Netzwerkangriffe mit kostenlosen Microsoft-Tools erkennen und verhindern
NetCease und NetSess Netzwerkangriffe mit kostenlosen Microsoft-Tools erkennen und verhindern
Angreifer versuchen oft über ältere oder unsichere Server Zugriff auf Netzwerke zu erhalten. Auf den Servern werden dann Informationen zum Netzwerk zusammengetragen, um weitere Angriffe starten zu können. Solche Angriffe lassen sich mit Tools wie NetCease verhindern.
Mit den kostenlosen Microsoft-Tools NetCease und NetSess können Administratoren Server vor Angreifern besser absichern. (Bild: gemeinfrei/Pixabay / CC0
Haben sich Angreifer Zutritt zu einem Server oder Computer im Netzwerk verschafft, sammeln sie in den meisten Fällen Informationen zu Benutzerkonten und zu weiteren Geräten im Netzwerk. Diese Vorgänge werden auch als Reconnaissance (recon) bezeichnet. Besonders kritisch wird es, wenn Administratorkonten ausgespäht werden. Das kann schnell passieren, wenn Angreifer Zugang zu einem unsicheren Server im Netzwerk erhalten.
Bildergalerie
Um solche Angriffe im Netzwerk zu verhindern, haben zwei Programmierer des Microsoft Advanced Threat Analytics (ATA) Researchteams, Itai Grady und Tal Be’ery mit NetCease ein PowerShell-Skript entwickelt, das notwendige Einstellungen auf Windows-Servern vornimmt, um die Berechtigungen für den Zugriff zu verbessern, und erfolgreiche Hacker-Angriffe zu verhindern.
SMB Session Enumeration verhindern
Mit SMB Session Enumeration lassen sich Informationen von Servern auslesen, auch von Domänencontrollern. Dieses Auslesen setzt kein großes Fachwissen voraus, sondern kostenlose Tools wie NetSess können die vorhandenen Informationen schnell und einfach in der Befehlszeile anzeigen. Das Tool liest problemlos auch Daten von Windows Server 2016 und Rechnern mit Windows 10 aus. Dabei kann der Zugriff nicht nur lokal durchgeführt werden, sondern Anwender können problemlos über das Netzwerk Informationen abrufen. Sobald ein Zugang zum Netzwerk besteht, lassen sich alle vorhandenen Geräte auslesen.
Solche Tools haben die Aufgabe Benutzerkonteninformationen aus dem Netzwerk zu sammeln, auch von anderen Servern und Arbeitsstationen. Mit zusätzlichen Skripten und Programmen erhalten Angreifer so relativ schnell zuverlässige Informationen für weitere Angriffe. Diese Informationen lassen sich von jedem Benutzer auslesen, der sich mit dem internen Netzwerk verbunden hat. Es sind dazu keinerlei besonderen Rechte notwendig. Es lassen sich folgende Informationen auslesen:
Die IP-Adressen und Namen der verbundenen Computer
Die Benutzerkonten, die sich am Server angemeldet haben
Wie lange die Sitzung bereits aktiv ist
Wie lange die Sitzung aktiv ist, aber derzeit nicht verwendet wird
Die Rechte für das Abrufen von Informationen per SMB werden über die Registry gesteuert. Die Einstellungen dazu sind über den Pfad „HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/DefaultSecurity“ und hier über den Wert „SrvsvcSessionInfo“ zu sehen. Für diesen Wert sind standardmäßig folgende Berechtigungen eingetragen:
Administrators (Administratoren), Security Identifier (Sid) S-1-5-32-544)
Server Operators (Sid S-1-5-32-549)
Hauptbenutzer (Power Users) (Sid S-1-5-32-547)
Authentifizierte Benutzer (Authenticated Users) (Sid S-1-5-11)
Die meisten Angreifer versuchen über die authentifizierten Benutzer Zugriff auf die Informationen des Servers oder der Arbeitsstation zu erhalten.
