Was der Vorfall in Stryker über Handalas Vorgehensweise bei Angriffen verrät.
Den Blog lesen

Was der Stryker-Vorfall über Handalas Vorgehensweise verrät. Zum Blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Technik des Angriffs

Rechte-Eskalation

Die Ausweitung von Privilegien ist eine gängige Methode, mit der Angreifer heute katastrophale Datenverletzungen begehen. Hier erfahren Sie, was Sie über diese Angriffstechnik wissen müssen.

Definition
Wie es funktioniert
Warum Angreifer sie benutzen
Erkennung
Häufig gestellte Fragen
Definition

Was ist Privilegieneskalation?

Die Ausweitung von Berechtigungen ist eine Technik, mit der Angreifer sich unbefugten Zugriff auf privilegierte Konten verschaffen – Konten, die zur Verbreitung malware zur Durchführung anderer böswilliger Aktivitäten genutzt werden können. In der Regel beginnt der Angriff damit, dass sich ein Angreifer durch die Übernahme eines Standardbenutzerkontos Zugang zum Unternehmensnetzwerk verschafft. Sobald er sich im Netzwerk befindet, arbeitet er sich zu Administrator-, Superuser- und anderen hochrangigen Hosts und Konten vor.

Arten der Privilegieneskalation

Vertikale Privilegienausweitung (Privilege Elevation)

Vertikale Privilegienerweiterung oder Privilegienerhöhung liegt vor, wenn ein Angreifer von einer niedrigeren auf eine höhere Privilegstufe wechselt. Zum Beispiel kann ein normaler Benutzer administrative Rechte erlangen. Diese Technik ermöglicht den Zugang zu geschützten Systemfunktionen und sensiblen Daten und erhöht den potenziellen Schaden.

Horizontale Privilegieneskalation

Bei der horizontalen Privilegieneskalation wird auf die Privilegien oder Ressourcen eines anderen Benutzers mit ähnlichen Zugriffsrechten zugegriffen. Diese Technik ermöglicht es Angreifern, unbefugt auf die Daten oder Dienste eines anderen Benutzers zuzugreifen oder diese zu manipulieren.

Wie es funktioniert

Wie funktioniert die Privilegieneskalation?

Vertikale Privilegienerweiterung

Dies geschieht, wenn ein Angreifer mit eingeschränkten Zugriffsrechten, z. B. ein normaler Benutzer, Schwachstellen ausnutzt, um höhere Privilegien zu erlangen, z. B. Administrator- oder Root-Zugriff. Dies ist die häufigste Form der Privilegieneskalation und kann zu erheblichen Sicherheitsrisiken führen.

Der Prozess der vertikalen Privilegienerweiterung

Horizontale Privilegieneskalation

Indiesem Fall bewegt sich ein Angreifer seitlich innerhalb eines Systems und erhält Zugriff auf Ressourcen oder Konten anderer Benutzer, die ähnliche Zugriffsrechte haben. Bei der horizontalen Eskalation geht es zwar nicht darum, höhere Privilegien zu erlangen, aber sie ermöglicht es Angreifern, andere Konten oder Daten auszunutzen.

Der horizontale Prozess der Privilegieneskalation

Wie gehen die Angreifer vor, um ihre Privilegien zu erweitern?

1. Erstmaliger Erwerb des Zugangs

Angreifer verschaffen sich zunächst Zugang zu einem System mit einfachen Benutzerrechten. Sie erreichen dies durch Methoden wie phishing, bei denen Benutzer durch betrügerische Kommunikation dazu gebracht werden, ihre Anmeldedaten preiszugeben; durch Ausnutzung von Schwachstellen in Software oder Systemen, die nicht ordnungsgemäß gesichert wurden; oder durch Verwendung von Standard-Anmeldedaten, die nach der Installation nie geändert wurden. Das Hauptziel in dieser Phase ist es, im System Fuß zu fassen und eine Plattform zu schaffen, von der aus sie weitere Angriffe starten können.

2. Systemerfassung und -erkundung

Sobald die Angreifer in das System eingedrungen sind, führen sie eine Systemaufzählung und -erkundung durch, um detaillierte Informationen über die Umgebung zu sammeln. Sie sammeln Daten über die Systemarchitektur, Betriebssystemversionen, installierte Anwendungen, laufende Dienste und bestehende Benutzerkonten. Diese Informationsbeschaffung wird durch Tools wie Befehlszeilendienstprogramme, Systemskripte und Netzwerk-Scan-Tools erleichtert, die dabei helfen, die Struktur des Systems abzubilden und potenzielle Angriffsziele zu identifizieren.

