Netzwerkangriffe mit kostenlosen Microsoft-Tools erkennen und verhindern-Netzwerk-Wissensdatenbank

Netzwerkangriffe auf Dreijahreshoch

WatchGuard Internet Security Report zeigt darüber hinaus für das vierte Quartal 2021 eine spürbare Zunahme von Malware in Europa

Der gerade veröffentlichte, jüngste Internet Security Report von WatchGuard Technologies belegt für den Zeitraum von Oktober bis Dezember 2021 eine klare Malware-Konzentration in Europa. In der EMEA-Region war die Anzahl der erkannten Malware-basierten Gefahren im Vergleich mit dem Rest der Welt nahezu doppelt so hoch. Bemerkenswert ist in dem Zusammenhang aber auch erneut die Qualität der einschlägigen Bedrohung. Die Forscher des WatchGuard Threat Labs, die alle drei Monate auf Basis der anonymisierter Feed-Daten der weltweit eingesetzten Firebox-Appliances die wichtigsten Angriffstrends identifizieren und im Detail aufarbeiten, konnten einen 33-prozentigen Zuwachs der besonders tückischen „evasive Malware“-Varianten feststellen. Dadurch steigt das von Zero-Day-Threats ausgehende Risiko nochmals deutlich.

„Auf Unternehmensseite entstehen durch den anhaltenden Wandel hin zu einer dezentral agierenden Belegschaft immer mehr potenzielle Sicherheitslücken, die es zu schließen gilt“, bringt Corey Nachreiner, Chief Security Officer bei WatchGuard Technologies, die aktuelle Herausforderung vieler Unternehmen auf den Punkt: „Angesichts der höchsten, je verzeichneten Anzahl von Zero-Day-Bedrohungen und einer Angriffsfläche, die sich inzwischen weit über den traditionellen Netzwerkperimeter hinaus auf IoT, Heimnetzwerke und mobile Endgeräte erstreckt, ist es für Unternehmen mittlerweile nahezu unverzichtbar, ein ganzheitliches und einheitliches Sicherheitskonzept zu verfolgen. Dieses muss sich zudem jederzeit schnell und effizient an eine sich zügig verändernde Bedrohungslandschaft anpassen lassen. Regelmäßige Updates und Patches für die eingesetzten Systeme sind in dem Zusammenhang eine Mindestanforderung. Sie gehören zu den einfachsten und gleichzeitig wichtigsten Maßnahmen, um Hackern Einhalt zu gebieten.“

Wichtige Ergebnisse des WatchGuard Q4 2021 Internet Security Reports im Überblick:

Kontinuierlich steigende Angriffszahlen untermauern die Komplexität der Anforderungen beim Thema Netzwerksicherheit – Netzwerkübergriffe nehmen nach wie vor stetig zu und die Anzahl der aufgedeckten Ereignisse erreichte im letzten Quartal 2021 den höchsten Stand seit drei Jahren – mit einem Anstieg von 39 Prozent gegenüber dem Vorquartal. Zurückführen lässt sich dies nicht zuletzt darauf, dass alte Schwachstellen immer noch ausgenutzt werden. Hinzu kommt die weitere Ausdehnung der Unternehmensnetzwerke, wodurch sich die Angriffsfläche natürlich vergrößert.

Bei 78 Prozent der Malware, die über verschlüsselte Verbindungen übertragen wird, handelt es sich um evasive Varianten, die von signaturbasierten Sicherheitslösungen nicht erkannt werden – Insgesamt 67 Prozent der identifizierten Malware nutzten zur Verbreitung verschlüsselte Verbindungen. Bei 78 Prozent davon handelte es sich um ausweichende (evasive) Zero-Day-Malware-Bedrohungen, die sich klassischen Erkennungsmethoden entziehen. Damit setzt sich ein Trend fort, der bereits in den vergangenen Quartalen zu beobachten war. Solche Gefahren könnten von Firewalls, die so eingestellt sind, dass sie jeglichen eingehenden Datenverkehr entschlüsseln und scannen, oftmals schon am Perimeter gestoppt werden. In den Reihen vieler Unternehmen sind entsprechende Maßnahmen jedoch nach wie vor nicht umgesetzt.

