Bei einem Hackerangriff steht meist nicht die Frage im Vordergrund, wer die Täter sind, sondern wie sie auf Unternehmensressourcen zugreifen konnten. Die Antwort darauf lautete im diesjährigen 2023 Threat Report der Sicherheitsexperten von Sophos immer häufiger: mit legitimen Sicherheitswerkzeugen. Besonders beliebt sind neben Anwendungen für Penetrationstests auch Tools für den Fernzugriff.
Besonders beliebt bei Hackern: Cobalt Strike und Mimikatz
Ein Beispiel sind Raubkopien der kommerziellen Software Cobalt Strike. Vor allem Cyber-Erpresser griffen in den vergangenen Monaten laut Sophos auf Cobalt Strike zurück, um Ransomware einzuschleusen. Aber auch Open-Source-Werkzeuge wie Mimikatz und PowerSploit oder das teilweise als Open Source verfügbare Metasploit wurden regelmäßig von der Sophos-Telemetrie erfasst – Mimikatz sogar mit einem Anteil von rund 40 Prozent an allen erkannten Angriffswerkzeugen. Cobalt Strike wiederum spielte bei 47 Prozent der Sicherheitsvorfälle bei Sophos-Kunden, die vom Sophos Rapid Response Team betreut wurden, eine Rolle.
Sophos fand auch heraus, dass Bedrohungsakteure manchmal auch nur an bestimmten Komponenten kommerzieller Sicherheitstools interessiert sind. So entdeckten sie beispielsweise in der Malware TurtleLoader das Kommunikationsprotokoll von Cobalt Strike und auch von MetaSploit. Vor allem diese sogenannten Multi-Tool-Akteure können laut Sophos für Verteidiger eine besondere Herausforderung darstellen.
Neu im Werkzeugkasten: Brute Ratel
Im Lauf des Jahres stellte Sophos fest, dass Cyberkriminelle offenbar stets auf der Suche nach neuen Sicherheitstools sind, die sich missbrauchen lassen. Dabei sollen sie sogar falsche Unternehmen gründen, um legitime Sicherheitswerkzeuge zu kaufen. Sophos geht davon aus, dass auf diesem Weg die Ransomware-Gruppe Conti an eine Kopie des kommerziellen Angriffs-Tools Brute Ratel gekommen ist. Dessen Anbieter hatte noch im September behauptet, durch Lizenzvorgaben die vollständige Kontrolle über das Tool zu haben. Inzwischen wurde zudem mindestens eine Lizenz durch einen Mitarbeiter eines legitimen Kunden weitergegeben. Als Folge werden nun auch in Untergrundmarktplätzen Raubkopien von Brute Ratel gehandelt.
Die generelle Verfügbarkeit von Brute Ratel für Hacker wiederum führte sehr schnell dazu, dass das Tool, wenn auch nur mit einem Anteil von weniger als einem Prozent, von Sophos bei Angriffen erkannt wurde. Sophos geht nun davon aus, dass Brute Ratel im kommenden Jahr eine wichtigere Rolle im Arsenal von Bedrohungsakteuren spielen wird.
Die Liste der legitimen Sicherheitsanwendungen, die Hacker für ihre Zwecke missbrauchen, ist lang. Im Angebot fand Sophos bisher unter anderem auch das Penetration Testing Framework Core Impact, den Vulnerability Scanner Nexpose, die Endpoint Protection Platform Carbon Black und auch VirusTotal Enterprise. Einige Tools sind sogar so beliebt, dass Cybercrime-Gruppen in Untergrundforen gezielt nach Mitarbeitern mit Kenntnissen über diese Werkzeuge suchen.
Auch Cyberkriminelle schätzen Fernwartungszugänge
Neben den offensiven Sicherheitstools lassen sich auch Anwendungen für den Fernzugriff für kriminelle Zwecke verwenden. Sophos rät Unternehmen, kontinuierlich nach Anzeichen einer missbräuchlichen Nutzung solcher Tools Ausschau zu halten. Als Beispiele nennt Sophos TeamViewer Remote Access, NetSupport Manager, ConnectWise Control, AnyDesk, Atera, Radmin und Action1 RMM.
