Cyberbedrohungen
Web Shell- und VPN-Bedrohungen: Eine MXDR-Analyse
Cyberangriffe, bei denen Web-Shells und VPN-Kompromittierung eingesetzt werden, sind immer noch weit verbreitet. Trend Micro MXDR hat neue Vorfälle analysiert und zeigt, wie wichtig Verhaltensanalysen und die Erkennung von Anomalien sind.
Die wichtigsten Erkenntnisse
- Angreifer verwenden eine mehrschichtige Fallback-Strategie, indem sie mehrere Tools einsetzen, z. B. Web-Shells, Tunneling-Software und Remote Access-Anwendungen.
- Ansatz in mehreren Schritten, mit dem Angreifer sicherstellen, dass sie auch dann noch Zugang haben, wenn ein Eintrittspunkt erkannt und blockiert wird.
- Web-Shells geben Akteuren interaktiven Zugang zu kompromittierten Servern, so dass sie bösartige Aktivitäten durchführen und ihre Taktiken schnell anpassen können.
- Durch die Kompromittierung von VPN-Konten können sie sich ins Netzwerk einfügen. Sie vermeiden eine Entdeckung, indem sie Malware und bösartige Aktivitäten als legitim aussehende Prozesse tarnen.
- Mit MXDR und digitalen Forensik- und Incident-Response-Funktionen erhalten Unternehmen verwertbare Bedrohungsdaten, die dabei helfen, frühe Anzeichen einer Kompromittierung zu erkennen.
Die sich ständig weiterentwickelnden Cyberbedrohungen verlangen von Unternehmen ständige Wachsamkeit. Wir haben anhand von zwei Cybersecurity-Vorfällen - ein Web-Shell-Angriff und eine VPN-Kompromittierung - vorgeführt, wie bekannte Techniken auf neuartige Weise eingesetzt wurden. Durch die Untersuchung der Protokolle in Vision One während der Eindämmung und der anschließenden Analyse konnten wir herausfinden, wie diese Bedrohungen entstanden und eskaliert sind und was ihre nächsten Schritte gewesen sein könnten.
MXDR-Fall 1: Persistenter Web Shell-Angriff
Öffentlich zugängliche Webserver sind häufige Ziele für Angreifer, die Schwachstellen, Fehlkonfigurationen oder nicht gepatchte Software ausnutzen wollen. Sind sie kompromittiert, können sie zur Installation von Malware, zum Datendiebstahl oder für weitere Angriffe wie Cyberspionage genutzt werden.
Eine gängige Methode für die Kompromittierung sind bösartige Web Shells, die auf einem öffentlich zugänglichen Server platziert werden, indem Schwachstellen ausgenutzt oder Datei-Upload-Funktionen missbraucht werden. Das Tool schafft einen Einstiegspunkt für die Ausführung von Remote Befehlen, wie Installation von Malware, Starten weiterer Angriffe, Datendiebstahl oder Nutzung des Servers als Sprungbrett, um andere Rechner im Netzwerk anzugreifen.
Wir konnten die folgende Angriffskette beobachten:
Erstzugriff: Der Bedrohungsakteur lud die Web Shell-Datei auf den Server hoch, die später einen Befehl über den Internet Information Services IIS Worker (w3wp.exe) ausführt. Es wurde ein früherer Upload der Web-Shell-Datei gefunden, aber die Malware setzte die bösartigen Aktivitäten zu diesem Zeitpunkt nicht fort.
Ausführung: Die Dateien wurden in das System unter dem IIS-Worker eingeschleust und mit cmd.exe ausgeführt.
Persistenz: Der Bedrohungsakteur erstellte ein lokales Adminkonto. Obwohl dieses während des Vorfalls nicht verwendet wurde, gibt es Hinweise darauf, dass es für einen späteren Zeitpunkt aufgehoben wurde, falls es nicht abgefangen wird. Außerdem führte die Malware eine potenzielle Tunnelsoftware (lcx5qm.jpg) ein, um den Zugriff über das Remote Desktop Protocol (RDP) von einer externen IP-Adresse aus zu ermöglichen.
