Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Was wir von Red Teams lernen können
Joao Correia
März 27, 2023 - Technischer Evangelist
"Kein Plan überlebt den Kontakt mit dem Feind" ist eine der Binsenweisheiten des Konflikts. Es ist etwas (un)überraschend, wie genau dies die Cybersicherheitslage der meisten Unternehmen beschreibt. Die besten Pläne können in dem Moment in die Brüche gehen, in dem ein Gegner etwas versucht, womit wir nicht gerechnet haben, und das wird erst deutlich, wenn es passiert.
Bedenken wie "Ihre Daten können gestohlen werden", "Sie werden alle wichtigen Daten verlieren", "Sie können für den Verlust vertraulicher Daten Ihrer Kunden haftbar gemacht werden" lassen sich sehr leicht abtun, bis Sie tatsächlich von einem solchen Ereignis betroffen sind, und wenn das passiert, ist Ihr Unternehmen zu sehr damit beschäftigt, die Scherben aufzusammeln, um das Problem, das es verursacht hat, richtig zu erkennen.
Eine (manchmal schmerzhafte) Möglichkeit, sich über die potenziellen Risiken zu informieren und die Probleme in einer bis dato fehlerfreien Infrastruktur zu erkennen, ist die Zusammenarbeit mit einem Red Team, das eine offensive Operation gegen Sie durchführt. Der Nachteil ist, dass die Ergebnisse dieser Operationen oft so entmutigend sind, dass die meisten Unternehmen NDA-Klauseln anwenden und die Ergebnisse vertraulich behandeln - was es für alle anderen schwieriger macht, aus dieser Erfahrung zu lernen.
CISA, die US-Behörde, die mit der Umsetzung von Cybersicherheitsmaßnahmen und -richtlinien betraut ist, bietet sowohl öffentlichen als auch privaten Organisationen die Möglichkeit, Red-Team-Operationen in ihrer Infrastruktur durchführen zu lassen - und zwar von einer vertrauenswürdigen Partei. Erst kürzlich hat die Behörde einen Bericht veröffentlicht Die Beschreibung der angewandten Methoden, Techniken und Verfahren sollte jeden CISO und IT-Leiter zu der Überlegung veranlassen, ob seine eigene Infrastruktur besser abschneiden würde als die in dem Bericht genannte Organisation.
Die Einrichtung
Letztes Jahr führte die CISA auf Ersuchen einer kritischen Infrastrukturorganisation mit mehreren geografischen Standorten eine Red Team Assessment-Übung durch, um die Abwehrkräfte zu testen und die Risiken der IT-Infrastruktur dieser Organisation zu ermitteln. Diese Organisation, die in dem Bericht nicht namentlich genannt wurde, wurde als "ausgereiftes Cyber-Risiko" eingestuft.
Ziel der Übung war es, in die Netzwerkinfrastruktur des Unternehmens einzudringen und zu versuchen, Zugang zu wichtigen Informationen und Systemen zu erhalten.
Spoiler-Alarm, es war erfolgreich spektakulär.
Der Ersteintrag
Es ist eine beeindruckende Sicherheitsleistung, dass der öffentliche IP-Adressraum dieser Organisation, der über drei Millionen Adressen umfasst, keine ausnutzbaren anfälligen Dienste oder Ports enthielt. Dies spricht für das Sicherheitsniveau, das die Organisation vor diesem Auftrag besaß, und ist sicherlich ein Grund zum Stolz für das dort arbeitende Sicherheitsteam. Das ist eine beachtliche Leistung.
Angesichts dessen musste das Red Team (RT) der CISA andere Taktiken anwenden, um einen ersten Zugang zu erhalten. Wenn das Netzwerk nicht verwundbar ist, dann ist es vielleicht das menschliche Element. Daher wurden öffentlich verfügbare Informationen aus sozialen Netzwerken (OSINT) detaillierte Informationen über die Mitarbeiter des Unternehmens, insbesondere des IT-Teams. Durch die Identifizierung des E-Mail-Namensschemas anhand einiger öffentlich sichtbarer E-Mail-Adressen brauchte das RT nicht mehr die E-Mails aller wichtigen Mitarbeiter zu finden, sondern nur noch deren Namen, und konnte die E-Mail-Adressen anderer Personen erstellen, die diese Informationen nicht veröffentlichten. Ausgestattet mit diesem Wissen führte das RT Phishing-Aktivitäten durch, die sich an bestimmte Personen richteten und deren Inhalte speziell auf sie zugeschnitten waren (z. B. mit ihren Hobbydaten). Zwei Personen reagierten und waren so lange beschäftigt, bis sie sich zu einem Online-Videoanruf mit Mitgliedern des Red Teams bereit erklärten. Um an diesen Videoanrufen teilzunehmen, wurden die Schlüsselpersonen dazu verleitet, eine vom RT kontrollierte Website aufzurufen, um die Videoverbindungssoftware herunterzuladen, die eine Fernsteuerungsfunktion" enthielt. Dadurch erhielt das RT sofortigen Zugang zu zwei verschiedenen Arbeitsplätzen innerhalb des Netzwerks, die zwei IT-Administratoren gehörten.
