:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/f9/2ff9f5fe75125e324259e4c4cb0470b7/0115708231.jpeg "Cyberangriffe sind nicht immer technischer Natur. Wir geben eine Übersicht der gängigsten nicht-technischen Angriffe sowie passende Schutzmaßnahmen für Unternehmen. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/f5/03f599e672c719f18dc14be45afbd440/0115706811.jpeg "Digitale Identitäten mit höheren Berechtigungen stehen im Mittelpunkt aktueller Angriffswellen durch Hacker. (Bild: robsonphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/28/8728890c1d5094d564bd8a91bb11a1a0/0115706486.jpeg "Eine besonders effektive Methode zur Erzeugung von DNS-Query-Flood-DDoS-Angriffen sind DNS-Water-Torture-Angriffe. (Bild: kmiragaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/2a/412a1b77c5fcca8d70bdfb5066d48488/0114968713.jpeg "CNP+ nutzt die Stärke von Wi-Fi-6-/7-Access-Points zur Durchführung von Sicherheitsprüfungen, die traditionell von Security-Gateways übernommen werden. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenexfiltration verhindern Die Cloud vor LAPSUS$-ähnlichen Bedrohungen schützen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Mit hochkarätigen Angriffen auf Microsoft, Okta und andere große Tech-Unternehmen machte die Cybercrime-Gruppe LAPSUS$ vor ein paar Monaten Schlagzeilen. Inzwischen hat die britische Polizei sieben mutmaßliche Mitglieder im Alter zwischen 16 und 21 Jahren festgenommen, aber ist dadurch die Gefahr gebannt? Mit Sicherheit nicht: Ähnliche Angriffe können und werden folgen. Deshalb lohnt sich ein Blick auf die eingesetzten Techniken und Taktiken, um die entsprechenden Lehren daraus zu ziehen, und sich auf ähnliche zukünftige Angriffe dieser Art vorzubereiten.
Im Gegensatz zu den meisten Ransomware-Gruppen, die bösartige Payloads zur Massenverschlüsselung und Exfiltration von Daten einsetzen, verwendet die LAPSUS$-Gruppe einfache, aber effektive Social-Engineering-Techniken, um Umgebungen zu infiltrieren und sensitive Daten zu stehlen. Laut Microsoft gehören dabei zu den eingesetzten Taktiken insbesondere „telefonbasiertes Social Engineering, SIM-Swapping, um die Übernahme von Konten zu erleichtern, der Zugriff auf persönliche E-Mail-Konten von Mitarbeitern der Zielunternehmen, die Bezahlung von Mitarbeitern, Lieferanten oder Geschäftspartnern der Zielunternehmen für den Zugang zu Anmeldeinformationen und die Genehmigung der Multifaktor-Authentifizierung (MFA) sowie das Eindringen in die laufenden Krisenkommunikationsgespräche ihrer Ziele.“ Zusätzlich zu diesen Social-Engineering-Methoden setzt LAPSUS$ Tools ein, um öffentliche Code-Repositories zu durchsuchen, die exponierte Anmeldedaten oder offene RDP-Ports identifizieren, sowie „Redline“-Software, die Passwörter direkt vom Benutzer stiehlt.
Sobald die Cyberkriminellen die Anmeldedaten erlangt und die MFA umgangen haben, dringen sie in das Unternehmensnetzwerk und öffentliche SaaS-Anwendungen ein und beginnen mit der Suche nach sensitiven Daten. Als Teil ihres Angriffspfads suchen sie in privaten GitHub-Repositories und Kollaborationsplattformen wie Google Drive und Microsoft 365 nach weiteren Anmeldedaten (vorzugsweise von privilegierten Benutzern und Administratoren), um ihre Privilegien zu erweitern und ihre Reichweite zu vergrößern. Anstatt die Daten vor der Exfiltration zu verschlüsseln, laden sie die Daten direkt über ein VPN oder eine virtuelle Maschine herunter. Danach versuchen sie, die Originale der Daten zu zerstören, so dass den Unternehmen keine andere Wahl bleibt, als für die Wiederbeschaffung der Daten zu bezahlen oder zu riskieren, dass die Hacker sie online verkaufen oder veröffentlichen.
Ablauf des Angriffs
Der Sicherheitsforscher Bill Demirkapi erhielt eine Kopie des Mandiant-Untersuchungsberichts mit einer detaillierten Zeitleiste der Techniken, die bei einem kürzlichen LAPSUS$-Eindringen verwendet wurden. Dabei zeigte LAPSUS$ einen gewissen Mangel an OPSEC-Raffinesse nach dem Eindringen: Die Angreifer durchsuchten Bing und Google vom Rechner des Opfers aus nach handelsüblichen Hacking-Tools und luden sie direkt von GitHub herunter. Dem Bericht von Mandiant zufolge nutzten sie Process Hacker, Process Explorer und Mimikatz, um sich einen Überblick zu verschaffen, Fuß zu fassen, den Endpunkt-Agenten von FireEye zu deaktivieren und ihre Rechte zu erweitern.