Privilegienerweiterung: Die Befehle wurden innerhalb der Instanz w3wp.exe ausgeführt, die mit denselben Berechtigungen arbeitet wie der Prozess. Außerdem wurde ein lokales Administratorkonto erstellt, das für die Ausführung von Aktionen verwendet werden kann, die diese Rechte erfordern.
Umgehung der Verteidigung: Mehrere von der Bedrohung abgelegte Binärdateien endeten mit einer Dateierweiterung wie .jpg, die in der Regel als gutartige Datei erscheinen soll.
Erkundung: In Windows integrierte Dienstprogramme (z. B. set, reg.exe, whoami) führten Befehle aus, um Informationen über den Host zu sammeln.
Command & Control (C&C): Wir entdeckten in einer Datei Hinweise auf einen möglichen C&C-Server. Ein weiteres Tool (fff.txt), ein Reverse Proxy, initiierte ausgehenden Datenverkehr in Richtung 111[.]223 [.]247 [.]193.
MXDR-Fall 2: VPN-Kompromittierung
Ein VPN-Konto gilt als kompromittiert, wenn ein böswilliger Akteur durch Methoden wie Phishing, Ausnutzung von Schwachstellen oder Sammeln von Anmeldedaten Zugriff darauf erlangt. Danach kann er böswillige Aktivitäten durchführen, die es ihm ermöglichen, sich in das Netzwerk einzuschleichen und die Sicherheitsabwehr zu umgehen. Je nach dem Level des Zugriffs können Eindringlinge lateral zu kritischen Systemen vordringen und zusätzliche Payloads, wie z. B. Ransomware, ablegen.
Bei dem von uns analysierten Vorfall haben wir die folgende Angriffskette beobachtet:
Erstzugang: Die ersten Aktivitäten zeigten, dass sich der Angreifer von einer VPN-IP aus an einem Arbeitsplatzrechner anmeldete, der der Namenskonvention der Umgebung für Hosts entsprach. Dies könnte dem Angreifer geholfen haben, sich unauffällig zu verhalten und nicht sofort Verdacht zu erregen.
Ausführung: Wir beobachteten die Ausführung von Anydesk.exe, einer Remote-Desktop-Anwendung eines Drittanbieters, auf mehreren Hosts und die Verwendung von net.exe (ein in Windows integriertes Befehlsdienstprogramm, das für Netzwerkverwaltungsaufgaben verwendet wird).
Persistenz: Der Bedrohungsakteur setzte AnyDesk in der Umgebung ein und erstellte Benutzerkonten. Außerdem wurden auch kompromittierte Konten der Gruppe „Remote Desktop Users“ hinzugefügt, um Remote Desktop-Zugriff auf die Umgebung zu erhalten.
Privilegienerweiterung: Der Befehl „net“ wurde in der Umgebung, in der neue Benutzerkonten erstellt wurden, verwendet.
Trend Micro Deep Discovery Inspector (DDI) entdeckte auch Netzwerkaktivitäten im Zusammenhang mit SECRETSDUMP und WMIEXECPY von Impacket, die normalerweise dazu verwendet werden, Passwort-Hashes von lokalen und Domänenkonten zu sammeln, um den Zugriff auf die Umgebung zu erhöhen. Versuche, die Sicherheitslücke CVE-2020-1472, auch bekannt als Zerologon Privilege Escalation, auszunutzen, gab es ebenfalls, doch waren sie nicht erfolgreich.
Umgehung der Verteidigung: Um ihre Position in der Umgebung weiter auszubauen, missbrauchte die Malware legitime Tools wie anydesk.exe, und tarnte sie, indem sie sie in den Verzeichnissen „programdata“ und „systemtest“ ablegte.
Zugriff auf Anmeldeinformationen: Mit SECRETSDUMP und WMIEXECPY von Impacket wurden Passwort-Hashes von lokalen und Domänenkonten gesammelt.
Erkundung: Die Malware setzte auf das Tool netapp.exe, eine Kopie von netscan.exe, um die Erkundung von remote Systemen in der Umgebung zu initiieren. Die DDI-Protokolle zeigten auch Port-Scan-Aktivitäten mit Schwerpunkt auf den Ports 80, 139, 443 und 445.
