Datenexfiltration ist eine kostspielige Sicherheitsverletzung, die praktisch jedes Unternehmen betreffen kann. Hacker verwenden verschiedene Techniken, darunter E-Mail-Phishing-Angriffe, um gegnerische Werkzeuge für ihren Datendiebstahl zu inszenieren. Die Werkzeuge der Hacker, wie zum Beispiel der laterale Werkzeugtransfer, bewegen sich innerhalb des Netzwerks ihres Opfers von Osten nach Westen. Dieses Werkzeug nutzt bekannte Schwachstellen aus, darunter das Server Message Block (SMB)-Protokoll. Diese Schwachstelle ermöglicht es Angreifern, sich von einem Host zu einem anderen zu bewegen, um bösartige Dateiübertragungen durchzuführen.
Die Angriffsmethode ist in der MITRE ATT&CK T1570 gut dokumentiert. Die Verhinderung dieses Angriffs beginnt damit, dass Unternehmen erweiterte Erkennungs- und Reaktionsdienste (XDR) sowie verwaltete Erkennungs- und Reaktionsdienste (MDR) einsetzen. XDR ist mit künstlicher Intelligenz ausgestattet und sammelt die Sicherheitstelemetrie aller Geräte und Hosts.
Unternehmen, die mit XDR oder MDR nicht vertraut sind, sollten dringend in Erwägung ziehen, mit einem Managed Security Service Provider (MSSP) wie Forenova zusammenzuarbeiten.
Überblick über seitliche Werkzeugtransferangriffe
Die Angriffsmethode ist ausführlich in der MITRE ATT&CK T1570 beschrieben. Um diesen Angriff zu verhindern, sollten Unternehmen erweiterte Erkennungs- und Reaktionsdienste (XDR) sowie verwaltete Erkennungs- und Reaktionsdienste (MDR) implementieren. XDR, unterstützt durch künstliche Intelligenz, erfasst die Sicherheitstelemetrie aller Geräte und Hosts. Unternehmen, die mit XDR oder MDR nicht vertraut sind, wird dringend empfohlen, mit einem Managed Security Service Provider (MSSP) wie Forenova zusammenzuarbeiten.
Gemeinsame Merkmale und Verhaltensweisen von Bedrohungsakteuren
Seitliche Angriffe sind schwer zu erkennen. Hacker nutzen oft Standardprotokolle wie SMB und FTP. Software-Ingenieure, Anwendungsentwickler und Kundensupport-Teams verwenden FTP, um Dateien von internen Systemen in Cloud-Speicher zu verschieben.
Stadien eines Angriffs mit seitlichem Werkzeugtransfer:
- Erkundung
Der erste Schritt bei einem Angriff durch laterale Toolübertragung besteht darin, herauszufinden, welche Hosts Sicherheitslücken aufweisen. Hacker nutzen dafür Erkundungstools wie Nmap und Masscan. Sobald die anfälligen Hosts identifiziert sind, können die Angreifer diese ausnutzen und Prozesse wie NetStat und IPconfig ausführen, um zusätzliche Netzwerkinformationen zu sammeln.
- Diebstahl von Zugangsdaten
„Angreifer nutzen Techniken wie Credential Dumping, Social Engineering, Typo-Squatting und Phishing, um Anmeldedaten zu stehlen und Zugang zu Netzwerken zu erlangen.“
E-Mail-Phishing-Angriffe ermöglichen es Hackern, bösartige Tools wie Mimikatz auf die Rechner zu laden. Mit diesem Tool können sie zwischengespeicherte Passwörter im Klartext und alle im Speicher befindlichen Zertifikate stehlen.
Das Laden von Keylogger-Programmen über E-Mail-Phishing-Angriffe ist ebenfalls weit verbreitet. Viele Endpunkt-Sicherheitsprogramme haben erfolgreich Keylogger entdeckt, die auf anfälligen Hosts installiert wurden."
- Anmeldung bei anfälligen Hosts
Nachdem die Erkundung und der Diebstahl von Zugangsdaten abgeschlossen sind, nutzen die Hacker erfolgreich einen verwundbaren Host aus. Der Angreifer führt die Datenexfiltration durch, während er die benachbarten Netzwerke auskundschaftet, Anmeldeinformationen von den nächsten anfälligen Hosts stiehlt und sich unentdeckt seitlich durch das Netzwerk bewegt.
