Cyberbedrohungen
Red Team-Übungen für mehr Sicherheit
Wir zeigen, wie Red-Team-Übungen bei der Verbesserung der Unternehmenssicherheit durch simulierte Cyberangriffe, einschließlich Taktiken wie Phishing und laterale Bewegungen innerhalb von Netzwerken unterstützen können.
Save to Folio
Unternehmen können aus jeder Art von Aktivität durch Red Team-Übungen Vorteile ziehen. Externes Red Teaming, eine vermutete Sicherheitsverletzung und Purple Teaming haben jeweils unterschiedliche Charakteristiken, die Einfluss darauf haben, welche Übung für die Anforderungen einer Organisation geeignet ist. Eine regelmäßige Durchführung ist unerlässlich, um das Sicherheits-Framework, einschließlich Personen, Verfahren und Technologien, zu validieren und zu verbessern.
Unser Bericht zum zweiten Halbjahr 2023 zeigt, dass die Zahl der Cyberbedrohungen ein Rekordhoch erreicht hat. Cyberkriminelle greifen gezielter an, verfeinern ihre Ransomware-Taktiken und agieren immer raffinierter. Ransomware-Banden haben zusammengearbeitet und sich weiterentwickelt, um den Schaden für Unternehmen durch Ransomware-as-a-Service (RaaS) und doppelte Erpressungstaktiken zu vergrößern.
Wir haben gängige Taktiken, Techniken und Prozeduren (TTPs) anhand einer externen Red Team-Übung als Fallstudie näher untersucht. Die Übung folgt dem von Lockheed Martin entwickelten Cyber Kill Chain Framework:
- Auskundschaften: Sammeln von Daten über das Ziel und die Taktik des Angriffs
- Bewaffnen: Entwickeln von Malware durch Ausnutzung von Sicherheitslücken
- Ausliefern: Bereitstellen von Malware über eine Phishing-E-Mail oder ein anderes Medium
- Exploitation: Einschleusen von bösartigem Code in das System des Unternehmens
- Installation: Installation einer Backdoor oder eines Remote-Access-Trojaners mit Malware, die dem Eindringling Zugang verschafft
- Command and Control (C&C): Erlangen der Kontrolle über die Systeme und das Netzwerk des Unternehmens
- Zielführende Aktionen: Sammeln, Verschlüsseln und Extrahieren vertraulicher Informationen aus der Umgebung des Unternehmens
Gemäß der Cyber Kill Chain kann ein Red Team Basisschritte durchführen, die je nach den Bedürfnissen und Anforderungen der Organisation variieren:
- Sammeln von Mail-Adressen aus sozialen Netzwerken, von der Unternehmens-Homepage oder anderen Quellen
- Für externes Phishing erstellen wir eine Domäne, nachdem wir Informationen über das Ziel gesammelt haben. Die Domäne passt zum Narrativ der Phishing-E-Mail und enthält oft einen Link, um Login Credentials zu bekommen.
- Wenn Phishing aufgrund von Unternehmensrichtlinien nicht zulässig ist, konzentriert sich die externe Übung auf die Erkundung von Diensten, einschließlich Cloud-Anbietern, ohne E-Mails zu sammeln.
- Wir untersuchen mögliche „Waffen“, indem wir uns auf Remote Code Execution (RCE)-Schwachstellen konzentrieren, um Zugang zu einer Shell oder ähnlichen Tools zu erhalten. Damit sollen vor allem mögliche Wege zur Kompromittierung des Kundennetzwerks demonstriert werden.
- Nutzung des Services, der die Payload der C&C-Anwendung ablegt
- Wir verwenden die gleichen Technologien, die von Angreifern häufig für C&C-Zwecke eingesetzt werden
- Nach der Anfangsphase setzen wir unsere Aktivitäten rund um die gleichen Ziele fort, die auch die Betreiber von Ransomware verfolgen oder die meisten Advanced Persistent Threats (APTs.
Sind die ursprünglichen Ziele erfüllt und bleibt noch Zeit in der Simulation, lassen sich weitere Ziele ansteuern, wie etwa ein Backup-Netzwerk, Citrix, VMware VCenter-Server oder eine Microsoft Azure/Amazon Web Services (AWS)-Umgebung.
Phishing-Taktiken verstehen
Phishing kann verschiedene Formen annehmen: ein Link zum Herunterladen und Ausführen einer Payload (um Anmeldedaten/Zugang zu erhalten), die Übermittlung der Payload direkt im Anhang (was je nach Gefahr eher entdeckt wird) und neuerdings auch die Verwendung eines QR-Codes, der das Herunterladen der Payload ermöglicht und gleichzeitig die Sicherheitskontrollen umgeht.
