Ein bekannter IT-Sicherheits-Anbieter hat zwei Techniken in SharePoint aufgedeckt, mit denen User sensible Daten exfiltrieren können. Unternehmen sollten die Protokolle der Zugriffsereignisse in SharePoint und OneDrive deshalb genau überprüfen.
Die Sicherheitsforscher der Varonis Threat Labs haben zwei Techniken in SharePoint entdeckt, die es Usern ermöglichen, Audit-Protokolle zu umgehen und Download-Ereignisse zu verschleiern. Auf diese Weise können sensitive Daten exfiltriert werden, da Tools wie Cloud Access Security Brokers (CASB), Data Loss Prevention (DLP) und SIEMs die Downloads als weniger verdächtige Zugriffs- und Synchronisierungsereignisse einstufen.
Bei der ersten Technik wird der Code verwendet, der die Funktion „In der App öffnen“ in SharePoint aktiviert, um auf Dateien zuzugreifen und sie herunterzuladen. Dabei wird nur das Zugriffsereignis (und nicht der Download) im Prüfprotokoll der Datei vermerkt. Diese Methode kann manuell oder automatisiert über ein PowerShell-Skript ausgeführt werden und ermöglicht die schnelle Exfiltration vieler Dateien. Die zweite Technik nutzt den User-Agenten für Microsoft SkyDriveSync, um Dateien oder sogar ganze Websites herunterzuladen, wobei die Ereignisse fälschlicherweise als Dateisynchronisationen und nicht als Downloads gekennzeichnet werden.
Ausnutzung der „In der App öffnen“-Funktion auf SharePoint
Cyberkriminelle können es sich zunutze machen, dass in der entsprechenden App geöffnete SharePoint-Dateien kein „FileDownloaded“-Log erzeugen, auch wenn sie auf den Computer heruntergeladen wird. Durch die Kombination von PowerShell mit dem SharePoint-Clientobjektmodell (CSOM) können Angreifer ein Skript schreiben, das die Datei aus der Cloud abruft und auf dem lokalen Computer speichert, ohne eine Download-Protokollspur zu hinterlassen. Dieses Skript kann zudem erweitert werden, um eine gesamte SharePoint-Website abzubilden und mithilfe der Automatisierung alle Dateien auf den lokalen Rechner herunterzuladen. Ganz unsichtbar bleiben die Aktivitäten jedoch nicht: Bei dieser Methode werden zwar keine Download-Protokolle, aber Zugriffsprotokolle erstellt, die zur Erkennung solcher Aktivitäten verwendet werden können. Gleichwohl können solche Aktivitäten von Erkennungsregeln, die sich auf Download-Protokolle konzentrieren, relativ unbemerkt bleiben.
Ausnutzung der Datensynchronisation mit OneDrive
Cyberkriminelle können darüber hinaus auch die Synchronisation zwischen SharePoint und OneDrive zur diskreten Exfiltration von Daten verwenden. Durch Ändern des User-Agenten des Browsers ist es möglich, Dateien über herkömmliche Methoden wie die grafische Benutzeroberfläche oder die Microsoft Graph API herunterzuladen und sie in den Protokollen als Sync-Ereignisse „FileSyncDownloadedFull“ anstelle der Standard-Download-Ereignisse „FileDownloaded“ erscheinen zu lassen. Dies kann auch über ein PowerShell-Skript automatisiert werden. Diese Taktik ist besonders effektiv, wenn die Erkennung bösartiger Dateidownloads so konfiguriert ist, dass Synchronisierungsereignisse ignoriert werden. Entsprechend können durch Spoofing des User-Agenten diese Erkennungen umgangen werden. Bei dieser Methode werden keine Zugriffsprotokolle erstellt. Sie ist also wesentlich subtiler als die „In der App öffnen“-Taktik und ermöglicht es Angreifern, Daten zu exfiltrieren, ohne Verdacht zu erregen.
Empfehlungen um Datenexfiltration zu erkennen
„Unsere Threat Labs haben gezeigt, dass Download-Logs ein unzuverlässiger Indikator für verdächtige Aktivitäten und einfach zu umgehen sind“, erklärt Volker Sommer, Regional Sales Director DACH von Varonis. „Sicherheitsverantwortliche sollten das Nutzer- und Datenverhalten ganzheitlich beobachten und bewerten und dabei möglichst viel Kontext einbeziehen. Intelligente DSPM-Lösungen sind hierzu in der Lage und können verdächtiges Verhalten automatisiert stoppen.“
Um Datenexfiltrationen mittels der beiden neuen Techniken zu erkennen, sollten nicht nur die Download-Logs sondern auch Zugriffsprotokolle betrachtet werden. So können große und ungewöhnliche Zugriffe auf nicht autorisierte Downloads und mögliche Datenexfiltration hindeuten.
Wenn vorhandene Erkennungssysteme so konfiguriert sind, dass sie Synchronisierungsereignisse nicht einbeziehen, müssen neue Erkennungsregeln erstellt werden, die dies tun.
Neue Erkennungsregeln aufstellen
Sicherheitsverantwortliche können sich nicht allein auf Audit-Protokolle verlassen, um festzustellen, ob es sich bei Synchronisierungsereignissen um legitime oder getarnte Download-Aktivitäten handelt. Stattdessen sollten die Erkennungsregeln Verhaltensmuster berücksichtigen, die Folgendes beinhalten:
- Die üblichen Geräte für Synchronisierungsvorgänge
- Die üblichen geographischen Standorte bei Synchronisierungen
- Die spezifischen Ordner, die typischerweise mit dem Konto eines Benutzers synchronisiert werden
Durch die Analyse dieser Verhaltensparameter können Sicherheitsverantwortliche Anomalien erkennen, die darauf hindeuten, dass jemand die Synchronisierungsereignisse manipuliert. Eine unerwartete Spitze bei der Synchronisierungsaktivität von einem Gerät, das nicht häufig verwendet wird, oder die Synchronisierung ungewöhnlich großer Mengen sensitiver Ordner, die nicht Teil des normalen Arbeitsablaufs des Benutzers sind, könnten beispielsweise Warnsignale sein.
Mehr bei Varonis.de
Über Varonis Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,