Wenn Angreifer Administratorzugriff auf ein Netzwerk haben, können sie sich unbemerkt bewegen. Je nach den gewonnenen Informationen passen sie ihre Taktik an, was es noch schwieriger macht, sie zu entdecken. Die Verwendung von System-Tools erschwert es zusätzlich, sie zu fassen. Es ist entscheidend, diese Eindringlinge schnell zu identifizieren und zu entfernen, um erhebliche Verluste zu vermeiden.
Die Rolle von Malware bei seitlichen Werkzeugangriffen
Seitliche Angriffe beinhalten oft verschiedene Formen von Malware. Ransomware-Angriffe beginnen beispielsweise häufig mit einer E-Mail-Phishing-Kampagne. Diese E-Mails enthalten bösartige Links, die Malware, laterale Werkzeuge, Keylogger und betrügerische Anhänge verbreiten.
Häufig verwendete Arten von Malware
Wurm
Ein Computerwurm ist eine Art von Malware, die sich ohne menschliches Zutun von einem Computer zum anderen verbreitet, typischerweise über eine Netzwerkverbindung. Würmer verbreiten sich durch E-Mail-Phishing-Angriffe, Netzwerkausbreitung, Sicherheitslücken und den Austausch von Dateien.
Ransomware
Ransomware-Malware sperrt Ihre Daten oder Ihr Gerät, bis Sie den Angreifer bezahlen. Ransomware-Angriffe haben sich zu Doppel- und Dreifach-Erpressungsangriffen entwickelt, bei denen die Angreifer zusätzlich drohen, die Daten des Opfers zu stehlen und online zu veröffentlichen.
Selbst Opfer, die das ursprüngliche Lösegeld bezahlen oder über Datensicherungen verfügen, sind weiterhin gefährdet. Dreifach-Erpressungsangriffe gehen noch einen Schritt weiter, indem die gestohlenen Daten genutzt werden, um die Kunden oder Geschäftspartner des Opfers anzugreifen.
Die Malware-Dateien enthalten Funktionen zur Aufklärung, zum Diebstahl von Zugangsdaten und zur Ausnutzung von Protokollen. Wenn ein Host verschlüsselt wird, werden häufig auch mehrere andere Hosts zu Opfern.
Bedrohungsakteure, die internes Spear-Phishing einsetzen
Team Sandworm
„Das Sandworm Team ist eine Cyber-Bedrohungsgruppe, die mit der russischen GRU-Militäreinheit 74455 verbunden ist. Im Oktober 2020 klagten die USA sechs Offiziere der GRU-Einheit 74455 wegen Cyberangriffen an, darunter der NotPetya-Angriff 2017, die Cyberangriffe auf die Olympischen Winterspiele 2018 und auf die Ukraine.“
Sandworm (APT44) verwendet bösartige Software und technische Tools für Spionage und Informationsdiebstahl, die über E-Mails verbreitet werden. Indem sie Systeme infiltrieren und Hintertüren installieren, verschaffen sie sich Zugang, um die Systeme zu kontrollieren und mit Malware wie Remote Access Tools (RATs) Informationen zu stehlen.
Aoqin Dragon
„Der Bedrohungsakteur Aoqin Dragon hat es seit 2013 auf Regierungs-, Bildungs- und Telekommunikationsorganisationen in Südostasien und Australien abgesehen. Sie nutzen gut gestaltete KI-generierte E-Mails mit pornografischen Themen und USB-Verknüpfungstechniken, um Malware wie die Mongall- und Heyoka-Backdoors zu verbreiten.“
Indem sie ausführbare Dateien als harmlose Dokumente tarnen, verleiten sie Benutzer dazu, auf eine Backdoor zu klicken und diese auszuführen, um eine Verbindung zu einem C2-Server herzustellen. Diese Taktik, kombiniert mit überzeugenden E-Mail-Inhalten und einprägsamen Dateinamen, ist ein wirksames Mittel, um gezielte Angriffe durchzuführen.
APT32
APT32, eine Bedrohungsgruppe aus Vietnam, hat es seit 2014 auf verschiedene Branchen und Länder in Südostasien abgesehen.
Diese Gruppe verwendet maßgeschneiderte Malware-Tools und zielt auf ausländische Unternehmen in Branchen wie Fertigung, Hotellerie und Konsumgüter sowie auf Netzwerksicherheits- und Technologieunternehmen.
APT41
APT41 verwendet mehr als 46 Malware-Familien und Tools, um ihre Missionen zu erfüllen. Sie nutzen eine Vielzahl öffentlich verfügbarer Dienstprogramme, Malware, die mit anderen chinesischen Spionageoperationen geteilt wird, und E-Mail-Phishing. Eine häufige Taktik besteht darin, Spear-Phishing-E-Mails mit Anhängen an gezielte Personen innerhalb ihrer Zielorganisation zu versenden.
CL0p Ransomware Gang
Cl0p Ransomware besitzt einige einzigartige Eigenschaften, die sie besonders gefährlich machen. Die Ransomware kann sich über ein Netzwerk verbreiten und mehrere Computer gleichzeitig infizieren. Sie verwendet digitale Signaturen, um einige Sicherheitskontrollen zu umgehen, und kann Windows-Systemwiederherstellungspunkte löschen, was die Wiederherstellung erheblich erschwert.
Die CL0p-Ransomware-Gruppe nutzte eine Zero-Day-Schwachstelle, um die MOVEit Transfer-Software anzugreifen, und begann mit einer SQL-Injektion über die Webanwendung. Sie verschickten auch Phishing-E-Mails an Mitarbeiter, um sich Zugang zu verschaffen. Cl0p Ransomware verschlüsselt Dateien mit dem AES-256-Algorithmus und verlangt ein Lösegeld für die Entschlüsselung.
Beispiele für Angriffe mit seitlichen Werkzeugen
Colonial Pipeline
Der Angriff richtete sich gegen die IT-Systeme von Colonial Pipeline, betraf jedoch nicht die Systeme, die für den Öltransport verantwortlich sind. DarkSide-Hacker drangen in das Netzwerk von Colonial Pipeline ein und stahlen innerhalb von zwei Stunden 100 GB an Daten. Anschließend verbreiteten sie Ransomware, die verschiedene Systeme, einschließlich der Abrechnungs- und Buchhaltungssysteme, beeinträchtigte.
WannaCry
Im Jahr 2017 infizierte die Ransomware WannaCry zahlreiche Computer weltweit, indem sie eine Schwachstelle in Windows ausnutzte. Obwohl ein Patch bereits vor dem Angriff verfügbar war, zögerten viele Unternehmen, das Update zu installieren.
Cobalt Strike
„Chimera, eine chinesische Hackergruppe, nutzt den lateralen Tooltransfer, um Fernzugriffstools wie Cobalt Strike zwischen kompromittierten Systemen zu verschieben.“ Diese Tools entziehen sich den Sicherheitskontrollen und können jahrelang unentdeckt in Unternehmenssystemen verbleiben.
Störfall im ukrainischen Kraftwerk 2015-2016
„Im Dezember 2015 haben Hacker mithilfe der BlackEnergy 3-Malware die Stromversorgung in der Ukraine unterbrochen, indem sie aus der Ferne in die Informationssysteme von drei Energieversorgungsunternehmen eingedrungen sind.“
Der laterale Tool-Angriff folgte der folgenden Kill Chain:
- Die Unternehmensnetzwerke wurden durch Spear-Phishing-E-Mails mit BlackEnergy-Malware kompromittiert.
- Die russischen Hacker übernahmen die Kontrolle über SCADA-Systeme und schalteten Umspannwerke aus der Ferne ab.
- Die Angreifer deaktivierten und zerstörten IT-Infrastrukturkomponenten wie Netzteile, Modems, RTUs und Switches.
- Die KillDisk-Malware vernichtete Dateien auf Servern und Workstations.
Identifizierung von Indikatoren für eine Kompromittierung im Zusammenhang mit seitlichen Tooltransferangriffen
Ungewöhnliche Mengen an ausgehendem Netzwerkverkehr
Ungewöhnliche Netzwerkaktivitäten könnten darauf hindeuten, dass ein Endgerät mit Spyware oder Malware infiziert ist. Diese bösartigen Programme können eine Verbindung zu einem Kontrollserver herstellen und es Angreifern ermöglichen, Daten zu stehlen und sich im Netzwerk zu bewegen.
Fragwürdige Aktivitäten rund um den Zugriff auf privilegierte Konten
Schützen Sie sich vor unbefugten Zugriffsversuchen und der Eskalation von Privilegien mit einer robusten Privileged Access Management-Lösung. Befolgen Sie das Prinzip des geringsten Privilegs, um das Risiko des Missbrauchs von Zugangsdaten zu minimieren.
Spezifischer Anstieg der Aktivität an Geo-Standorten über den normalen Verkehr hinaus
Unerwarteter Datenverkehr von unbekannten Orten könnte ein Hinweis auf unautorisierte oder bösartige Aktivitäten in Ihrem Netzwerk sein. Überprüfen Sie Anmeldeversuche aus Regionen wie Russland oder China, wenn Ihr Datenverkehr normalerweise aus den Vereinigten Staaten oder Indien stammt, um mögliche Probleme frühzeitig zu erkennen und zu vermeiden.
