Open Systems SASE

Our future-proof SASE platform as a service, with 24×7 support, allows you to enable network simplicity, intelligent security, and performance.

 

Featured Resource

SASE: The Network of the
Future Is Here Today

View eBook

 

Resources

Find the latest customer stories, solution briefs, white papers, videos, events, webinars and third-party research about SASE.

 

Featured Resource

Gartner Market Guide for Managed Detection and Response Services, 2020

View Report

 

We're All About Partnership

We’re uncompromising in the pursuit of growth, and we’re proud of the network and the people that make our growth possible.

 

Featured Partner

Accelerate your Journey to
the Microsoft Cloud

View Partnership

 

Open Systems

Open Systems is the preeminent cybersecurity and connectivity provider for the enterprise cloud.

 

A Great Place to Work

Good Employer Badges

Come Join Us!

View Open Positions

Jason Bloomberg | November 3, 2020

Cyberattacke stoppen: Managed Detection and Response in Aktion

Ursprünglich auf DZone veröffentlicht.

Dies ist eine wahre Geschichte. Das betroffene Unternehmen möchte anonym bleiben – typisch für Vorfälle in der Cybersicherheit – deshalb nennen wir es Horizon.

Zusammen mit einem Expertenteam war Horizon in der Lage einen entschlossenen Angreifer in seinem Vorhaben zu stoppen. Und so haben sie es geschafft:

Die Schwachstelle

Die Geschichte nimmt ein glückliches Ende, da Horizon sich bereits für den Managed Detection and Response (MDR) Service von Open Systems entschieden hatte.

Leider war die Bereitstellung der Secure SD-WAN-Technologie von Open Systems zum Zeitpunkt des Angriffs bei Horizon noch nicht abgeschlossen. Das Unternehmen war gerade dabei, die Network Detection and Response (NDR)-Technologie von Open Systems einzuführen, einschliesslich SD-WAN, Firewalls und sichere Web Gateways, aber der Angreifer fand einen Einstiegspunkt, der noch nicht durch das Secure SD-WAN geschützt war.

Die Angriffsmethode: ein einfacher Malware-Angriff unter Anwendung eines gefälschten Google Chrome-Download-Alarms (siehe Abbildung unten). Der Angreifer warf mit seinem Social Engineering ein weites Netz aus, da er wusste, dass ein einziger Klick auf die Schaltfläche «Install» dem Angreifer Zugang zum Horizon-Netzwerk verschaffen würde.

Ein Klick genügt: Methode des Angreifers (Quelle: Open Systems)

Die Attacke

In diesem Fall nutzte der entschlossene Eindringling die Technik des Social Engineerings, um sich bei Horizon Zugang zu verschaffen. Als Nächstes nutzte er Verschleierungstechniken, um nicht entdeckt zu werden. So konnte er mit Hilfe einer .dll Datei seine Aktivitäten und benutzten Tools auf eine Positivliste setzen, und somit alle Warnungen der Antiviren-Software von Horizon ausschalten.

Der Angriff dauerte tatsächlich mehrere Tage; genügend Zeit für den Angreifer, weitere Schwachstellen zu identifizieren und schliesslich eine dauerhafte Präsenz im Horizon-Netzwerk zu erlangen. In dieser Zeit installierte er sogenannte Back-Door Programme, wodurch er Befehls- und Kontroll-Links erhielt, mit deren Hilfe er seine Attacke weiter ausbauen konnte.

In den entscheidenden ersten Stunden des Angriffs führte der Angreifer einen verdächtigen Power-Shell-Befehl auf einem Horizon-Server aus und initiierte damit Datenverkehr zu einer öffentlichen Cloud. Gleichzeitig richtete der Angreifer fünf separate lokale Admin-Konti auf fünf verschiedenen Clients ein.

Dann führte der Angreifer Mimikatz aus, eine Open Source Applikation, die es böswilligen Akteuren ermöglicht, Authentifizierungsdaten einzusehen und zu speichern. Mimikatz ist eigentlich ein Cybersicherheitstool, mit dem Unternehmen ihre Windows-Server auf Schwachstellen testen können. In den falschen Händen ist Mimikatz aber auch ein leistungsstarkes Angriffstool.

Mit Mimikatz entdeckte der Angreifer die Anmeldedaten eines Backup-Service-Kontos, das fälschlicherweise mit Domänen-Zugriffsrechten konfiguriert worden war. Diese Zugangsdaten ermöglichten es dem Eindringling, seinen Angriff zu erweitern und sich über ein IT-Administratorkonto innerhalb des Horizon-Netzwerks lateral zu bewegen.

Die Verteidigung

Sobald ein Angreifer sowohl eine Befehls- und Kontrollverbindung erlangt als auch ein IT-Administrationskonto kompromittiert hat, ist er normalerweise schnell in der Lage an sein Ziel zu gelangen (was in der Regel Datendiebstahl ist).