3. Identifizierung von Schwachstellen

Mit umfassenden Kenntnissen über das System suchen die Angreifer nach Schwachstellen, die sie ausnutzen können, um ihre Privilegien zu erweitern. Sie suchen nach Softwareschwachstellen, z. B. ungepatchten Fehlern oder Schwachstellen, für die es bekannte Angriffe gibt. Auch Konfigurationsschwachstellen werden aufgespürt, z. B. falsch konfigurierte Dienste, unsichere Dateiberechtigungen, die unbefugten Zugriff ermöglichen, oder Standardeinstellungen, die nicht ordnungsgemäß gesichert wurden. Darüber hinaus werden Probleme mit Anmeldeinformationen wie schwache Passwörter, die leicht zu erraten oder zu knacken sind, wiederverwendete Anmeldeinformationen für mehrere Systeme oder ungeschützte Authentifizierungstoken, die abgefangen werden können, untersucht.

4. Verwertungstechniken

Um die identifizierten Schwachstellen auszunutzen, wenden Angreifer verschiedene Angriffstechniken an. Beim Ausnutzen von Software-Schwachstellen können sie Pufferüberläufe verursachen, indem sie Code in ein Programm einschleusen und dabei die Grenzen eines Puffers überschreiten, oder sie führen Code-Injektionen durch, indem sie bösartigen Code in vertrauenswürdige Anwendungen einschleusen. Das Ausnutzen von Fehlkonfigurationen ist eine weitere Taktik; Angreifer können unsichere Dateiberechtigungen ausnutzen, um aufgrund falscher Berechtigungseinstellungen auf Dateien zuzugreifen oder diese zu verändern, oder sie nutzen SUID/SGID-Missbrauch auf Unix/Linux-Systemen aus, indem sie Dateien ausnutzen, die mit höheren Berechtigungen ausgeführt werden.

Der Diebstahl von Anmeldedaten ist eine gängige Methode, um sich unbefugten Zugriff zu verschaffen. Angreifer können Passwort-Hash-Dumping betreiben, bei dem sie Passwort-Hashes aus dem Systemspeicher oder aus Dateien extrahieren, um diese offline zu knacken. Keylogging ist eine weitere Technik, bei der Tastenanschläge aufgezeichnet werden, um Passwörter und andere sensible Informationen zu erfassen. Um Sicherheitskontrollen zu umgehen, manipulieren Angreifer möglicherweise Tokens und nutzen gestohlene Tokens, um sich als Benutzer mit höheren Berechtigungen auszugeben. Auf Windows-Systemen führen sie möglicherweise DLL-Hijacking durch, indem sie legitime DLL-Dateien (Dynamic Link Library) durch bösartige ersetzen, um Code mit erhöhten Berechtigungen auszuführen. Durch das Ausnutzen von Schwachstellen in der Benutzerkontensteuerung (User Account Control, UAC) können sie administrative Aufgaben ausführen, ohne den Benutzer dazu aufzufordern, und so eine wichtige Sicherheitsfunktion effektiv umgehen.

5. Erlangung erweiterter Privilegien

Mit diesen Techniken versuchen Angreifer, sich erweiterte Rechte innerhalb des Systems zu verschaffen. Sie führen Exploits aus, indem sie spezielle Skripte oder Tools ausführen, die darauf ausgelegt sind, die identifizierten Schwachstellen auszunutzen. Der Einsatz von Payloads zur Rechteausweitung beinhaltet das Einschleusen von malware , die malware entwickelt wurde, bei ihrer Ausführung die Rechte zu erweitern. Die Ausnutzung von Diensten ist ein weiterer Ansatz, bei dem Angreifer Dienste ins Visier nehmen, die mit höheren Rechten laufen, und diese manipulieren, um beliebigen Code auszuführen, der ihnen erweiterte Zugriffsrechte gewährt.

6. Aktivitäten nach der Ausbeutung

Nach der erfolgreichen Eskalation ihrer Privilegien führen die Angreifer Aktivitäten nach der Ausnutzung durch, um ihre Kontrolle zu festigen und weitere Operationen vorzubereiten. Um den Zugriff aufrechtzuerhalten, können sie Hintertüren schaffen, indem sie dauerhafte Methoden installieren, die es ihnen ermöglichen, auch nach einem Neustart oder Sicherheitsupdates erneut in das System einzudringen. Durch das Hinzufügen neuer Benutzerkonten mit administrativen Rechten wird sichergestellt, dass sie weiterhin Zugriff haben, ohne auf den ersten Angriff angewiesen zu sein.