Spitzen bei Datenbank-Lesevorgängen
Ein Anstieg der Lesevorgänge in der Datenbank kann auf eine Sicherheitsverletzung hindeuten. Angreifer könnten auf Kundendatensätze zugreifen, was zu hohen Lesezahlen führt. Dieser Angriffsvektor kann zur Datenexfiltration oder zu nicht autorisierten Änderungen führen. Eine regelmäßige Überwachung der Datenbankaktivität ist wichtig, um ungewöhnliche Leseanfragen frühzeitig zu erkennen.
Wiederholter Zugriff auf dieselbe Datei
Wenn es viele Anfragen zu einer bestimmten Datei gibt, sollte dies Verdacht erregen und zu weiteren Untersuchungen führen.
Wie verhindert man einen Angriff durch seitlichen Werkzeugtransfer?
Sicherheitsteams, die Netzwerkerkennung und -reaktion (Network Detection and Response, NDR) in Kombination mit XDR einsetzen, können diese Angriffe mithilfe von Seitentools erkennen. Die von MITRE definierten Merkmale lateraler Angriffe sind in der Richtlinien- und Regelbibliothek der NDR- und XDR-Tools hinterlegt.
Netzwerkerkennung und -reaktion (NDR)
„Systeme zur Erkennung und Reaktion auf Netzwerk-Eindringlinge verwenden Netzwerksignaturen, um bösartige Aktivitäten auf Netzwerkebene zu erkennen und zu verhindern, wie z.B. ungewöhnliche Datenübertragungen oder gegnerische Malware."
Multi-Faktor-Authentifizierung (MFA)
Die Multi-Faktor-Authentifizierung (MFA) erhöht die Sicherheit, indem sie zusätzliche Überprüfungsschritte erfordert und so das Risiko eines unbefugten Zugriffs verringert, selbst wenn ein Passwort kompromittiert wurde.
Netzwerk-Segmentierung
Die Netzwerksegmentierung ermöglicht es, die seitliche Bewegung des Datenverkehrs zu verhindern. Segmentierungsrichtlinien kontrollieren den Datenverkehr in alle Richtungen (Nord-Süd sowie Ost-West), indem sie nur bestimmte Ports und Protokolle innerhalb eines Segments zulassen. Wenn Ransomware oder laterale Tools versuchen, sich über einen nicht standardmäßigen oder nicht zugelassenen Port zu verbreiten, wird die Verbindungsanfrage blockiert.
Fazit
Die Verhinderung von lateralen Tool-Angriffen beginnt mit der Implementierung adaptiver Kontrollen, einschließlich NDR, MFA, Netzwerksegmentierung und Patch-Verwaltung, um die Schwachstellen auf den verschiedenen Hosts und Geräten zu reduzieren. Durch die Minimierung dieser Schwachstellen werden die Angriffsflächen und das Risiko eines seitlichen Angriffs verringert.
Warum Forenova Security zur Verhinderung seitlicher Tool-Angriffe?
MDR spielt eine entscheidende Rolle beim Stoppen von Lateral-Tool-Angriffen, indem es die verschiedenen adaptiven Kontrollen in einer XDR/SIEM-Lösung überwacht, um die Ausbreitung von Ost-West-Lateralbewegungen zu erkennen und zu verhindern. Unternehmen, die Schwierigkeiten haben, Cybersecurity-Ingenieure zu rekrutieren, sollten die Zusammenarbeit mit MSSPs in Betracht ziehen, um von deren Fähigkeiten in den Bereichen Incident Response, Überwachung und Berichterstattung zu profitieren.
Forenova Security ist ein führender Anbieter von Cybersicherheitsdiensten und MDR-Lösungen. Unternehmen, die einen Partner suchen, der ihr bestehendes Team für Sicherheitsoperationen (SecOps) ergänzt oder eine vollständige 24/7-Überwachung und -Reaktion, Bedrohungsdaten und andere Tools für die Cyberabwehr bereitstellt, können auf die erfahrenen Ingenieure von Forenova Security zurückgreifen, um ihre Geschäfts- und Compliance-Ziele zu erreichen.
Nehmen Sie noch heute Kontakt mit uns auf, um Ihren Datenschutz mit MDR zu besprechen.
.svg)
.svg)
.svg)
.svg)
.svg)
