auch für Active-Directory-Dienste.
Im Folgenden wird beschrieben, wie eine Threat-Deception den Missbrauch von LOLBins und LOLScripts in Microsoft-Umgebungen oder auch von Linux-spezifischen Tarntechniken entdeckt, noch bevor die Angreifer die Daten kompromittieren:
1. Umgehen des Endpunktschutzes mit LOLBins:
EDR liefert den IT-Sicherheitsteams die Sichtbarkeit an den Perimetern des Netzwerks. Mit den Advanced Persistent Threats (APT) fortgeschrittener Angreifer hat EDR aber Probleme. So können böswillige Akteure etwa die ConfigSecurityPolicy.exe Binary für das Herunterladen eines Payloads einsetzen und von EDR unerkannt bleiben. Ebenso schwerwiegend: EDR kann zum Beispiel eine CustomShellHost.exe übersehen, die eine Applikation für ein legitimes Windows-Frame umbenennt – so etwa explorer.exe. Ein Systemsensor kann hingegen solche Angriffe oder auch das Laden von Code mit Microsoft Remote Assistance (msra.exe) erkennen.
2. Missbrauch von PowerShell und Windows Management Instrumentation Command line (WMIC):
In 99,98 Prozent sind PowerShell-Aktivitäten völlig legal. Aber: Cyberkriminelle können mit PowerShell und WMIC ihre eigenen Kommandos absetzen und nutzen solche Tools auch vermehrt. PowerShell gibt privilegierten Nutzern die Kompetenz, Dateien anzulegen, sie zu suchen und zu modifizieren. Hacker können Zugangsdaten kompromittieren und Privilegien mit PowerShell eskalieren.
Fallen die Hacker auf nur einen der ausgelegten Köder herein, erbeuten sie keine Daten, geben aber ihre IP-Adresse preis und liefern durch das Protokollieren ihrer Interaktion einer KI genug Daten, um bösartige Zugriffe auf Produktivsysteme anhand dieses Verhaltens zu erkennen. Ebenso erkennen Sensoren in einer Testumgebung Versuche, durch WMIC-Abfragen neue Nutzer anzulegen und einer Administrator-Gruppe zuzuordnen.
3. Missbrauch von Native Restore Points, um Spuren zu verwischen:
Staatlich unterstützte Hackergruppen wie Flax Typhoon verwendeten 2023 Stealth-Techniken um VPN-, Web-, Java- und SQL-Dienste für ihre Zwecke auszunutzen. Mit Tools wie WMIC, PowerShell und Windows Terminal umgingen die Akteure eine Authentifikation auf Netzwerkebene (Network-Level Authentication, NLA). Sie ersetzten NLA Sticky Keys Binaries über das Remote Desktop Protocol (RDP), um sich so unerlaubte Zugänge zu verschaffen. Um ihre Aktivitäten zu verbergen, machten die Hacker sich die Native Restore Points von Microsoft System Restore, eine Windows-eigene Recovery-Funktion, zunutze. Sie sichert Daten, entfernt aber die Apps, Treiber und Updates abseits der festgelegten Native Restore Points. Unter Ausnutzen dieser selektiven Sicherung können Angreifer Informationen im System suchen und ihre Spuren verwischen.
Eine geeignete Backuplösung deaktiviert diese Restore Points und stellt die gesamte Umgebung wieder her. Damit macht sie auch mögliche Hinweise auf die Angreifer wieder sichtbar.
4. Eskalation von Spot-Privilegien in Linux
Zugänge, Nutzerkonten und Privilegien bilden die Grundlage, um kriminelle Aktionen im System durchzuführen. Linux bietet viele Möglichkeiten, den Zugriff auf Assets zu erleichtern. Konventionelle IT-Sicherheitstools tun sich schwer, diese als illegitim zu erkennen.
Ein Linux-Sensor hingegen erkennt und verzeichnet die Aktivitäten im Detail, wie etwa die Suche nach Informationen im System, nach Passwörtern oder API-Schlüsseln in Instanzen, nach laufenden Prozessen sowie zum Anlegen von Nutzern. Auch die Modifikation von Nutzerprivilegien erkennt die Threat-Deception.
5. Supply-Chain-Angriffe tarnen: Binärdateien umbenennen
Wenn eine Supply-Chain-Attacke über ein Drittunternehmen eine Binärdatei umbenennt, wird die Datei mit einem unverdächtigen Hash-Code versehen. Ein solcher Angriff wird von einer signaturbasierten Abwehr nicht erkannt, und die Datei injiziert nach erfolgter Dekodierung etwa eine Ransomware.
Eine Threat Deception erkennt solche Angriffe. Auch der Versuch, etwa die bekannte Antimalware Scan Interface (AMSI) 18 zu umgehen, wird damit sichtbar. Die AMSI-Utility spielt eine wichtige Rolle für die Software-Kommunikation und beantwortet Anfragen zum Scan von Dateien, Speicher oder Streams. Fällt sie aus, erliegt auch dieser Informationsaustausch über Angriffe.
Wiederherstellungspunkte finden
Threat-Deception-Technologien ermöglichen Unternehmen aller Größen die Erkennung getarnter LOL-Angriffe mittels in Cloud-, On-premise- und Saas-Umgebungen implementierter Sensoren. Diese Sensoren sammeln und leiten automatisch Informationen über Aufklärungs- und Seitwärtsbewegungen (Lateral Movement) der Hacker an ein Security-Operation-Center (SOC) weiter. Dazu gehören auch die Log-Daten der illegalen Interaktionen mit einem Ködersensor. So können IT-Teams und IT-Sicherheitsverantwortliche allfälligen Angriffen zuvorkommen und gemeinsam im Ernstfall Ausfallzeiten minimieren. Die von den Echtzeit-Sensoren gesammelten Informationen erlauben es zudem, fundiert über Wiederherstellungspunkte zu entscheiden.
Autor
Dominik Steinmann ist Commvault Advocate and Senior Sales Engineer bei Commvault.