(ID:44779923)
Angreifer setzen auf Verschlüsselung
Angreifer setzen auf Verschlüsselung
Kurz vor Ende des Jahres hat WatchGuard Technologies seinen neuesten Internet Security Report (ISR) veröffentlicht. Demnach setzten die Angreifer verstärkt auf verschlüsselte Verbindungen, um ihre Malware zu verstecken. Ebenso waren vermehrt Angriffe auf ICS- und SCADA-Systeme zu verzeichnen.
Der Internet Security Report von WatchGuard beleuchtet aktuelle Angriffstrends.
Obwohl die Malware "Agent.IIQ" in der Zeit von Juli bis September 2022 den dritten Platz in der regulären Top-10-Malware-Liste belegte, landete sie auf Platz 1 der Aufstellung für verschlüsselte Schadsoftware. Denn alle Agent.IIQ-Erkennungen wurden in HTTPS-Verbindungen gefunden.
Wie die Analysen zeigen, kamen 82 Prozent der gesamten Malware über gesicherte Verbindungen, aber nur 18 Prozent unverschlüsselt. Wird der HTTPS-Datenverkehr auf der Firebox nicht überprüft, ist es sehr wahrscheinlich, dass ein großer Teil der Malware unentdeckt bleibt. In diesem Fall können Unternehmen nur darauf hoffen, dass ein wirksamer Endpunktschutz implementiert ist, um wenigstens die Chance zu haben, die Malware an einer anderen Stelle der sogenannten Cyber Kill Chain abzufangen.
ICS- und SCADA-Systeme weiterhin beliebte Angriffsziele
Neu in der Liste der zehn häufigsten Netzwerkangriffe im dritten Quartal 2022 ist eine Attacke vom Typ SQL-Injection, die gleich mehrere Anbieter traf. Eines dieser Unternehmen ist Advantech, dessen WebAccess-Portal den Zugriff auf SCADA-Systeme einer Vielzahl von kritischen Infrastrukturen ermöglicht. Ein weiterer schwerwiegender Angriff im dritten Quartal, der ebenfalls zu den Top 5 der einschlägigen Netzwerkbedrohungen gehörte, betraf die Builder-Software von Schneider Electric, Version 1.2.1 und früher. Dies ist ein deutlicher Hinweis darauf, dass Angreifer weiterhin aktiv versuchen, Systeme zu kompromittieren, wo immer dies möglich ist.
Exchange-Schwachstellen weiterhin ein Risiko
Die jüngste CVE-Schwachstelle (CVE-2021-26855), die das Threat Lab entdeckte, betrifft die Remote-Code-Ausführung (RCE) von Microsoft Exchange Server bei On-Premise-Servern. Diese RCE-Schwachstelle, die eine CVE-Bewertung von 9,8 erhielt, wurde bekanntermaßen bereits ausgenutzt. Das Datum und der Schweregrad dieser Sicherheitslücke lassen ebenfalls aufhorchen, da es sich um eine von der Gruppe HAFNIUM ausgenutzte Schwachstelle handelt. Auch wenn die meisten der betroffenen Exchange-Server inzwischen gepatcht worden sein dürften, sind manche noch gefährdet und das Risiko besteht weiter.
Nutzer kostenloser Software im Visier
Der Trojaner Fugrafa lädt Malware herunter, die bösartigen Code einschleust. Im 3. Quartal 2022 untersuchten die WatchGuard-Analysten eine Variante, die in einer Cheat-Engine für das beliebte Spiel Minecraft gefunden wurde. Die Datei, die hauptsächlich auf Discord geteilt wurde, gibt vor, die Minecraft Cheat Engine Vape V4 Beta zu sein – aber das ist nicht alles, was sie enthält.