Neuer Spitzenreiter bei Office-Exploit-Malware bahnt sich den Weg – Im 4. Quartal wurde, wie bereits im Quartal davor, eine signifikante Häufigkeit von Malware verzeichnet, die auf Office-Dokumente abzielt und entsprechende Schwachstellen ausnutzt. Die im Zusammenhang mit der Schwachstelle „CVE-2018-0802″ erkannte Malware, die in Q4 2021 äußerst weit verbreitet war, klettert auf der Top-10-Malware-Liste sogar noch um einen Platz nach oben und erreicht diesmal Position 5. Die Forscher vermuten, dass diese Sicherheitslücke die bislang führende „CVE-2017-11882″-Schwachstelle als führenden Office-Exploit abgelöst hat.

Emotet ist zurück – Zwei neue Domains wurden in diesem Quartal in die Liste der von WatchGuard entdeckten Top-Malware-Domänen aufgenommen. Eine davon, Skyprobar[.]info, steht mit dem Banking-Trojaner Emotet in Verbindung, der sich via Command-and-Control-Infrastrukturen zuletzt zu einem Einfallstor für unterschiedliche Malware-Payloads weiterentwickelt hatte. Nachdem es den Strafverfolgungsbehörden mehrerer Länder Anfang 2021 gelungen war, die zugrundeliegenden Strukturen auszuhebeln, wurde es zunächst ruhig um Emotet – bis zum Revival im vierten Quartal 2021.

All diese Erkenntnisse des vierteljährlichen Forschungsberichts von WatchGuard basieren auf anonymisierten Firebox-Feed-Daten von aktiven WatchGuard Fireboxen, deren Besitzer der Weitergabe von Daten zur Unterstützung der Forschungsarbeit des Threat Lab zugestimmt haben. Im vierten Quartal 2021 blockierte WatchGuard insgesamt mehr als 23,9 Millionen Malware-Varianten (313 pro Gerät) und rund 5,9 Millionen Netzwerkbedrohungen (75 pro Gerät). Der vollständige Bericht enthält neben den vielfältigen Einblicken in die Malware- und Netzwerktrends aus dem vierten Quartal 2021 nicht zuletzt eine detaillierte Analyse der Log4Shell-Schwachstelle, adäquate Hinweise zu empfohlenen Sicherheitsstrategien sowie wichtige Abwehrtipps für Unternehmen aller Größen und Branchen.

Netzwerkangriffe auf Dreijahreshoch

Wichtige Ergebnisse des WatchGuard Q4 2021 Internet Security Reports im Überblick:

Neuer Spitzenreiter bei Office-Exploit-Malware bahnt sich den Weg – Im 4. Quartal wurde, wie bereits im Quartal davor, eine signifikante Häufigkeit von Malware verzeichnet, die auf Office-Dokumente abzielt und entsprechende Schwachstellen ausnutzt. Die im Zusammenhang mit der Schwachstelle „CVE-2018-0802“ erkannte Malware, die in Q4 2021 äußerst weit verbreitet war, klettert auf der Top-10-Malware-Liste sogar noch um einen Platz nach oben und erreicht diesmal Position 5. Die Forscher vermuten, dass diese Sicherheitslücke die bislang führende „CVE-2017-11882“-Schwachstelle als führenden Office-Exploit abgelöst hat.

Der aktuelle Internet Security Report in englischer Sprache steht online zum Download zur Verfügung:

Netzwerkangriffe mit kostenlosen Microsoft-Tools erkennen und verhindern

NetCease und NetSess Netzwerkangriffe mit kostenlosen Microsoft-Tools erkennen und verhindern

Angreifer versuchen oft über ältere oder unsichere Server Zugriff auf Netzwerke zu erhalten. Auf den Servern werden dann Informationen zum Netzwerk zusammengetragen, um weitere Angriffe starten zu können. Solche Angriffe lassen sich mit Tools wie NetCease verhindern.

