Ransomware ist zwar schon lange ein Thema, jedoch alles andere als nur ein vorübergehendes Phänomen – im Gegenteil. Daher hielt Stephan Berger, Senior Cyber Security Analyst bei InfoGuard, an der diesjährigen Swiss Cyber Storm einen Vortrag zum Thema Ransomware und die aktuelle Bedrohungslage. In zwei Blogartikeln werden die wichtigsten Punkte seines Talks aufgezeigt und detailliert erklärt.
Beobachtungen, Erfahrungen und Learnings aus vergangenen Incidents sind enorm wichtig für die Arbeit des Incident-Response-Teams der InfoGuard. Bei Untersuchungen von kompromittierten Netzwerken sehen wir in vielen Fällen dieselben Muster, wodurch sich Angreifer initialen Zugriff in das Netzwerk verschaffen.
Auch wenn User Awareness Trainings und Phishing-Kampagnen inzwischen bei vielen Firmen (teils sogar regelmässig) durchgeführt werden, gehören Phishing – also das Stehlen von legitimen Zugangsdaten – und das Ausführen von bösartigen Dokumenten, sogenannten «Malicious Documents» (MalDocs), immer noch zu den gängigsten Angriffsmethoden, um sich Zugang zum Firmennetzwerk zu verschaffen. Der Erfolg dieser Techniken erklärt sich unter anderem durch geschickte Täuschung der Benutzer, wie ich an der Swiss Cyber Storm an einem realen Case aufzeigte.
In Abbildung 1 (linkes Bild) erhielt ein Benutzer eine E-Mail von der Firma «Transfer24 GmbH». Darin schreibt die Firma, dass ein Paket zugestellt wird inklusive einem Link, wo die entsprechenden Dokumente abgelegt sind. Besonders trickreich: Die Angreifer haben nicht nur ein gezieltes Phishing-E-Mail gesendet, sondern auch telefonisch Kontakt aufgenommen, was Vertrauen schaffte. In (akzentfreiem) Deutsch wurde darauf hingewiesen, dass für den Empfang des Paketes die Bestätigung via Link in der E-Mail notwendig sei, ebenso wie die Installation der dazugehörigen Software («Track a Package»). Natürlich war die Software reine Tarnung. Mit dem Download wurde ein Trojaner installiert, wodurch die Angreifer einen ersten Fuss im Netzwerk hatten.
Abb. 1: Zwei Beispiele von bösartigen E-Mails resp. Dateien
Das rechte Bild in Abbildung 1 zeigt ein anderes Szenario; wiederum eine E-Mail. Nun könnte man denken, dass sensibilisierte Benutzer in der Lage sein sollten, diese E-Mail als verdächtig einzustufen, nicht? Einige vermutlich schon, andere aus durchaus nachvollziehbaren Überlegungen heraus nicht. In diesem Fall haben die Angreifer das E-Mail-Konto einer externen Firma übernommen und eine real vorhandene E-Mail-Konversation missbraucht, um präparierte Dokumente (Abbildung im OneDrive) an die Zielfirma zu senden. Hinzu kommt, dass OneDrive zum Austausch von Dokumenten mit Partnern gängig war, auch mit dem vermeintlichen Absender, und dadurch nicht verdächtig. Durch das Öffnen des präparierten Dokuments erhielten die Angreifer nun einen ersten Zugang in das Zielnetzwerk – und dies, komplett unbemerkt.
Besonders in diesem Jahr wurden viele kritische Schwachstellen veröffentlich, mit denen sich Angreifer Zugang in Netzwerke verschafft haben. Eine populäre und stark ausgenützte Schwachstelle war «ProxyLogon» im Exchange Server, mit welcher Angreifer Code auf dem Server ausführen konnten. Eine der Empfehlungen von Microsoft war, neben dem zügigen Einspielen der Security Patches, das Scannen der Exchange Server mit dem «Microsoft Security Scanner».
Unser Team untersuchte im Zuge dieser Schwachstelle dutzende von potenziell gehackten Exchange Servern in der Schweiz sowie im Ausland. Vor der Kontaktaufnahme mit InfoGuard haben die Kunden in vielen Fällen den Microsoft Scanner schon auf den Systemen gestartet. Dabei wurden viele Web-Shells von Angreifern bereits erkannt und gelöscht – doch längst nicht in jedem Fall, wie das nächste Beispiel zeigt.
