Der Osterhase als Threat-Actor – und die Suche nach seinen Spuren

Bald ist Ostern und die Suche nach den Osternestern startet wieder. Wie auch der Osterhase Hinweise und Spuren hinterlässt, so lässt auch ein Angreifer in Ihrem Netzwerk Spuren zurück. Wichtig ist bereits im Vorfeld eines Angriffs möglichst viele dieser Spuren zu sichern, um im Ernstfall den Angreifer schneller aufzuspüren. Erfahren Sie in meinem Blogbeitrag, welche Vorkehrungen Sie treffen können, um bei der Spurensuche möglichst effizient zu sein.

Ostern steht vor der Türe und bei uns zu Hause dreht sich bei meinem 3 ½-Jährigen alles um den Osterhasen: Wie kommt der Osterhase ins Haus, obwohl die Türen verschlossen sind? Bringt er nur ein oder mehrere Osternester – oder nimmt er sogar meine heissgeliebten Schnuller mit? Bereits in der heilen Welt meines Jungen ist so ein Osterhase schon als potentieller Threat-Actor anzuschauen.

Dabei erinnere ich mich gerne an meine Kindheit zurück. Damals hat jedes Kind ein Osternest bereitgestellt, welches der Osterhase dann über Nacht gefüllt und irgendwo versteckt hat. An Regentagen im Haus und an schönen Tagen draussen im Garten. Seltsam war auch, dass unsere Eltern immer wussten, wo der Osterhase die Osternester versteckt hatte. Wir sollten nach «Spuren» suchen, wie zum Beispiel Pfotenabdrücke im Schnee (manchmal hatte es wirklich auch noch Schnee an Ostern), umgeknickte Löwenzahn-Blumen (wenn es dann keinen Schnee mehr hatte) oder andere Hinweise. Mit der Zeit wurden wir immer besser im Spurenlesen. So liess sich der «Threat-Actor» Osterhase durch das Sammeln von Hinweisen aufspüren oder zumindest das von ihm platzierte «Easter Egg».

Ein Angreifer hinterlässt immer Spuren

Heute suche ich keine Osternester mehr, sondern Malware und ich lese auch keine Spuren im Schnee mehr, sondern finde die Spuren von Angreifern in forensischen Artefakten. Wenn wir bei einem Incident Response ein Netzwerk nach Angreiferspuren durchsuchen, geschieht dies vorwiegend auf den Endpunkten. Dort fallen am ehesten Spuren des Angreifers an. Klar bedienen wir uns auch diversen Netzwerkartefakten, wie Firewall- oder Proxy-Logs, um nach C2-Kommunikationen oder Hinweisen von Datenexfiltration zu suchen. Am meisten Spuren hinterlässt der Angreifer jedoch dort, wo der Angriff passiert – nämlich auf dem Endpunkt.

Dort hinterlässt jeder Angreifer Spuren. Ob es nun ein automatisierter oder opportunistischer Angriff ist, wie zum Beispiel die gross angelegten Hafnium-Angriffe in den letzten Wochen. Aber auch ein lang geplanter Angriff eines «Nation State Actors» hinterlässt Spuren. Die Kunst dabei ist es, normales Benutzer- und Systemverhalten von jenem eines Angreifers zu unterscheiden. Dies kann in sehr grossen, heterogenen oder unübersichtlichen Umgebungen eine grosse Herausforderung sein. Besonders schwierig ist es, wenn ein Entwickler in seinem Entwicklungssystem lokale Administratorenrechte besitzt – da dann sehr vieles nach einem Angriff aussieht.