Mit den kostenlosen Microsoft-Tools NetCease und NetSess können Administratoren Server vor Angreifern besser absichern. (© fotohansel -

Haben sich Angreifer Zutritt zu einem Server oder Computer im Netzwerk verschafft, sammeln sie in den meisten Fällen Informationen zu Benutzerkonten und zu weiteren Geräten im Netzwerk. Diese Vorgänge werden auch als Reconnaissance (recon) bezeichnet. Besonders kritisch wird es, wenn Administratorkonten ausgespäht werden. Das kann schnell passieren, wenn Angreifer Zugang zu einem unsicheren Server im Netzwerk erhalten.

Um solche Angriffe im Netzwerk zu verhindern, haben zwei Programmierer des Microsoft Advanced Threat Analytics (ATA) Researchteams, Itai Grady und Tal Be’ery mit NetCease ein PowerShell-Skript entwickelt, das notwendige Einstellungen auf Windows-Servern vornimmt, um die Berechtigungen für den Zugriff zu verbessern, und erfolgreiche Hacker-Angriffe zu verhindern.

SMB Session Enumeration verhindern

Tools wie NetSess lesen mit NetSessionEnum die aktiven Sitzungen auf Servern aus. (Bild: Th. Joos)

Mit SMB Session Enumeration lassen sich Informationen von Servern auslesen, auch von Domänencontrollern. Dieses Auslesen setzt kein großes Fachwissen voraus, sondern kostenlose Tools wie NetSess können die vorhandenen Informationen schnell und einfach in der Befehlszeile anzeigen. Das Tool liest problemlos auch Daten von Windows Server 2016 und Rechnern mit Windows 10 aus. Dabei kann der Zugriff nicht nur lokal durchgeführt werden, sondern Anwender können problemlos über das Netzwerk Informationen abrufen. Sobald ein Zugang zum Netzwerk besteht, lassen sich alle vorhandenen Geräte auslesen.

Solche Tools haben die Aufgabe Benutzerkonteninformationen aus dem Netzwerk zu sammeln, auch von anderen Servern und Arbeitsstationen. Mit zusätzlichen Skripten und Programmen erhalten Angreifer so relativ schnell zuverlässige Informationen für weitere Angriffe. Diese Informationen lassen sich von jedem Benutzer auslesen, der sich mit dem internen Netzwerk verbunden hat. Es sind dazu keinerlei besonderen Rechte notwendig. Es lassen sich folgende Informationen auslesen:

Die IP-Adressen und Namen der verbundenen Computer

Die Benutzerkonten, die sich am Server angemeldet haben

Wie lange die Sitzung bereits aktiv ist

Wie lange die Sitzung aktiv ist, aber derzeit nicht verwendet wird

Die Rechte für das Abrufen von Informationen per SMB werden über die Registry gesteuert. Die Einstellungen dazu sind über den Pfad „HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/DefaultSecurity“ und hier über den Wert „SrvsvcSessionInfo“ zu sehen. Für diesen Wert sind standardmäßig folgende Berechtigungen eingetragen:

Administrators (Administratoren), Security Identifier (Sid) S-1-5-32-544)

Server Operators (Sid S-1-5-32-549)

Hauptbenutzer (Power Users) (Sid S-1-5-32-547)

Authentifizierte Benutzer (Authenticated Users) (Sid S-1-5-11)

Die meisten Angreifer versuchen über die authentifizierten Benutzer Zugriff auf die Informationen des Servers oder der Arbeitsstation zu erhalten.

Netzwerke mit PowerShell-Skript absichern

Solche Informationen sollten natürlich nicht in fremde Hände gelangen, sondern nur durch authentifizierte Personen zugreifbar sein. Mit Bordmitteln ist ein solcher Schutz leider nicht einfach umsetzbar. Daher stellt Microsoft das kostenlose PowerShell-Skript Net Cease zur Verfügung. Bei dem Tool handelt es sich aber nicht um ein offizielles, freigegebenes Tool von Microsoft, sondern ein Werkzeug aus der Microsoft TechNet Gallery.