Agent.FZUW weist einige Ähnlichkeiten mit Variant.Fugrafa auf, doch anstatt sich über eine Cheat-Engine zu installieren, scheint die Datei selbst geknackte Software zu enthalten. Im konkreten Fall zeigten sich zudem Verbindungen zu Racoon Stealer: Dabei handelt es sich um eine Kryptowährungs-Hacking-Kampagne, mit der Kontoinformationen von Kryptowährungsdiensten entwendet werden.
LemonDuck-Malware mehr als ein Cryptominer
Auch wenn die Zahl der blockierten oder verfolgten Malware-Domänen im dritten Quartal 2022 zurückgegangen ist, lässt sich unschwer erkennen, dass die Zahl der Angriffe auf ahnungslose Nutzer weiterhin hoch ist. Mit drei Neuzugängen in der Liste der Top-Malware-Domains – zwei gehörten zu ehemaligen LemonDuck-Malware-Domains und der dritte war Teil einer Emotet-klassifizierten Domain – gab es mehr neue Malware-Sites als üblich.
Dieser Trend wird sich im Hinblick auf die Kryptowährungslandschaft voraussichtlich weiter verstärken, da Angreifer nach neuen Möglichkeiten suchen, um Nutzer zu täuschen. Ein wirksames Mittel dagegen ist ein aktiver Schutz auf DNS-Ebene. Damit können die Systeme der Benutzer überwacht und Hacker daran gehindert werden, Malware oder andere ernsthafte Probleme in das Unternehmen einzuschleusen.
JavaScript-Verschleierung in Exploit-Kits
Die Signatur 1132518 – als Indikator für JavaScript-Verschleierungsangriffe auf Browser – war der einzige Neuzugang in der Liste der am weitesten verbreiteten Signaturen für Netzwerkangriffe. JavaScript ist seit längerem ein gängiger Angriffsvektor und Cyberkriminelle verwenden immer wieder JavaScript-basierte Exploit-Kits, unter anderem für Malvertising und Phishing-Angriffe. Im Zuge verbesserter Verteidigungsmechanismen der Browser intensivieren auch Angreifer ihre Bemühungen, bösartigen JavaScript-Code zu verschleiern.
Anatomie standardisierter Adversary-in-the-Middle-Angriffe
Die Multifaktor-Authentifizierung (MFA) ist zwar unbestreitbar eine immens wichtige Maßnahme im Zuge von IT-Sicherheit, aber auch kein Allheilmittel. Bestes Beispiel dafür sind der rasche Anstieg und die Kommerzialisierung von Adversary-in-the-Middle (AitM)-Angriffen. Die Untersuchung des Threat Labs zeigt, wie böswillige Akteure sich auf immer ausgefeiltere AitM-Techniken umstellen.
Ähnlich wie beim zunehmend frequentierten Ransomware-as-a-Service-Angebot hat auch die Veröffentlichung des AitM-Toolkits namens EvilProxy im September 2022 die Einstiegshürde für entsprechend ausgeklügelte Angriffe erheblich gesenkt. Deren Abwehr kann nur durch die Kombination aus technischen Tools und einer Sensibilisierung der Benutzer erfolgreich aufgegleist werden.
Malware-Familie mit Verbindungen zu Gothic Panda
Bereits im Bericht des Threat Labs für das zweite Quartal 2022 fiel die Sprache auf Gothic Panda – eine Cyberspionage-Gruppe mit enger Verbindung zum chinesischen Ministerium für Staatssicherheit. Interessanterweise enthält die Top-Liste der verschlüsselten Malware für das dritte Quartal eine Malware-Familie namens Taidoor, die nicht nur von Gothic Panda entwickelt wurde, sondern auch nur von Angreifern einschlägig chinesischer Herkunft eingesetzt wurde.
Während sich die entsprechende Malware bisher in der Regel auf Ziele in Japan und Taiwan konzentrierte, wurde das analysierte Generic.Taidoor-Beispiel vor allem bei Organisationen in Frankreich gefunden – möglicherweise ein klarer Hinweis auf einen spezifischen, staatlich gesponserten Cyberangriff.
Neue Ransomware- und Erpressergruppen in freier Wildbahn
Ab sofort widmet sich das WatchGuard Threat Lab noch stärker dem Aufspüren von Ransomware-Initiativen. Dafür wurden die zugrundeliegenden Threat-Intelligence-Möglichkeiten gezielt erweitert. Im dritten Quartal 2022 führt LockBit die Liste mit über 200 einschlägigen Vorfällen an – fast viermal mehr als die Ransomware-Gruppe Basta, die von Juli bis September 2022 am zweithäufigsten von sich reden machte.
Die vierteljährlichen Forschungsberichte von WatchGuard basieren auf anonymisierten Firebox-Feed-Daten von aktiven WatchGuard-Fireboxen, deren Besitzer sich für die Weitergabe von Daten zur direkten Unterstützung der Forschungsarbeit des Threat Labs entschieden haben. Im dritten Quartal blockierte WatchGuard insgesamt mehr als 17,3 Millionen Malware-Varianten (211 pro Gerät) und mehr als 2,3 Millionen Netzwerkbedrohungen (28 pro Gerät).
Der vollständige Bericht [1] enthält Details zu weiteren Malware- und Netzwerktrends aus dem 3. Quartal 2022, empfohlene Sicherheitsstrategien, wichtige Verteidigungstipps für Unternehmen verschiedener Größen und Branchen.
VoIP-Hacks sind auf dem Vormarsch: So schützen Sie Ihr Netzwerk
VoIP-Hacks sind auf dem Vormarsch: So schützen Sie Ihr Netzwerk
Das Anschließen von Geräten aller Art an ein mit dem Internet verbundenes Netzwerk birgt ein gewisses Risiko. Je mehr Geräte angeschlossen sind, desto größer ist das Risiko. Dieses Problem wurde durch die zunehmende Verbreitung von Internet-of-Things-Geräten hervorgehoben, gilt jedoch auch für die Verbreitung von VoIP-basierten Sprachkommunikationssystemen.
VoIP-Angriffe nehmen zu; Da die Technologie dasselbe Netzwerk für Ihren Sprach- und Datenverkehr verwendet, besteht die Möglichkeit, dass ein Hacker über eine IP-Telefonverbindung auf Ihr Netzwerk zugreifen kann. Viele Systeme lassen sich auch in Smartphones integrieren, wodurch ein weiterer potenzieller Angriffspunkt offen bleibt.
Wenn Sie zu VoIP wechseln, um die VoIP-Terminierungsraten von Spezialisten wie IDT Express zu nutzen, müssen Sie sich der potenziellen Bedrohungen bewusst sein und wissen, was Sie dagegen tun können.
Angriffspläne
VoIP kann verschiedene Kommunikationsprotokolle verwenden. Am gebräuchlichsten ist SIP - was nicht überraschend auch am meisten gefährdet ist -, aber es gibt auch H225 sowie proprietäre Systeme, einschließlich des SCCP von Cisco.
Die genauen Angriffsmöglichkeiten variieren je nach verwendetem Protokoll, haben jedoch in der Regel gemeinsame Ziele. Böswillige Aufrufe können als DDoS-Angriff verwendet werden, um das Netzwerk zu überlasten und zu versuchen, es herunterzufahren. Dies kann ein Selbstzweck sein, um das Geschäft zu stören oder ein Lösegeld zu fordern, aber auch, um von einem weiteren Angriff auf das Netzwerk mit der Absicht, Daten zu stehlen oder Malware einzuführen, abgelenkt zu werden.
Angreifer werden versuchen, so viele Informationen wie möglich über Ihr VoIP-System, die Anzahl der verwendeten Nummern, die Anzahl der Nebenstellen usw. zu erhalten. Sie können diese Informationen dann verwenden, um Ihr System selbst mit Spam-Anrufen zu bombardieren oder Ihre Daten mit größerer Wahrscheinlichkeit an unerwünschte Callcenter weiterzuverkaufen. Es ist auch möglich, dass sie versuchen, auf Ihr System zuzugreifen, um auf Ihrem Konto Anrufe zu tätigen, damit Sie die Rechnung abholen können.
