Zum Inhalt springen Zur Navigation springen
Daten verraten: Den Fernzugriff nachweisen

Daten verraten: Den Fernzugriff nachweisen

Über den Fernzugriff können Angreifer Zugang zum System erlangen. Dabei werden benutzerspezifische Informationen in die NTUSER.DAT des verwendeten Benutzerkontos geschrieben. Der Angriff kann dadurch analysiert und zukünftig verhindert werden. Dieser Artikel ist Teil unserer Reihe „Daten verraten“.

Verdacht auf laterale Bewegungen

Ein Angreifer kann sehr leicht in Ihr System gelangen, wenn die Computersysteme und das Netzwerk nicht richtig konfiguriert sind. Den Administratoren fallen über ihr Monitoring-Tool verdächtige Bewegungen zwischen mehreren Desktoprechnern auf. Um feststellen zu können, auf welchen Systemen sich der Angreifer bewegt hat und ob somit sensible Unternehmensdaten in Gefahr sind abzufließen, kann die NTUSER.DAT der betroffenen Benutzer analysiert werden. Dazu werden die ausgehenden lateralen Bewegungen vom befallenen Computer untersucht. Unter laterale Bewegungen versteht man „seitliche“ Bewegungen durch ein Netzwerk. Dabei kann bspw. ein Angreifer über einen Fernzugriff ein weiteres Gerät ausspionieren, um weitere weitere Informatuinen über das System sammeln zu können.

Möglichkeiten eines Fernzugriffs

Es gibt mehrere Möglichkeiten einen Fernzugriff durchzuführen und somit Zugriff auf weitere Geräte zu erhalten. Dies kann über das „Remote Desktop Protokoll“ oder einen „Network Share“ geschehen. Es können jedoch auch gezielt Programme aus der Ferne ausgeführt werden. Hierfür kann das Programm „psexec.exe“ verwendet werden.

Remote Desktop

Remote Desktop beschreibt den Fernzugriff auf einen anderen Computer. Dieser wird in der Regel für Supportfälle in der IT-Administration, der Nutzung einer virtuellen Desktop Infrastruktur oder den Zugriff auf einen entfernten Server verwendet. Die ausführbare Datei, welche die Remote-Desktop-Verbindung herstellt nennt sich „mstsc.exe“. Durch mehrere Einträge in der NTUSER.DAT kann diese detektiert und individuell einem Benutzerkonto zugewiesen werden. Das Programm „mstsc.exe“ kann von einem Angreifer, aber auch von Schadsoftware, missbraucht werden, um eine Verbreitung zu erlangen. Nachfolgend finden Sie die relevanten Einträge in der NTUSER.DAT:

Unter dem Registry Key NTUSER.DAT\Software\Microsoft\Terminal Server Client\Servers können die Server ausgelesen werden, welche bei einer Verbindung als Ziel fungiert haben.

Fernzugriff nachweisen

Im UserAssist unter dem Key NTUSER.DAT\Software\Microsoft\ Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count kann der Zeitstempel der letzten Ausführung und die Anzahl der Ausführungen der „mstsc.exe“ entnommen werden.

In dem Registry-Key für die RecentApps unter NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Search\RecentApps können ebenfalls Informationen zur Ausführung der „mstsc.exe“ detektiert werden. In diesem Key ist ebenfalls der Zeitstempel der letzten Ausführung und die Anzahl der Ausführungen gespeichert. Zusätzlich kann der Subkey RecentItems analysiert werden. Unter diesem können Artefakte zu Verbindungszielen und den jeweiligen Zeiten extrahiert werden.

Remote Execution

„psexec.exe“ ist ein Programm von Microsoft, welches die Ausführung von Prozessen auf anderen Geräten, inklusive einer vollständig nutzbaren Kommandozeile zulässt, ohne manuell eine spezielle Software zu installieren. An und für sich ist dieses Programm nicht schädlich, jedoch kann es von Angreifern verwendet werden, um Informationen über weitere Geräte zu bekommen, oder um einen großen wirtschaftlichen Schaden anzurichten.

In der NTUSER.DAT können unter dem Key NTUSER.DAT\Software\SysInternals\PsExec\EulaAccepted Informationen zu dem Programm „psexec.exe“ ausgelesen werden.

