Wer kennt sie nicht? E-Mails von namhaften Unternehmen wie z.B. SBB oder Swisscom mit der Bitte, das Passwort des Accounts neu zu setzen, weil anscheinend ein Sicherheitsrisiko vorliegt. Und Hand auf’s Herz, wer war noch nie zumindest versucht, auf die Links zu klicken, weil die Mails mittlerweile wirklich gut gemacht sind und ein einfaches Erkennen solcher Fake Mails je länger je schwieriger wird? KI lässt grüssen. Dank fortschrittlichen Mail-Security-Lösungen wird zum Glück das meiste abgefangen, doch schlüpft das ein oder andere Mail trotzdem durch’s Netz.
Der Handel mit Zugangsinformationen floriert
Wir sprechen hier von Phishing mit dem Ziel an valide Credentials zu gelangen. Man könnte jetzt argumentieren: Na gut, aber was kümmert es mich als IT-Security meiner Firma, wenn Freddi’s SBB Credentials gestohlen werden? Nun, der Mensch neigt bekanntlich dazu, eher faul und bequem zu sein. Und das betrifft leider häufig auch die Wahl der Passwörter für die vielen unterschiedlichen Accounts, die man im Verlauf des (Berufs)Lebens halt so ansammelt. Das Passwort von Freddi’s SBB Account könnte also das gleiche sein wie das Passwort seines Tinder Profils oder für den Firmenzugang.
Access Broker auf Wachstumskurs
Vorhang auf: Access Broker. Als solche versteht man Cyber-Kriminelle, die valide Accounts beschaffen und/oder diese im Darkweb verhökern. Und wie’s in der Marktwirtschaft üblich ist, fördert Erfolg bekanntlich das Wachstum. Das trifft natürlich auch auf die krummen Geschäfte von Kriminellen zu. CrowdStrike hat dazu in ihrem aktuellen Global Threat Report 2024 interessante Zahlen geliefert, was die Zunahme der angepriesenen Zugänge im Jahr 2023 angeht:
Verglichen mit den Zahlen aus dem Jahr 2022 stellt das eine Zunahme von rund 20% dar.
Freddi wäre also gut beraten, für jeden seiner genutzten Services ein eigenes Passwort zu nutzen. Passwort Manager – dein Freund und Helfer.
Identitätsbasierte Angriffe werden raffinierter
Dadurch, dass 2FA, oder MFA, oder wie man’s nennen will, immer weiterverbreitet ist, müssen sich natürlich auch die Angreifer entsprechend anpassen. Security-Analysten sehen daher eine Zunahme von Angriffen mit dem Ziel, an API Keys, Session Cookies und Tokens, One-Time Passwords (OTP) oder Kerberos Tickets zu gelangen. Im MITRE ATT&CK Framework gibt es hierfür die Taktik «Credential Access». OTPs sind somit leider in diesem Kontext kein Allheilmittel. Zum Beispiel wird nach wie vor häufig auf SMS als zweiten Faktor gesetzt und diese können über SIM Swapping abgefangen werden. Bei OTPs, wie man sie vom weit verbreiteten Microsoft Authenticator kennt, spielt wiederum die menschliche Neigung zu unüberlegtem Handeln eine entscheidende Rolle. Können wir mit Sicherheit sagen, dass Freddi nicht einfach auf «Approve» drückt, wenn er vom Microsoft Authenticator dazu aufgefordert wird, obwohl er sich selber nirgends eingeloggt hat? Manchmal ist halt «es bizeli studiere» schon recht viel verlangt.
IT-Hygiene
Wie beim Menschen, so schützt auch in der IT eine gute Hygiene vor allerlei unschönen und unerwünschten Dingen. Es braucht also nicht immer zwingend zusätzliche Produkte. Ich lehne mich jetzt mal aus dem Fenster und behaupte, dass die Cyber-Resilienz der meisten Firmen merklich dadurch verbessert werden könnte, indem die Angreifbarkeit von Microsoft’s Active Directory durch das Schliessen bekannter Sicherheitslücken und Konfigurationsversäumnissen verringert wird. In’s gleiche Horn bläst auch die Härtung der Windows Clients und Server. Die nicht von der Hand zu weisende Herausforderung hierbei ist jedoch das Finden dieser Versäumnisse und Lücken. Und hier kommen dann halt häufig doch wieder unterstützende Produkte zum Zug.
CrowdStrike bietet dafür als Bestandteil des «Identity Protection» Moduls eine komfortable und übersichtliche Möglichkeit, die Sicherheit von Active Directory zu erhöhen. Die gefundenen Risiken werden dabei anhand einer Risiko Matrix sortiert, was ein einfaches Priorisieren ermöglicht. Zudem erhält man zu jedem Risiko eine Hilfestellung zur Mitigation.
Schutz der Identitäten
Die Idee hinter CrowdStrike’s «Identity Protection» ist eigentlich nicht neu. Sogenannte «User and Entity Behavior Analytics» (UEBA) Lösungen gibt es schon länger von verschiedenen Herstellern. Auch «Identity Protection» fällt im Endeffekt in diese Kategorie. Im Grunde geht es darum, für alle «User» eine «Behavior Baseline» zu erstellen, also zu ermitteln, was als normal gilt, um dann das Abnormale zu erkennen. Gleiches gilt für die «Entities», wobei hierbei alles andere gemeint ist, was im Netzwerk kommuniziert.
Werden verdächtige Anomalien erkannt, wird das Security Team informiert, was wiederum eine schnelle Analyse und zielgerichtete Reaktionen erlaubt. Über entsprechende Workflows kann auch automatisiert auf Detections reagiert werden.
Wenn wir jetzt wieder auf Freddi und sein abhandengekommenes Passwort zurückkommen, haben wir einen möglichen Use Case: Es liegt in der Natur gestohlener Credentials, dass sie über kurz oder lang in Credential Dumps landen und diese wiederum können dann aus verschiedenen Quellen angezapft werden. Eine der bekannteren Quellen ist «haveibeenpwned». CrowdStrike nutzt diesen Service, um zu prüfen, ob im AD verwendete Passwörter in Credential Dumps gefunden werden. Falls dem so ist, gibt es eine entsprechende Detection, auf die manuell oder automatisiert reagiert werden kann. Eine mögliche automatische Reaktion besteht zum Beispiel darin, den Login von Freddi mit seinem kompromittierten Passwort zu verhindern und stattdessen einen Wechsel des Passworts zu forcieren. Alternativ oder ergänzend können eigene Passwort-Listen mit ungewünschten Passwörtern hinterlegt werden.
Wenn wir jetzt schon Baselines haben und somit wissen, welcher User normalerweise mit welchen Systemen arbeitet, können wir diese Informationen auch für weitere Use Cases nutzen. In folgendem Beispiel werden Authentication Requests ausgehend von unüblichen Endpoints über eine zusätzliche «Identity Verification» abgesichert. Soll heissen: der betroffene Benutzer wird dazu aufgefordert, den Login über einen getriggerten MFA zu verifizieren.
Fazit
Sieht man sich den allgemeinen Trend hin zu Angriffen mit validen Accounts an, kommt man unweigerlich zum Schluss, dass eigentlich kein Weg mehr daran vorbeiführt, die Identitäten gezielt zu schützen. Zahlen von OverWatch, der Threat Hunting Abteilung von CrowdStrike, sprechen von 8 aus 10 erfolgreichen Angriffen, bei denen kompromittierte Accounts genutzt wurden. Kommt erschwerend dazu, dass Angriffe häufig nicht mal von den eigenen Geräten ausgehen, sondern ihren Ursprung auf Hosts von externen Zulieferern oder Dienstleistern haben. Ohne Fokus auf Identitäten bleiben solche Attacken komplett unentdeckt bis es womöglich zu spät ist. Meiner Meinung nach bietet CrowdStrike mit Identity Protection ein sehr mächtiges Werkzeug, das in keinem modernen Werkzeugkasten fehlen sollte.
PS: Sollten sich echte Freddi’s angesprochen fühlen, seid versichert dass allfällige Ähnlichkeiten rein zufällig sind. 😉
Weiterführende Links
Jamosh
Jamosh ist Cyber Defense Specialist bei AVANTEC. Der Schutz des schwächsten Glieds ist für ihn von zentraler Wichtigkeit, weshalb er sich am liebsten mit Endpoint Protection beschäftigt. Ausserhalb vom Büro interessiert er sich für Geschichte, liest gerne und mag Videospiele.