Das Verwischen ihrer Spuren ist unerlässlich, um nicht entdeckt zu werden. Angreifer manipulieren Protokolle, indem sie Ereigniseinträge löschen oder verändern, um Beweise für ihre Aktivitäten zu verbergen. Sie können auch Dateizeitstempel ändern, um zu verhindern, dass forensische Analysten bei Untersuchungen Anomalien erkennen. Mit erweiterten Berechtigungen können Angreifer sich innerhalb des Netzwerks lateral bewegen. Die Ausbreitung im Netzwerk beinhaltet die Nutzung ihres Zugriffs, um andere mit dem Netzwerk verbundene Systeme zu infiltrieren und so ihre Reichweite und potenziellen Auswirkungen zu vergrößern. Sie nutzen die erlangten Anmeldedaten, um weitere Ressourcen zu infiltrieren – ein Vorgang, der als Wiederverwendung von Anmeldedaten bekannt ist und es ihnen ermöglicht, weitere Konten und Systeme zu kompromittieren, ohne sofort Verdacht zu erregen.

Prozess der Privilegienerweiterung durch Hacker
Warum Angreifer sie benutzen

Warum nutzen Angreifer die Privilegieneskalation?

Angreifer verwenden Techniken zur Ausweitung von Privilegien, um unbefugten Zugriff auf höhere Berechtigungsebenen innerhalb eines Systems oder Netzwerks zu erhalten. Durch die Ausweitung ihrer Rechte können Angreifer Aktionen durchführen, die normalerweise eingeschränkt sind, wie z. B. den Zugriff auf sensible Daten, die Installation von malware, die Änderung von Systemkonfigurationen oder die Übernahme der vollständigen Kontrolle über ein System. Um effektive Sicherheitsmaßnahmen zu implementieren, ist es wichtig zu verstehen, warum Angreifer diese Techniken verwenden.

Im Folgenden werden die wichtigsten Gründe und Methoden für die Verwendung von Privilegieneskalation durch Angreifer aufgeführt:

Zugang zu sensiblen Daten

  • Vertrauliche Informationen: Durch erweiterte Berechtigungen können Angreifer auf sensible Dateien, Datenbanken und Kommunikationsdaten zugreifen, zu denen normale Benutzer keinen Zugriff haben.
  • Datenexfiltration: Angreifer können wertvolle Daten wie persönliche Identitäten, Finanzdaten oder geschützte Geschäftsinformationen stehlen.

Systemkontrolle und Persistenz

  • Aufrechterhaltung des Zugriffs: Mit höheren Privilegien können Angreifer Hintertüren einrichten, neue Benutzerkonten erstellen oder Authentifizierungsmechanismen ändern, um den Zugriff langfristig zu erhalten.
  • Deaktivieren von Sicherheitsmaßnahmen: Sie können Antivirensoftware, Firewalls oder Systeme zur Erkennung von Eindringlingen deaktivieren, um eine Entdeckung zu vermeiden.

Seitliche Bewegung innerhalb von Netzwerken

  • Ausdehnung der Reichweite: Die Ausweitung von Berechtigungen ermöglicht es Angreifern, sich über verschiedene Systeme und Netzwerksegmente hinweg zu bewegen und so die Reichweite ihres Angriffs zu vergrößern.
  • Kompromittierung weiterer Systeme: Der Zugang zu administrativen Anmeldeinformationen ermöglicht es Angreifern, andere Geräte und Server im Netzwerk zu infiltrieren.

Ausführung von fortgeschrittenen Angriffen

  • Installation von Malware oder Ransomware: Zur Installation oder Ausführung von Schadsoftware, die Daten verschlüsseln oder den Betrieb stören kann, sind häufig höhere Berechtigungen erforderlich.
  • Systemmanipulation: Angreifer können Systemkonfigurationen, Zeitpläne oder Dienste verändern, um ihre Ziele zu erreichen.

Umgehung von Sicherheitsbeschränkungen

  • Aufhebung von Berechtigungen: Erhöhte Rechte ermöglichen es Angreifern, Dateisystemberechtigungen und Zugriffskontrollen zu umgehen.
  • Zugriff auf eingeschränkte Funktionen: Sie können Aktionen durchführen, die normalerweise nur Administratoren vorbehalten sind, wie z. B. das Ändern von Audit-Protokollen.

Sammeln von Berechtigungsnachweisen

  • Sammeln von Kennwörtern und Token: Angreifer können Anmeldedaten aus dem Speicher, aus Konfigurationsdateien oder Schlüsselbunden extrahieren.
  • Extraktion von Kerberos-Tickets: Sie können Techniken wie Pass-the-Hash oder Kerberoasting um Authentifizierungstoken zu erhalten.