Laterale Bewegung: Mithilfe der kompromittierten Konten nutzte die Malware RDP, um in andere Endgeräte einzudringen. Über WMIExec wurden remote Befehle ausgeführt.
C&C: Der Missbrauch von Anydesk.exe diente möglicherweise dazu, mithilfe kompromittierter Hosts Kontrolle über die Umgebung zu erlangen.
Sicherheitsüberlegungen und Empfehlungen
Die Analyse der beiden Vorfälle im Rahmen von Digital Forensics and Incident Response (DFIR) ergab wichtige Erkenntnisse darüber, wie sich Angreifer anpassen und in Netzwerken fortbestehen.
Bei beiden Vorfällen war das Fehlen von Anwendungsprotokollen (d. h. VPN- und IIS-Protokollen) das Hauptproblem. Diese Protokolle sind deshalb so wichtig, da sie helfen zu verstehen, wie die Malware eingedrungen ist, und außerdem ermöglichen sie genauere Sicherheitsempfehlungen. Regelmäßige Sicherheitsprüfungen helfen auch dabei, Anzeichen für die Ausweichmechanismen der Bedrohung zu erkennen, wie z. B. unberechtigter Fernzugriff oder ungewöhnliche Tunnelaktivitäten.
So kann beispielsweise das Erkennen von ungewöhnlichem Prozessverhalten (z. B. wenn ein Webserver cmd.exe startet) oder das Erkennen unerwarteter VPN-Anmeldungen als Frühindikator für einen Angriff dienen. Proaktives DFIR hilft nicht nur bei der Eindämmung und Wiederherstellung, sondern liefert auch verwertbare Informationen zur Verstärkung der Abwehrkräfte. Die frühzeitige Erkennung dieser Bedrohungen ist entscheidend, um Worst-Case-Szenarien zu verhindern, wie z. B. die Verbreitung von Ransomware über Web-Shells, wie sie bei ähnlichen Angriffen beobachtet wurde. Bei einem anderen Vorfall wurde Ransomware nach einer kurzen Verweildauer eingesetzt, nachdem ein unautorisierter Zugriff auf einen öffentlich zugänglichen RDP-Host erfolgt war.
Die Implementierung von mehrschichtigen Sicherheitsmaßnahmen, gut ausgearbeiteten Reaktionsplänen für Zwischenfälle und Mitarbeiterschulungen ist von entscheidender Bedeutung.
Für Web-Shell-Bedrohungen:
Sorgen Sie für eine ordnungsgemäße Eingabevalidierung. Das hilft dabei, Web-Shell-Angriffe durch Code-Injektion zu verhindern. Nur bestimmte Zeichen, Datenformate oder Wertebereiche für Eingabefelder sollten zugelassen sein und potenziell gefährlicher Code herausgefiltert werden. Serverseitige Validierung dient dazu, um bösartige Skripte oder Befehle zu blockieren, die Angreifer möglicherweise einschleusen wollen. Setzen Sie außerdem sichere Kodierungsverfahren und Bibliotheken oder Frameworks ein, die vor Cross-Site-Scripting (XSS), SQL-Injection und anderen Formen von Injektionsangriffen schützen. Eine clientseitige Validierung allein reicht nicht aus, da Angreifer sie leicht umgehen können.
Segmentieren Sie das Netzwerk, um laterale Bewegungen einzuschränken. Die Isolierung von Webservern vom internen Netzwerk minimiert die Interaktion mit sensiblen internen Ressourcen und hindert Angreifer daran, sich nach einer Kompromittierung lateral zu bewegen. Firewalls und Zugriffskontrolllisten (ACLs) helfen dabei, strenge Kommunikationsregeln zwischen dem Webserver-Netzwerk und dem internen Netzwerk durchzusetzen. Außerdem sollte der Datenverkehr zwischen diesen Segmenten mit Intrusion-Detection-Systemen (IDS) oder Intrusion-Prevention-Systemen (IPS) überwacht werden, um abweichende Aktivitäten, die auf einen Einbruchsversuch hindeuten könnten, zu erkennen und darauf zu reagieren.
