Drei Tools, die Hacker für Angriffe auf das Active Directory nutzen
von Tina Siering
Warum Hacker nicht hacken müssen, sondern sich einfach nur anmelden
Während im stereotypischen Verständnis ein Hacker im dunklen Zimmer – und natürlich mit obligatorischem Kapuzenpulli – sitzt und Zeile für Zeile bösartigen Code in seinen Rechner tippt, sieht die Wirklichkeit doch etwas anders aus. Zwar nutzen moderne Hacker unzählige Tools, die stellenweise auch Programmierarbeit erfordern, allerdings nutzen die Angreifer weniger Algorithmen als vielmehr das menschliche Verhalten für ihre Zwecke. Mit dem Wissen um grundlegende Persönlichkeitsmerkmale und begleitet vom Spiel mit Emotionen, manipulieren die Hacker genau in dem Moment, wenn der menschliche Verstand ausgeschaltet wird und Neugier, Pflichterfüllung, Gier - oder schlichtweg der Wunsch nach Anerkennung - übernimmt. Im Rahmen der vorbereitenden Informationsgewinnung wird auf Basis öffentlich verfügbarer Datenquellen über das Ziel-Unternehmen und dessen Mitarbeiter recherchiert. Im Mittelpunkt steht hierbei die Identifikation von Mitarbeitern, die später zum Angriffsziel der Social Engineering Attacke werden. Auch die erste Kontaktaufnahme läuft mitunter über soziale Netzwerke und wird in der Folge intensiviert, um die Opfer zu unüberlegten Handlungen zu verleiten.
Social Engineers sind aber beileibe nicht nur digital unterwegs. Bei der Industriespionage steht Tailgating als Methode ganz oben auf der Hacker-Agenda. Beim Tailgating geht es darum, dass sich ein Angreifer physischen Zutritt zu eigentlich streng abgeschotteten Unternehmensbereichen verschafft. Der Zutritt ins Firmengebäude erfolgt dabei über zuvor ausgespähte Zugangsmöglichkeiten. Um das Vertrauen der Mitarbeiter zu erreichen, geben sich die Social Engineers beispielsweise als Dienstleister der firmeneigenen IT aus, z.B. mit dem Ziel, PC-Zugriffsmöglichkeiten der Zielpersonen zu erlangen. Dafür kann der Angreifer als Handwerker auftreten, der in der Chefetage die Heizungen überprüfen muss oder als IT-Spezialist, dem ein Defekt im Serverraum gemeldet wurde. Auch die Platzierung von präparierten Datenträgern (sog. “Candy Drop” Methode) an stark frequentierten Orten ist bereits eine vorbereitende Maßnahme des später erfolgenden fingierten Cyberangriffs.
Hat aber ein “echter Hacker” sein erstes Ziel erreicht und sich Zutritt zu einem Netzwerk verschafft, beginnt die “eigentliche Arbeit” des Kriminellen. Mit erbeuteten Zugangsdaten schafft er sich einen initialen Brückenkopf im System, von dem aus er sich lateral durch das Netzwerk bewegt und dabei seine Berechtigungen immer weiter ausdehnt. In dieser “Installationsphase” wird ein fester Kommunikationsweg in das Netzwerk des Opfers etabliert. Bleibt der Hacker dabei unentdeckt führt dies schlussendlich zur Übernahme des Active Directorys. Die Hacker setzen dabei vorbereitend auf unterschiedliche Tools, von denen wir im Folgenden drei näher vorstellen.
Drei Tools, die Hacker nutzen, um kompromittierte Systeme zu übernehmen
In einem Großteil aller Unternehmen wird als Betriebssystem Microsoft Windows eingesetzt, zentral verwaltet und gesteuert vom Verzeichnisdienst Active Directory (AD). Der Verzeichnisdienst ermöglicht es, die Struktur einer Organisation nachzubilden und die Verwendung von Netzwerkressourcen oder -objekten zentral zu verwalten. Mit Hilfe des Active Directory kann ein Administrator die Informationen der Objekte organisieren, bereitstellen und überwachen. Einzelne Unternehmensbereiche sind über Domänen voneinander abgegrenzt. Das Ziel im Fokus der Cyberkriminellen lautet daher: Angriff auf das Active Directory und Übernahme. Sind sie erst einmal erfolgreich ins Netzwerk eingedrungen, geschieht es in vielen Fällen über eine einfache Anmeldung.
