{"id":4980,"date":"2024-05-20T06:24:53","date_gmt":"2024-05-20T06:24:53","guid":{"rendered":"https:\/\/www.forenova.com\/blog\/strategies-to-prevent-a-mitre-attck-lateral-tool-transfer-attack\/"},"modified":"2024-12-17T13:07:09","modified_gmt":"2024-12-17T13:07:09","slug":"strategies-to-prevent-a-mitre-attck-lateral-tool-transfer-attack","status":"publish","type":"post","link":"https:\/\/www.forenova.com\/de\/blog\/strategies-to-prevent-a-mitre-attck-lateral-tool-transfer-attack\/","title":{"rendered":"Verhinderung von MITRE ATT&CK-Angriffen auf den lateralen Werkzeugtransfer: Umfassende Strategien und Praxisbeispiele"},"content":{"rendered":"

Datenexfiltration ist eine kostspielige Sicherheitsverletzung, die praktisch jedes Unternehmen betreffen kann. Hacker verwenden verschiedene Techniken, darunter E-Mail-Phishing-Angriffe, um gegnerische Werkzeuge f\u00fcr ihren Datendiebstahl zu inszenieren. Die Werkzeuge der Hacker, wie zum Beispiel der laterale Werkzeugtransfer, bewegen sich innerhalb des Netzwerks ihres Opfers von Osten nach Westen. Dieses Werkzeug nutzt bekannte Schwachstellen aus, darunter das Server Message Block (SMB)-Protokoll. Diese Schwachstelle erm\u00f6glicht es Angreifern, sich von einem Host zu einem anderen zu bewegen, um b\u00f6sartige Datei\u00fcbertragungen durchzuf\u00fchren.<\/span><\/p>\n

<\/p>\n

<\/span><\/p>\n

Die Angriffsmethode ist in der MITRE ATT&CK T1570<\/a><\/span> gut dokumentiert. Die Verhinderung dieses Angriffs beginnt damit, dass Unternehmen erweiterte Erkennungs- und Reaktionsdienste (XDR) sowie verwaltete Erkennungs- und Reaktionsdienste (MDR) einsetzen. XDR ist mit k\u00fcnstlicher Intelligenz ausgestattet und sammelt die Sicherheitstelemetrie aller Ger\u00e4te und Hosts.<\/span><\/p>\n

Unternehmen, die mit XDR oder MDR<\/a><\/span> nicht vertraut sind, sollten dringend in Erw\u00e4gung ziehen, mit einem Managed Security Service Provider (MSSP) wie Forenova zusammenzuarbeiten.<\/span><\/p>\n

\n

\u00dcberblick \u00fcber seitliche Werkzeugtransferangriffe<\/span><\/h2>\n

Die Angriffsmethode ist ausf\u00fchrlich in der MITRE ATT&CK T1570 beschrieben. Um diesen Angriff zu verhindern, sollten Unternehmen erweiterte Erkennungs- und Reaktionsdienste (XDR) sowie verwaltete Erkennungs- und Reaktionsdienste (MDR) implementieren. XDR, unterst\u00fctzt durch k\u00fcnstliche Intelligenz, erfasst die Sicherheitstelemetrie aller Ger\u00e4te und Hosts. Unternehmen, die mit XDR oder MDR nicht vertraut sind, wird dringend empfohlen, mit einem Managed Security Service Provider (MSSP) wie Forenova zusammenzuarbeiten.<\/span><\/p>\n

Gemeinsame Merkmale und Verhaltensweisen von Bedrohungsakteuren<\/span><\/h2>\n

Seitliche Angriffe sind schwer zu erkennen. Hacker nutzen oft Standardprotokolle wie SMB und FTP. Software-Ingenieure, Anwendungsentwickler und Kundensupport-Teams verwenden FTP, um Dateien von internen Systemen in Cloud-Speicher zu verschieben.<\/span><\/p>\n

