In meinem letzten Blog habe ich über einen Kunden aus dem Finanzsektor berichtet, der Pen-Tests durchführte, und wie ich dem blauen Team half, das rote Team bei der Durchführung eines Angriffs zu entdecken. Heute melde ich mich mit einer weiteren Geschichte aus dem Schützengraben zurück.
Diesmal habe ich mit einem Kunden aus der Fertigungsbranche zusammengearbeitet, der mich vor kurzem eingesetzt hat. Wie zuvor zieht es dieser Kunde vor, anonym zu bleiben, um Cyberkriminelle über seine neu entwickelten Sicherheitsfunktionen im Unklaren zu lassen. Um auf dem Laufenden zu bleiben, führen sie regelmäßig Red-Team-Übungen durch.
Einer der schwierigsten Aspekte bei der Suche nach versteckten Angreifern in Ihrem Netzwerk ist, dass sich ihr Verhalten mit dem normaler Benutzer vermischt. Wenn ich ein Angreifer wäre, würde ich als Erstes nach Ihren Netzwerkverwaltungs-Tools suchen, da diese standardmäßig als vertrauenswürdig gelten.
Das Verstehen des Unterschieds zwischen Angreiferverhalten und akzeptablem Benutzerverhalten wird zu einer Übung, um die Nuancen zwischen den beiden zu erkennen und mehr Kontext darüber zu liefern, was sonst noch damit verbunden ist und wie das Bedrohungsverhalten den Angriffslebenszyklus durchläuft.
Noch schwieriger ist es, das Verhalten von Angreifern zu erkennen, wenn sie Zugriff auf Sicherheitstools haben, die bereits in Ihrem Netzwerk laufen. So ist beispielsweise ein Software-Verteilungs-Tool wie Microsoft SCCM in einem Unternehmen völlig legitim. Aber es erzeugt Geräusche, die wie die Remote-Ausführung von Dateien aussehen, was genau das ist, was ein Angreifer tun würde.
Sicherheitstools müssen Filter erstellen, um das Rauschen zu entfernen. Es handelt sich jedoch wahrscheinlich um einen Angriff, wenn der Computer beginnt, Befehls- und Steuerungsaktionen auszuführen, die nicht vertrauenswürdig sind. Die meisten Tools übersehen dieses Angreiferverhalten, weil sie das Tool bereits als Störung herausgefiltert haben. Angreifer wissen, wie diese Sicherheitstools funktionieren.
Bei der jüngsten Pen-Test-Übung mit unserem Kunden aus der Fertigungsindustrie verschaffte sich das rote Team heimlich Zugang zu einem Nessus-Scanner, der normalerweise vom blauen Team verwendet wird, um nach ungeschützten Anlagen zu suchen.
Das blaue Team hat mich schon früh mit dem Nessus-Scanner vertraut gemacht, damit ich weiß, wie und von wem er eingesetzt wird. Das Sicherheitsteam möchte wissen, wann Scans stattfinden, und möchte nicht, dass ich Nessus-Scans als Angriffe interpretiere, weil sie ein genehmigtes Verhalten darstellen.
Das würde nur noch mehr Arbeit für die anderen Sicherheitsanalysten bedeuten. Und es ist meine Aufgabe, das Rauschen herauszufiltern, damit sie sich auf die gründliche Untersuchung von Vorfällen, die Behebung von Problemen und das Lernen, wie man sicherstellt, dass das Netzwerk sich anpassen kann, konzentrieren können.
Im Verlauf des Pen-Tests bemerkte ich mehrere Aufklärungs- und Seitwärtsbewegungen, die vom Nessus-Scanner ausgingen und in einer Reihenfolge auftraten, die ich zuvor nicht gesehen hatte.
Ich kam sofort zu dem Schluss, dass eine unbefugte Person den Nessus-Scanner in Beschlag genommen hatte.
Die ersten Verhaltensweisen der Angreifer, die ich feststellte, waren klassische IP-Port-Sweeps und Port-Scans. Dann bemerkte ich eine große Anzahl interner Darknet-Scans gegen IP-Bereiche, die das Sicherheitsteam normalerweise nicht scannen würde.
Um Zeit zu sparen, setzte ich das Angriffsverhalten und die Kontextinformationen zueinander in Beziehung, so dass das blaue Team erkennen konnte, dass das rote Team versuchte, Hosts in Subnetzbereichen zu finden, die zuvor nicht im Netzwerk existierten.
Ich habe die Netzwerk-Scan-Aktivitäten weiter überwacht. Obwohl das Aufklärungsverhalten verdächtig war, stufte ich es als mittlere Bedrohung ein, da ich später im Angriffszyklus keine damit verbundenen Verhaltensweisen feststellen konnte, die darauf hindeuten würden, dass ein Angreifer tiefer in das Netzwerk eingedrungen war.
Nachdem ich einige Zeit gescannt hatte, stellte ich fest, dass das rote Team eine Reihe von Servern mit anfälligen Datenbanken und einen weiteren mit schwachen Administratorkennwörtern entdeckt hatte. Ich sah schnell, dass das rote Team zur Phase der lateralen Bewegung des Angriffslebenszyklus überging, die SQL-Injection, automatisierte Replikation und einen Brute-Force-Angriff auf Administratorkennwörter umfasste.
In Echtzeit setzte ich all diese Verhaltensweisen der Angreifer in Beziehung zu dem vom roten Team verwendeten Host und den Servern im Rechenzentrum, die sie angegriffen haben. Während ich beobachtete, wie die Angriffe den Angriffslebenszyklus durchliefen, ordnete ich ihnen einen kritischen Bedrohungswert und einen hohen Sicherheitsgrad zu.
Meine Kollegen aus dem blauen Team - Menschen wie Sie - haben schnell gehandelt, um das rote Team zu isolieren und es zu stoppen, bevor es zu schädlicheren Angriffsphasen wie der Datenexfiltration übergehen konnte.