Industriespionage, Teil 2: Worauf es Hacker im Intranet abgesehen haben

Die Zeit der Hit-and-Run-Attacken ist längst vorbei. Heute machen es sich Angreifer am liebsten auf Dauer im System gemütlich: mit einem Golden Ticket für Kerberos und kompletten Administratorenrechten. Solche Feinde im eigenen Netz sind schwer zu entdecken – und noch schwerer zu entfernen.

Dieser Beitrag ist mehr als 8 Jahre alt.
Bild: Evgeniya Ponomareva

Vom Bankräuber zum Heiratsschwindler

Von Uli Ries

Die Alternativen zum Spear-Phishing, das Teil 1 dieser Serie durchgespielt hat, sind sogenannte Water-Hole-Attacken – oder die altbekannte Bestechung, wie Florian Oelmaier von Corporate Trust weiß. Bei den „Wasserlöchern“ (Water holes) handelt es sich um an sich legitime Webseiten, die von den betreffenden Mitarbeitern oft besucht werden. Im Fall von Software-Entwicklern können dies beispielsweise beliebte Foren sein, in denen sie Code-Schnipsel suchen und posten. Diese Webserver werden von den Industriespionen mit Exploit Kits verseucht, die anschließend versuchen, den Rechner jedes einzelnen Besuchers zu infizieren.

Oelmaier sind aber auch Fälle bekannt, bei denen die Kriminellen sich direkt an einen Netzwerkadministrator des Unternehmens wandten – und ihm eine fünfstellige Summe dafür boten, dass er seinen Rechner mit einer per E-Mail übermittelten Malware infiziert. Selbst wenn diese Infektion bei späteren forensischen Analysen auffällt, kann sich der Admin immer noch auf ein Versehen berufen. Erst wenn man die eventuell geänderten Lebensumstände – Scheidung, Alkohol– oder Spielprobleme, ein neues Auto usw. – des Mitarbeiters berücksichtigt, ergebe sich ein anderes Bild, so der IT-Sicherheitsfachmann.

Erst Übernahmeangebot, dann Angriff

Laut Thomas Hemker von Symantec stehen auch hiesige Anlagenbauer im Fokus der Angreifer. Sie sind in viele Lieferketten auf der ganzen Welt eingebunden und somit ein attraktives Angriffsziel. Wie bereits erwähnt, nehmen sich die Kriminellen ohnehin oftmals zuerst einen Lieferanten des eigentlich anvisierten Unternehmens vor. Denn kaum ein Abnehmer kontrolliert die IT-Sicherheitsvorkehrungen seiner Lieferanten.

Die erfreulichen Ausnahmen prüfen laut Hemker inzwischen zumindest per Abfrage, welche Schutzmechanismen ihre Zulieferer installiert haben. Teilweise würden diese Informationen dann auch bei der erstmaligen Auswahl der Partner verwendet, um die Spreu vom Weizen zu trennen. Zudem verlangten die Autobauer vor dem Zugriff auf interne Systeme, dass die Lieferanten zuvor bestimmte Sicherheitsauflagen erfüllen.

Cebit 2016 PDFMag fe final Druck k.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Eine auffällige Häufung bei Angriffen stellen Fachleute übrigens dann fest, wenn das angegriffene Unternehmen zuvor ein Übernahmeangebot eines ausländischen Mitbewerbers abgelehnt hat. Komme man auf diesem Wege nicht an das gewünschte Fachwissen, werde eben der Weg per Malware beschritten. Insbesondere bei Übernahmeangeboten aus China sei diese Abfolge der Geschehnisse zu beobachten. Fachleute werfen dabei allerdings die Frage auf, was das erbeutete Material dem Angreifer nutzt, wenn er nicht auch auf die Köpfe zurückgreifen kann, die das Material erstellt haben.

Serie: Industriespionage
Teil 1 beginnt den Angriff aufs Unternehmen an der größten Schwachstelle: beim Menschen. Teil 2 nennt die Alternativen zu Spear-Phishing nennen und erklärt, warum Hacker heute auf ein Golden Ticket aus sind. Teil 3 zeigt, wie die Angreifer die Daten nach draußen schmuggeln, und erklärt, worauf bei Sicherheitslösungen aus der Cloud zu achten ist. Teil 4 plädiert schließlich für eine feinere Einteilung in Schutzklassen und erinnert noch einmal an die größte Schwachstelle: den Menschen.