Stadien eines Angriffs mit seitlichem Werkzeugtransfer:<\/span><\/h3>\n
    \n
  1. Erkundung<\/u><\/strong>
    \n<\/strong>
    \nDer erste Schritt bei einem Angriff durch laterale Tool\u00fcbertragung besteht darin, herauszufinden, welche Hosts Sicherheitsl\u00fccken aufweisen. Hacker nutzen daf\u00fcr Erkundungstools wie     Nmap<\/a><\/span> und Masscan. Sobald die anf\u00e4lligen Hosts identifiziert sind, k\u00f6nnen die Angreifer diese ausnutzen und Prozesse wie NetStat und IPconfig ausf\u00fchren, um zus\u00e4tzliche Netzwerkinformationen zu sammeln.<\/span><\/li>\n
  2. Diebstahl von Zugangsdaten<\/u><\/strong>
    \n<\/u><\/strong>
    \n\u201eAngreifer nutzen     Techniken<\/a><\/span> wie Credential Dumping, Social Engineering, Typo-Squatting und Phishing, um Anmeldedaten zu stehlen und Zugang zu Netzwerken zu erlangen.\u201c<\/span><\/p>\n

    E-Mail-Phishing-Angriffe erm\u00f6glichen es Hackern, b\u00f6sartige Tools wie Mimikatz<\/a><\/span> auf die Rechner zu laden. Mit diesem Tool k\u00f6nnen sie zwischengespeicherte Passw\u00f6rter im Klartext und alle im Speicher befindlichen Zertifikate stehlen.<\/span><\/p>\n

    Das Laden von Keylogger-Programmen \u00fcber E-Mail-Phishing-Angriffe ist ebenfalls weit verbreitet. Viele Endpunkt-Sicherheitsprogramme haben erfolgreich Keylogger entdeckt, die auf anf\u00e4lligen Hosts installiert wurden.“\u00a0<\/span><\/li>\n<\/ol>\n

      \n
    1. Anmeldung bei anf\u00e4lligen Hosts<\/u><\/strong>
      \n<\/u><\/strong>
      \nNachdem die Erkundung und der Diebstahl von Zugangsdaten abgeschlossen sind, nutzen die Hacker erfolgreich einen verwundbaren Host aus. Der Angreifer f\u00fchrt die Datenexfiltration durch, w\u00e4hrend er die benachbarten Netzwerke auskundschaftet, Anmeldeinformationen von den n\u00e4chsten anf\u00e4lligen Hosts stiehlt und sich unentdeckt seitlich durch das Netzwerk bewegt.<\/span><\/p>\n

      Wenn Angreifer Administratorzugriff auf ein Netzwerk haben, k\u00f6nnen sie sich unbemerkt bewegen. Je nach den gewonnenen Informationen passen sie ihre Taktik an, was es noch schwieriger macht, sie zu entdecken. Die Verwendung von System-Tools erschwert es zus\u00e4tzlich, sie zu fassen. Es ist entscheidend, diese Eindringlinge schnell zu identifizieren und zu entfernen, um erhebliche Verluste zu vermeiden.<\/span><\/li>\n<\/ol>\n

      Die Rolle von Malware bei seitlichen Werkzeugangriffen<\/span><\/h2>\n

      Seitliche Angriffe<\/span> beinhalten oft verschiedene Formen von Malware. Ransomware-Angriffe beginnen beispielsweise h\u00e4ufig mit einer E-Mail-Phishing-Kampagne. Diese E-Mails enthalten b\u00f6sartige Links, die Malware, laterale Werkzeuge, Keylogger und betr\u00fcgerische Anh\u00e4nge verbreiten.<\/span><\/p>\n

      H\u00e4ufig verwendete Arten von Malware<\/span><\/h2>\n

      Wurm<\/span><\/h3>\n

      Ein Computerwurm ist eine Art von Malware, die sich ohne menschliches Zutun von einem Computer zum anderen verbreitet, typischerweise \u00fcber eine Netzwerkverbindung. W\u00fcrmer verbreiten sich durch E-Mail-Phishing-Angriffe, Netzwerkausbreitung, Sicherheitsl\u00fccken und den Austausch von Dateien.<\/span><\/p>\n

