Blog
Informativ, aktuell und spannend - der Oneconsult Cybersecurity Blog.

Wie sich Cyberkriminelle häufig Zugriff verschaffen und wie Sie sich dagegen schützen können

Lernen Sie die häufigsten initialen Angriffsvektoren und deren Schutzempfehlungen kennen.

Die US-amerikanische «Cybersecurity & Infrastructure Security Agency» (CISA) hat am 17. Mai 2022 ein Advisory zu unzureichenden Sicherheitskontrollen und -praktiken veröffentlicht, die von Cyberkriminellen häufig ausgenutzt werden, um initialen Zugriff auf ihre Ziele zu erhalten. Angreifer setzen demnach Phishing ein oder machen sich öffentlich zugängliche Anwendungen oder externe Remote-Dienste zu Nutze, um sich Zugang zu Netzwerken zu verschaffen.

Cybersecurity & Infrastrucutre Security Agency, Alert (AA22-137A)

Dieser Artikel geht zunächst auf die häufigsten initialen Angriffsvektoren ein; anschliessend werden Empfehlungen zum Schutz vor diesen Angriffen gegeben.

Die 5 häufigsten initialen Angriffsvektoren

Phishing

Phishing ist eines der häufigsten Einfallstore. Ist die Phishing-E-Mail überzeugend gestaltet, wird der Empfänger wie vom Angreifer beabsichtigt auf einen Link klicken, der Malware herunterlädt, oder den Anhang öffnen, der Schadsoftware enthält und direkt ausführt, sei es eine Archivdatei (siehe Oneconsult Artikel: DFIR, einfach: E-Mails als beliebtes Einfallstor für Angreifer), ein PDF-Dokument (siehe Oneconsult Artikel: DFIR, einfach – Analyse von PDF-Dateien) oder ein Office-Dokument mit eingebetteten Makros (sihe Oneconsult Artikel: DFIR, einfach – Analyse von Office-Makros). Dies führt zur Infizierung der betroffenen Systeme, wenn die E-Mail nicht im Voraus als Phishing erkannt oder blockiert wird.

Passwörter

Wenn keine strengen Passwortrichtlinien implementiert sind, können Angreifer eine Vielzahl von Techniken einsetzen, um schwache, kompromittierte oder durch Datenlecks offengelegte Passwörter auszunutzen und sich so unbefugten Zugang zu einem System zu verschaffen. Fernzugriffsdienste wie VPN (Virtual Private Network) oder RDP (Remote Desktop Protocol) sind dabei ein beliebtes Ziel. Darüber hinaus wird oftmals keine Multi-Faktor-Authentisierung (MFA) erzwungen. Wenn die Zugangsdaten eines Kontos bekannt sind und MFA nicht aktiviert ist, können Konten übernommen werden, darunter auch die der Administratoren. Angreifer können dadurch einfach weiter unbemerkt in das Netzwerk vordringen.

Exponierte Ports und Dienste

Angreifer verwenden häufig auch Scanning-Tools wie Shodan oder Censys, um offene Ports und falsch konfigurierte Dienste zu identifizieren, die im Internet exponiert sind. Diese werden dann als erster Angriffsvektor ausgenutzt, um anfällige Systeme weiter zu kompromittieren. RDP, Server Message Block (SMB), Telnet und NetBIOS gehören hier zu den hochriskanten Diensten.

Ungepatchte Systeme

Ungepatchte Systeme zählen ebenfalls zu den am häufigsten ausgenutzten Angriffsvektoren. Neue Schwachstellen werden laufend entdeckt und die zu ihrer Behebung veröffentlichten Patches werden oft nicht zeitnah eingespielt. Durch erfolgreiche Ausnutzung solcher öffentlich bekannter Sicherheitslücken können die Angreifer unter anderem die Kontrolle über ein System erlangen oder Zugang zu sensiblen Informationen erhalten. Dies war beispielsweise der Fall bei ProxyLogon (siehe Oneconsult Artikel: Aktiv ausgenutzte Zero-Day-Schwachstellen in Microsoft Exchange) oder log4j (siehe Oneconsult Artikel: Update: Remote-Code-Execution-Schwachstelle (RCE) in bekannter Java-Bibliothek – CVE-2021-44228). Angreifer können auch Dritte in der Lieferkette kompromittieren und Vertrauensbeziehungen missbrauchen (sogenannte Supply-Chain-Angriffe) – so zum Beispiel beim Sunburst Hack (siehe Oneconsult Artikel: Sunburst Hack: Kompromittierung von SolarWinds Orion).

Wechseldatenträger

Eine weitere gängige Technik, die zwar nicht Teil des Advisory der CISA, aber aus Sicht von Oneconsult dennoch erwähnenswert ist, ist der Einsatz von Wechseldatenträgern, zum Beispiel infizierter USB-Sticks. Diese Methode erfordert jedoch eine physische Interaktion mit dem Opfer. Wenn das Opfer ein solches ihm unbekanntes Medium entdeckt, wird es dieses möglicherweise an seinen Computer anschliessen, um sehen zu können, was es enthält und wem es gehören könnte. Die Angreifer setzen hierbei also auf Neugierde, um ihr Ziel zu erreichen.

9 Empfehlungen zum Schutz vor Cyberangriffen

Zum Schutz vor den oben genannten Angriffsvektoren werden die nachfolgenden Massnahmen empfohlen.

9 Schutzmassnahmen vor Cyberangriffen
Patch- und Schwachstellenmanagement

Grundsätzlich sollten sämtliche Software und Systeme stets auf dem neuesten Stand gehalten und umgehend auf die neuesten Versionen aktualisiert werden, entweder manuell oder mithilfe von zentralisierten Verwaltungstools. Hierzu wird empfohlen, ein Patch- und/oder Schwachstellenmanagement einzuführen. Dadurch ist ein Überblick über die gesamte IT-Infrastruktur und die eingesetzte Software gegeben und dokumentiert. Auf dieser Grundlage werden die zu patchenden Systeme dann im Prozess des Schwachstellenmanagements priorisiert.

Schutzsoftware

Darüber hinaus sollten alle Systeme mit Schutzsoftware (Antiviren-Lösung, Endpoint Detection Response (EDR), Extended Detection and Response (XDR) usw.) ausgestattet sein, die sich zentral verwalten lässt. Das Programm sowie seine Signaturen sollten ebenfalls stets auf dem neusten Stand gehalten werden. Warnmeldungen müssen protokolliert und regelmässig überprüft werden.

Passwortrichtlinie und MFA

Ebenso sollte eine Passwortrichtlinie implementiert und forciert werden. Lange, zufällige und einzigartige Passwörter können mit einem Passwortmanager generiert und verwaltet werden. Es wird auch empfohlen, Zugangsdaten auf ihre mögliche Offenlegung zu überwachen, beispielsweise mithilfe von «Have I Been Pwned». Darüber hinaus sollte Multi-Faktor-Authentisierung (MFA) insbesondere für kritische Anwendungen, VPN-Verbindungen, über das Internet zugängliche Dienste und Konten mit hohen Berechtigungen oder Zugang zu sensiblen Informationen verwendet werden. Weitere Empfehlungen sind im Artikel Passwortsicherheit (nicht nur) im Active Directory – Schwierige Wahl zu finden.

Prinzip der geringsten Berechtigungen

Zusätzlich sollte das Prinzip der geringsten Berechtigungen (Principle of Least Privilege) angewendet werden, damit Benutzer nicht zu hohe Rechte haben. Benutzer sollten nur Zugang zu den Daten und Systemen erhalten, die sie benötigen, um ihre Aufgaben zu erfüllen.

Netzwerksegmentierung

Netzwerke sollten ausserdem so segmentiert werden, dass kritische Umgebungen voneinander getrennt sind und kritische Systeme wie Backups in separaten Zonen von exponierten Bereichen isoliert sind. Darüber hinaus sollten Dienste, die auf Hosts mit Internetzugang laufen, mit sicheren Konfigurationen betrieben werden. Die Segmentierung des Netzwerks trägt zum Schutz gegen die Bereitstellung von Payloads und insbesondere gegen die Verbreitung im Netzwerk (Lateral Movement) bei.

Härten der E-Mail- und Web-Infrastruktur

Die E-Mail-Infrastruktur sollte Phishing-E-Mails und bösartige Anhänge blockieren, insbesondere durch Blockieren bestimmter Dateierweiterungen. Hierfür kann die von GovCERT bereitgestellte Liste verwendet werden. Darüber hinaus können SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance) das Fälschen («Spoofing») der Quell-E-Mail-Adressen verhindern; sie sollten daher entsprechend eingerichtet werden.

Ausserdem sollte die Webinfrastruktur, einschliesslich der Browser, gehärtet und sichergestellt werden, dass alle Systeme einen Web-Proxy durchlaufen, bevor eine Verbindung zu Webseiten hergestellt wird, damit Verbindungen zu bösartigen Domains blockiert oder zumindest protokolliert werden können.

Unterbinden der Verwendung von Wechseldatenträgern

Die Verwendung von Wechseldatenträgern sollte via Group Policies unterbunden werden. Die Ausführung kann über die Anwendungssteuerung mit AppLocker seit Windows 7 und Windows Defender Application Control (siehe Microsoft) seit Windows 10 und Windows Server 2016 blockiert werden. Es ist auch möglich, AutoPlay (siehe Microsoft) über die Registry zu deaktivieren. AutoPlay gibt eine Benachrichtigung aus, wenn ein externer Datenträger eingesteckt wird, und bietet ein Menü mit Auswahlmöglichkeiten an, wenn der Nutzer auf die Benachrichtigung klickt. Hier ist eine der besten Schutzmassnahmen, die Awareness der Mitarbeitenden zu fördern. Sie sollten dahingehend geschult werden, keine externen Medien wie USB-Sticks oder unbekannte Kabel direkt an ihren Computer anzuschliessen. Angriffe wie BadUSB (siehe Oneconsult Artikel BadUSB – Infektion in unter 15 Sekunden), USBHarpoon (siehe MG) sowie Rubber Ducky (siehe GitHub) können hauptsächlich dadurch fehlschlagen.

Sensibilisierung der Benutzer

Endnutzer sollten generell für das Thema Sicherheit sensibilisiert werden. Sie werden oft als das schwächste Glied in der Cybersicherheit bezeichnet, stellen aber das Hauptziel von Angriffen dar. Sie müssen daher über mögliche Angriffe und Risiken aufgeklärt werden, damit sie diese erkennen und verhindern können. Weitere Informationen zur Erkennung einer bösartigen E-Mail sind im Artikel «E-Mails als beliebtes Einfallstor für Angreifer» zu finden.

Defense in Depth

Angreifer finden oft einen Weg, die eingesetzten Massnahmen zu umgehen, weshalb eine sogenannte «Defense in Depth» ebenso wichtig ist, d.h. eine mehrschichtige Sicherheitsstrategie. Zudem müssen Fälle erkennbar sein, für die es keine speziellen Schutzmassnahmen gibt. Daher sollte sichergestellt werden, dass Protokolle von Workstations, Servern und Netzwerkgeräten erstellt, zentral gesammelt, überwacht und ausgewertet werden. Da die Workstations häufig der erste Eintrittspunkt in das Netzwerk sind, sollten ihre Logs beispielsweise durch die Aktivierung von Script Block Logging (siehe Microsoft) zur Erfassung des Inhalts aller PowerShell-Skriptblöcke oder den Einsatz von Sysmon (siehe Microsoft), der Sysinternals-Suite von Microsoft, erweitert werden.

Fazit

Die im Advisory der CISA erwähnten Angriffsvektoren wie Phishing und die Ausnutzung von Schwachstellen oder von im Internet exponierten Diensten können durch die Umsetzung einfacher Massnahmen wie das Blockieren schädlicher Anhänge, die Implementierung eines Patchmanagements und einer Passwortrichtline sowie die Aktivierung von Multi-Faktor-Authentisierung unterbunden werden. Darüber hinaus ist die Schulung aller Mitarbeitenden im Bereich der Cybersicherheit von zentraler Bedeutung.

Haben Sie noch Fragen oder möchten unsere Unterstützung bei Cybersecurity Themen? Wir freuen uns von Ihnen zu hören!

Autorin

Nadia Meichtry studierte forensische Wissenschaften an der Universität von Lausanne und schloss im Sommer 2020 ihren Master in digitaler Forensik ab. Sie ist zertifizierte GIAC Certified Forensic Analyst (GCFA) und GIAC Reverse Engineering Malware (GREM), und zertifizierte OSSTMM Professional Security Tester (OPST) und seit August 2020 als Digital Forensics & Incident Response Specialist bei Oneconsult angestellt.

Publiziert am: 03.01.2023

Teilen

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 12.00 Uhr und 13.00 – 17.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRFA-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen