18.08.2021 / Kategorie: Detect & Response, Threat Intelligence
Was passiert, wenn Hacker ins Firmennetzwerk einfallen? Die Resultate kennen wir aus zahlreichen Artikeln über erfolgreiche Attacken. Daher setzen die meisten Organisationen mittlerweile alles daran, mit starken Verteidigungsmauern, wie Firewalls, Zugriffskontrollen, isolierten Perimetern und intelligenten Monitorsystemen, Angreifern den Zugang zu verwehren. Aber was passiert eigentlich genau, wenn Hacker doch die „Festungsmauern“ durchbrechen? Dieser Frage gingen die Forscher von Comparitech mittels Honeypots nach.
Zur Beantwortung dieser Frage hatten die Forscher von Comparitech Honeypots im Internet eingerichtet, um Angreifer anzulocken und ihre Aktionen aufzuzeichnen. In 24 Stunden haben sie mehr als 100.000 Angriffe aufgezeichnet.
Jedes Gerät, das mit dem Internet verbunden ist, hat eine eindeutige IP-Adresse. Diese IP-Adressen sind öffentlich und ermöglichen es Computern, einander über das Internetprotokoll zu finden und miteinander zu kommunizieren. Normalerweise wollen wir legitimen Parteien erlauben, sich mit unseren IP-Adressen zu verbinden, und Angreifer durch Firewalls, Authentifizierung und Zugriffskontrolle fernhalten. Aber was wäre, wenn wir keine dieser Vorsichtsmassnahmen ergreifen würden? Wie lange würde es dauern, bis böswillige Hacker Ihr Gerät finden und angreifen? Welche Methoden würden sie anwenden? Wonach suchen sie? Und woher kommen sie?
Die Forscher von Comparitech versuchten, die Antworten auf diese Fragen zu finden, indem sie Honeypots einrichteten - Computerattrappen, die Angreifer anlocken sollen, damit jeder ihrer Schritte aufgezeichnet werden kann.
Die Forscher richteten Honeypot-Geräte ein, die eine Reihe von internetfähigen Diensten emulieren und eine breite Palette von Protokollen unterstützen, darunter RDP, SSH, MySQL, VNC und mehr. Die Honeypots wurden ungesichert gelassen, so dass keine Authentifizierung für den Zugriff und Angriff erforderlich war. Mit dieser Methode wollten die Forscher von Comparitech herausfinden, welche Arten von Angriffen auftreten, mit welcher Häufigkeit und woher sie kommen.
Insgesamt verzeichneten die Forscher 101.545 Angriffe in einem Zeitraum von 24 Stunden, also 70 Angriffe pro Minute. Um Ihnen eine Vorstellung davon zu geben, wie sehr die Angriffe zugenommen haben: In einer Studie der University of Maryland aus dem Jahr 2007 wurden lediglich 2.244 Angriffe pro Tag erfasst - ein Bruchteil dessen, was im Jahr 2021 verzeichnet wurde.
Brute-Force-Angriffe auf SSH waren mit Abstand die häufigsten Angriffe auf den Honeypot. SSH (Secure Shell) ist ein verschlüsseltes Protokoll, das für den Fernzugriff auf Computer, die Verwaltung von Servern und die Ausführung von Skripten verwendet wird. Es ist logisch, dass dies die häufigste Angriffsart ist, da fast jedes Gerät SSH auf die eine oder andere Weise unterstützt. Da SSH häufig für automatisierte Prozesse und Dienste verwendet wird (z. B. CI/CD) und es sich dadurch um nicht-menschliche Accounts handelt, stellen sie ein leichteres Ziel für Angreifer dar, zumal für solche Accounts leider häufig auch nur schwache Passwörter und Verschlüsselungs-Chiffren verwendet werden.
Brute-Force-Angriffe versuchen, den Benutzernamen und das Passwort für den SSH-Zugriff auf den Server zu erraten. In den Wortwolken unten können Sie sehen, welche Benutzernamen und Passwörter am häufigsten erraten wurden:
Die am häufigsten entdeckten Passwörter durch Brute-Force Attacken
Hier ist eine Aufschlüsselung der wichtigsten Angriffstypen, die auf dem Honeypot aufgezeichnet wurden:
Die drei wichtigsten angegriffenen Ports in absteigender Reihenfolge waren 5900 (VNC), 22 (SSH) und 443 (HTTPS).
Wenn Angreifer über SSH auf die Systeme zugriffen, versuchten die meisten zunächst, grundlegende Informationen über das System herauszufinden. Hier sind die Top 10 der von Angreifern verwendeten Befehle, die vom Honeypot aufgezeichnet wurden:
Von dort aus würden Angreifer vermutlich weitere Angriffe starten, basierend auf dem, was sie finden. Wenn sie eine ungepatchte Version einer Software mit einer Sicherheitslücke finden, würden sie Schritte unternehmen, um diese Schwachstelle auszunutzen. Wenn sie eine Datenbank finden, würden sie mit der Exfiltration von Daten beginnen. Oder sie könnten Ransomware, einen Cryptominer oder eine Reihe anderer Malware einschleusen.
Die Forscher beobachteten auch, dass Angreifer versuchten, crontab zu untersuchen, ein System zur Aufgabenplanung auf Unix-Systemen. Sie suchten höchstwahrscheinlich nach Backup-Verzeichnissen, System-Dienstprogrammen und installierter Software. Andere waren an CPU-Statistiken und laufenden Prozessen interessiert, um zu sehen, was auf dem Honeypot installiert war.
Etwa 98 Prozent der IP-Adressen, von denen die Angriffe ausgingen, waren bereits in öffentlich zugänglichen Blacklists enthalten. Registriert wurden unautorisierte Zugriffsversuche von Bots und Crawlern (3), Massenscannern (85), Tor-Exit-Knoten (101) und einigen verrufenen IPs, die vom Überwachungswerkzeug markiert wurden (614). Dies zeigt auf, dass die meisten Hacker-Angriffe frühzeitig abwendbar wären, wenn man Zugang zu dem online bereits vorhandenen Wissen hätte.
Etwa zwei Drittel der Angriffe kamen von unbekannten Betriebssystemen, wozu unter anderem Macs gehören. Von den bekannten kamen 9,5 % von Windows-Geräten und 17,5 % von Linux-Geräten.
Die Rückverfolgung eines Angriffs zu einem bestimmten Land ist etwas zweifelhaft, da viele, wenn nicht sogar die meisten, Angreifer Proxys verwenden, um sich zu verstecken. Im Folgenden finden Sie eine Aufschlüsselung der IPs von Angreifern nach Ländern:
Die Forscher versuchten, diese Frage zu beantworten, indem sie den Honeypot als verschiedene Betriebssysteme tarnten, darunter Windows, MacOS und Linux. Sie konnten keinen signifikanten Unterschied in der Anzahl der Angriffe auf ein bestimmtes Betriebssystem feststellen.
Allerdings räumen die Forscher ein, dass die Angreifer vielleicht zu schlau für diese Masche sind. Die Forscher tarnten den Linux-Honeypot als ein anderes Betriebssystem, indem sie den Standard-TTL-Wert änderten, ein Parameter, anhand dessen die meisten automatischen Scanner feststellen, welches Betriebssystem und welche Version installiert ist. Einige Scanner können diesen Trick jedoch übersehen.
Darüber hinaus sind viele der auf dem Honeypot aktivierten Dienste und Protokolle betriebssystemunabhängig, d. h. sie funktionieren auf jedem Betriebssystem und werden von Angreifern unabhängig vom zugrunde liegenden Betriebssystem gleichermassen betrachtet.
Der Versuch von Comparitech zeigt eindrücklich auf, was mit ungeschützten Systemen passiert. Cyberkriminelle sind nicht wählerisch. Sie greifen Unternehmen jeder Grösse und Branche an. Wer bisher verschont geblieben ist, darf sich nicht in Sicherheit wiegen. Die Absicherung und das Aktualisieren der Systeme darf keine Arbeit nebenbei sein. Der Schaden, den ein fehlender Patch nach sich ziehen kann, kann sehr gross sein. Ein strukturiertes Vorgehen ist wichtig – die Informationen über neue Updates müssen vorhanden sein, damit der Patch zeitnah nach einem vorgelegten Schema getestet und installiert werden kann – ein Patch-Management hilft Ihnen, Ihre Systeme sicher zu betreiben. Bei einem Cyberangriff oder Datenschutzvorfall gilt es zudem, schnell zu handeln und keine Zeit zu verlieren. Mit einem Incident Response Plan bereiten Sie Ihr Unternehmen auf die Bedrohung vor, um einen allfälligen Schaden zu begrenzen und eine weitere Ausbreitung zu verhindern.
