Was tun, wenn kurz vor Feierabend ein Angriff gemeldet wird? Zwar ist das CrowdStrike Falcon Complete-Team auf beiden Hemisphären vertreten und bietet seinen Kunden so einen 24-Schutz. Dennoch gibt es Fälle, in denen beide Teams zusammenarbeiten müssen.
Hacker richten sich mit ihren Angriffen nicht nach Security-Anbietern oder ihren Opfern. So kann es schnell zu einer plötzlichen Flut an Alarmmeldungen kommen, die eine zügige und effiziente Reaktion voraussetzen. Im Folgenden ein Beispiel aus der Praxis, in dem dies der Fall war.
Der Angriff beginnt
Wie ernst so ein Angriff ist, ist zunächst oft nicht ersichtlich. Zwar waren die Angriffe hier an sich nicht komplex, dennoch konnte das Team etwas Ungewöhnliches feststellen: Die Attacken wurden auf vielen einzelnen Hosts einer einzigen Zielumgebung angezeigt. Das CrowdStrike-Team erfasste die Daten dank der Falcon-Benutzeroberfläche zügig, um so die Problemursache ermitteln zu können. Diese Oberfläche zeigte den Verlauf des bösartigen Prozesses an und verdeutlichte so das Geschehen.
Die Angriffe auf die verwalteten Hosts hatten das Ziel, einen Befehl über PowerShell auszuführen. Hierfür wurde ein vertrauenswürdiges IT-Verwaltungstool genutzt, um cmd.exe auszuführen und anschließend zu versuchen, einen verschlüsselten PowerShell Befehl durchzuführen. Der Falcon-Sensor konnte diese Attacke erfolgreich abwenden.
Analyse der Bedrohung
Die durch die Abwehr des Angriffs gewonnene Zeit nutzte das Team, um zwei wichtige Fragen zu stellen:
- Wie hat dieser legitime Dienst den bösartigen Code eingesetzt?
- Welchen PowerShell-Code versuchte der Angreifer auf dem Host auszuführen?
Als Antwort auf die erste Frage untersuchten die Analysten von Falcon Complete den Prozessverlauf und stellten fest, dass in den Befehlszeilenparametern für die Ausführung des IT-Verwaltungstools (das über Softwarebereitstellungsfunktionen verfügt) der Domänenname der Cloud-Verwaltungsplattform für das Tool erkennbar war. Der Verdacht, dass es sich tatsächlich um ein vertrauenswürdiges IT-Verwaltungstool handelte, konnte somit bestätigt werden.
Angreifer dieser Art übernehmen in der Regel durch Phishing oder Brute-Force-Techniken die Kontrolle über ein Administratorenkonto. Diese Techniken nutzen aber auch bestimmte Schwachstellen von Cloud-Plattformen (in diesem Fall ein Cloud-basiertes IT-Management-Tool) aus, wie zum Beispiel eine fehlende Multifaktor-Authentifizierung (MFA) oder das Nichtimplementieren von IP-Adressbeschränkungen. Dieser Angriff war keine Ausnahme. Dank zusätzlicher Analysen und der dadurch gewonnen Informationen konnte festgestellt werden, dass der Admin-Account für die Applikation höchstwahrscheinlich kompromittiert und dazu verwendet wurde, bösartigen Code zu verbreiten. Die Analysten von Falcon Complete setzten sich sofort mit dem Kunden in Verbindung, um ihm die bisher entdeckten Details mitzuteilen, und rieten ihm, das betroffene Konto zu deaktivieren und eine MFA für dieses einzurichten, bevor es wieder in Betrieb genommen wird.
Schnell Klarheit schaffen
Eine schnelle Reaktion auf Angriffe ist unabdingbar. Die Analysten des CrowdStrike Teams teilen die Aufgaben auf, um so eine nahtlose Reaktion auf den Angriff sicherzustellen und dem Gegner immer einen Schritt voraus zu sein. Ein Analyst konzentrierte sich beispielsweise ausschließlich auf die Kommunikation mit dem Kunden, um klare und genaue Informationen über die Meldung zu liefern, sobald Details bekannt wurden. Außerdem wurden zeitnah Handlungsempfehlungen ausgesprochen. Ein anderer Analyst arbeitete daran, die identifizierten Malware-Samples zu verstehen und sicherzustellen, dass Falcon sie blockiert. Weitere Analysten hatten einen allgemeineren Fokus auf die Untersuchung der Meldungen. Die Arbeitsteilung ermöglicht es Falcon Complete, schnell und genau zu arbeiten. Dabei erwies sich die Falcon-Benutzeroberfläche als unschätzbarer Vorteil für den schnellen Ablauf dieser Maßnahmen. Ein einfacher Wechselschalter in der Benutzeroberfläche ermöglichte es den Analysten, die verschlüsselte PowerShell schnell zu dekodieren. So konnten einige zusätzliche Sekunden für jede bearbeitete Meldung gewonnen werden.
Der Wechselschalter und die daraus resultierende dekodierte Datenmenge sind in der Abbildung unten zu sehen:
Der PowerShell-Code überprüft zunächst, welche Version von Windows auf den Hosts ausgeführt wird. Dazu wird die Prozessorarchitektur-Variable überprüft, um zu gewährleisten, dass es sich um eine 64-Bit-Version handelt. Es zeigte sich, dass die eingeschleuste Malware nur 64-Bit-Windows unterstützt, was durch die Tatsache untermauert wird, dass sie für die PowerShell-Ausführung explizit auf das Verzeichnis SysWOW64 verweist. Die wichtigere Komponente dieses Skripts sind die Aufrufe einer Pastebin-URL – dies offenbart das eigentliche bösartige Skript, das auf dem Host ausgeführt werden soll.