Um die Ziele zu erreichen, muss alles gut aufeinander abgestimmt sein. Dazu gehören die Zielgruppe, das Geschäft und das Narrativ, welches die gewünschte Aktion (Anklicken eines Links oder Herunterladen/Ausführen einer Bedrohung) unterstützt. Hier lässt sich ansetzen, um das Verständnis des Benutzers sowie die Fähigkeit des Produkts, diese Gefahr in einem frühen Stadium zu verhindern, zu erhöhen. Eine konsequente Sensibilisierungskampagne für die Nutzer ist dafür unerlässlich. Red Teaming ist eine umfassende Übung, die über die Benutzerschulung hinausgeht.
Sicherheitsbeitrag durch Red Teaming
Einige Unternehmen gehen von einem zu erwartenden Sicherheitsverstoß aus, da Benutzer leicht auf Phishing-Versuche hereinfielen. Sie legen deshalb im Rahmen einer Red-Team-Übung den Schwerpunkt auf das Testen interner Systeme und Prozesse. In diesem Fall empfehlen wir dringend die Einführung eines regelmäßigen Sensibilisierungsprogramms, um das Wissen und die allgemeine Wachsamkeit der Benutzer zu verbessern.
Nachdem eine Verbindung zum Netzwerk hergestellt wurde, kann die Übung den Schwerpunkt auf der Basis der in den folgenden Arbeitsschritten dargelegten Ziele verlagern:
- Umgehen von Sicherheitsmaßnahmen auf dem lokalen Host
- Ausweitung der lokalen Adminrechte
- Erhalten von lokalen Hashes/Passwörtern
- Erkundung anderer Systeme und Ressourcen unter Einhaltung der Einsatzregeln und der "Out-of-scope"-Anlagen
- laterale Bewegung innerhalb des Netzes
Möglicherweise muss das Team einige Vorgänge auf weiteren Servern wiederholen, um auf der Grundlage der in Schritt 3 entdeckten Anmeldeinformationen/Hashes unsere Privilegien im gesamten Netzwerk zu erhöhen. Spezielle Tools zur Abfrage der Microsoft Active Directory (AD)-Umgebung sind entscheidend, um die Kontrolle über Netzwerk/Domäne zu erlangen. Folgende Techniken unterstützen das Unterfangen:
- DCSync
- Einrichten eines Benutzers in der Gruppe admin.
- Erzeugen von Gruppenrichtlinienobjekten (GPO)
- Exfiltrieren von Testdaten
- Einrichten einer virtuellen Maschine in Azure
Einrichten einer Datei auf dem Domänencontroller als Flag
Eine Red-Team-Übung kann dazu beitragen, Schwachstellen und Schwachpunkte zu entschärfen und veraltete oder häufig verwendete Passwörter im System zu entdecken. Obwohl die Sicherheitstools und -prozeduren im Allgemeinen verbessert wurden und laufend evaluiert werden, müssen die folgenden Punkte weiterhin berücksichtigt werden:
- Öffentliche Freigaben mit sensiblen Daten
- Schwache Passwörter für Konten
- AD-Dienste mit schwachen Berechtigungen
- Schutz von Credentials nicht aktiviert
- Kein Schutz gegen NT Lan Manager (NTLM) Relay-Angriffe
- Sicherheitsprodukt eines kritischen Herstellers deaktiviert
- Der Schutz der gesamten Umgebung wurde nicht aktiviert
Dem Angreifer das Leben schwer machen
Nicht alle der genannten Punkte sind immer vorhanden, obwohl einige Gründen, die mit den internen Prozessen des Kunden zusammenhängen, entdeckt werden können. Unsere Erkenntnisse aus jeder Phase werden am Ende des Auftrags präsentiert, um die Sicherheitslage des Kunden zu verbessern.
Das Bild demonstriert typische Verfahren für die Simulation eines Bedrohungsakteurs in einem Netz zur Bewertung der Wirksamkeit von Sicherheitskontrollen.
LockBit gibt es inzwischen in der dritten Version, aber die TTPs bleiben vergleichbar, und die Cyber Kill Chain ist immer noch anwendbar. Unabhängig davon, welchen Bedrohungsakteur der Kunde von uns simuliert haben möchte, müssen die Werkzeuge nicht sehr spezifisch sein. Das Hauptziel der Übung besteht darin, die Schutzinstrumente/-verfahren des Blue Teams gegen die üblichen (oder in einigen Fällen spezifischen) TTPs zu testen, die bei den Angriffen der Bedrohungsakteure verwendet werden.
Die Bedrohungen entwickeln sich ständig weiter, und deshalb ist es wichtig, dass auch die Übungen der Red Teams ständig verbessert werden. Übungen sollten mindestens zweimal im Jahr durchgeführt werden, um zu überprüfen, ob frühere Erkenntnisse angewendet wurden.