      Ransomware<\/span><\/h3>\n

      Ransomware<\/a><\/span>-Malware sperrt Ihre Daten oder Ihr Ger\u00e4t, bis Sie den Angreifer bezahlen. Ransomware-Angriffe haben sich zu Doppel- und Dreifach-Erpressungsangriffen entwickelt, bei denen die Angreifer zus\u00e4tzlich drohen, die Daten des Opfers zu stehlen und online zu ver\u00f6ffentlichen.<\/span><\/p>\n

      Selbst Opfer, die das urspr\u00fcngliche L\u00f6segeld bezahlen oder \u00fcber Datensicherungen verf\u00fcgen, sind weiterhin gef\u00e4hrdet. Dreifach-Erpressungsangriffe gehen noch einen Schritt weiter, indem die gestohlenen Daten genutzt werden, um die Kunden oder Gesch\u00e4ftspartner des Opfers anzugreifen.<\/span><\/p>\n

      Die Malware-Dateien enthalten Funktionen zur Aufkl\u00e4rung, zum Diebstahl von Zugangsdaten und zur Ausnutzung von Protokollen. Wenn ein Host verschl\u00fcsselt wird, werden h\u00e4ufig auch mehrere andere Hosts zu Opfern.<\/span><\/p>\n

      Bedrohungsakteure, die internes Spear-Phishing einsetzen<\/span><\/h2>\n

      Team Sandworm<\/span><\/h3>\n

      \u201eDas Sandworm Team<\/a><\/span> ist eine Cyber-Bedrohungsgruppe, die mit der russischen GRU-Milit\u00e4reinheit 74455 verbunden ist. Im Oktober 2020 klagten die USA sechs Offiziere der GRU-Einheit 74455 wegen Cyberangriffen an, darunter der NotPetya-Angriff 2017, die Cyberangriffe auf die Olympischen Winterspiele 2018 und auf die Ukraine.\u201c<\/span><\/p>\n

      Sandworm (APT44) verwendet b\u00f6sartige Software und technische Tools f\u00fcr Spionage und Informationsdiebstahl, die \u00fcber E-Mails verbreitet werden. Indem sie Systeme infiltrieren und Hintert\u00fcren installieren, verschaffen sie sich Zugang, um die Systeme zu kontrollieren und mit Malware wie Remote Access Tools (RATs) Informationen zu stehlen.<\/span><\/p>\n

      Aoqin Dragon<\/span><\/h3>\n

      \u201eDer Bedrohungsakteur Aoqin Dragon<\/a><\/span> hat es seit 2013 auf Regierungs-, Bildungs- und Telekommunikationsorganisationen in S\u00fcdostasien und Australien abgesehen. Sie nutzen gut gestaltete KI-generierte E-Mails mit pornografischen Themen und USB-Verkn\u00fcpfungstechniken, um Malware wie die Mongall- und Heyoka-Backdoors zu verbreiten.\u201c<\/span><\/p>\n

      Indem sie ausf\u00fchrbare Dateien als harmlose Dokumente tarnen, verleiten sie Benutzer dazu, auf eine Backdoor zu klicken und diese auszuf\u00fchren, um eine Verbindung zu einem C2-Server herzustellen. Diese Taktik, kombiniert mit \u00fcberzeugenden E-Mail-Inhalten und einpr\u00e4gsamen Dateinamen, ist ein wirksames Mittel, um gezielte Angriffe durchzuf\u00fchren.<\/span><\/p>\n

      APT32<\/span><\/h3>\n

      APT32, eine Bedrohungsgruppe aus Vietnam, hat es seit 2014 auf verschiedene Branchen und L\u00e4nder in S\u00fcdostasien abgesehen.<\/span><\/p>\n

      Diese Gruppe verwendet ma\u00dfgeschneiderte Malware-Tools und zielt auf ausl\u00e4ndische Unternehmen in Branchen wie Fertigung, Hotellerie und Konsumg\u00fcter sowie auf Netzwerksicherheits- und Technologieunternehmen.<\/span><\/p>\n