Störung und Sabotage

  • Denial of Service (DoS): Angreifer können kritische Dienste anhalten oder Systemressourcen überlasten.
  • Datenmanipulation oder -zerstörung: Sie können Daten verändern oder löschen, was zu Betriebsproblemen oder Vertrauensverlust führt.

Finanzieller Gewinn

  • Gelddiebstahl: Der Zugang zu Finanzsystemen ermöglicht es Angreifern, Transaktionen zu manipulieren oder Gelder abzuzweigen.
  • Lösegeld-Forderungen: Sie können Daten verschlüsseln und eine Zahlung für Entschlüsselungsschlüssel verlangen.

Spuren verwischen

  • Protokollmanipulation: Mit höheren Privilegien können Angreifer Protokolle löschen oder verändern, um ihre Aktivitäten zu verbergen.
  • Deaktivieren von Überwachungsprogrammen: Sie können Sicherheitsüberwachungslösungen ausschalten oder stören.
Plattform-Detektionen

Wie lassen sich Aktivitäten im Zusammenhang mit der Eskalation von Privilegien erkennen?

Die meisten Unternehmen setzen eine Kombination aus Sicherheitsmaßnahmen ein, um Angriffe zur Ausweitung von Berechtigungen zu verhindern. Zero trust, Identitäts- und Zugriffsmanagement (IAM) sowie Privileged Access Management (PAM) sind gängige Beispiele dafür.

Diese Ansätze haben jedoch einen Nachteil: Sie basieren alle auf einem einzigen Zugangspunkt. Hinzu kommt, dass die meisten Unternehmen dreimal so viele privilegierte Konten wie Mitarbeiter haben, was eine Verwaltung aller Konten unmöglich macht. Und sobald der Zugriff gewährt wurde, kann er leicht manipuliert werden. 

Um der Ausweitung von Berechtigungen immer einen Schritt voraus zu sein, ist eine kontinuierliche Transparenz entscheidend. Durch die ständige Überwachung und Analyse der Kontoaktivitäten können Sie Missbrauch in Echtzeit erkennen. Und das lässt sich nur mit KI präzise bewerkstelligen. 

Hier kommt die erweiterte Bedrohungserkennung und -reaktion ins Spiel. Vectra AI verwendet Dutzende von KI-gesteuerten Erkennungen, um abnormale privilegienbezogene Aktivitäten im Netzwerk, in der Identität und in der Öffentlichkeit zu identifizieren cloud. Diese Erkennungen konzentrieren sich nicht auf Anomalien, sondern auf das tatsächliche Verhalten von Angreifern. Von ungewöhnlichen Anfragen bei AWS und Entra ID bis hin zu verdächtigen Serviceanfragen wird jede einzelne automatisch korreliert, analysiert, validiert und eingestuft, um Verteidigern zu zeigen, wenn Angreifer versuchen, eine Privilegieneskalation zu nutzen.

Erkennung
Privilegienanomalie: Ungewöhnlicher Host
Mehr erfahren
Erkennung
Anomalie der Privilegien: Ungewöhnliches Trio
Mehr erfahren
Erkennung
Privilegienanomalie: Ungewöhnlicher Dienst
Mehr erfahren
Erkennung
Privilegienanomalie: Ungewöhnliches Konto auf dem Host
Mehr erfahren
Erkennung
Privilegienanomalie: Ungewöhnlicher Service - Insider
Mehr erfahren
Erkennung
Privilegienanomalie: Ungewöhnlicher Dienst vom Host
Mehr erfahren
Erkennung
AWS Verdacht auf Privilegieneskalation
Mehr erfahren
Erkennung
Azure AD Privilege Operation Anomalie
Mehr erfahren
Erkennung
AWS Suspect Admin Privilege Granting
Mehr erfahren
Alle Entdeckungen erforschen

Schützen Sie Ihre privilegierten Konten mit erweiterten Erkennungsfunktionen

Die Ausweitung von Privilegien ist nur eine Möglichkeit, wie moderne Angreifer versuchen, Ihre Präventions-Tools zu überlisten. Unsere leistungsstarken KI-gesteuerten Erkennungen sind so konzipiert, dass sie jede Bedrohung auf der Grundlage des Verhaltens von Angreifern finden und 90 % der relevanten MITRE ATT&CK Techniken abdecken.

Erkunden Sie die Plattform
Mehr erfahren

Häufig gestellte Fragen