Die Tools der Angreifer: Nutzen, was verfügbar ist

Einen guten Überblick über die verwendeten Tools vermittelt unter anderem das MITRE ATT&CK Framework, denn es enthält die meisten Techniken, die von den betreffenden Tools verwendet werden.

MITRE ATT&CK steht für MITRE Adversarial Tactics, Techniques and Common Knowledge (ATT&CK). Das MITRE ATT&CK Framework ist im Grunde eine Wissensdatenbank und ein Modell für Cyber-Angriffe. Darin enthalten sind die verschiedenen Phasen eines solchen Angriffs sowie die Plattformen, auf die sie in der Regel abzielen. Die Abstraktion der Taktiken und Techniken im Modell liefert eine gängige Klassifizierung einzelner feindlicher Handlungen, sowohl für einen offensiven als auch einen defensiven Ansatz bei der Cybersicherheit. Darüber hinaus ermöglicht das Framework eine angemessene Einstufung von Angriffen und spezifische Abwehrmaßnahmen.

MITRE ATT&CK wurde 2013 gegründet. Die Wissenschaftler stellten sich dabei vor allem die Frage: „Wie gut sind wir in der Lage, dokumentiertes gegnerisches Verhalten zu erkennen?“. Um diese Frage beantworten zu können, entwickelten sie ATT&CK, ein Tool, um Angriffe zu kategorisieren.

Einige der nachstehend beschriebenen Mechanismen und Anwendungen lassen sich im MITRE ATT&CK Framework leicht wiederfinden.

Bei einer genaueren Betrachtung der Forensik hinter Cyberangriffen stoßen Fachleute auf eine Reihe typischer Hacking-Tools, die legal operierende Hacker und Cyberkriminelle gleichermaßen verwenden. Die meisten davon basieren auf Open-Source- und Drittanbieter-Tools. Nachstehend sind einige aufgelistet:

Advanced IP Scanner

Bloodhound

Cobalt Strike

Defender Control

Impacket

LaZagne

Mimikatz

NirSoft Password Recovery Tools

ProcDump

PsExec

PowerShell Empire

PowerSploit

Diese Tools kommen bei Cyberkriminellen, legal operierenden Hackern und natürlich auch bei normalen Netzwerk-Administratoren vielfältig zum Einsatz. Natürlich ist die Aufzählung nicht vollständig, sondern bietet nur eine kurze und interessante Übersicht über die Möglichkeiten.

Wer sich intensiver mit der Welt von Hackern und Cyberkriminellen befasst, erkennt schnell, dass sie vor allem auf das zurückgreifen, was im MS-Windows-Netzwerk vorhanden ist. Und da die meisten Tools frei verfügbar sind und von Admins in Unternehmen verwendet werden, lassen sich Angriffe auf dieser Grundlage nur schwer erkennen. Einige MS-Windows-Anwendungen sind bei den Angreifern besonders beliebt. Das Gute daran: Auch wenn die Angreifer, die diese Techniken und Anwendungen nutzen, noch so raffiniert und geschickt vorgehen, gibt es Möglichkeiten, sie zu schnappen.

Die meisten dieser Tools sind weit verbreitet und werden auch von vielen IT-Administratoren in ihren eigenen Netzwerken verwendet. Ist das nicht ein Vorteil? Ließe sich der Einsatz dieser Tools in unseren Netzwerken dann nicht verhindern? Nicht unbedingt, und zwar aus den folgenden Gründen.

Schauen wir uns einige dieser Anwendungen etwas genauer an. Dazu liefere ich jeweils eine kurze Erklärung, wie sie verwendet werden. Standard-MS-Windows-Anwendungen gehören aktuell zu denjenigen, die von Malware und feindlichen Akteuren für Erkundungen, laterale Bewegungen, Persistenz usw. verwendet werden.

(Eine unvollständige Übersicht in willkürlicher Reihenfolge – die meisten Beschreibungen stammen aus der technischen Microsoft-Dokumentation)

Schtasks (schtasks.exe)

Ermöglicht einem Administrator das Erstellen, Löschen, Abfragen, Ändern, Ausführen und Beenden geplanter Aufgaben auf einem lokalen oder Remotecomputer.

Wird von Malware und Cyberkriminellen als Persistenzmechanismus im Netzwerk verwendet.

Nltest (nltest.exe)

Netzwerkstandorttest — Auflistung der Domain-Controller, Erzwingen einer Fernabschaltung, Abfrage des Vertrauensstatus, Test der Vertrauensbeziehungen und des Status der Domain-Controller-Replikation.

Wird von Cyberkriminellen häufig für die Spezifizierung des Active Directory Trust verwendet.

Wmic (wmic.exe)

Die WMI-Befehlszeilenanwendung liefert eine Befehlszeilenschnittstelle für Windows Management Instrumentation (WMI).