Halten Sie die Webanwendung auf dem neuesten Stand. Installieren Sie regelmäßig Sicherheits-Patches und Updates für den IIS-Server, die Webanwendungen und alle Plugins oder Module von Drittanbietern. Veraltete Software ist einer der häufigsten Vektoren für Web-Shell-Angriffe, da Angreifer häufig bekannte Schwachstellen ausnutzen. Führen Sie ein routinemäßiges Patch-Management-Verfahren ein, um sicherzustellen, dass Sicherheitsverbesserungen zeitnah angewendet werden. In Fällen, in denen ein sofortiges Patchen nicht möglich ist, sollten Sie den Einsatz von virtuellen Patching-Lösungen in Erwägung ziehen, um einen vorübergehenden Schutz vor bekannten Schwachstellen zu gewährleisten.
Schränken Sie den Zugriff und die Berechtigungen auf dem IIS-Server ein. Mit Hilfe von strengen Zugriffskontrollen lässt sich einschränken, wer Dateien, Verzeichnisse und Servereinstellungen ändern darf. Nach dem Prinzip der geringsten Berechtigung werden Benutzern und Anwendungen nur die erforderlichen Berechtigungen erteilt. So sollte beispielsweise sichergestellt sein, dass der IIS-Arbeitsprozess (w3wp.exe) keinen Schreibzugriff auf Verzeichnisse hat, die für die Bereitstellung von Web Shells verwendet werden könnten. Geeignete Dateisystemberechtigungen und eine rollenbasierte Zugriffskontrolle schränkt die Änderungsmöglichkeiten ein. Überprüfen Sie diese Berechtigungen regelmäßig, um mögliche Fehlkonfigurationen zu erkennen und zu beheben, die Angreifer ausnutzen könnten.
Verwenden Sie eine Web Application Firewall (WAF), um den Datenverkehr zu filtern. Eine WAF vor Webservern überwacht und filtert den eingehenden HTTP/S-Datenverkehr. Sie kann bekannte Angriffsmuster blockieren, z. B. den Versuch Web Shells hochzuladen, und bösartige Anfragen herausfiltern. Konfigurieren Sie die WAF mit Regelsätzen, die auf die Anwendungen und die Serverumgebung des Unternehmens zugeschnitten sind. Aktivieren Sie die Protokollierung und richten Sie Warnmeldungen für verdächtige Aktivitäten ein, wie z. B. wiederholte Versuche, Dateien hochzuladen, oder Anfragen, die potenziell bösartigen Code enthalten.
Deaktivieren Sie unnötige Services und Ports. Überprüfen Sie regelmäßig die Konfiguration des Webservers und deaktivieren Sie alle Services, Funktionen oder Ports, die für die Anwendung nicht erforderlich sind. Verwendet die Anwendung zum Beispiel kein FTP, sollte der entsprechende FTP-Dienst auf dem IIS-Server deaktiviert sein. Durch die Verringerung der Anzahl der ausgeführten Dienste wird die Angriffsfläche minimiert und die potenziellen Einstiegspunkte für Angreifer werden eingeschränkt. Überprüfen Sie außerdem die Server regelmäßig auf offene Ports, um unnötige Ports zu identifizieren und zu schließen, die für die Bereitstellung von Web-Shells ausgenutzt werden könnten.
Für VPN-Kompromittierung:
Setzen Sie die Anmeldeinformationen sofort zurück. Besteht der Verdacht, dass ein VPN-Konto kompromittiert wurde, müssen die Anmeldeinformationen sofort zurückgesetzt werden. Setzen Sie eine strenge Passwortrichtlinie durch. Implementieren Sie nach Möglichkeit eine Multifaktor-Authentifizierung (MFA) für den VPN-Zugang, um einen zusätzlichen Schutz zu bieten und das Risiko zu verringern, dass Angreifer mit gestohlenen Zugangsdaten wieder Zugang erhalten.