In der Tat gelingen die meisten Übernahmen des Active Directory, da gestohlene Identitäten und zugehörige Anmeldedaten genutzt werden. Haben sich Angreifer unbemerkt im Netz positioniert, gehen sie gezielt auf die Suche nach höheren Berechtigungen, bis sie schließlich an die Zugangsdaten von Administratoren oder gleichermaßen privilegierten Usern gelangen, welche häufig erschreckend schlecht gesichert sind.
Diese drei Open Source-Tools verwenden Hacker beim Angriff auf Netzwerke und wenn es um den Identitätsdiebstahl von Anmeldedaten geht:
1. LaZagne: Das Open Source Tool für die bequeme Suche nach Kennwörtern
LaZagne ist als kostenloses Tool verfügbar und darauf ausgelegt, im Active Directory nach hinterlegten Kennwörtern zu Benutzerkonten zu suchen. LaZagne kennt dabei bestehende Sicherheitslücken in Anwendungen und dem Betriebssystem und nutzt diese aus. Das Tool identifiziert Passwörter in E-Mail-Clients ebenso wie in Webbrowsern, Datenbanken oder Admin-Tools. In der Hacker-Szene ist LaZagne auch und vor allem wegen seiner Benutzerfreundlichkeit und einfachen Bedienung beliebt. Denn ist ein Passwort erfolgreich ausfindig gemacht, können sich die Angreifer ganz bequem über das kompromittierte Benutzerkonto im lokalen Netzwerk einwählen.
2. Bloodhound: Das Tool zum Kapern von Domänenadmin-Zugängen
Bloodhound ist ein weiteres, kostenlos verfügbares Open Source Tool, das speziell für Angriffe auf Active Directories und die Cloud Computing Plattform Microsoft Azure entwickelt wurde. Bloodhound findet gezielt bestehende Schwachstellen in der Konto-Verwaltung von Kennwörtern und Berechtigungen. Bloodhound stellt das Active Directory visuell dar. Dafür generiert das Tool aus den angefragten Daten eine Übersicht über die Rechte von Benutzern und auf welchen Systemen diese angemeldet sind. Für Hacker ist dies eine wahre Fundgrube, lassen sich doch so Rückschlüsse auf die Mitglieder der Domain Admins ziehen - und sich diese in der Folge gezielt angreifen.
3. Mimikatz: Im Handumdrehen ungesicherte Kennwörter aufdecken
Wieder ein Open Source Tool, aber eines der ganz besonders gefährlichen Art: Mimikatz gilt unter Sicherheitsexperten als eines der bedrohlichsten Hacker-Tools. Denn Mimikatz ist darauf optimiert, die Konten anzugreifen, die nicht unter besonderer Beobachtung stehen. Dies sind vor allem Dienstkonten mit erweiterten Berechtigungen. Mimikatz kann schnell und zuverlässig Kerberos-Tickets (zur sicheren Authentifizierung in TCP/IP-Netzwerken) auslesen, gelangt an entschlüsselte Passwörter aus dem Arbeitsspeicher oder an unverschlüsselte Passwort-Hashes.
So können sich Organisationen schützen
Gegen die raffiniert auftretenden Social Engineers und ihre ausgefeilten Cyberangriffe helfen vor allem drei Strategieansätze: Awareness, Incident Response Readiness (Vorbereitung auf den Ernstfall und schnelle Reaktionsfähigkeit), sowie gezieltes Threat Hunting zur Angreiferfrüherkennung. Unsere Cyber Security Experten empfehlen die folgenden drei Security-Maßnahmen:
1) Social Engineering Audits
Die Durchführung eines Social Engineering Audits dient der Überprüfung der Security Awareness der Mitarbeiter Ihres Unternehmens. Grundsätzlich ist die Durchführung des Social Engineering Audits an feste und klar definierte Regeln gebunden, die sowohl geltenden Gesetzen als auch ethischen Ansprüchen gerecht werden. Die oberste Prämisse unserer Experten ist es, die Persönlichkeitsrechte der Mitarbeiter zu schützen. Dies erreichen wir, indem die Auswertung der Audit-Ergebnisse auf statistischer Basis erfolgt - betroffene Mitarbeiter bleiben anonym. Namen von Mitarbeitern werden im Social Engineering Audit Report nicht erwähnt. Negative oder arbeitsrechtliche Folgen für betroffene Angestellte sind grundsätzlich auszuschließen.