Generalschlüssel für das Netzwerk

Wie gesagt versuchen die Angreifer mittlerweile nicht auf direktem Weg, an die gewünschten Daten zu gelangen, sondern kommen über Umwege ans Ziel. Dies ist eine Abkehr von dem bis vor gut zwei Jahren verwendeten Modus Operandi. Seinerzeit hatten es die Kriminellen direkt auf die betreffende Führungskraft oder den mit den spannenden Themen betrauten Forscher abgesehen. War die Maschine des betreffenden Mitarbeiters infiziert, musste die zum Absaugen der Daten verwendete Software noch nicht einmal Admin-Rechte auf dem lokalen PC oder gar einem Server haben: Die Rechte des Mitarbeiters genügten, um an die relevanten Dateien heranzukommen. Unterm Strich verschwanden die Kriminellen also so schnell aus dem Netzwerk, wie sie gekommen waren.

Industrie 1.PNG
Fast alles über E-Mail: Die prozentuale Verteilung zeigt, auf welchen Wegen Malware bei Industriespionage in die Netze der Opfer geschleust wird. (Bild: Verizon Business)

Heute sieht die Lage anders aus: Das Hauptziel der Angreifer ist in aller Regel ein sogenanntes Golden Ticket für Kerberos. Damit bekommen sie Administratorenrechte für die Domäne und können das Netzwerk in aller Tiefe und Breite infizieren. Nach dem Einstieg per Phishing missbrauchen die Angreifer beispielsweise gängige Windows-Tools, um sich im Intranet des Opferunternehmens fortzubewegen.

Der Vorteil: Der Aufruf dieser auf den attackierten Maschinen vorinstallierten Werkzeuge lässt die Antivirensoftware kalt. In einem Angriff, den Experten beobachten konnten, nutzten die Kriminellen beispielsweise unter anderem die Windows Powershell, wmic, vssadmin oder netdom, um sich nach und nach Zugang zu diversen Servern zu beschaffen. Dieses Treiben vollzieht sich dann unter dem Radar der Sicherheitssysteme.

Golden Ticket für Kerberos

Mithilfe des Bordmittels vssadmin beispielsweise ziehen die Kriminellen aus der Schattenkopie des Servers die Datenbankdatei des Active Directory (ntds.dit) auf einen zuvor im Intranet übernommenen Webserver. Von dort aus kann das File heruntergeladen und offline geknackt werden.

Mit den in der Datei enthaltenen Hashwerten für die Accounts lässt sich mittels des gängigen Tools mimikatz ein Golden Ticket für den System-Account krbtgt (Key Distribution Service Center Account) erzeugen. Dies verschafft den Angreifern zehn Jahre lang Zugriff auf den Controller, selbst wenn das Passwort des Admins geändert wird. Erst ein zweimaliger Reset des Kerberos-Accounts beendet den Spuk. Ein solcher Reset geht aber nicht reibungslos vonstatten, da anschließend Anwendungen im Netzwerk Schwierigkeiten haben, sich zu authentifizieren.

An und für sich sollte jeder gängige Virenscanner mimikatz erkennen – insbesondere auf kritischen Systemen wie Domain-Controllern sind oft aber gar keine solchen Scanner installiert, weil man die Stabilität des Servers nicht gefährden will. Abhilfe gegen das Tool würde laut Oelmaier beispielsweise ein Whitelisting bieten, durch das nur einige wenige EXE-Files ausgeführt werden dürfen. Auch das SANS Institute zeigt auf seinen Webseiten, wie Angreifern der Einsatz von mimikatz verdorben werden kann.

Teil 3 dieser Serie geht der Frage nach, wie es Angreifern gelingt, die Daten aus dem System hinausschleusen. Außerdem sehen wir nach, was sich sicherheitstechnisch in der Cloud getan hat.
Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.

Kontakt via Xing

Nützliche Links