In Abbildung 2 sieht man den Pfad zu einer Web-Shell (in orange), die durch einen Angreifer auf dem Exchange Server mittels der ProxyLogon-Schwachstelle abgelegt wurde. Der Kunde hat vor der Kontaktaufnahme mit uns den Microsoft Scanner auf dem Server ausgeführt. Offensichtlich konnte der Scanner jedoch nicht alle Angriffsspuren erkennen und entfernen.
Abb. 2: Web-Shell innerhalb vom Exchange Pfad (Roter Kasten: Erstellungsdatum der Datei)
Bei der Analyse der platzierten Web-Shell wurden zwei Punkte deutlich (Abb. 3):
Abb. 3: Das Löschen der Web-Shell war erschwert. (Roter Kasten: Directory Listing – Verzeichnisanzeige vom Exchange-Verzeichnis. Oranger Kasten: Fehlgeschlagener Löschversuch der bösartigen Datei.)
Mit dem Problem hängt vermutlich auch der Microsoft Scanner zusammen. Dieser konnte die Datei zwar finden, jedoch nicht löschen. Dieser Punkt zeigt deutlich, dass man sich nur bedingt auf automatische Prüfungen verlassen kann und für eine tiefere Analyse in vielen Fällen auf ein Spezialisten-Team wie unseres angewiesen ist.
In Abbildung 4 ist ein Screenshot der Schwachstellen-Suchmaschine «shodan.io» abgebildet. Darauf ist ersichtlich, dass ein Server in der Azure Cloud den Remote Desktop Protocol Port (RDP – Port 3389) im Internet exponierte.
Abb. 4: Exponierter RDP-Port im Internet
Der exponierte Zugang wurde von einer grösseren Schweizer Firma als Jump-Host für externe Consultants in das interne Netzwerk eingerichtet. Die Schwachstelle hier: Es gab keinen zweiten Authentisierungs-Faktor, wodurch die Angreifer das Passwort des Administrator-Kontos knacken konnten. Nach erfolgreich Login in den Jump-Host entwendeten die Angreifer weitere Passwörter. Zudem war der Azure Host mit dem internen On-Prem-Netzwerk verbunden, was zu einer kompletten Kompromittierung des Netzwerks führte.
In zahlreichen Untersuchungen fand unser InfoGuard CSIRT – neben den offensichtlich bösartigen Backdoors wie eingerichteten Scheduled Tasks oder AutoRuns-Einträgen – auch weitere, nicht als potenziell bösartig zu erkennende Backdoors von Angreifern. Innerhalb kurzer Zeit nach der initialen Kompromittierung des Netzwerkes haben Angreifer auf verschiedenen Server im Netzwerk legitime Remote-Desktop-Lösungen wie «AnyDesk» oder «Splashtop» installiert.
Für den System-Administrator ist auf den ersten Blick nicht ersichtlich, dass eine dieser Remote-Desktop-Lösungen von Angreifern als Backdoor installiert wurde. Solche Installationen haben für Angreifer den Vorteil, dass Anti-Virus-Lösungen diese Produkte nicht als bösartig erkennen und bei vielen Netzwerken im Einsatz sind. Auch nach einem Passwort-Wechsel der betroffenen Benutzer sowie einer gezielten Beseitigung des platzierten Angreifer-Codes, würde durch die Installation der Remote-Desktop-Lösungen immer noch ein Netzwerkzugang bestehen.
Wenig erstaunlich, hat unser Team in beinahe allen untersuchten Fällen Spuren des bekannten Angriff-Frameworks «Cobalt Strike» gefunden. Zig Personen und Unternehmen scannen das Internet nach bekannten Cobalt-Strike-Team-Servern ab und publizieren die gefundenen Informationen öffentlich, um dagegen anzukämpfen (siehe Abbildung 6). Security Teams können diese frei verfügbaren Quellen verwenden, um ihre Proxy- und Firewall-Logs auf Spuren von Cobalt Strike hin zu durchsuchen, um so eine Netzwerk-Kompromittierung durch Angreifer nachzuweisen.
Sie merken: Ransomware ist eine komplexe Thematik, die Erfahrung und Fachwissen erfordert. Im zweiten Teil erfahren Sie vier weitere spannende Insights und Take-outs rund um Ransomware und aus unserem Alltag im CSIRT. Wenn Sie diesen sowie weitere Artikel nicht verpassen wollen, abonnieren Sie jetzt unsere Blog-Updates! Damit erhalten Sie wöchentlich den neusten Artikel direkt in Ihre Mail-Box.