Network Shares

Der Prozess „net.exe“ gehört standardmäßig zur Software „Windows Utils“ und ist keine bösartige Software. Er wird verwendet, um Netzwerkressourcen, Benutzer, Gruppen und Dienste zu verwalten. Jedoch kann er von Angreifern missbraucht werden, um sich unrechtmäßig Zugang zu weiteren Geräten und Benutzerkonten zu verschaffen. Bspw. kann ein Angreifer einen neuen Benutzer mit Administrationsrechten erstellen und diesem der Gruppe zuweisen, welche sich über einen Fernzugriff auf weitere Geräte anmelden darf. Eine Liste von Netzwerkfreigaben können aus dem Registry-Key NTUSER.DAT\Software\Microsoft\CurrentVersion\Explorer\MountPoints2 ausgelesen werden. In der Abbildung sind unter dem genannten Registry-Key die Einträge Backup und Forensik_Data zu finden.

Fernzugriff nachweisen

Somit kann festgestellt werden, ob sich ein Angreifer neue Netzwerkfreigaben verschafft hat oder auf bereits bestehende Ressourcen zugegriffen hat, um über einen Fernzugriff weitere Systeme auszuspähen.

Lösung in der Praxis

Wenn sich ein Angreifer Zugang zu Ihrem System verschafft hat, ist es zum „Umsehen“ nicht notwendig eigene Schadsoftware mitzubringen. Durch die „Windows-Bordmittel“ ist es dem Angreifer möglich, sich lateral durch das Netzwerk zu bewegen. Mithilfe der genannten Programme, welche üblicher Weise zur Administration verwendet werden, ist es für Angreifer ein leichtes Spiel. Dies macht deutlich, dass eine richtige Konfiguration und regelmäßige Überprüfung der IT-Sicherheit unerlässlich ist. Wenn Sie einen Angreifer gar nicht erst in Ihr System und Netzwerk hineinlassen, sollen die hier beschriebenen Sorgen nicht Ihre sein. Sollte dies doch mal der Fall sein, kann das betroffene Netzwerksegment, in welchem sich die Desktoprechner befinden, isoliert werden. Eine weitere alternative dem Angreifer das Handwerk zu legen, ist das physikalische Trennen der betroffenen Geräte vom Netzwerk durch das Beenden der Verbindung. Zudem können geschulte IT-Forensiker die beschriebenen Informationen aus der NTUSER.DAT auslesen und ein angemessenes IT-Sicherheitsniveau wiederherstellen.

Um weitere Informationen über erfolgte Fernzugriffe zu erlangen, sollten immer weitere Quellen in die Analyse mit einbezogen werden. Dazu bieten sich die Windows Eventlogs, weitere Registry-Hives und Artefakte aus dem Dateisystem an. Die NTUSER.DAT speichert die Informationen nur benutzerspezifisch, weshalb bei einem Hacker-Angriff alle Benutzerkonten auf dem betroffenen System begutachtet werden sollten. IT-Forensiker überprüfen ihr Netzwerk auf laterale Bewegungen, um eine mögliche weitere Ausbreitung des Angriffes abzuwehren. Zusätzlich werden IT-Schwachstellen aufgedeckt und können anschließend geschlossen werden. Somit kann ein wiederholter Angriff auf das System vermieden werden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • eine interessanter Artikel, gut beschrieben. Weiter so.

  • Finde ich ja alles Toll und interessant ! Aber was schlagt Ihr denn als präventive Abwehr vor ? Denn wenn ein Unbefugter bereits Zugriff hatte ist es aus meiner Sichtweise bereits zu spät.

    • Für eine präventive Abwehr gegen unbefugte Fernzugriffe empfiehlt es sich, eine sichere Konfiguration der Netzwerkinfrastruktur umzusetzen. Zusätzlich sollte für alle Benutzer ein Rechtemanagement implementiert werden, dass jeder so wenig Rechte wie nötig besitz. Außerdem empfiehlt es sich eine Passwortrichtlinie zu implementieren.
      Natürlich können die Anwender ebenfalls für Gefahrensituationen beim Fernzugriff sensibilisiert werden.

      – Angemessener Umgang mit den Endgeräten und dessen angemessene Aufbewahrung
      – Angemessener Umgang mit Authentifizierungsmitteln
      – Vermeidung frei zugänglicher WLANs
      – Einschränkung des Zugangs zu Web-Inhalten bzw. anderen Internet-Diensten
      – Verbot des Downloads erkennbar illegaler Internet-Inhalte

      Eine weitere Möglichkeit zur präventiven Abwehr ist, das Ausführen von Fernzugrifftools per Richtlinie zu untersagen. Dies ist bspw. per Applocker in der GPO möglich.

      Sobald ein Unbefugter Zugriff zu dem System hat, liegt die höchste Priorität darin, den Angreifer in seinen Bewegungsfreiheiten einzuschränken und aus dem System wieder auszuschließen. Dazu sollte die Sperrung des Fernzugriffs und das Vorgehen in einem solchen Vorfall geregelt sein.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.