Angreifer setzen die Fernwartungstools selber ein oder kaufen Zugänge von Access Brokern, die sich auf die Einrichtung dauerhafter Hintertüren zu IT-Netzen von Unternehmen und Organisationen spezialisiert haben. Bei von Sophos untersuchten Einbrüchen wurde unter anderem Atera über Anfälligkeiten in Microsoft Exchange Server eingeschleust. TeamViewer und AnyDesk wiederum fand das Rapid Response Team von Sophos bei der Untersuchung von Angriffen der Ransomware-Gruppe BlackCat.
Verhindern lässt sich das Einschleusen von Remote Access Tools unter anderem mithilfe einer verhaltensbasierten Erkennung. Auffällig sind laut Sophos Installationen mit Testlizenzen oder in „unübliche“ Verzeichnisse.
LOLBins: Native Windows-Komponenten werden zur Gefahr
Eine weitere Kategorie sind die sogenannten LOLBins. Als Living Off The Land Binaries bezeichnet man native Windows-Komponenten, die Angreifer benutzen, um Systembefehle auszuführen, Voreinstellungen von Sicherheitsfunktionen zu umgehen, aus der Ferne Dateien herunterzuladen und auszuführen oder um sich lateral durch Netzwerke zu bewegen.
Am häufigsten greifen Bedrohungsakteure auf die Windows Command Shell zurück – die meisten Backdoors führen per cmd.exe Befehle und Schadsoftware aus. Aber auch die Scripting-Plattformen von Windows wie PowerShell, Microsoft HTML Application Host und Windows Scripting Host werden missbraucht, sei es um Daten zu sammeln, schädliche Inhalte auszuführen oder Windows APIs aufzurufen.
Um Malware zu starten, die in DLL-Dateien versteckt wurde, kommt wiederum die rundll32.exe von Windows zum Einsatz. Zweckentfremden lassen sich laut Sophos aber auch Komponenten, die auf den ersten Blick harmlos erscheinen. Dazu gehört das Windows Certificate Utility. Es kann Inhalte von einem entfernten Webserver abrufen – Hacker nutzen diese Funktion, um schädliche Dateien herunterzuladen und zu decodieren. Sophos empfiehlt, Microsofts Antimalware Software Interface (AMSI) zur Überwachung von PowerShell und anderen Scripting Engines. Eine verhaltensbasierte Analyse wiederum kann einen Missbrauch von LOLBins erkennen.
Eigentlich harmlose legitime Anwendungen lassen sich als Waffe einsetzen, wenn sie über eine Sicherheitslücke verfügen. Diese als „Bring your own“-Vulnerability bezeichnete Angriffstechnik kann genutzt werden, um Schadcode per Sideloading einzuschleusen. Hier nennt Sophos eine veraltete, von McAfee signierte Komponente als Beispiel, über die eine Backdoor per Cobalt Strike eingerichtet und schließlich die Ransomware AtomSilo gestartet wurde.
Dieselbe Technik lässt sich auch auf Treiber anwenden. Hier wurden Fälle bekannt, in denen ein Anti-Cheat-Treiber für ein Computerspiel sowie eine Anti-Rootkit-Treiber von Avast benutzt wurden, um Sicherheitssoftware zu umgehen oder gar abzuschalten.
Sophos zieht aus diesen Entwicklungen ein ernüchterndes Fazit: „Es gibt keinen sicheren Schutz gegen all diese Bedrohungen. Aktiver Schutz ist erforderlich, um zu verhindern, dass Eindringlinge Schaden anrichten, und die Last der Verteidigung ist für viele Unternehmen zu groß, um sie selbst zu tragen. Sophos arbeitet kontinuierlich daran, seine Fähigkeiten zu verbessern, um Unternehmen jeder Größe durch Endpoint- und Netzwerkschutz und Managed Security Operations Services vor den sich ständig weiterentwickelnden Bedrohungen zu schützen.“
Neueste Kommentare
Noch keine Kommentare zu Gefährlicher Trend: Angreifer missbrauchen vermehrt legitime Sicherheitstools
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.