Der IT-Wachdienst bietet - genau wie ein Wachdienst in der realen Welt - einen Service an, der Ihre “Internet-Liegenschaften” im Blick behält und verhindert, dass Einbrecher leichtes Spiel haben. In diesem Blog-Eintrag wird erklärt, wie man bemerkt, dass Angreifer auf dem eigenen Server aktiv waren oder es immer noch sind.

Momentane Situation

Die letzte große Angriffs-Welle auf Mailserver liegt jetzt bereits 2 Monate zurück. Eine Anfang Februar 2021 bekannt gewordene Sicherheitsschwachstelle (HAFNIUM CVE-2021-24085) ermöglichte Angreifern, die betroffenen Server zu kompromittieren. Es ist bekannt geworden, dass der US-amerikanische Geheimdienst FBI - mit besten Absichten, aber ohne Genehmigung der betroffenen Unternehmen - Backdoors von gehackten Mailservern entfernt. Das bedeutet, dass selbst nach Anwendung von Security-Patches bereits gehackte Server weiterhin ein Unternehmensrisiko darstellen. Sogenannte Zombie-Systeme werden von den Betreibern oft nicht als solche erkannt und das Ausmaß eines möglichen Schadens wächst.

Hacking Angriffe auf Unternehmens-Server

Hacking-Angriffe auf die Server eines Unternehmens bzw. auf Anwendungen auf diesen Servern zählen in Cyber-Crime Statistiken neben Ransomware-Attacken und Phishing-Angriffen mit zu den häufigsten. Jedes Mal, wenn in den Medien von Daten-Leaks zu lesen ist, steckt mit hoher Wahrscheinlichkeit ein erfolgreicher Angriff einer Server-Anwendung dahinter. Die Europäische Datenschutz-Grundverordnung sieht für den Verlust personenbezogener Daten empfindliche Strafen vor, die im Erstfall auch die Existenz von Unternehmen bedrohen können (Artikel: IT-Sicherheit in der europäischen DSGVO). Ursache für diese Angriffe sind veraltete Software-Versionen mit bekannten Sicherheitsschwachstellen, schwache Passwörter oder Konfigurationsfehler. Wie man in der von uns durchgefühten OSINT-Studie lesen kann, ist etwa jedes dritte Unternehmen in Österreich von mindestens einem dieser Punkte betroffen.

Auch vermeintlich unwichtige Systeme sollten regelmäßig überprüft werden. Die Kompromittierung solcher Systeme kann Cyber-Kriminellen Möglichkeiten verschaffen, um von Ihrem System aus weitere Systeme anzugreifen. (Artikel: Die fünf Phasen der Kompromittierung). Im Dark-Web werden Zugänge zu kompromittierten Servern als sogenannte Access-Kits zu Geld gemacht, ein Anreiz auch solche Systeme anzugreifen.

Anzeichen für kompromittierte Server-Systeme

Die folgenden fünf Merkmale sollen Ihnen dabei helfen zu erkennen, ob Ihr System angegriffen bzw. kompromittiert wurde.

1. Funktionsstörungen

Nicht in jedem Fall treten Funktionsstörungen bei kompromittierten Anwendungen auf. Wenn sie allerdings auftreten, dann sind diese meist ein sicherer Indikator für Manipulation durch Dritte. Vor allem komplexe Anwendungen reagieren meist sehr empfindlich auf System-Veränderungen.

Vorsicht mit vorschnellen Annahmen: Natürlich können auch ein Softwareupdate oder administrative Tätigkeit Ursachen von Fehlfunktionen sein. Es sollte auf jeden Fall schnell geklärt werden, was der Grund dafür ist.

2. Eigenartige Log-Einträge

Abhängig vom genutzen Angriffsvektor und der Art und Weise wie Angreifer auf ihr System zugreifen, schlagen sich Indizien für eine maliziöse Aktivität in Ihren Server-Logfiles nieder. Daten-Exfiltration via SQL-Injection, das Scannen nach Verzeichnissen oder das Ausprobieren vieler Passwörter auf Login-Seiten steht meist mit vielen Log-Einträgen in Zusammenhang.

Auch Logs anderer Systeme in Ihrem Unternmehmen können Belege dafür liefern, dass eines Ihrer Systeme kompromittiert wurde. Angreifer verwenden gekaperte Systeme, um sich davon ausgehend im Unternehmensnetzwerk umzusehen (Stichwort: Lateral Movement). Logs von Firewall Systemen können unter anderem auch zeigen, ob kompromittierte Systeme mit einer sogenannten Command & Control Zentrale der Angreifer in Verbindung stehen, von der aus groß angelegte Angriffs-Kampagnen konzertiert werden.