Weiterhin zeigt diese Studie, dass ein Grossteil der Hacker und ihre Methoden bereits weitreichend bekannt sind: Cybersecurity-Experten arbeiten internationalen zusammen und pflegen eine Kultur des offenen Informationsaustausches. Aus diesem Grund ist es sehr effektiv, wenn bereits vorhandene Informationen über Hackergruppen, Angriffsmethoden und Malware-Familien gesammelt und verwertet werden, um eine Organisation frühzeitig vorzubereiten und Hacker-Anfälle im Keim zu ersticken. Es gibt mächtige Tools, welche das DarkWeb, Threat-Intelligence Feeds, Internetforen und Virus-Datenbanken kontinuierlich scannen und qualifizieren, was dann durch geschulte Threat-Intelligence-Experten ausgewertet und beurteilt werden kann. Einige Managed Security Service Provider bieten dies als Service an, um Organisationen mit den richtigen und wichtigen Informationen zu versorgen, die bei der Verteidigung gegen Hacker-Angriffe helfen.
Da wie oben beschrieben besonders bekannte Schwachstellen durch Attacken ausgenutzt werden, ist es neben gründlichen Patching-Prozessen vor allem essenziell, Systeme und Netzwerke regelmässig auf Schwachstellen zu prüfen. Genauso, wie es ratsam ist, regelmässig zum Arzt zu gehen für ein Check-Up, sollte man regelmässig die «Gesundheit» der eigenen Systeme überprüfen, vor allem bei den Systemen welche Schnittstellen zur Aussenwelt haben. Diese nach aussen gerichteten Systeme können am besten mit Vulnerability Attack Scans (VAS) geprüft werden. Dabei scannen intelligente Tools in regelmässigen Abständen die von externen Netzwerken erreichbaren Ports, Interfaces, Protokolle und Anwendungen auf Schwachstellen und Risiken. Am besten ist es, diesen Dienst zusammen mit dem Threat-Intelligence Scanning zu automatisieren und durch geschultes Fachpersonal regelmässig bewerten zu lassen.
In der Studie von Comparitech ist zu erkennen, dass Hacker, wenn sie einmal das Netzwerk durchbrochen haben, in der Dunkelheit abtauchen und im internen Netzwerk unauffindbar sind, da sie versuchen, legitime Dienste, Nutzer und Systeme zu kompromittieren, um ihre üblen Machenschaften auszuführen. Daher ist es notwendig ab dem Moment des Bekanntwerdens eines Hacker-Angriffs folgendes notwendig: Es sollte sofort ein Computer Security Incident Response Team (CSIRT) zur aktiven Verteidigung eingesetzt werden, welches versucht, die Hacker anhand bekannter Muster zu lokalisieren und den Schaden einzudämmen. Solche Teams benötigen eine Vielzahl an Spezial-Kenntnissen, fortgeschrittene Tools und Skills und eine gute Abstimmung und Vorplanung für den Ernstfall. Es bietet sich deshalb auch hier an, einen externen Partner zu verwenden, um bei einer aktiven Verteidigung bei einem Hacker-Angriff Unterstützung zu erhalten. Da während eines Hacker-Angriffs Zeit die ultimative Währung ist, kann ein gut organisiertes CSIRT der entscheidende Faktor sein, um zu verhindern, dass sich ein Vorfall zur Katastrophe entwickelt.
Wenn Sie Hilfe benötigen bei einem konkreten Vorfall oder Fragen zu den genannten Themen haben, zögern Sie nicht, mit den Cyber Security Experten von ISPIN in Kontakt zu kommen. Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.
ISPIN 7/24 Incident Hotline: 0848 800 017 | cyberdefense[at]ispin.ch
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications