DragonImages - Fotolia
Dem Risiko durch Bring-your-own-Land-Attacken begegnen
Mit Bring-your-own-Land-Angriffen auf Ihre IT-Umgebung umgehen Cyberkriminelle die vorhandenen Schutzmaßnahmen. Whitelisting ist eine der Möglichkeiten, um sich davor zu schützen.
Kontinuierlich beschäftigen sich Sicherheitsspezialisten mit der Erforschung bereits bekannter Angriffstechniken. Ihre Ergebnisse teilen sie in der Regel mit anderen Teilnehmern der Security Community, um das Bewusstsein und das Wissen über neue Angriffsvektoren schnell zu verbreiten. Die Reaktion auf manuell ausgeführte Attacken hat das Thema gerade in der Unix-Welt lange Zeit geprägt. Bei diesen frühen Angriffen waren die Hacker auf die auf einem System bereits vorhandenen Tools oder auf das Kompilieren ihrer eigenen Werkzeuge und Exploits angewiesen, um sie gegen das angegriffene Unternehmen einzusetzen. Nach und nach entwickelten sich daraus zuerst die so genannten Script Kiddies, die selbst nur über vergleichsweise wenige Kenntnisse verfügen. Danach kamen Angebote wie Metasploit und kommerzielle Tools für Penetrationstests. Im Englischen hat sich dafür der Begriff „Living off the Land“ eingebürgert, die Angreifer ernähren sich dabei sozusagen von dem, „was ihnen das Land bietet“.
Mittlerweile gibt es jedoch den neuen Begriff „Bring your own Land“, der die Diskussion in Sicherheitskreisen verändert. In diesem Artikel beschäftigen wir uns mit diesen neuartigen Bring-your-own-Land-Attacken und zeigen, wie sich Unternehmen davor schützen können.
Bring your own Land
Bring your own Land oder abgekürzt BYOL wurde erstmals von FireEye verwendet. Der Begriff ist eine Erweiterung der Bezeichnung Living off the Land. Bei dieser Art von Attacken nutzen die Angreifer die auf einem System bereits vorhandenen Werkzeuge wie zum Beispiel die PowerShell, um fremde Netze zu infiltrieren und um dort Schaden anzurichten.
Auf der anderen Seite gibt es nun diese neuen Angriffe, bei denen die kriminellen Eindringlinge ihre eigenen Tools schreiben und einsetzen. Zu ihnen gehören etwa auf der PowerShell von Microsoft aufsetzende Tools, mit denen sich Angriffe gegen andere Systeme ausführen lassen.
Manche Linux- und Unix-Nutzer haben über Jahrzehnte die Überlegenheit der Scripting-Sprachen in ihren Umgebungen gelobt. Das hat dazu geführt, dass Microsoft sehr viel Aufwand in die Weiterentwicklung der PowerShell gesteckt hat, um die Kritiker zum Schweigen zu bringen, die sich über die bislang fehlende mächtige Scripting-Umgebung für Windows beschwert hatten. Nach Angaben der Sicherheitsspezialisten von FireEye ist die PowerShell jetzt sogar in der Lage, um damit so genannte Red Team Frameworks zu entwerfen. Ein Red Team wird eingesetzt, um die Sicherheitsmaßnahmen eines Unternehmens auf Herz und Nieren zu prüfen.
In einem Blog-Post hat FireEye beschrieben, wie sich die PowerShell in Bring-your-own-Land-Angriffen nutzen lässt, bei denen das Cobalt Strike Framework für fortgeschrittene Penetrationstests eingesetzt wird. In dem Text wird dabei erwähnt, dass die eigentliche PowerShell zwar bei einem vor kurzem durchgeführten Penetrationstest blockiert wurde. Da aber kein Whitelisting eingesetzt wurde, war es möglich, nahezu beliebige andere Anwendungen auf dem System auszuführen.
Bei einem Bring-your-own-Land-Angriff verwenden die Hacker meist C#- und .NET-Bausätze, um damit an ihre Bedürfnisse angepasste ausführbare Dateien zu erstellen. Sie nutzen dabei dieselben APIs (Application Programming Interfaces) wie schon bekannte Angriffswerkzeuge, die sich aber komplett in der PowerShell abspielen und die in der Regel erfolgreich blockiert werden. Dieses Vorgehen ermöglicht den Angreifern, neue ausführbare Dateien zu erzeugen, die den Funktionen ihrer bisher eingesetzten Werkzeuge gleichen und die dann auf dem angegriffenen System meist ungestört eingesetzt werden können.
Diese neuen ausführbaren Dateien werden von vielen Lösungen zum Schutz der Endpunkte nicht erkannt, da diese häufig nur nach bekannten gefährlichen Aktivitäten auf Basis der PowerShell Ausschau halten. Dadurch werden sie auch nicht als schädlich eingestuft und gestoppt. Nachdem ein Hacker erst einmal soweit gekommen ist, kann er im Rahmen seines Bring-your-own-Land-Angriffs dann auch eine Technik namens Reflective Loading einsetzen, um die Attacke komplett in den Arbeitsspeicher des Systems zu verlagern. Das hat den Vorteil für ihn, dass keine Daten mehr auf die Festplatte geschrieben werden müssen.
BYOL - Geeignete Schutzmaßnahmen für Unternehmen
Das Verringern der Angriffsoberflächen und das Beschränken der Auswirkungen erfolgreicher Angriffe sind eine wesentliche Grundlage vieler Schutzmaßnahmen seit erstmals die so genannten Rainbow Series veröffentlicht wurden. Dabei handelt es sich um mehrere Sicherheitsstandards und -ratgeber, die von der amerikanischen Regierung in den Achtzigern und Neunzigern des vergangenen Jahrhunderts veröffentlicht wurden. Dazu gehörte etwa die Empfehlung, keinen Compiler auf einem Server zu installieren, so dass die Angreifer ihn nicht einsetzen konnten, um ihre eigenen Werkzeuge zu kompilieren und um sich so Root-Zugriff zu verschaffen.
Auch wenn auf den meisten Windows-Rechner bis heute kein Compiler installiert ist, findet sich doch fast überall mittlerweile die PowerShell. Immerhin hat sich das Whitelisting von Anwendungen in den vergangenen zwanzig Jahren immer weiter durchgesetzt. Wie bereits erwähnt, beschreibt FireEye eine Angriffsmöglichkeit, bei der zwar die PowerShell blockiert wird, aber kein Whitelisting im Unternehmen genutzt wird. Dabei eignet sich diese Methode ausgezeichnet, um die von den Angreifern auf Basis der PowerShell entwickelten eigenen Tools zu blockieren.
Darüber hinaus ist es wichtig, die Nutzung der PowerShell genauestens zu überwachen. Dazu gehört etwa die Suche nach verdächtigen Aktivitäten auf der Kommandozeile oder das Entdecken gefährlicher PowerShell-Skripte mit Hilfe von Script Block Logging. Diese Einstellung ermöglicht das Logging aller Eingaben in der PowerShell. FireEye empfiehlt zudem eine Kontrolle der auf dem Client genutzten APIs sowie ein Logging verdächtiger Aktionen, so dass automatisch Alarme ausgelöst werden können.
Die dafür benötigten Funktionen sind in vielen Lösungen zum Schutz der Endpoints bereits enthalten. Die Admins in Ihrem Unternehmen sollten ihr Vorhandensein zügig prüfen, um vergleichbare Angriffe rechtzeitig zu verhindern. Die dabei benötigten Sicherheitskontrollen sorgen jedoch für sehr viele neu anfallende Daten, so dass sich der Einsatz eines SIEM (Security Information and Event Management) oder eines Analyse-Tools in einem darauf spezialisierten Security Operations Center (SOC) anbietet.
Eines ist aber sicher, über kurz oder lang werden die Angreifer die schwächste Stelle in jedem Netzwerk finden. Es ist deswegen essentiell, rechtzeitig über geeignete Werkzeuge zu verfügen, um auf Angriffe gegen die auf den Endpoints eingesetzten Sicherheits-Tools reagieren zu können. Das Überwachungen aller Aktivitäten auf den Rechnern ist deswegen unverzichtbar, egal ob PowerShell-Tools, speziell angefertigte eigene Tools der Hacker oder Metasploit-Module genutzt werden. Nur so erfahren Sie, was wirklich auf den Computern in Ihrer IT-Umgebung geschieht und welche Aktionen erwünscht und welche unerwünscht sind.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!