Dies ist als "Mautbetrug" bekannt, kann jedoch viel weiter gehen, als nur Hackern das Tätigen von nicht autorisierten Anrufen zu gestatten. Bei ausreichendem Zugriff auf Ihr Netzwerk können sie möglicherweise sogar eine zusätzliche, von Geistern gehostete Telefonanlage einrichten, die es ihnen ermöglicht, viele gefälschte Anrufe zu tätigen, für die Sie letztendlich bezahlen.
So schützen Sie sich
Wir haben uns also einige der häufigsten Motive für den Angriff auf VoIP-Systeme angesehen. Aber was können Sie tun, um sich vor ihnen zu schützen? Viele Sicherheitsexperten glauben heute, dass Netzwerkangriffe eher eine Frage des "Wann" als des "Wenn" sind. In vielen Fällen wird das Leben der Angreifer durch Fehlkonfigurationen und schlecht durchgesetzte Sicherheitsrichtlinien erleichtert.
Viele der Maßnahmen, die Sie zum Schutz Ihres VoIP-Systems ergreifen können, sind unkompliziert. Beispielsweise ist die Verwendung sicherer Kennwörter unerlässlich. Lassen Sie niemals das Standardkennwort für Telefone oder andere Geräte festgelegt und stellen Sie sicher, dass Mitarbeiter immer ihre eigenen Zugangscodes verwenden und diese nicht an andere weitergeben. Vermeiden Sie schwache Kennwörter wie den Namen Ihres Unternehmens, und setzen Sie eine Mischung aus Groß- und Kleinbuchstaben und Zahlen durch, um das Knacken von Kennwörtern zu erschweren.
VoIP-Anrufe sind tatsächlich schwerer abzufangen als altmodische PSTN-Anrufe. Wenn Sie jedoch Bedenken haben, vertrauliche Informationen preiszugeben, können Sie sich auch die Verschlüsselung des Netzwerkverkehrs ansehen, sodass Anrufdaten, die abgefangen werden, für den Angreifer unbrauchbar bleiben. Möglicherweise ist dies bereits in Ihrem Router oder Ihrer Firewall integriert, sodass möglicherweise nur die Verschlüsselung aktiviert wird.
Wenn Mitarbeiter von außen auf Ihr VoIP-System zugreifen - auf Mobilgeräten oder von zu Hause aus -, sollten Sie ein VPN in Betracht ziehen. Dadurch wird ein sicherer "Tunnel" durch das öffentliche Internet erstellt, sodass Ihre Informationen nicht abgefangen werden können und Remote-Mitarbeiter auf Ihr Netzwerk zugreifen können, als wären sie im selben Gebäude.
Konfigurationsfehler können häufig zu Schwachstellen führen, die leicht übersehen werden. Es ist daher wichtig, dass Sie Ihr Netzwerk auf Schwachstellen testen, die Sie bei Bedarf beheben können. Wenn Sie nicht in der Lage sind, dies selbst zu tun, gibt es Spezialisten, die dies für Sie tun können.
Schließlich vergessen Sie nicht Ihre Mitarbeiter. Ein wichtiger Schritt, um sicherzustellen, dass Ihr VoIP-System und Ihr gesamtes Netzwerk sicher sind, ist die ordnungsgemäße Schulung und sichere Verwendung des Systems.
Es ist weitaus besser, jetzt Maßnahmen zu ergreifen, um sicherzustellen, dass Ihr Netzwerk geschützt ist, als die Daten eines Datenverstoßes - mit all dem potenziellen Reputations- und finanziellen Schaden, der damit verbunden ist - zu einem späteren Zeitpunkt zu erfassen.