Bei der Überprüfung des von der Pastebin-URL kopierten Skripts wurde festgestellt, dass es sich um eine Invoke-ReflectivePEInjection-Funktion des bekannten Tools PowerSploit handelt. Interessanterweise wurde die im Skript eingebettete Portable Executable (PE)-Datei jedoch als Sodinokibi/REvil-Ransomware identifiziert. Diese Malware wird üblicherweise mit dem Threat-Akteur PINCHY SPIDER und seinen Partnern in Verbindung gebracht, die mit einem Ransomware-as-a-Service-Modell (RaaS) arbeiten.
Neutralisierung der Bedrohung
Im Laufe der Kommunikation mit dem Kunden kam es zu tausenden weiterer Angriffsversuche. Die verschlüsselten Befehle hatten sich jedoch geändert. Der Täter wollte nicht aufgeben und arbeitete pausenlos an seinem Ziel. Er wich von pastebin auf hastebin aus, nachdem er feststellen musste, dass erstere im Zielnetzwerk blockiert worden war und deswegen eine Einschleusung von Malware verhinderte.
Diese Änderungen erfolgten etwa alle 30 Minuten und zwar immer dann, wenn neue Angriffsmeldungen eingingen. Da der Kunde die Kontrolle über das kompromittierte Konto nicht zurückerlangen konnte, verzögerte sich die Abwehr dieses Angriffs. Das CrowdStrike-Team erkannte schnell, dass der Angreifer seinen Code so lange ändern würde, bis er eine Installation der Ransomware auf allen Hosts erreicht. Durch den Einsatz interner Tools bei CrowdStrike konnte die laufende Applikation vorübergehend gestoppt werden, bis der Kunde wieder die Kontrolle über dieses Administratorkonto erlangen konnte. Nach Einverständnis des Kunden wurden diese Tools implementiert. Einmal ausgeführt, hörten die Angriffe auf. Krise abgewehrt.
Viele gewonnene Erkenntnisse
Entscheidend bei der Abwehr dieses Angriffes war die schnelle Reaktion. Der Falcon-Sensor hatte die Malware blockiert, sodass die Untersuchung innerhalb von 15 Minuten abgeschlossen werden konnte. So konnten die Behebungsmaßnahmen eingeleitet und ein umfassendes Verständnis des Ereignisses gewonnen werden: Eine Remote-Management-Anwendung wurde von einem Angreifer kompromittiert. Dieser versuchte, die Ransomware REvil zu installieren. Innerhalb von 25 Minuten Konnte eine Telefonkonferenz mit dem Kunden aufgebaut werden, in welcher klar und deutlich alle Erkenntnisse und weiteren Verläufe kommuniziert werden konnten. Die Bedrohung ging von kompromittierten Admin-Konten für eine Fernsteuerungssoftware aus. Nach einem weiteren Angriffsversuch innerhalb der nächsten 40 Minuten erteilte der Kunde nach zwei Stunden sein Einverständnis, das IT-Management-Tool mit Falcon zu deaktivieren.
Die wichtigsten Erkenntnisse aus diesem Angriff:
1. IT-Verwaltungstools werden weiterhin von Angreifern genutzt, um ihre Ziele zu erreichen, zu denen in diesem Beispiel die versuchte Bereitstellung von Ransomware gehörte. Der Wechsel zu Cloud-basierten Diensten kann das Risiko einer Kompromittierung deutlich erhöhen, sofern keine geeigneten Sicherheitskontrollen implementiert werden. Das Falcon Complete-Team sieht ein wiederkehrendes Muster, bei dem vertrauenswürdige – aber nicht ordnungsgemäß gesicherte – Anwendungen von Angreifern missbraucht werden. Wie das Beispiel zeigt, kann ein Akteur, sobald er die Kontrolle über eines dieser Cloud-basierten Verwaltungstools erlangt hat, problemlos jede beliebige Software einsetzen. Das Bild unten zeigt eines dieser Cloud-basierten Verwaltungstools – es ist benutzerfreundlich und verfügt über eine Schaltfläche, mit der der Nutzer einfach Befehle für alle verwalteten Geräte ausführen kann. MFA ist für den Schutz von Cloud-Diensten wie diesem unerlässlich, und zusätzliche Kontrollen wie IP-Beschränkungen und Geolocation-Blockierung wären hier ideal.
2. Legitime IT-Verwaltungstools erfordern oft Ausschlüsse und Zulassungslisten von Sicherheitstechnologien. So werden z. B. Netzwerkverbindungen zu vertrauenswürdigen Sites oft von der SSL-Prüfung ausgeschlossen. Ferner werden Verzeichnisse für die Ausführung in älteren Sicherheitstools für Endgeräte oft ausgeschlossen oder in eine Genehmigungsliste aufgenommen. Da die Falcon-Plattform einen anderen und ganzheitlichen Ansatz zum Schutz des Endpunkts verfolgt, unterliegt sie nicht denselben Schwächen. Ohne das richtige Tooling können diese Angriffe leicht übersehen werden, bis es zu spät ist.
3. Ausgeklügelte und motivierte Angreifer werden immer versuchen, die Funktionen zur Sicherheitsprävention zu umgehen – deshalb brauchen Kunden ein engagiertes und erfahrenes 24/7/365 Threat Hunting- und Managed Service-Team, das anhand von Sicherheitsdaten, die in Echtzeit von Falcon-Agenten in die CrowdStrike Cloud gestreamt werden, kontinuierlich nach neuen Angriffen sucht. So kann CrowdStrike Angriffe für seine Kunden erfolgreich stoppen.
Joshua Fraser, Senior Analyst bei CrowdStrike, www.crowdstrike.de