      APT41<\/span><\/h3>\n

      APT41 verwendet mehr als 46 Malware-Familien und Tools, um ihre Missionen zu erf\u00fcllen. Sie nutzen eine Vielzahl \u00f6ffentlich verf\u00fcgbarer Dienstprogramme, Malware, die mit anderen chinesischen Spionageoperationen geteilt wird, und E-Mail-Phishing. Eine h\u00e4ufige Taktik besteht darin, Spear-Phishing-E-Mails mit Anh\u00e4ngen an gezielte Personen innerhalb ihrer Zielorganisation zu versenden.<\/span><\/p>\n

      CL0p Ransomware Gang<\/span><\/h3>\n

      Cl0p Ransomware besitzt einige einzigartige Eigenschaften, die sie besonders gef\u00e4hrlich machen. Die Ransomware kann sich \u00fcber ein Netzwerk verbreiten und mehrere Computer gleichzeitig infizieren. Sie verwendet digitale Signaturen, um einige Sicherheitskontrollen zu umgehen, und kann Windows-Systemwiederherstellungspunkte l\u00f6schen, was die Wiederherstellung erheblich erschwert.<\/span><\/p>\n

      Die CL0p<\/a><\/span>-Ransomware-Gruppe nutzte eine Zero-Day-Schwachstelle, um die MOVEit Transfer-Software anzugreifen, und begann mit einer SQL-Injektion \u00fcber die Webanwendung. Sie verschickten auch Phishing-E-Mails an Mitarbeiter, um sich Zugang zu verschaffen. Cl0p Ransomware verschl\u00fcsselt Dateien mit dem AES-256-Algorithmus und verlangt ein L\u00f6segeld f\u00fcr die Entschl\u00fcsselung.<\/span><\/p>\n

      Beispiele f\u00fcr Angriffe mit seitlichen Werkzeugen<\/span><\/h2>\n

      Colonial Pipeline<\/span><\/h3>\n

      Der Angriff richtete sich gegen die IT-Systeme von Colonial<\/a><\/span> Pipeline, betraf jedoch nicht die Systeme, die f\u00fcr den \u00d6ltransport verantwortlich sind. DarkSide-Hacker drangen in das Netzwerk von Colonial Pipeline ein und stahlen innerhalb von zwei Stunden 100 GB an Daten. Anschlie\u00dfend verbreiteten sie Ransomware, die verschiedene Systeme, einschlie\u00dflich der Abrechnungs- und Buchhaltungssysteme, beeintr\u00e4chtigte.<\/span><\/p>\n

      WannaCry<\/span><\/h3>\n

      Im Jahr 2017 infizierte die Ransomware WannaCry zahlreiche Computer weltweit, indem sie eine Schwachstelle in Windows ausnutzte. Obwohl ein Patch bereits vor dem Angriff verf\u00fcgbar war, z\u00f6gerten viele Unternehmen, das Update zu installieren.<\/span><\/p>\n

      Cobalt Strike<\/span><\/h3>\n

      \u201eChimera<\/a><\/span>, eine chinesische Hackergruppe, nutzt den lateralen Tooltransfer, um Fernzugriffstools wie Cobalt Strike zwischen kompromittierten Systemen zu verschieben.\u201c Diese Tools entziehen sich den Sicherheitskontrollen und k\u00f6nnen jahrelang unentdeckt in Unternehmenssystemen verbleiben.<\/span><\/p>\n

      St\u00f6rfall im ukrainischen Kraftwerk 2015-2016<\/span><\/p>\n

      \u201eIm Dezember 2015 haben Hacker mithilfe der BlackEnergy <\/a><\/span>3-Malware die Stromversorgung in der Ukraine unterbrochen, indem sie aus der Ferne in die Informationssysteme von drei Energieversorgungsunternehmen eingedrungen sind.\u201c<\/span><\/p>\n

      Der laterale Tool-Angriff folgte der folgenden Kill Chain:<\/span><\/p>\n