Besitz des Netzes
Mit dem sprichwörtlichen Fuß in der Türbegann das RT mit der Kartierung des Netzwerks. Sie stellten fest, dass es eine Reihe weiterer Arbeitsstationen und Domänencontroller gab (es handelte sich um eine Windows-basierte Umgebung), und fragten das Active Directory nach allen in der Umgebung vorhandenen Benutzern und Konten ab. Dies ermöglichte weitere Phishing-Angriffe, die zu einem falsch konfigurierten Server führten, von dem aus sie den Domänencontroller kompromittierten. Diese Seitwärtsbewegung wurde durch eine Active Directory-spezifische Technik namens "Golden-Ticket-Angriff", bei der ein spezieller Typ von Autorisierungs-Token verwendet wurde, um andere Autorisierungs- und Impersonationszugänge zu schaffen. Ich werde nicht auf die Einzelheiten dieses Angriffs eingehen, da er ziemlich kompliziert und langwierig zu erklären ist, aber er basiert auf der Tatsache, dass Dienste mit mehr Privilegien liefen, als sie sollten, und dass es möglich war, von den bestehenden Privilegien aus weitere zu gewähren.
Sie erweiterten diesen Mechanismus zur Gewährung von Privilegien, um privilegierten Zugang zu einem Domänencontroller zu erhalten. "Der Besitz eines Domänencontrollers (DC) ermöglicht eine effektive Kontrolle über alle anderen Systeme in dieser Domäne - Workstations, andere Server -, die den Authentifizierungsmechanismus gemeinsam nutzen.
Die Welt besitzen
Wenn Sie nicht viel über das Active Directory von Windows wissen, sollten Sie sich vor allem vor Augen halten, dass die DCs immer alle anderen DCs sehen und mit ihnen kommunizieren müssen, da sonst die Synchronisation sehr schnell gestört werden kann. Selbst an geografisch getrennten Standorten mit sehr eingeschränktem Netzwerkzugang ließen die Firewalls also Verbindungen zwischen DCs an verschiedenen Standorten zu - und einer davon war bereits unter der effektiven Kontrolle des RT. Indem sie dies missbrauchten, sprangen sie zu anderen DCs und waren in der Lage, Systeme an anderen Standorten innerhalb der Organisation abzubilden und zu identifizieren, einschließlich einer Workstation, die von einem Administrator verwendet wurde, wo sie Zugang zu einem Passwort-Manager erhielten, der Anmeldeinformationen für mehrere privilegierte Systeme enthielt, und einem anderen, wo sie ein "Netzwerkdiagramm mit detaillierten Angaben zu den Netzwerkgrenzen" zwischen den Standorten, "Cloud-Infrastruktur"-Informationen, einschließlich vertrauenswürdiger IP-Bereiche, fanden - und das RT kaufte eine IP-Adresse in diesem vertrauenswürdigen Bereich, was ihm den Zugang zu anderen Systemen ermöglichte, zu denen es noch keinen Zugang hatte. Und diese Ereignisse kratzen nicht einmal an der Oberfläche dessen, was in dem Bericht als zusätzliche Bewegung enthalten ist.
Das RT besaß das Netzwerk vollständig und erhielt Zugang zu mehreren Geschäftsdiensten. Die IT-Welt des Unternehmens gehörte praktisch ihm. Und bis zu diesem Zeitpunkt war kein einziger Alarm ausgelöst worden, so dass die Angreifer immer noch unentdeckt blieben - eine Bestätigung für einen Branchentrendbestätigt, bei dem die meisten Sicherheitsverletzungen monatelang unentdeckt bleiben. Im Gegensatz zu fiktiven Darstellungen von Hackerangriffen, geschieht ein solcher Einbruch nicht mit ein paar Mausklicks und Befehlen, die in einem schattigen Raum getippt werden.
