Dem Angriff auf der Spur

Ursachen von Cyberangriffen mit IT-Forensik erkennen

| Autor / Redakteur: Uwe Kühne / Peter Schmitz

Ein Cyberangriff ist schnell geschehen, aber es ist ungleich schwieriger, herauszufinden, was genau passiert ist. Jetzt sind die IT-Forensiker gefragt!
Ein Cyberangriff ist schnell geschehen, aber es ist ungleich schwieriger, herauszufinden, was genau passiert ist. Jetzt sind die IT-Forensiker gefragt! (Bild: gemeinfrei / Pixabay)

Ein junger Systemadministrator eines mittelständischen Unternehmens sieht sich mit ei-nem erfolgreichen Hackerangriff konfrontiert, mehrere Computer sind mit Viren infiziert, möglicher-weise stehen weitere Angriffe bevor. Die Geschäftsleitung ist alarmiert. Wer ist dafür verantwortlich? Möglicherweise sogar ein eigener Mitarbeiter? Und wie groß ist der Schaden?

Es begann mit einer Firewall-Meldung per E-Mail an einem Freitag um 16 Uhr: Traffic eines Botnets wurde von einem PC erkannt und die Kommunikation zur Zieladresse temporär gesperrt – Zeit für eine kurze Nachforschung beim Mitarbeiter, der an dem PC arbeitet. Wurde Software heruntergeladen? Hatte der Mitarbeiter auf einen Link geklickt? Kopfschütteln. Der Admin prüfte noch die eingesetzte Antivirensoftware, diese war aktuell und meldete keine Infektion. Anschließend lud er eine portable Antivirensoftware aus dem Internet herunter, diese wurde nach einigen Minuten fündig und machte den Eindringling unschädlich. Kurze Zeit später erhielt der Admin eine E-Mail, dass das E-Mail-Konto desselben Mitarbeiters für den Versand von E-Mails gesperrt wurde. Das E-Mail-Konto war dem Provider aufgrund ungewöhnlichen Versandverhaltens aufgefallen, weil es für den Versand von Spam missbraucht wurde. Bis zur Änderung des Passworts sollte das Konto gesperrt bleiben. Der Admin dachte, mit dem Einsatz der portablen Antivirensoftware sei die Gefahr gebannt, änderte das Passwort und ging ins Wochenende.

Nach dem Wochenende eskalierte die Lage. In den folgenden Tagen wurden weitere E-Mail-Konten für den Versand gesperrt und auch die Firewall sperrte mehrere PCs für die Kommunikation zu bestimmten IP-Adressen. Der Admin prüfte die betroffenen PCs einzeln und wurde jedes Mal fündig, auch bei dem eigentlich schon desinfizierten PC.

IT-Forensik mit Kali Linux

Kali Linux Workshop, Teil 4

IT-Forensik mit Kali Linux

11.05.18 - In vierten Teil unserer Workshop-Serie zu Kali Linux geht es um die forensischen Werkzeuge, die Teil der Pentesting-Distribution sind. Mit diesen Tools lassen sich Daten retten, Images erzeugen, Dateien aufspüren oder auch PDFs auf Malware untersuchen. lesen

Die Bekämpfung

Währenddessen überflog der Admin die Logs der Firewall und Server und stellte fest, dass Malware auch auf zwei Servern zu einem Zeitpunkt abgelegt wurden, an dem er dort nicht angemeldet war. Daraufhin prüfte der Admin, wer Mitglied der Gruppe der Domänen-Administratoren ist und fiel aus allen Wolken. Eine Mitarbeiterin, die vor seinem Eintritt in das Unternehmen einzelne Admin-Aufgaben übernahm, hatte weiterhin Adminrechte.

Die externen IP-Adressen, mit denen einige PCs kommuniziert hatten, wurden auf einer Blacklist in der Firewall eingetragen. Die verdächtigen Computer wurden von einem USB-Stick gebootet, der vier Antivirenlösungen enthielt. Nach dem Bootvorgang bezogen die Virenscanner aktuelle Signaturen und begannen mit der Suche nach den Schädlingen. Auffällig war, dass in fast allen Fällen von jeder Antivirenlösung immer mindestens ein Schädling übersehen wurde. Nur einmal fand eine Software alle vorhandenen Bösewichte.

Für alle Mitarbeiter mit E-Mail-Konten wurden neue komplexe Passwörter mit KeePassX generiert und beim E-Mail-Provider geändert. So bekam man langsam die Lage wieder in den Griff.

Die Analyse

Wie bei forensischen Untersuchungen üblich, wurden von den Festplatten der befallenen Computern forensische 1:1-Duplikate (Images) erstellt, um dann mit diesen Images zu arbeiten.

Über alle Images wurde die forensische Software X-Ways Forensics angewendet, die versucht, gelöschte Dateien zu rekonstruieren, verfügbare Zeitstempel aufbereitet und diverse Filtereinstellungen für die Betrachtung und Analyse bietet. Zusätzlich lieferte der Admin Informationen wie Logs, E-Mails und seine Handlungen zu.

Forensische Analyse von Datenträgern

Tool-Tipp: The Sleuth Kit und Autopsy

Forensische Analyse von Datenträgern

15.05.18 - Mit dem Open-Source-Forensik-Tool „The Sleuth Kit“ und dem HTML-Frontend „Autopsy“ lassen sich externe und interne Datenträger forensisch analysieren. Das Tool unterstützt die wichtigsten Dateiformate und kann gelöschte Dateien wiederherstellen. Es dient allerdings weniger der Datenrettung, sondern vor allem der forensischen Analyse. lesen

Die erste Infektion

Auf dem ersten PC (PC-A129) fanden sich im AppData-Verzeichnis ausführbare Dateien mit scheinbar zufälligen Namen wie 152074.exe und SaS3nNg.exe, letztere wurde auch gleichzeitig mit ihrer Erstellung in die Registry als Autostart eingetragen. Die Erstellungs-Zeitstempel lagen alle am Freitagvormittag nach der ersten Anmeldung an diesem PC (Anmeldung um 08:05, 152074.exe um 09:17, SaS3nNg.exe um 09:58).

Während 152074.exe nicht mehr auffindbar war, konnte SaS3nNg.exe aus dem Image extrahiert werden. Ein Test mit zwölf Virenscannern in unserem Malware-Labor ergab, dass diese Datei von acht der zwölf Programmpakete als schädlich erkannt wurde, jedoch unter unterschiedlichen Bezeichnungen.

Es konnte nicht rekonstruiert werden, wie die Dateien auf die Festplatte gelangten. Eine Möglichkeit wäre gewesen, dass diese Dateien aus dem Internet geladen wurden. Dies konnte jedoch nicht überprüft werden, da der Nutzer die Speicherung der Browser-History in Mozilla Firefox deaktiviert hatte. Eine E-Mail, über die der Schädling kam, war auch nicht auffindbar.

In Betracht kam noch ein um den Zeitpunkt herum geöffnetes, aus dem Internet geladenes Word-Dokument. Windows speichert im Dateisystem, wenn eine Datei aus dem Internet heruntergeladen wurde. Das Dokument stellte sich bei einer detaillierten Analyse als harmlos heraus.

Der Schädling verbreitet sich

Am Montag um 08:12 meldete sich eine Mitarbeiterin auf dem bereits infizierten PC-A129 an. Sofort nach der Anmeldung wurde mit dem Konto dieser Mitarbeiterin ohne ihr Wissen auf einem anderen Gerät, PC-A131, ein Dienst namens 153at installiert, welcher die Datei 153at.exe ablegte und startete. Um 08:23 wurde ein weiterer Dienst namens 43cc44 installiert, welcher die Datei 43cc44.exe startete.

Um 08:54 meldete sich die Mitarbeiterin ab und ab 09:45 meldete die Firewall wieder Botnet-Traffic.

Bei dieser zweiten Infektion war der Angriffsweg zu erkennen. Die Mitarbeiterin mit Domänen-Administratorenrechten – die sie eigentlich längst nicht mehr hätte haben sollen -hatte durch ihre unbedachte Anmeldung über das Netzwerk an einem infizierten PC, anstatt diesen vom Netzwerk zu trennen und sich ausschließlich lokal anzumelden, dem Schädling die Schlüssel zur Domäne gegeben.

Weitere PCs und Server in dem Netzwerk wurden in ähnlicher Art und Weise attackiert. Der Angriff konnte sich im Netzwerk problemlos ausbreiten, da die eingesetzte Antivirenlösung erst Tage später Signaturen zur Erkennung bekam.

Forensik und mehr mit Graph-Datenbanken

Mehrfachidentitäten, Geldwäsche und Steuerhinterziehung

Forensik und mehr mit Graph-Datenbanken

21.11.18 - Eine Graph-Datenbank ist die Grundlage für die visualisierte Darstellung vernetzter Informa­tionen und Beziehungen. Egal, ob es dabei um die „Panama Papers“, Mehrfachidentitäten im Sozialsystem oder Geldwäsche geht – sie bilden die Grundlage für Recherchen. lesen

Fazit

Eine Recherche zu den IP-Adressen ergab, dass diese zu C&C-Servern gehörten. Der Schädling kontaktierte C&C-Server, spähte Passwörter für E-Mail-Konten aus und versendete Spam. Weitere Schäden oder ein weiterer Datenabfluss wurden nicht festgestellt, obwohl die Malware dazu Funktionen besessen hätte und auch Fileserver infiziert hatte.

Als erste Maßnahme nach dem Vorfall wurden sämtliche Berechtigungen überprüft. Nicht mehr benötigte Rechte wie die Domänen-Administratorenrechte der zuvor erwähnten Mitarbeiterin wurden entzogen, alle Berechtigungen in einem Dokument zusammengefasst.

Ebenso wurde der Virenschutz verbessert, da der ursprüngliche Angriffsweg nicht geklärt werden konnte. Sämtliche E-Mails werden nun durch einen Virenscanner überprüft, bevor sie an die Postfächer zugestellt werden. Die Nutzung privater USB-Sticks wurde verboten und der Internetverkehr wird über einen filternden Proxy geleitet.

Im weiteren Verlauf wurden in dem Unternehmen Notfallpläne entwickelt, die unter anderem festlegen, dass auf einem möglicherweise infizierten Rechner auf keinen Fall eine Anmeldung erfolgen darf, bevor dieser Rechner vom Netzwerk getrennt wird. Zuletzt wurden alle Mitarbeiter anhand des realen Beispiels eindringlich geschult, welche Folgen ein unbedachter Klick haben kann.

Über den Autor: Uwe Kühne arbeitet als Senior Forensic Analyst bei der syret GmbH, einem deutschlandweit tätigen Beratungsunternehmen aus Halle an der Saale, das sich mit IT-Sicherheit und IT-Forensik beschäftigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46128716 / Intrusion-Detection und -Prevention)