Im Jahr 2019 sind wieder zahlreiche Sicherheitslücken und IT-Bedrohungen in den Medien diskutiert worden. Dass diese nicht bloß von theoretischer Natur sind, können wir aus unserer Berufspraxis bestätigen. Ein paar Szenarien, die das letzte Jahr bei uns häufig vorgekommen sind, möchte ich im Folgenden kurz vorstellen.
Der Inhalt im Überblick
Emotet, die andauernde Bedrohung
Eine Schadsoftware, die das letzte Jahr vermutlich an niemandem vorbeiging, ist Emotet. Meist wird diese erst bemerkt, wenn die eigenen Daten verschlüsselt sind. Eine Infektion liegt aber oft Wochen bis Monate vorher schon vor. Ein Anzeichen ist u.a., dass E-Mails in Ihrem Namen an Ihre Kontakte verschickt werden. Diese haben dem angezeigten Namen nach Ihre E-Mail-Adresse, die eigentliche E-Mail-Sendeadresse ist jedoch eine andere. Die Mails beziehen sich im schlimmsten Fall auch auf den Inhalt ihrer Unterhaltungen.
Sofern Emotet, und im Laufe der Zeit auch Trickbot, alle relevanten Daten (Zugangsdaten, Kontaktlisten etc.) abgezogen haben, wird eine Ransomware nachgeladen und ausgeführt.
Die Infektion erfolgt bei den meisten via E-Mail. Dort ist eine Office-Datei mit einem Makro angehängt. Wird das Makro ausgeführt, lädt es mittels PowerShell weitere Schadsoftware nach. Am einfachsten schützt man sich davor, indem man das Laden von Makros per Gruppenrichtlinie untersagt.
Als Forensiker stehen wir vor der Fragestellung, wie Emotet trotz Sicherheitsmaßnahmen in das Netzwerk eindringen konnte. Dabei geht es u.a. um die Suche nach dem Ursprungsrechner und dem Verbreitungsweg im Netzwerk.
Geöffneter Remote Desktop Protokoll Port
Für eine einfache Fernwartung oder Homeoffice wird oft ein Terminalserver o.Ä. betrieben und via RDP im Internet zur Verfügung gestellt. Dies hat zur Folge, dass über kurz oder lang Angreifer darauf aufmerksam werden und versuchen, via Brute-Force-Angriff in das System einzudringen. Gesellen sich noch einfache Benutzernamen und Passwörter hinzu, ist der erste Schritt in das Netzwerk schnell erledigt. Wer solche Systeme in seiner Verwaltung hat, sollte einen Blick in das Security-Log werfen. Nicht selten ist dieses voll von fehlgeschlagenen Anmeldeversuchen.
Spätestens seit „Bluekeep“ sollte bekannt sein, dass ein ungeschützter RDP-Zugriff aus dem Internet keine gute Idee ist. Ist ein RDP-Zugriff auf den Server aus der Ferne notwendig, sollte zuvor eine VPN-Verbindung hergestellt werden. Nur über diese sollte die Möglichkeit des Fernzugriffs bestehen. Idealerweise werden höhere Schutzmaßnahmen, wie z.B. eine Zwei-Faktor-Autorisierung, getroffen.
Ist über diesen Wegen ein Einbruch gelungen, können Forensiker dies nachweisen, sowie Aktivitäten auf dem System in einer Zeitleiste darstellen.
Microsoft Office 365 Account kompromittiert
Immer mehr Unternehmen migrieren in die Microsoft Office Cloud. Dies hat den Vorteil, dass man von nahezu überall auf seine Dokumente zugreifen, oder über Collaboration-Dienste wie Microsoft Teams, mit seinem Kollegen kommunizieren kann. Im Gegensatz zu den eigen betriebenen Systemen, braucht man sich auch nicht mehr seine eigene Webadresse für den E-Mail-Zugang merken, sondern kann sich über die Microsoft 365 Webseite direkt einloggen.
Dadurch ist es für einen Angreifer besonders attraktiv, diese Zugangsdaten zu erbeuten. Gut gemachte Phishing-Mails zielen darauf ab, dass sich das Opfer auf einer gefälschten Microsoftseite „einloggt“ und seine Zugangsdaten preisgibt. Mit diesen hat der Angreifer problemlos die Möglichkeit, meist auch unbemerkt, auf E-Mails, Kontakte und die interne Kommunikation zuzugreifen.
Im Folgenden wird dann die Kommunikation ausgespäht und zu einem passenden Zeitpunkt eine Zahlungsaufforderung von der gekaperten E-Mail-Adresse gesandt. Ein sogenannter CEO-Fraud gewinnt durch einen internen Absender deutlich an Glaubwürdigkeit. Auch hier kann eine Zwei-Faktor-Authentisierung helfen das Risiko zu minimieren.
Dauerbrenner Ransomware
Für einen schnellen wirtschaftlichen Erfolg ist der Einsatz von Ransomware ein probates Mittel für die Angreifer. Für professionelle Täter ist daraus inzwischen ein Business geworden. Es gibt „Ransomware as a Service“ sowie Baukästen, mit welchen man schnell seine persönliche Schadsoftware konfigurieren kann. Solche Täter sind auch eher geneigt, den Schlüssel für die verschlüsselten Daten herauszugeben, da andernfalls das „Geschäftsmodell“ in Gefahr ist. Ransomware gelangt u.a. über E-Mail-Anhänge, oder offene RDP-Ports auf die eigenen Systeme.
Hat ein Angreifer ausreichend Berechtigungen, wird oft versucht, anstelle einer Datei- eine Festplattenverschlüsselung vorzunehmen. Dank Bordmitteln, wie Bitlocker oder legitimer Software wie DiskCryptor, werden solche Angriffe auch von keiner Anti-Malware Software erkannt. Für Forensiker ist es bei solchen Systemen nicht mehr möglich Spuren zu sichern und den tatsächlichen Tathergang auf dem System zu rekonstruieren. Weiterhelfen können in einem solchem Fall Log-Dateien von Firewalls, Proxys oder anderen zentralen Komponenten, vorausgesetzt, diese sind im Vorwege adäquat konfiguriert.
Zur Schadensminimierung hilft in den meisten Fällen von Verschlüsselung eine gut implementierte Backup-Strategie.
Regelmäßige Überprüfung der IT-Sicherheit
IT-Sicherheit ist ein laufender Prozess, der niemals „fertig“ ist. Eine regelmäßige Überprüfung der Firewall-Regeln, Rückspielen von Backups und Prüfen der Logfiles sollte bei den Administratoren zur Routine werden. Umgesetzte Maßnahmen sollten auf ihre Wirkung hin untersucht werden, heißt, man sollte sich z.B. fragen: „Greift meine neue Gruppenrichtlinie wirklich auf allen Clients?“ Oft werden kurze „Workarounds“ eingerichtet und anschließend im Betrieb vergessen. So geraten bestehende Sicherheitslücken in Vergessenheit und führen zu ernstzunehmenden Sicherheitsvorfällen.