Der Einsatz des Roten Teams erstreckte sich über einen Zeitraum von mehreren Monaten (ein vordefinierter Zeitrahmen wurde vor Beginn des Einsatzes vereinbart), und dies ermöglichte es dem Roten Team, seine Aktivitäten leise durchzuführen, ohne dass Alarme oder Überwachungsschwellen ausgelöst wurden. Es gibt ein Mantra, das besagt: "Je leiser du wirst, desto mehr kannst du hören", und das passt wie die Faust aufs Auge.
Bis sie es wollten.
Nach all dem wollte das Red Team die Reaktion des Unternehmens auf Sicherheitsvorfälle testen und führte daher absichtlich Aktivitäten durch, die Überwachungswarnungen auslösen sollten - wie das Anlegen neuer Benutzer, das Exfiltrieren von Daten auf externe Server, Angriffe auf externe Server vom Netzwerk aus und die Erhöhung von Berechtigungen, Einsatz eines gefälschten Ransomware-Angriffs auf Workstations (!) und einige andere, und die Reaktion darauf war entweder nicht vorhanden oder bestenfalls minimal.
Die Empfehlungen
Der Bericht enthält einige klare, umsetzbare Empfehlungen, die über die Zielorganisation hinausgehen können:
- Festlegung einer Basislinie - Ermittlung der normalen Aktivitäten im Netz und bei den Diensten und Konfiguration der Überwachung, um bei Abweichungen von diesen Parametern eine Warnung auszusprechen
- Durchführung regelmäßiger Bewertungen - um sowohl Software und Hardware als auch Verfahren und Schulungen für Benutzer und Mitarbeiter zu testen
- Durchsetzen Phishing-resistente MFA wo immer möglich.
Für die Zielorganisation empfahl die CISA neben diesen Empfehlungen auch die Reduzierung von Berechtigungen auf Systemen, für die sie nicht erforderlich sind, die Erstellung eines Plans zur Erneuerung der Passwörter für Dienstkonten (das Kerberos-Konto, das für den Golden-Ticket-Angriff verwendet wurde, hatte noch dasselbe Passwort wie vor 10 Jahren), die Härtung der Systeme nach der Erstinstallation, da die Standardeinstellungen in Bezug auf einige Sicherheitsaspekte sehr lax waren, die Verbesserung der Überwachung und Reaktion sowie zahlreiche andere Überlegungen.
Die Art und Weise, wie Ihr Unternehmen mit den Empfehlungen umgeht, ist oft aussagekräftiger für Ihre allgemeine Sicherheitslage als die Tatsache, dass es überhaupt Probleme gab - Sie können sie entweder akzeptieren und verbessern oder sie anfechten und unsicher bleiben. Aus ihnen zu lernen ist ein guter Indikator für den Reifegrad des Sicherheitsansatzes und des dafür verantwortlichen Teams.
Schlussbemerkungen
Der Bericht ist unglaublich detailliert. Es gibt zwar viele andere Berichte, die als Lerninstrumente nützlich sind, aber der Detailgrad dieses Berichts ist überragend. In seiner jetzigen Form ist er ein wertvolles Lerninstrument für jedes Team, von Ops über Security bis hin zu internen Blue und Red Teams. Er ist auch ein Weckruf und ein Realitätscheck für alle Unternehmen, die (zu) zuversichtlich sind, was ihre Sicherheitslage angeht, aber noch kein echtes Ereignis hatten, das diese Annahme bestätigt (oder widerlegt).
Auch das Element Mensch ist nach wie vor das schwächste Glied. Die besten Sicherheitsprogramme der Welt werden von Benutzern (oder sogar Systemadministratoren!) überwunden, die auf einen E-Mail-Link klicken oder Software von Drittanbietern herunterladen und ausführen.
Wenn Sie Schwierigkeiten haben, Ihren Vorstand für die notwendigen Investitionen in die IT und insbesondere in die Cybersicherheit zu gewinnen, sollten Sie diesen Bericht nutzen, um Ihren Standpunkt zu untermauern - er könnte Ihre Organisation sein.
Und die wichtigste Erkenntnis ist diese - es war nur eine Übung. Stellen Sie sich vor, wie weit ein richtig motivierter Angreifer gehen würde, sogar über das hinaus, was das RT in dieser Übung erreicht hat, wenn er sich entschließen würde, Ihr Unternehmen ins Visier zu nehmen. Sicherheitsrisiken sind nicht nur "Marketing-Requisiten" - sie sind reale und gegenwärtige Probleme, die Sie zu Ihrem eigenen Schaden abtun, und die Ihrer OrganisationGefahr.