Nicht in diesem Fall. Das MDR-Team von Open Systems erkannte dank Sensordaten von Microsoft Defender Advanced Threat Protection (ATP) die Einrichtung der neuen lokalen Admin-Konti auf den fünf Clients innerhalb von 15 Minuten nach dem Angriff.

Da zu diesem Zeitpunkt der NDR-Service von Open Systems im Rollout war, erhielt das MDR-Team keine Warnung über die laterale Bewegung des Angreifers innerhalb des Horizon-Netzwerks.

Trotzdem analysierten die Experten von Open Systems das Muster der Angriffsereignisse. Sie rieten dem Sicherheitsteam von Horizon, den Verkehr zum Cloud-Provider auf der Firewall zu blockieren und die Passwörter der kompromittierten Konten zurückzusetzen. Eindämmungsmassnahmen, die mit einem operativen Secure SD-WAN direkt vom Open Systems SOC-Team durchgeführt werden können.

Der Angreifer hatte jedoch noch eine weitere Karte im Ärmel: Als nächstes griff er auf einen kompromittierten Host über eine zuvor installierte «Hintertür» zu, die das MDR-Team nicht identifiziert hatte. Daraufhin isolierte das MDR-Team aber alle kompromittierten Hosts und veranlasste eine kontinuierliche Überwachung, die einen Zugriff über das Backdoor aller weiteren infizierten Systeme sofort melden würde.

Alles in allem hatte der Angreifer sieben Benutzerkonten auf 13 Hosts kompromittiert und vier Befehls- und Kontrollverbindungen in vier verschiedenen Domänen eingerichtet. Er oder sie war in der Lage, nicht weniger als 18 Malware-Pakete und Cyberangriffs-Tools zu nutzen und schickte drei Spionagedateien an die Homebase des Angreifers zurück.

Doch trotz all dieser Aktivitäten erreichte der Angreifer sein Ziel nicht. Das MDR-Team konnte in Zusammenarbeit mit dem Horizon Sicherheitsteam und Microsoft Incident Response den Angriff vereiteln.

Der Schlüssel zur erfolgreichen Entschärfung: Der Sicherheitsanalytiker von Open Systems verstand den initialen Alert sofort und reagierte mit entsprechenden Abwehr-Vorkehrungen.

Das MDR-Team bezog daraufhin die richtigen Leute bei Horizon ein, beriet sie und das Microsoft-Team zur Vorgehensweise und half dem Horizon Operations bei den Gegenmassnahmen. Nach dem Angriff unterstützte das Open Systems MDR-Team die Forensik der Microsoft Incident Response.

Die Erkenntnisse

Die Reaktion auf einen Angriff wie diesen muss prompt und gründlich sein.

Die Tatsache, dass NDR und andere Komponenten des Security Stacks noch nicht vollständig ausgerollt waren, ermöglichte es dem Angreifer, sich lateral im Netzwerk zu bewegen und sich schliesslich an einem Domänencontroller anzumelden, der ihm Zugriff auf ein berechtigtes Konto gewährte. Keine Organisation kann sich solche Schwachstellen in ihrer Cybersicherheitskette leisten.

Glücklicherweise war Horizon in der Lage, den Angriff abzuwehren. Der Einsatz von Experten zu Beginn des Angriffs erwies sich als entscheidend, um weitere Schäden bei Horizon zu verhindern. Wäre die erste Attacke an den Level-1-Support und erst dann in der Organisationskette nach oben zu einem Sicherheitsexperten gelangt, hätte der Angreifer wertvolle Zeit gewonnen.

Fazit: Rechnen Sie mit dem Schlimmsten und halten Sie die besten Leute für Gegenmassnahmen bereit.

Auch die Koordination war ein wesentlicher Erfolgsfaktor für Horizon. In diesem Fall war die gute Zusammenarbeit der Experten von Open Systems mit den Mitarbeitern von Horizon, unterstützt durch das Incident Response Team von Microsoft, entscheidend für die erfolgreiche und schnelle Reaktion auf den Angriff. Wären diese Teams durch Schuldzuweisungen oder in die «Nicht mein Problem»-Falle getappt, hätte der Angreifer wahrscheinlich sein Ziel erreicht.

Die letzte und vielleicht wichtigste Lektion: Tools in der Cybersicherheit sind wichtig, was aber über Erfolg und Misserfolg entscheidet, ist und bleibt der Mensch.

Denken Sie daran, dass die bösen Jungs und Mädels gute Tools haben. Und einige von ihnen beschäftigen hochqualifizierte Experten – was bedeutet, dass Ihre Experten einfach noch besser sein müssen.

Urheberrecht © Intellyx LLC. Open Systems ist ein Intellyx Kunde und Microsoft ist ein ehemaliger Intellyx Kunde. Intellyx behält die letzte redaktionelle Kontrolle über diesen Artikel.