So kompromittierten sie das Microsoft 365-Konto eines Benutzers und begannen, nach sensitiven Dateien zu suchen. Sie fanden eine Excel-Datei mit dem Namen DomAdmins-LastPass.xlsx an einem freigegebenen Speicherort. Die Datei enthielt vermutlich Admin-Anmeldedaten im Klartext, die es dem Angreifer ermöglichten, zusätzliche Konten zu erstellen, die Konten zu einer Gruppe namens „tenant administrators“ hinzuzufügen und Regeln für die automatische Weiterleitung von E-Mails einzurichten, um E-Mails, die an sykes.com-Postfächer außerhalb des Unternehmens gesendet wurden, mit einer BCC zu versehen.
SSO-, IAM- und SaaS-Angriffe erkennen und abwehren
LAPSUS$-ähnliche Bedrohungen sind mit herkömmlicher Perimeter- und Endpunktsicherheit allein nur schwer oder gar nicht zu erkennen. Die Angreifer verbringen nur sehr wenig Zeit auf dem Endpunkt, bevor sie mit gestohlenen Anmeldedaten oder Cookies zu Cloud-Anwendungen wechseln. Es gibt keine spezifischen Hashes, Registrierungsschlüssel und andere statische IOCs, die Alarme auslösen. Entsprechend sollten Angriffe im Stil von LAPSUS$ wie Insider-Angriffe behandelt werden. Grundsätzlich gilt: Man sollte immer davon ausgehen, dass der Perimeter überwunden wurde. Deshalb ist es wichtig, die Zugriffsrechte der Mitarbeitenden einzuschränken und auf ungewöhnliches Verhalten zu achten.
Zugriffsrechte auf das nötige Maß und damit auch die Risiken reduzieren
Das Ziel der meisten Cyberangriffe ist es, wertvolle Daten zu stehlen und im Falle von Ransomware-Attacken zu verschlüsseln. Zu wissen, wer auf welche Daten zugreifen kann, und eine übermäßige Exposition zu beseitigen, ist der Schlüssel zur Reduzierung des Explosionsradius. Für den Fall, dass ein einzelnes Konto kompromittiert wird, muss sichergestellt werden, dass die Angreifer erhöhte Zugriffsrechte benötigt, um größeren Schaden anzurichten.
Die richtige Dimensionierung des Zugriffs beginnt mit der Transparenz der Berechtigungen. Von entscheidender Bedeutung ist hier eine Bestandsaufnahme der Super-Admins in den verschiedenen Cloud-Anwendungen. Je nach Anwendung kann es schwierig sein, festzustellen, wer privilegierten Zugriff hat. In Salesforce kann man beispielsweise ein benutzerdefiniertes Benutzerprofil erstellen, das ein Administratorkonto imitiert, aber einen harmlosen Namen wie „Sales-Nutzer“ trägt. Deshalb sollten Richtlinien eingerichtet werden, die warnen, wenn ein Benutzer zu einer Berechtigungsgruppe hinzugefügt wird oder Superadministratorrechte erhält. In den meisten Unternehmen dürfte diese Aktion äußerst selten vorkommen, so dass die Warnungen eine hohe Zuverlässigkeit aufweisen.
Eine weitere Möglichkeit, das Risiko drastisch zu reduzieren, besteht darin, proaktiv zu ermitteln, wo sensitive Daten öffentlich, für Gastbenutzer (wie Partner bzw. Auftragnehmer) oder für alle Benutzer in einem Unternehmen zugänglich sind. Durch die Reduzierung des Zugriffs auf sensitive Daten wird es für Gruppen wie LAPSUS$ schwieriger, Daten zu finden, die für sie lohnenswert sind. Dies gilt sowohl für die eigenen Mitarbeitenden als auch für Externe, die oftmals gezielt von Cyberkriminellen angegangen und für das „Überlassen“ ihres Zugangs bezahlt werden.
Nur wenn Sicherheitsverantwortliche in der Lage sind, die Berechtigungen eines Benutzers über mehrere SaaS-Anwendungen und Datenspeicher hinweg schnell zu identifizieren, lässt sich das Ausmaß einer Kompromittierung innerhalb kurzer Zeit einordnen und damit die Untersuchung, Reaktion und Offenlegung schneller und schlüssiger gestalten. Bei mehreren Gelegenheiten erhielt LAPSUS$ Zugriff auf den virtuellen Desktop eines Mitarbeiters, der bereits bei mehreren SaaS-Anwendungen wie GitHub und Jira angemeldet war. Da eine Person in einer Multi-Cloud-Umgebung über mehrere Benutzerkonten verfügen kann, ist es wichtig, diese Identitäten automatisch zu verknüpfen, damit der potenzielle Zugriff bewertet und die Protokollereignisse dieser Person einfach zusammengefasst werden können.
