Gorodenkoff - stock.adobe.com
Wie nutzen Hacker legitime Admin-Tools für Angriffe?
Durch die Nutzung auch bei Admins beliebter Tools können Hacker ihre Aktivitäten in fremden Netzen tarnen. Diese Tools lassen sich nicht einfach so blockieren.
Im Frühjahr 2018 hat Symantec Forschungsergebnisse veröffentlicht, die zeigen, wie eine chinesische Cyberspionagegruppe nur schwer zu entdeckende Methoden verwendet, um in fremde Netze einzudringen und um sich dort auszubreiten. Bei diesen Attacken nutzen die Hacker legitime Tools wie zum Beispiel PsExec für ihre wenig redlichen Ziele. Sollten Unternehmen diese Tools deswegen selbst nicht mehr einsetzen oder gibt es eine Möglichkeit, ihren Einsatz zu überwachen und ihre Spuren zu verfolgen?
PsExec, die PowerShell und WinSCP sind alles Werkzeuge, wie sie von vielen Netzwerk- und System-Administratoren in ihrer täglichen Arbeit genutzt werden.
Untersuchungen von Symantec haben jedoch gezeigt, dass diese Tools ebenfalls von einer chinesischen Hacker-Gruppe verwendet werden, um Daten aus den Netzwerken mehrerer Firmen aus den Branchen Satelliten, Telekommunikation und Verteidigung in Südostasien und den Vereinigten Staaten von Amerika zu klauen. Die Thrip genannte Formierung und andere Cyberkriminelle nutzen diese und weitere von Admins häufig eingesetzte Tools, um ihre Aktivitäten zu verbergen. Oft machen sie sich dabei nicht einmal die Mühe, ihren Einsatz besonders zu tarnen. Im englischen Sprachraum wird für diese Taktik die Bezeichnung „living off the Land“ („vom Land leben“) verwendet.
Missbrauch von PowerShell und Sysinternals
Durch den Einsatz dieser legitimen Admin-Werkzeuge, die sich auf vielen Zielsystemen bereits befinden und durch die Ausführung von Skripten und anderem Code direkt im Speicher der betroffenen Computer, reduzieren die Angreifer das Risiko, entdeckt zu werden, erheblich. Das liegt daran, dass diese Angriffe kaum noch neue Dateien oder sogar gar keine mehr erstellen, die von Antivirus-Lösungen und anderer Schutzsoftware entdeckt werden könnten.
Die Tools, die die Angreifer für ihre Zwecke missbrauchen, dienen in vielen Unternehmen zum Managen und Verwalten von Netzwerken und Systemen. Dazu gehören etwa FTP-Anwendungen (File Transfer Protocol) und Tools zum System- und Konfigurations-Management. Sie geben den Hackern die Möglichkeit, eigene Befehle auszuführen, Netzwerke zu untersuchen und zu durchqueren, Daten zu extrahieren und weitere Anwendungen oder Malware herunterzuladen und zu installieren. Letzteres wird von dieser Art von Angreifern aber nur relativ selten durchgeführt, da dadurch das Risiko einer Entdeckung steigen würde. Die legitimen und häufig genutzten Admin-Tools finden sich meist bereits vorinstalliert auf den angegriffenen Maschinen. Ihre Nutzung durch die Hacker geht nicht selten im täglichen Gebrauch durch die Admins eines Unternehmens unter, so dass damit durchgeführte Attacken nur schwer zu entdecken und nachzuverfolgen sind.
Laut den Erkenntnissen von Symantec wird diese Art der Angriffe mittlerweile bei fast allen gezielt ausgeführten Attacken verwendet. Das hat dazu geführt, dass sich manche Unternehmen nun fragen, ob sie es noch riskieren können, diese Tools zu installieren und durch ihre Admins nutzen zu lassen. Das würde jedoch zu zwei neuen Problemen führen:
Erstens würde es die Arbeit von Admins fast unmöglich machen, die diese Werkzeuge ja benötigen, um ihre IT-Umgebungen zu managen. Selbst wenn Unternehmen auf weniger häufig genutzte Admin-Tools ausweichen würden, dann würde es vermutlich nur eine kurze Zeit dauern, bis die Cyberkriminellen ihre Methoden daran anpassen und ebenfalls nun diese Werkzeuge nutzen. Tatsächlich ist die Zahl der in Unternehmen tagtäglich genutzten legitimen Admin-Tools bereits jetzt so groß, dass es unmöglich ist, auf sie zu verzichten. Dasselbe gilt zweitens für Cloud-Dienste, die mittlerweile auch von Kriminellen zunehmend genutzt werden, um dort ihre C&C-Server (Command and Control) unterzubringen. Diese Dienste pauschal zu blockieren ist für viele Unternehmen nicht möglich, da sie sie selbst bereits regelmäßig einsetzen.
Bewusstsein der Mitarbeiter schärfen
Die beste Methode, um diese Art von Angriffen zu stoppen, ist deswegen eine mögliche Infektion der in einem Unternehmen genutzten Computer und Geräte bereits im Vorfeld zu verhindern. Das sollte auch ein intensives Training der Mitarbeiter umfassen, damit sie per Social Engineering durchgeführte Angriffe erkennen können. Manipulierte E-Mails und verseuchte Webseiten gehören zu den häufigsten Vektoren, über die Angreifer und Malware in fremde Netze eindringen.
Insbesondere die eingesetzten Virenscanner sollten immer auf dem aktuellen Stand gehalten werden, da sie zunehmend auch moderne Angriffe mittels Remote Code Execution und Speicherattacken erkennen können. Außerdem sollten segmentierte Netze genutzt werden, um es den Angreifern zu erschweren, sich im Firmennetz auszubreiten. Wichtig ist zudem, alle Aktivitäten mit diesen Admin-Tools zu protokollieren und im gesamten Unternehmen das Prinzip der geringsten benötigten Rechte umzusetzen.
Symantec hat zur Analyse dieser Angriffe das eigene Tool Targeted Attack Analytics verwendet, um bestimmte Angriffsmuster erkennen zu können. Auch in betroffenen Unternehmen sollten die IT-Sicherheitsspezialisten ähnliche Methoden nutzen, um den Cyberkriminellen auf die Spur zu kommen. Verdächtig ist etwa, wenn ein Kommandozeilen-Tool wie PsExec eingesetzt wird, um Prozesse auf anderen Systemen auszuführen. Dazu ist jedoch ein grundlegendes Verständnis nötig, welche Prozesse und Vorgänge legitim sind und im Tagesgeschäft eines Unternehmens zu erwarten sind. Ungewöhnliche Aktivitäten mit auch von den eigenen Admins eingesetzten Tools können dann mit Hilfe von künstlicher Intelligenz (KI) und Machine Learning aufgespürt und bekämpft werden.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!