Das PowerShell-Skript „Net Cease“ passt im Netzwerk die Berechtigungen für den Registrywert „SrvsvcSessionInfo“ an, sodass Anwender die SMB-Informationen nicht mehr so einfach auslesen können. Für die Verwendung von Freigaben ist das auch nicht notwendig.

Das Skript fügt außerdem Berechtigungen für interaktive Zugriffe, Dienstkonten und Batchzugriffe hinzu. Die Anpassungen sind also nicht sehr kompliziert, und lassen sich über Skripte, Anmeldeskripte oder Tools wie System Center Configuration Manager im Netzwerk verteilen. Die angepasste Konfiguration lässt sich mit dem bereits erwähnten Tool „NetSess“ testen. Nachdem Sie das PowerShell-Skript „Net Cease“ ausgeführt haben, erhalten authentifizierte Benutzer über das Netzwerk eine „Zugriff verweigert“-Meldung, wenn sie die Informationen auslesen wollen.

An diesem Punkt kann man sich dann auch vor unbefugten Angreifern warnen lassen. Mittels Microsoft System Center Operations Manager oder auch per PowerShell Skript können Admins sich über den Eintrag im Ereignisprotokoll für den verweigerten Zugriff benachrichtigen lassen.

Skript zur Absicherung ausführen

Net Cease wird in der PowerShell ausgeführt, um Server besser abzusichern. (Bild: Th. Joos)

Zunächst wird das Skript bei Microsoft heruntergeladen. Anschließend wird das Skript einfach auf den Arbeitsstationen und den Servern ausgeführt, zum Beispiel über die Syntax „.NetCease.ps1“. Das Skript passt den erwähnten Registrywert an. Generell sollte das Skript auf allen Computern im Netzwerk durchgeführt werden, nicht nur auf Domänencontrollern und Dateiservern. Denn die SMB-Informationen lassen sich von allen Servern im Netzwerk auslesen.

Zusätzlich werden die Einstellungen des Wertes aber auch gesichert, sodass er jederzeit wieder rückgängig gemacht werden kann. Dazu legt das Skript einen neuen Wert mit der Bezeichnung „SrvsvcSessionInfoBackup“ an. In diesem werden die Daten und Rechte von „SrvsvcSessionInfo“ gespeichert, um später eine Wiederherstellung durchführen zu können. Eine solche Wiederherstellung ist ebenfalls über Net Cease möglich, sodass einer automatischen Verteilung der Rechte nichts im Wege steht. Der Befehl dazu lautet: .NetCease.ps1 -revert.

Nach der Ausführung des Skriptes, muss der Systemdienst für den SMB-Zugriff neu gestartet werden, zum Beispiel mit restart-service server -force. Generell kann der Server auch mit restart-computer komplett neu gestartet werden. Besser ist aber ein Neustart des Servers.

Fazit

Administratoren, die eine besondere sichere Umgebung aufbauen und sicherstellen wollen, dass Benutzer im Netzwerk keinen unberechtigten Daten abgreifen können, sollten sich das Skript näher ansehen. Durch die einfache Ausführung, und die Möglichkeit die Einstellungen wieder rückgängig zu machen, ist die Ausführung nicht sehr kompliziert. Vor allem mit Tools wie System Center Configuration Manager, oder bei der Installation neuer Server und Arbeitsstationen ist die Umsetzung relativ einfach möglich. Damit erhalten Unternehmen zwar keine perfekt abgesicherte Umgebung, aber immerhin einen weiteren Schritt zu mehr Sicherheit im Netzwerk.

Jetzt Newsletter abonnieren Täglich die wichtigsten Infos zur IT-Sicherheit Geschäftliche E-Mail Bitte geben Sie eine gültige E-Mailadresse ein. Abonnieren Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Aufklappen für Details zu Ihrer Einwilligung Stand vom 30.10.2020 Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Einwilligung in die Verwendung von Daten zu Werbezwecken Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden. Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden. Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Recht auf Widerruf Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

(ID:44765530)