Das Nutzerverhaltens über verschiedene Anwendungen und Systeme hinweg überwachen
Wenn der Perimeter überwunden ist, stellt die Analyse des Benutzerverhaltens und der Datenaktivität eine effektive Möglichkeit dar, einen Angreifer, der sich als regulärer Nutzer tarnt, zu erkennen und zu stoppen. Selbst wenn eine Gruppe wie LAPSUS$ umfangreiche Nachforschungen und Erkundungen über den kompromittierten Benutzer anstellt, kann sie dessen Verhalten nicht perfekt imitieren, insbesondere wenn sie sich durch die Unternehmens-Umgebung bewegt und auf große Datenmengen zugreift und diese herunterlädt.
Dabei ist es grundlegend, das „Normalverhalten“ aller Benutzer und aller wichtigen Anwendungen und Daten zu erfassen. In dieses Profil fließt beispielsweise ein, welche Dateien/Ordner vom jeweiligen Mitarbeitenden normalerweise in M365, Box, Google usw. verwendet werden, welche Websites und Apps auf welche Weise genutzt werden und mit welchen Geräten, IPs und Geodaten sie typischerweise Zugriff erlangen. Sobald umfangreiche Profile für den Normalzustand vorliegen, können hochentwickelte ML-Algorithmen selbst geringfügige Abweichungen erkennen, die auf kompromittierte oder böswillige Insider hinweisen könnten. LAPSUS$ ist hierfür ein Paradebeispiel: Auch wenn die Angreifer über die Anmeldedaten, Telefonnummer, Wiederherstellungs-E-Mail und IP-Adresse einer Person verfügen, sind sie dennoch nicht diese Person. Während sie sich durch die Umgebung bewegen, suchen, öffnen und laden sie Daten nach Mustern herunter, die nicht mit denen der entsprechenden Peron übereinstimmen.
Hochentwickelte Lösungen erkennen auf diese Weise etwa, wenn ein Benutzer auf eine ungewöhnliche Menge sensitiver Daten zugreift oder sie herunterlädt, auf Daten zugreift, die er normalerweise nicht nutzt, sensitive Daten öffentlich geteilt werden oder wenn ein Konto nach einer langen inaktiven Phase wieder verwendet wird. Je umfangreicher dabei der Kontext über mehrere Cloud-Applikationen hinweg ist, desto präziser lassen sich Auffälligkeiten erkennen. Deshalb ist eine ganzheitliche Überwachung der Cloud-Dienste notwendig: Cyberkriminelle bewegen sich lateral von einem Cloud-Dienst zum nächsten, um die Wirkung ihres Angriffs zu maximieren. Dabei verwenden sie häufig – wie auch bei LAPSUS$ zu sehen war – die Anmeldeinformationen, die sie in einer Cloud-Anwendung gefunden haben, um sich Zugang zu einer anderen zu verschaffen. Deshalb ist es wichtig, alle Cloud-Datenspeicher zu überwachen und zu verfolgen, wie sich die Mitarbeitenden zwischen ihnen bewegen, damit diese Art von Querbewegungen erkannt und gestoppt werden kann.
LAPSUS$ hat uns deutlich vor Augen geführt, dass es auch für unerfahrene Angreifer sehr einfach ist, in kurzer Zeit erheblichen Schaden anzurichten. Deshalb müssen Sicherheitsverantwortliche noch stärkeres Augenmerk auf eine höhere Cloud-Transparenz und verhaltensbasierte Erkennung legen. Nur durch eine kluge Kombination dieser beiden Elemente sind sie in der Lage, Angreifer und Datenexfiltration im Stil von LAPSUS$ zu erkennen und zu verhindern.
Über den Autor: Michael Scheffler ist Country Manager DACH von Varonis Systems.
(ID:48534038)
:quality(80)/p7i.vogel.de/wcms/fa/2a/fa2a8da5c4735cabe7299dc45eefd755/0109023920.jpeg "Die Cloud eröffnet nicht nur Mitarbeitern, sondern auch Cyberkriminellen neue Wege in die Unternehmenssysteme. (Bild: Yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/05/a305e0e195969946933fcf7e90951318/0108745086.jpeg "Über Benutzerverwaltung und die Einrichtung von Standardrichtlinien können AWS-Dienste sicherer gemacht werden. (Bild: yu_photo - stock.adobe.com)")