Cyberangriff auf Landkreisverwaltung

Der Landrat des Landkreises Anhalt-Bitterfeld hat am 09.07.2021 den Katastrophenfall für den Landkreis Anhalt-Bitterfeld festgestellt. Grund war ein Cyberangriff auf das gesamte IT-System aller Standorte der Kreisverwaltung. (Quelle: anhalt-bitterfeld.de)

Bedenkt man, dass der Angriff wohl am 05.07.2021 festgestellt wurde, reagieren die Medien relativ langsam auf den “Erste Cyber-Katastrophenfall in Deutschland”. Und heute ist das Thema nicht einmal eine Erwähnung bei google news mehr wert.

Nun ist das sicher eine Katastrophe und es liegt nahe, wenn  in einigen Berichten ein Zusammenhang zu “PrintNightmare” (Quelle: microsoft) vermutet wird.

Aber auch wenn diess Schwachstelle eine Rolle gespielt hat – es sollte die Frage geklärt werden, wie die Angreifer Zugang zu den Systemen bekommen haben.

Werfen wir einen Blick auf die “Initial Access Tactic – TA0001” (Quelle: mitre.org), so sind in vielen der aufgezählten Wege auch Menschen beteiligt.

Tatsächlich dürften die meisten erfolgreichen Cyberangriffe auch auf “menschliches Versagen” zurückzuführen sein.

Ob nun ein Programmierer die sensiblen Zugangsdaten “aus Versehen” veröffentlicht oder ein Mitarbeiter den Mail Anhang mit dem Trojaner aufgerufen hat – ich kenne nicht so viele Szenarien, die ohne den Faktor Mensch erfolgreich sein können.

Deshalb ist es sehr wichtig, sich dort zu schützen, wo die Einbrecher in das Haus eindringen.

Gehen wird mögliche Angriffsvektoren einmal durch:

T1189 Drive-by Compromise

Angreifer können sich Zugang zu einem System verschaffen, indem ein Benutzer eine Website im normalen Verlauf des Surfens besucht. Bei dieser Technik wird in der Regel der Webbrowser des Benutzers für einen Angriff genutzt, aber Angreifer können kompromittierte Websites auch für ein Verhalten nutzen, das nicht auf einen Angriff abzielt, wie z. B. den Erwerb von Application Access Token.

–> hier helfen eventuell “ScriptBlocker” und “alternative Browser” die vom Nutzer verwendet werden

T1190 Exploit Public-Facing Application

Angreifer können versuchen, eine Schwachstelle in einem mit dem Internet verbundenen Computer oder Programm mithilfe von Software, Daten oder Befehlen auszunutzen, um ein unbeabsichtigtes oder unvorhergesehenes Verhalten hervorzurufen. Die Schwachstelle im System kann ein Fehler, eine Störung oder eine Designschwachstelle sein. Bei diesen Anwendungen handelt es sich häufig um Websites, aber auch um Datenbanken (z. B. SQL), Standarddienste (z. B. SMB oder SSH), Protokolle für die Verwaltung und das Management von Netzwerkgeräten (z. B. SNMP und Smart Install) sowie alle anderen Anwendungen mit über das Internet zugänglichen offenen Sockets, wie z. B. Webserver und ähnliche Dienste. Abhängig von der Schwachstelle, die ausgenutzt wird, kann dies eine Ausnutzung zur Umgehung der Verteidigung beinhalten.

–> auf diese Schwachstellen kann man prüfen und die Systeme regelmäßig patchen. Ein “erhöhter Zyklus” und eine strengere Beobachtung sollten bei solchen Systemen zum Einsatz kommen

T1133 Externe Remote-Dienste

Angreifer können nach außen gerichtete Remote-Dienste nutzen, um zunächst auf ein Netzwerk zuzugreifen und/oder darin zu verbleiben. Remote-Dienste wie VPNs, Citrix und andere Zugriffsmechanismen ermöglichen es Benutzern, sich von externen Standorten aus mit internen Unternehmensnetzwerkressourcen zu verbinden. Oft gibt es Remote Service Gateways, die Verbindungen und die Authentifizierung mit Anmeldeinformationen für diese Dienste verwalten. Dienste wie Windows Remote Management können auch von extern genutzt werden.

–> grundsätzlich müssen alle “Remote-Zugänge” durch VPN und 2FA abgesichert werden

T1200 Hardware-Ergänzungen

Angreifer können Computerzubehör, Computer oder Netzwerkhardware in ein System oder Netzwerk einführen, die als Vektor für den Zugriff verwendet werden können. Obwohl es nur wenige öffentliche Hinweise auf die Verwendung durch APT-Gruppen gibt, nutzen viele Penetrationstester Hardware-Zusätze für den Erstzugang. Kommerzielle und Open-Source-Produkte werden mit Fähigkeiten wie passivem Anzapfen von Netzwerken, Man-in-the-Middle-Verschlüsselung, Keystroke Injection, Auslesen des Kernel-Speichers über DMA, Hinzufügen neuer drahtloser Zugänge zu einem bestehenden Netzwerk und anderen eingesetzt

–> neben dem internen Netzwerk sind besonders die HomeOffices eine Gefahr. Machen Sie sich Gedanken, wie das Risiko möglichst minimiert werden kann, indem z.B. nur freigegebene Geräte verwendet werden dürfen. Dazu gehört natürlich auch ein vollständiger Überblick über alle Geräte, die zum Einsatz kommen.

T1566 Phishing

Angreifer können Phishing-Nachrichten versenden, um Zugang zu den Systemen der Opfer zu erhalten. Alle Formen des Phishings sind elektronisch übermittelte Social Engineering. Phishing kann gezielt erfolgen, was als Spearphishing bezeichnet wird. Beim Spearphishing zielt der Angreifer auf eine bestimmte Person, ein Unternehmen oder eine Branche ab. Ganz allgemein können Angreifer auch nicht zielgerichtetes Phishing betreiben, z. B. in Massen-Malware-Spam-Kampagnen.

–> schulen Sie die Mitarbeiter. Nicht nur einmal sondern permanent. Geben Sie z.B. einmal in der Woche oder in Zeiten mit neuen oder besonderen Angriffen auch gezielt Informationen dazu raus

T1091 Replikation über Wechseldatenträger

Angreifer können sich auf Systeme bewegen, möglicherweise auf solche in getrennten oder abgekapselten Netzwerken, indem sie Malware auf Wechseldatenträger kopieren und Autorun-Funktionen ausnutzen, wenn der Datenträger in ein System eingelegt wird und ausgeführt wird. Im Fall von Lateral Movement kann dies durch die Modifizierung von ausführbaren Dateien auf Wechselmedien geschehen oder durch das Kopieren von Malware und Umbenennen in eine legitime Datei, um Benutzer dazu zu verleiten, diese auf einem anderen System auszuführen. Im Falle des Erstzugriffs kann dies durch manuelle Manipulation des Datenträgers, Modifikation der Systeme, die zur anfänglichen Formatierung des Datenträgers verwendet werden, oder durch Modifikation der Firmware des Datenträgers selbst erfolgen.

–> jede Form von “externen / mobilen” Datenträgern stellt ein extrem hohes Risiko dar. Es ist vermeidbar, wenn man z.B. Tools wie “Cryptshare” (Quelle: cryptshare.com) für die Übermittlung von Daten verwendet.

T1195 Kompromittierung der Lieferkette

Angreifer können Produkte oder Produktlieferungsmechanismen vor dem Empfang durch einen Endverbraucher manipulieren, um Daten oder Systeme zu kompromittieren.

–> alle zugekauften Anwendungen und Dienstleister müssen dokumentiert, geprüft, das Risiko eingeschätzt und überwacht werden.

T1199 Vertrauenswürdige Beziehung

Angreifer können in Organisationen eindringen oder diese auf andere Weise ausnutzen, die Zugang zu den beabsichtigten Opfern haben. Der Zugriff über eine vertrauenswürdige Drittpartei-Beziehung nutzt eine bestehende Verbindung aus, die möglicherweise nicht geschützt ist oder weniger sorgfältig geprüft wird als Standardmechanismen, um Zugriff auf ein Netzwerk zu erlangen.

–> jedes Unternehmen hat direkte Beziehungen zu “vertrauenswürdigen” Partnern. Aber es kann nie ausgeschlossen werden, dass diese z.B. selbst zum Opfer wurden.
Deshalb: “Zero Trust”!
Nicht vertrauen sondern in jedem Fall verifizieren und prüfen

T1078 Gültige Konten

Angreifer können Anmeldeinformationen bestehender Konten erlangen und missbrauchen, um sich einen Erstzugang, Persistenz, Privilegieneskalation oder Verteidigungsumgehung zu verschaffen. Kompromittierte Zugangsdaten können verwendet werden, um Zugriffskontrollen zu umgehen, die für verschiedene Ressourcen auf Systemen innerhalb des Netzwerks eingerichtet wurden, und können sogar für einen dauerhaften Zugriff auf Remote-Systeme und extern verfügbare Dienste wie VPNs, Outlook Web Access und Remote-Desktop verwendet werden. Kompromittierte Anmeldeinformationen können einem Angreifer auch erhöhte Privilegien für bestimmte Systeme oder Zugriff auf eingeschränkte Bereiche des Netzwerks gewähren. Angreifer verwenden möglicherweise keine Malware oder Tools in Verbindung mit dem legitimen Zugriff, den diese Anmeldeinformationen bieten, um ihre Entdeckung zu erschweren.

–> die grundsätzliche Art und Weise wie Zugriffsrechte in Windows Systemen verwaltet werden, stellt ein permanentes Risiko dar. Auch beim oben erwähnten PrintNightmare-Angriff muss der Angreifer zunächst in den Besitz von “Rechten” im Netzwerk kommen. Auf der anderen Seite sind diese – einmal vorhanden – die Basis für weitere Angriffe

(Alle Übersetzungen mit deepl.com)

Sie müssen nicht alles wissen – niemand tut das.

Sie müssen nicht alles können – niemand kann das.

Aber – Sie müssen sich zumindest kümmern.

Jeder, der sich auch nur grundlegend mit Computern beschäftigt – auch und besonders als Anwender – kann sich die Zeit nehmen um darüber nachzudenken, ob die oben genannten Risiken im eigenen Unternehmen vorhanden sind.

Ist dieser, erste Schritt getan, geht es definitiv weiter in Richtung Sicherheit…