Überwachen Sie ungewöhnliche Kontoaktivitäten. Überwachen Sie die VPN-Nutzung fortlaufend auf Anzeichen einer Kompromittierung. Achten Sie auf Anzeichen wie Anmeldungen von unerwarteten Orten, Zugriff außerhalb der normalen Arbeitszeiten oder mehrere fehlgeschlagene Anmeldeversuche. Achten Sie auf die unerwartete Verwendung oder das Herunterladen legitimer Tools, z. B. Fernzugriffssoftware oder Tools zur Netzwerkerkennung. Sammeln und analysieren Sie Daten, die verdächtiges Verhalten für weitere Untersuchungen aufzeigen können.
Zur Stärkung der Cybersicherheitsverteidigung:
Durchsetzung des Prinzips der geringsten Privilegien und Systemhärtung. Weisen Sie Anwendungen immer die Mindestberechtigungen zu, die sie für den Betrieb benötigen. Zu freizügige Rollen, wie z. B. die Vergabe von Administratorrechten an eine Anwendung, öffnen Angreifern die Tür, um diese Rollen für einen tieferen Systemzugriff auszunutzen. Die Systemhärtung sollte die Deaktivierung unnötiger Dienste, die Sperrung des Zugriffs auf sensible Systemdateien, die Sicherung der Registrierungseinstellungen und die Gewährleistung ordnungsgemäßer Dateiberechtigungen umfassen, um unbefugte Änderungen zu verhindern. Überprüfen Sie regelmäßig Berechtigungen und Konfigurationen, um potenzielle Schwachstellen zu erkennen und zu beheben.
Aktivieren Sie regelmäßige Überprüfungen und detaillierte Protokollierung. Aktivieren Sie eine umfassende Protokollierung auf dem Webserver, einschließlich HTTP-Zugriffsprotokollen, Ereignisprotokollen und Fehlerprotokollen, um Serverinteraktionen zu überwachen. Konfigurieren Sie für IIS-Server Funktionen wie die Erfassung kritischer Daten, z. B. IP-Adressen, Anforderungs-Header, Zeitstempel und HTTP-Statuscodes. Implementieren Sie eine zentralisierte Protokollierung, indem Sie die Protokolle zur Überwachung und Korrelationsanalyse an eine MXDR-Lösung weiterleiten. Stellen Sie sicher, dass die Protokolle sicher und mit angemessenen Aufbewahrungsrichtlinien für die Analyse nach einem Vorfall gespeichert werden. Prüfen Sie diese Protokolle regelmäßig, um abnormales Verhalten zu erkennen, z. B. wiederholte fehlgeschlagene Anmeldeversuche, unbefugten Zugriff auf wichtige Verzeichnisse oder ungewöhnliche HTTP-Methoden.
Aufrechterhaltung eines robusten Patch-Management-Prozesses. Stellen Sie sicher, dass alle Anwendungen, einschließlich des IIS-Servers, der Web-Frameworks und Plugins, stets mit den neuesten Sicherheits-Patches aktualisiert werden. Schließen Sie eine Testphase ein, um sicherzustellen, dass die Patches keine neuen Schwachstellen einführen oder Dienste unterbrechen. Wenn ein sofortiges Patchen nicht möglich ist, sollten Sie ein virtuelles Patching in Betracht ziehen, um bekannte Schwachstellen vorübergehend zu blockieren. Führen Sie ein aktuelles Inventar aller Softwareversionen, die auf dem Server laufen, um Komponenten, die Patches benötigen, schnell zu identifizieren.
Implementieren Sie eine starke Authentifizierung. Verwenden Sie MFA, um den Zugriff auf den IIS-Server zu sichern. Vermeiden Sie die Verwendung von schwachen oder Standardpasswörtern und setzen Sie eine strenge Passwortrichtlinie durch. Implementieren Sie Mechanismen zur Kontosperrung, um Brute-Force-Angriffe zu verhindern. Beschränken Sie den Serverzugriff auf bekannte, vertrauenswürdige IP-Adressen oder Netzwerksegmente. Überwachen Sie die Authentifizierungsprotokolle auf Anzeichen für anomale Anmeldeaktivitäten, z. B. Anmeldungen von unerwarteten Orten oder Versuche, MFA zu umgehen.