Wo wir den Threat-Actor oft aufspüren

Es gibt aber zum Glück Artefakte, respektive Logs wo wir fast immer Angreiferspuren finden und wo wir dementsprechend auch zuerst suchen:

• Antiviren-Logs: Sei es ein zentrales AV-Log oder das MS Defender-Log auf dem Endpunkt. So simpel es tönen mag, viele Angreifer machen Fehler und fallen früher oder später auch einer AV-Lösung auf. Deshalb ist dies oft der erste Ort, wo ich nach Spuren suche.
• PowerShell-Logs: Sehr oft bedienen sich die Angreifer der mächtigen Windows Powershell, um Programme nachzuladen, «Lateral Movement» durchzuführen oder ganze Hosts zu kontrollieren. Es existieren auch diverse Angreifertools, welche auf Powershell basieren oder dies extensiv nutzen (Powershell Empire, Cobalt Strike, etc.). Ein base64 String in den Powershell Logs ist in 90% der Fälle von einem Angreifer.
• Login- (Security) oder RDP-Logs: Um sich lateral im Netzwerk zu bewegen, bedienen sich die Angreifer oft auch des Remote Desktop Protocols (RDP). Dies gibt eine gute Übersicht woher und wohin der Angreifer gesprungen ist oder im Falle des Security Logs auch ob es Brute-Forcing-Angriffe auf Benutzerkonten gab. Problematisch am Security Log ist, dass dieses gerade auf Active Directory Domänenkontrollern sehr schnell rotiert.

Falls wir an diesen Orten den Angreifer nicht ausfindig machen konnten, graben wir tiefer. Wir werten diverse forensische Artefakte nach Angreiferspuren aus. Dazu gehören jegliche EventLogs, diverse Registry Hives, FileSystem Artefakte, aktuelle Speicherabbilder etc. Um jedoch diese Spuren im Falle eines Incidents zur Verfügung zu haben, ist es sinnvoll sich bereits im Vorfeld Gedanken zu machen, welches die wichtigen Artefakte für das eigene Unternehmen sind.

Die Spuren sichern, bevor der Schnee schmilzt

Als wir früher Osternester gesucht haben, hatten wir jeweils Glück, wenn der Schnee noch nicht geschmolzen war. Dann konnten wir die Spuren des «Osterhasen» viel einfacher aufspüren. Um den Schnee in Ihrer Umgebung nicht schmelzen zu lassen, empfehlen wir Ihnen folgende Vorkehrungen:

• Wichtige Logs wie AV-, Proxy-, VPN-, Firewall-Logs zentral speichern und für mindestens 6 Monate aufbewahren.
• Security Logs zumindest der Active Directory Domainkontroller zentral speichern.
• Diese Logs sollten bei einem Incident umgehend weggesichert werden. Am besten noch bevor Sie uns anrufen.
• Sammeln von Systemlogs (Application, System, Security, sowie Task Manager, Powershell und RDP Logs) an einer zentralen Stelle.
• Machen Sie sich Gedanken, wie Sie ein System forensisch sichern können (Snapshot via VMDK zum Beispiel).
• Im Idealfall haben Sie schon ein EDR-System ausgerollt, welches die wichtigsten Spuren auf dem System aufzeichnet und zentral auswertet.

Eine Cyberattacke kann Ihr Unternehmen jederzeit treffen – und nicht nur zu Ostern. Deshalb ist es umso wichtiger, Angriffe und Angriffspuren schnell zu erkennen und umgehende darauf zu reagieren. Mit unserem Incident Response Retainer schaffen wir die optimale Voraussetzung, um Sie bei einer Cyberattacke schnell, effizient und wirkungsvoll zu unterstützen. Dazu stehen Ihnen unsere Cyber Security Experten 7x24Std. zur Verfügung. Erfahren Sie jetzt mehr über unseren Incident Response Retainer und geben Sie Angreifern keine Chance.

Wichtig ist jedoch, je mehr Angreiferspuren Sie im Vorfeld eines Incident sichern können, desto schneller finden wir den «Osterhasen» bzw. den Angreifer und das von ihm platzierte «Osternest». In diesem Sinne wünsche ich Ihnen und Ihren Angehörigen frohe Ostern und mögen Ihre Kinder die Spuren rasch finden.