Angreifer können damit Prozesse beenden oder danach suchen, Schattenkopien löschen, Prozesse lokal oder aus der Ferne durchführen usw.

Sc (sc.exe)

Kommuniziert mit dem Service Controller und installierten Services.

Wird verwendet, um Services zu deaktivieren, zu erstellen, zu löschen oder zu beenden.

BCDEdit (bcdedit.exe)

BCDEdit ist ein Befehlszeilentool für die Verwaltung von Startkonfigurationsdatenspeichern.

Wird von Ransomware für die Deaktivierung von Wiederherstellungsfunktionen verwendet.

Ping (ping.exe)

Überprüft die Konnektivität auf IP-Ebene mit einem anderen TCP/IP-Computer, indem ICMP-Echo-Anforderungsnachrichten (Internet Control Message Protocol) gesendet werden.

Der Ping-Befehl wird häufig verwendet, um zu ermitteln, ob Geräte in Betrieb sind und laufen.

Net (net.exe)

Die Anwendungskomponente Net.exe ist ein Befehlszeilentool, das Benutzer, Gruppen, Services und Netzwerkverbindungen steuert.

Es kann für die Ansicht von Freigaben, die Erstellung von Benutzern und Gruppen, Erkundungen, die Einsichtnahme in die Passwortstrategie usw. verwendet werden.

Mshta (mshta.exe)

Mshta.exe ist eine Anwendung, die Microsoft-HTML-Applications-Dateien (HTA) ausführt.

Kommt oft in frühen Phasen der Infektion von Programmdateien zum Einsatz, aber auch als Technik, um eine Whitelist oder eine Anwendungskontrolle zu umgehen.

Rundll32 (rundll32.exe)

Diese Programmdatei wird zum Laden und Ausführen von dynamischen Programmbibliotheken (Dynamic Link Libraries) verwendet.

Es können damit schädliche DLLs, JavaScript oder sogar DLLs aus der Ferne per Freigabe ausgeführt werden.

Systeminfo (systeminfo.exe)

Zeigt detaillierte Konfigurationsinformationen zu einem Computer und seinem Betriebssystem an, einschließlich Betriebssystemkonfiguration, Sicherheitsinformationen, Produkt-ID und Hardware-Eigenschaften.

Wird von Malware und Angreifern zur Erkundung verwendet.

Attrib (attrib.exe)

Anzeige, Festlegung oder Entfernung von Attributen, die Dateien oder Verzeichnissen zugewiesen wurden.

Wird von Malware verwendet, um Dateien oder Verzeichnisse zu verbergen.

Reg (reg.exe)

Reg ist eine Windows-Anwendung für die Interaktion mit der Windows-Registrierung. Sie kann an der Befehlszeilenschnittstelle zur Abfrage, Ergänzung, Änderung und Entfernung von Informationen verwendet werden.

Wird von Angreifern verwendet, um durch Hinzufügen oder Ändern von Schlüsseln im System zu bleiben, oder aber als Abfragemechanismus zur Überprüfung, ob bestimmte Konfigurationen oder Software installiert sind, oder auch als Tool für die Ausgabe von Anmeldedaten.

Taskkill (taskkill.exe)

Beendet eine oder mehrere Aufgaben oder Prozesse. Prozesse können nach Prozess-ID oder Imagename beendet werden.

Diese Anwendung wird häufig von Malware oder Angreifern verwendet, damit andere Programme wie Backup- oder Sicherheitssoftware ihre Arbeit nicht behindern.

ICacls (icacls.exe)

Anzeige oder Änderung von benutzerbestimmbaren Zugriffskontrolllisten (Discretionary Access Control Lists/DACLs) für bestimmte Dateien und Anwendung von gespeicherten DACLs auf Dateien in bestimmten Verzeichnissen.

Wird von Malware und Ransomware verwendet, um Verzeichnisse und Dateiberechtigungen zu ändern, indem – bei Ransomware – vollständige Berechtigungen für Dateien und Verzeichnisse gewährt werden. In der Regel einer der letzten Schritte vor dem Start des Verschlüsselungsmoduls.

Vssadmin (vssadmin.exe)

Zeigt aktuelle Volumeschattenkopiesicherungen und alle installierten Schattenkopie-Writer und -Anbieter an.

Wird häufig von Ransomware verwendet, um Disk-Schattenkopien von einem Computer zu löschen und Wiederherstellungsmöglichkeiten zu verhindern.

Eines der beliebtesten Tools ist PowerShell.exe. Es handelt sich dabei um den Namen des verbreiteten Programmierungs- und Skriptspracheninterpreters. Dieses Skripting-Tool von Microsoft kann dazu verwendet werden, Befehle zum Herunterladen von Nutzdaten auszuführen, gefährdete Netzwerke zu kontrollieren und Erkundungen durchzuführen. Die Verfügbarkeit von PowerShell-basierten Exploitation Frameworks wie PowerSploit und PowerShell Empire, die einfach anzuwenden sind und die Schwelle für die Nutzung von PowerShell bei Angriffen senken, hat es Angreifern erleichtert, sich PowerShell zunutze zu machen.

Darüber hinaus gibt es noch viele weitere MS-Tools (Wscript, Regsvr32 usw.), auf die ich hier gar nicht eingegangen bin, da es den Rahmen sprengen würde.

Beim „Living off the Land“ geht es darum, diejenigen Ressourcen einzusetzen, die ohnehin bereits verfügbar sind. Dafür gibt es gute Gründe: Die Angreifer wollen nicht auffallen, haben etwas zu verbergen oder legen einfach Wert auf Unabhängigkeit und Eigenständigkeit. In der IT-Welt bezeichnet „Living off the Land“ ein Angriffsvorgehen, bei dem Tools genutzt werden, die in der Zielumgebung bereits vorhanden sind.
 
Angreifer, die so vorgehen, brauchen also keine neuen Tools zu bauen und zu testen. Kompatibilitäts- und Abhängigkeitsprobleme sind so kein Thema. Außerdem geht der Einsatz von Vorhandenem schneller und ist billiger. Und es ist nicht so einfach, Programme zu erstellen, die so gut versteckt sind, dass sie nicht entdeckt werden können. So seltsam es auch klingen mag: Die Entwicklung von gut versteckter Malware ist eine echte Kunst, die nur wenige beherrschen. Wenn Angreifer bestehende Tools nutzen, wird die Verteidigung definitiv viel schwieriger. Die Tools sind schließlich bereits im Netzwerk vorhanden und schädliche Aktivitäten fallen unter den regulären kaum auf.

Der Überblick oben zeigt deutlich, dass die meisten Gefahren von Tools ausgehen, die in Netzwerken vielfach zu Verwaltungszwecken eingesetzt werden. Es empfiehlt sich daher, die Netzwerke täglich zu kontrollieren und dies in die eigene Strategie zur Cybersicherheit zu integrieren. Außerdem können Blacklists mit speziellen Tools erstellt werden, die nicht zulässig sind. Auf diese Weise lassen sich manche Angriffe ganz leicht verhindern. Dennoch gleicht die Erkennung eines schädlichen Einsatzes von integrierten Tools unter den vom Systemverwalter autorisierten Einsätzen oft der sprichwörtlichen Suche nach der Nadel im Heuhaufen, nur dass der Heuhaufen in Wahrheit ein Nadelhaufen ist. Eine weitere Möglichkeit besteht darin, einige Regeln aufzustellen, mit denen der Einsatz bestimmter Techniken verhindert wird, und das Verhalten der Netzwerk-Nutzer zu baselinen, damit diese nicht in ihrer täglichen Arbeit behindert werden. Auch durch die Überwachung von Registrierungsschlüsselinteraktionen können Gefahren sehr gut abgewendet werden, da die Registrierung von Malware und Angreifern häufig in unterschiedlichster Weise missbraucht wird. Die Suche nach rechtmäßigen Prozessen, die schädliche Codes im Netzwerk ausführen, ist nicht immer einfach. Mithilfe des MITRE ATT&CK Frameworks (siehe oben) haben Sie aber einen guten Überblick darüber, was im Netzwerk alles schiefgehen kann.
 
Die beste Prävention besteht natürlich immer darin, eine Gefahr abzuwenden, noch bevor sie das Netzwerk erreicht. Sofern keine Schwachstellen vorliegen, sind Angreifer schließlich immer gezwungen, Nutzer dazu zu bewegen, eine Handlung auszuführen oder auf entsprechende Links zu klicken. Die gute Nachricht: Die meisten Gefahren lassen sich durch gute Schulungen zur Erkennung von Gefahren für die Cybersicherheit, den Schutz von Endgeräten und eine reaktionsschnelle Managementstrategie von vornherein vermeiden. Die Grundlage für jede gute Sicherheitsstrategie ist die Erstellung einer Baseline. Auf diese Weise können Kriterien für normale Aktivitätsmuster festgelegt und mögliche Bedrohungen leichter erkannt werden. Ohne eine solche Baseline fallen Aktivitäten, die man genauer betrachten sollte, kaum oder gar nicht auf. Natürlich werden verdächtige Aktivitäten auch ohne Baseline manchmal erkannt, dann aber eher durch Glück als durch gute Ermittlungsmethoden.

Und auf das Glück sollte man sich ganz sicher nicht verlassen, wenn es um die Sicherheit von Netzwerken geht.