Kammergericht Berlin: Abschlussbericht zu Emotet-Infektion

28.01.2020
G DATA Blog

Ein Malware-Befall im Netzwerk des Kammergerichts Berlin lähmt seit September 2019 den Betrieb. Eine forensische Untersuchung deckte zahlreiche Faktoren auf, die eine Infektion durch Emotet und Trickbot ermöglichte. Bessere Vorbereitung hätte vieles verhindert.

Das Kammergericht Berlin kann sich in eine lange Liste von Opfern des Malware-Duos Emotet & Trickbot einreihen. Dies stand von Anfang an fest – nun haben Forensiker von T-Systems den Abschlussbericht (PDF-Link öffnet sich in einem neuen Fenster) zur Untersuchung vorgelegt, in dem sie die Ereigniskette aufgearbeitet haben. Das Urteil ist – wie auch im Fall des Hacks gegen das Jet Propulsion Laboratory – vernichtend. Zahlreiche Missstände und fehlerhafte Konfigurationen trafen auf unzureichende Protokollierung. Daher sind einige Ereignisse im Nachhinein nicht mehr eindeutig nachzuweisen. 

An einem ansonsten ereignislosen Freitag, dem 20. September 2019, um genau 17:52:40 Uhr wurde die Infektion das erste Mal zweifelsfrei nachgewiesen. Das ist zumindest die Annahme der Forensiker. 

Fehlendes Logging

Denn schon bei ersten Untersuchungen, die am 2. Oktober erfolgten, war klar, dass nicht alle Informationen zur Verfügung standen, die für eine lückenlose Aufarbeitung erforderlich sind. So fehlten etwa Logdateien des Proxyservers im Kammergericht. Das Logging wurde erst aktiviert, als das Netzwerk bereits Anzeichen einer Infektion zeigte. Somit gibt es auf Seiten des Proxyservers keine Daten aus dem Zeitraum davor. In den nun aktivierten Logs fanden sich erwartbare Informationen – es erfolgte ein Datenaustausch zwischen dem Netzwerk des Kammergerichts und einem Trickbot-Kontrollserver. Die Eventlogs des später ebenfalls untersuchten primären Domain-Controllers reichen nur bis vier Tage vor dem angenommenen Infektionsdatum zurück. 

Um ausreichend historische Daten zu haben, empfiehlt sich als Faustregel ein Zeitraum von 12 Monaten. Im Falle des Kammergerichts reichten die Daten jedoch nur einige Tage zurück, sodass Unregelmäßigkeiten im Zeitraum davor sich nicht mehr rekonstruieren lassen. 

Keine Segmentierung

Schnell war klar, dass das Netzwerk in großem Umfang befallen sein musste. Eine Segmentierung, die kritische Komponenten des Netzwerkes voneinander abschirmt, fehlte. So konnte der „Türöffner“ Emotet sich in aller Ruhe durchs Netzwerk bewegen und nach weiteren Opfern Ausschau halten. Auch hatten Nutzer auf ihren Büro-PCs lokale Administratorrechte – gerade diese Kombination aus lokalen Administratorrechten und fehlender Segmentierung kann man nur als fatal bezeichnen. 

Die üblichen Verdächtigen

Wie genau die Infektion stattgefunden hat, kann im Nachhinein nur vermutet werden. Typischer Verbreitungsweg für Emotet ist eine Mail mit einem speziell präparierten Office-Dokument, welches den Nutzer beim Öffnen zur Aktivierung von Makros auffordert. Leistet der Nutzer dem Folge, läuft die Infektion automatisch ab und Emotet lädt weitere Schadsoftware – in diesem Falle Trickbot – nach. Auch ein USB-Stick wurde in diesem Zusammenhang gefunden – allerdings ist nicht sicher, ob er mit der Infektion etwas zu tun hat. Mehr Informationen zu Emotet haben wir in einem Video zusammengefasst:

Ende - Neu

Die spannendste Frage in diesem Fall ist jedoch, ob auch das Active Directory kompromittiert ist. Aber: auch hier ist die Datenlage unvollständig. Wir erinnern uns: Die Logs des Domain Controllers reichen nur bis zum 16. September zurück – vier Tage vor dem ersten gesicherten Nachweis einer Infektion. Ein Angreifer kann sich jedoch mitunter über Monate in einem Netzwerk bewegen, ohne Verdacht zu erregen. 
Dabei kann sich ein Angreifer auch selbst einen versteckten Administrator-Zugang für das Netzwerk anlegen, mit dem er jederzeit Zugriff auf alle Ressourcen und alle Daten hat. Aus diesem Grund ist das gesamte Active Directory als kompromittiert anzusehen, da Fremdaktivitäten nicht mit letzter Sicherheit ausgeschlossen werden können.

Auf Nummer sicher

Daher empfiehlt T-Systems, die die Untersuchung durchgeführt haben, ein komplettes Neuaufsetzen der gesamten Windows-Domäne. Dieser Aufgabe sah sich auch die Reederei Möller-Maersk gegenüber, nachdem das Netzwerk des Logistikunternehmens von einer Schadsoftware namens „NotPetya“ befallen wurde. Hier musste innerhalb weniger Tage weltweit das gesamte Netzwerk neu „hochgezogen“ werden – insgesamt 50.000 Rechner. 
Ganz so viele sind es beim Kammergericht Berlin zwar nicht. In jedem Fall wartet auf das Kammergericht eine große Herausforderung. Denn auch das gesamte Sicherheits- und Berechtigungskonzept muss auf den Prüfstand gestellt und auf den neuesten Stand gebracht werden. Auch die Loggingstrategie müssen die Verantwortlichen neu überdenken. Sowohl für Server als auch die jeweiligen Workstations muss es künftig die richtigen Logs in angemessener Tiefe geben. 

Gezielt oder nicht?

Ob es sich bei dem Malware-Befall des Kammergerichts Berlin um einen gezielten Angriff gehandelt hat oder ob es sich um einen Zufallstreffer handelt, ist nicht sicher. Da die Kombination Trickbot/Emotet jedoch oftmals breit gestreut wird, ist ein „Zufallstreffer“ ohne Weiteres denkbar. 

Fest steht jedoch:  Der Vorfall und die daraus abgeleiteten Maßnahmen haben nur deshalb diese Ausmaße erreicht, weil es keine Logdateien gab, die Netzwerksegmentierung fehlte und es dem Anschein nach kein Berechtigungskonzept gab und eine Vorfilterung nicht stattfand. So heißt es auch im Bericht von T-Systems: „Durch die IT-Infrastruktur wurde aus einem Standardvorfall ein massiver Incident“.