Rückblick: Wenn Angreifer auch Admin-Tools nutzen

Rückblick: Wenn Angreifer auch Admin-Tools nutzen
Anzeige

Beitrag teilen

Was kann man aus den Fallbeispielen des Playbook 2021 lernen, in denen Unternehmen Opfer von Cyberangriffen werden? In einer Artikelserie reisen Sophos-Experten zurück in die Zukunft und widmen sich verschiedenen spezifischen Aspekten der IT-Sicherheit, um Empfehlungen abzuleiten, die für jeden umsetzbar sind.

Wie im Sophos Active Adversary Playbook 2021 beschrieben, greifen Angreifer gerne auf Tools zurück, die von IT-Administratoren und Sicherheitsexperten verwendet werden, um so die Erkennung verdächtiger Aktionen zu erschweren. Viele dieser Tools werden von Sicherheitsprodukten als „Potenziell Unerwünschte Anwendungen“, kurz PUA (oder auch RiskWare bzw., RiskTool) erkannt, sind aber von IT-Teams für den täglichen Gebrauch unerlässlich. Für den Umgang damit müssen sich Administratoren hinsichtlich der IT-Policy des Unternehmens zwei zentralen Fragen stellen: Müssen alle Anwender in der Lage sein, diese Dienstprogramme zu nutzen und müssen diese Dienstprogramme auf jedem Gerät ausgeführt werden können?

Anzeige

Was sind PUAs?

PUAs sind Admin-Tools, die mit einem Betriebssystem gebündelt sind (z.B. PowerShell) und bieten Möglichkeiten zur Automatisierung und Verwaltung von Geräten in einem Netzwerk. Darüber hinaus gibt es zusätzliche Tools von Drittanbietern, die häufig zur Erweiterung von Funktionen wie Port-Scanning, Paketerfassung, Skripting, Überwachung, Sicherheitstools, Komprimierung und Archivierung, Verschlüsselung, Debugging, Penetrationstests, Netzwerkverwaltung und Fernzugriff verwendet werden. Die meisten dieser Anwendungen laufen mit System- oder Root-Zugriff.

Warum die Ausschlussliste der IT problematisch ist

Sofern Admin-Tools intern vom eigenen IT-Team installiert und verwendet werden, sind diese Anwendungen nützliche Werkzeuge. Geschieht dies aber durch andere Anwender, gelten sie als PUAs und werden von seriösen Sicherheitslösungen für Endgeräte oft als solche gekennzeichnet. Um ihnen die ungehinderte Nutzung dieser Tools zu ermöglichen, fügen viele Administratoren die von ihnen verwendeten Tools einfach zu einer globalen Ausschluss- oder Zulassungsliste in ihrer Endpunktsicherheitskonfiguration hinzu. Leider ermöglicht diese Methode auch die Installation und Verwendung der Tools durch Unbefugte, oft ohne jegliche Überwachung, Warnungen oder Benachrichtigungen.

Anzeige

Wie setzen Cyberkriminelle PUAs ein?

Die Konfiguration von Sicherheitsrichtlinien, die PUAs zulassen, sollte deshalb mit Bedacht erfolgen. Denn ein solcher Freifahrtschein ist für die Cyberkriminellen Gold wert und zudem besteht keinerlei Einblick in Verwendung, Absicht und Kontext des Tools.

Wurde ein Tool ausgeschlossen, kann ein Bedrohungsakteur dennoch versuchen, es zu installieren und zu nutzen, selbst wenn es noch nicht auf einem bestimmten Gerät installiert ist. Die als „Living off the land“ bekannte Angriffstechnik setzt allerdings voraus, dass Angreifer bereits vorhandene Funktionen und Tools nutzen, um eine Entdeckung so lange wie möglich zu vermeiden. Sie ermöglichen es den Akteuren, die Entdeckung, Zugriff auf Anmeldedaten, Berechtigungserweiterungen, Umgehung von Verteidigungsmaßnahmen, Persistenz, seitliche Bewegungen im Netzwerk, Sammeln und die Exfiltration durchzuführen, ohne dass auch nur eine einzige rote Fahne geschwenkt wird.

Zulassen von PUAs im Unternehmen nur im kontrollierten Modus

Im ersten Schritt gilt es, die aktuellen globalen Ausnahmen im Unternehmen zu überprüfen:

  • Sind sie notwendig?
  • Wird ein Grund für den Ausschluss genannt – oder war er „schon immer da“? Verantwortliche sollten nachforschen, warum das Sicherheitslösung die PUA zunächst einmal erkannt hat – könnte sie bereits böswillig genutzt werden?
  • Müssen die Ausschlüsse wirklich für ALLE Server und Endgeräte gelten?
  • Ist das Admin-Tool immer noch erforderlich, oder lässt es sich auf eine integrierte Funktion ausweichen?
  • Ist mehr als ein Tool nötig, um das gleiche Ergebnis zu erzielen?

Auf Basis zahlreicher Fallbeispiele empfiehlt Sophos, PUAs nur auf einer sehr kontrollierten Basis zuzulassen: bestimmte Anwendung, spezifische Maschinen, genaue Zeiten und ausgewählte Benutzer. Dies kann über eine Richtlinie mit dem erforderlichen Ausschluss erreicht werden, die bei Bedarf auch wieder entfernt wird. Jede entdeckte Nutzung von PUAs, die nicht erwartet wird, sollte untersucht werden, da sie ein Hinweis darauf sein kann, dass sich ein Cyberkrimineller bereits Zugang zu den Systemen verschafft hat.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Sophos entdeckt neue Python-Ransomware

Ultra-High-Speed-Angriffe auf ESXi-Server und virtuelle Maschinen von VMware. Sophos-Forscher entdecken neue Python-Ransomware. Der Report mit dem Titel "Python Ransomware Script ➡ Weiterlesen

Ransomware scannt nach alter Software für Attacke 

Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine ➡ Weiterlesen

Wie Cyberbetrüger Google-Formulare nutzen

SophosLabs enthüllt: Wie Cyberbetrüger Google-Formulare nutzen. Phishing und Schadsoftware ebnen oft den Weg für Ransomware oder Datendiebstahl. Die aktuellste Analyse der ➡ Weiterlesen

Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf ➡ Weiterlesen