3. Warnmeldungen von Kunden oder Suchmaschinen

Je nachdem welches Ziel Angreifer auf ihren Systemen hatten, sehen die möglichen Reaktionen unterschiedlich aus. Für den Fall, dass Kundendaten erbeutet wurden, kann es passieren, dass Ihnen genau diese Daten von Datenhändlern zum Kauf angeboten werden. Aufmerksame Kunden, die Ihre Anmeldedaten in spezieller Weise kodieren, können oft selbst nachvollziehen, welches Unternehmen ihre Daten verloren hat. Diese Kunden melden sich in der Regel direkt bei den jeweiligen Unternehmen. Sollte diese Situation überdurchschnittlich oft auftreten, sollten Sie dem Ganzen nachgehen.

Wenn Angreifer ihre Webseite dazu missbrauchen ihre Besucher mit Malware zu infizieren, werden Google und andere Suchmaschinenbetreiber bzw. Browser mit Schutzfunktion sehr schnell reagieren und einen Warn-Bilschirm im Zusammenhang mit Ihrer Seite zeigen und somit Benutzer vom Besuch ihrer Seite abhalten. In beiden Fällen kann davon ausgegangen werden, dass Angreifer Ihre Server manipuliert haben. Sie sollten jetzt möglichst schnell herausfinden, welche Ihrer Systeme mit dem Vorfall in Zusammenhang stehen, um die Situation wieder in den Griff zu bekommen.

4. Administrative Änderungen auf Server-Systemen

Ein sicheres Anzeichen dafür, dass sich Angreifer an Ihren Systemen zu schaffen gemacht haben sind Veränderungen, die einen zukünftigen Zugriff - unabhängig von der initialen Ausnutzung einer Sicherheitsschwachstelle - garantieren. Anzeichen für solche Backdoors sind neu angelegte Benutzer, geänderte Passwörter oder offene Service-Ports, die über das Internet erreichbar sind. Services auf ungewöhnlichen Ports werden oft für sog. Bind-Shells oder andere Kontroll-Mechanismen benutzt, die Angreifer auf kompromittierten Systemen installieren. Diese Services lassen sich durch die Existenz unbekannter Systemprozesse bzw. durch Portscans nachweisen.

Empfehlung: Führen Sie Buch über die Zeitpunkte der durchgeführten administrativen Tätigkeiten, damit Sie im Nachhinein feststellen können, ob bestimmte Systemänderungen von autorisierten Mitarbeitern durchgeführt worden sind oder nicht.

5. Indicators of Compromise / Veränderte und neue Dateien

Die sogenannten Indicators of Compromise (IOCs) sind in erster Linie verdächtige Dateien und in spezieller Weise veränderte System- und Konfigurations-Dateien, die auf kompromittierten Systemen zu finden sind. Je nachdem wie gründlich Angreifer bei Ihrer Tat vorgehen, sind IOCs unter Umständen schwer zu finden. Routinierte Angreifer sind in der Lage, die hinterlassenen Spuren eines erfolgreichen Angriffs sehr gut zu verwischen.

Maßnahmen

Der Einsatz von System- und Logmonitoring Systemen kann Ihnen dabei helfen, Angriffe auf Ihre Systeme besser zu erkennen. Außerdem gibt es eine eigene Kategorie von IT-Security Tools, die sich auf das Aufspüren von IOCs spezialisiert hat. Loki ist ein kostenloser Open-Source IOC Scanner, der Ihnen helfen kann, Ihre Server effizient auf Anzeichen unberechtigten Zugriffs zu überprüfen. Sogenannte Next-Generation Firewalls und Application-Firewalls sind in der Lage, schadhafte Zugriffe auf geschützte Serversysteme zu erkennen und automatisch zu unterbinden.

Zusammenfassung

Die hier beschriebenen Methoden helfen Ihnen zu erkennen, ob Systeme durch Angreifer kompromittiert wurden. Die vorgeschlagenen Maßnahmen können dabei helfen gerade stattfindende Angriffe zu identifizieren, Angriffe zu erschweren und Belege für erfolgreich durchgeführte Angriffe auf betroffenen Systemen zu finden.

Das Besten wäre natürlich, wenn ein Großteil der Angriffe von vornherein verhindert werden würde. IT-Wachdienst kann Sie dabei unterstützen:

• Um festzustellen, ob Anwendungen auf den eigenen Servern bereits bekannte Schwachstellen aufweisen, kann ein regelmäßiger Schwachstellen-Scan durchgeführt werden.

• Eine detaillierte Analyse der Angriffsoberfläche hilft Ihrer Organisation dabei die nächsten Schritte auf dem Weg zu einem besseren Sicherheitszustand festzulegen.

• Branchenspezifische Software-Lösungen mit kleiner Installation-Base haben eine hohe Wahrscheinlichkeit für Softwarefehler, die noch nicht entdeckt wurden. Eine eingehende Sicherheits-Überprüfung hilft Ihnen dabei, Ihr Riskio beim Einsatz dieser Software zu bewerten.

Stichworte für diesen Blog-Eintrag

• vulnerability
• schwachstellen
• scan
• cyber
• angriff
• remote-code-execution
• reverse-shell
• bind-shell
• file-inclusion
• information-disclosure
• memory-corruption
• overflow
• buffer-overflow
• privilege-escalation
• sql-injection
• post-exploitation
• webshell
• ioc
• hafnium