Mit Social Engineering Audits wird somit gezielt die “Schwachstelle Mensch” überprüft. Die Audits stellen die Verhaltensregeln aller Mitarbeiter eines Unternehmens im Umgang mit IT-Systemen auf den Prüfstand – und werden gleichzeitig dazu genutzt, Schwachstellen aufzudecken und Mitarbeiter in Awareness Schulungen zu sensibilisieren. Im Zuge des Audits werden Konzepte entwickelt, die die unternehmensinterne IT-Sicherheit auch abseits der technischen Ebene erhöhen. Unsere IT-Sicherheitsexperten empfehlen aus diesem Grunde, entsprechende Social Engineering Audits nicht nur einmalig, sondern als Teil eines Gesamtkonzepts zur IT-Sicherheit regelmäßig durchführen zu lassen und bereits implementierte Security Awareness Maßnahmen ebenfalls regelmäßig zu überprüfen – und bei Bedarf an die bestehenden Sicherheitsrisiken anzupassen.
2) Managed Detection and Response (MDR) Lösungen
Haben Cyberkriminelle sich erfolgreich Zugang zu einem Netzwerk verschafft, ist es unerlässlich, sie rechtzeitig aufzuspüren! Mit unserem Active Cyber Defense (ACD)-Service versetzen wir Sie in die Lage, sich vor den Folgen von Cyber-Kriminalität zu schützen, indem wir Angreifer in Ihrem Netzwerk erkennen bzw. so früh identifizieren, bevor sie irgendeine Art von Schaden angerichtet wird. ACD ist ein Full Managed Service, welcher Netzwerke proaktiv und kontinuierlich auf Anomalien analysiert und so die Kommunikation der Angreifer zu ihren Command & Control Servern (C&Cs) identifiziert.
Sie benötigen für das permanente Monitoring und für die Incident Detection keine eigenen personellen Ressourcen. Stattdessen überwachen unsere Security Analysten die IT-Infrastruktur rund um die Uhr nach auffälligen Aktivitäten und informieren bei Handlungsbedarf unmittelbar. ACD wird vollständig als on-premise Lösung implementiert, mit dem sich Netzwerke aktiv, vorausschauend und permanent absichern lassen. Dabei werden immer alle Systeme innerhalb eines Netzwerkes überwacht – von Desktop-Rechnern über Mobiltelefone und Tablets bis hin zu IoT-Geräten.
3) Incident Response Readiness
Damit im Falle eines akuten Cyberangriffs zielgenau reagiert wird, bedarf es einer optimalen Vorbereitung auf diesen Ernstfall. Die Voraussetzung für eine permanente Incident Response Readiness eines Unternehmens ist daher die Entwicklung und Implementierung einer umfassenden Cyber-Abwehrstrategie. Diese versetzt Unternehmen in die Lage, komplexe Angriffe zu erkennen, abzuwehren und somit ihren Sicherheitsstatus nachhaltig zu erhöhen. Unternehmen bekommen detaillierte Richtlinien, Werkzeuge und Prozesse an die Hand, um angemessen und effektiv auf einen Sicherheitsvorfall zu reagieren.
Fazit
Die Bedrohung durch Cyberangriffe ist allgegenwärtig. Ob großer Konzern oder KMU: Hacker nutzen bestehende Sicherheitslücken effektiv aus, um in Netzwerke und Systeme einzudringen, Erpressungsversuche durchzuführen, Daten abzuleiten oder Betriebsgeheimnisse auszuspionieren. Das größte Einfallstor ist nach wie vor die „Schwachstelle Mensch“. Mit gezielter Manipulation gelangen Hacker auch in komplexe Strukturen mit dem Ziel der Admin-Übernahme. Für einen zuverlässigen Schutz gegen Cyberangriffe empfehlen sich regelmäßige Awareness Schulungen aller Mitarbeiter. Neben einer effektiven Incident Response Readiness Strategie sollten unbedingt Tools zur Angreiferfrüherkennung eingesetzt werden. Allgeier secion bietet mit ACD einen solchen “Managed Detection and Response”-Service an.