Threat Intelligence für Maschinenidentitäten
Schlüsselschutz
Das Mitre ATT&CK Framework ist eine offene, frei zugängliche Wissensdatenbank zu Taktiken, Techniken und Vorgehensweisen von Cyberangreifern. Es beruht auf Informationen der Security Community sowie auf realen Vorfällen und dient als Rahmen für spezifische Bedrohungsmodelle und -methoden für Organisationen aus dem gesamten Spektrum der Wirtschaft, Behörden und Security-Industrie. Nutzen lässt es sich auch als Referenzwerk für den Aufbau eines Threat-Intelligence-Modells, das spezifisch für Maschinenidentitäten wie etwa TLS- oder SSH-Schlüssel ist. Denn diese geraten zunehmend ins Visier von Angreifern.
Die Idee ist ein Modell, das die Vorgehensweisen der Angreifer abbildet, von denen bekannt ist, dass sie Maschinenidentitäten für ihre Zwecke missbrauchen. Es dokumentiert in strukturierter und einheitlicher Weise bekannte und von betroffenen Unternehmen berichtete Vorgehensweisen, die sich entweder auf eine Maschinenidentität an sich richten oder von denen man weiß, dass sie während eines Angriffs für deren Diebstahl Verwendung finden.
Maschinenidentitäten – dazu zählen zum Beispiel TLS-Schlüssel und -Zertifikate, SSH-Schlüssel, API-Schlüssel und Code-Signing-Schlüssel sowie Zertifikate – kommen zum Einsatz, um Maschinen zu identifizieren und eine sichere Verbindung und Datenkommunikation zwischen ihnen zu ermöglichen. Zudem dienen sie dazu, das Gerät, den Cloud-Service, die Software, ein Updates oder deren Algorithmus kenntlich zu machen.
ATT&CK-Framework als Grundlage
Das ATT&CK Framework ist ein universeller und weltweit akzeptierter Referenzrahmen, den die Security-Branche zur Beschreibung und Dokumentation von Bedrohungen nutzt. Es findet für Unternehmen wie auch für Sicherheitsprodukte und -dienstleistungen Verwendung, um Bedrohungen zu bewerten und diese nachzuverfolgen. Der ATT&CK-Ansatz lässt sich adaptieren, um das Verhalten der Angreifer, das auf die Maschinenidentität abzielt, abzubilden, zu dokumentieren und zu verfolgen. Ziel ist es aufzuzeigen, wie Bedrohungsakteure Maschinenidentitäten während des gesamten Angriffslebenszyklus missbrauchen, vom ersten Zugang über die Persistenz und die Umgehung der Verteidigung bis hin zu lateralen Bewegungen und zur Exfiltration.
Das Hauptproblem: Maschinenidentitäten scheinen vielen Unternehmen nicht als wachsendes Sicherheitsproblem, sie fallen trotz zunehmender Berichte über Angriffe auf Maschinenidentitäten nicht in den Bereich der Security Operations (SecOps). Dieses mangelnde Verständnis der Angreifer und ihres Verhaltens erschwert es, mit Entscheidern über den Schutz der Maschinenidentität zu sprechen. Mit dem Framework können Verteidiger die Risiken der Maschinenidentitäten messen, priorisieren und kommunizieren, und sie können ihre Maßnahmen kontinuierlich bewerten. Zudem erhalten Organisationen praktische Ratschläge, wie sie sich vor Angriffen auf Maschinenidentitäten schützen können.
Der Aufbau beruht auf einer Reihe von Schritten. Der erste Schritt besteht darin, die vorhandenen Techniken zu identifizieren, die im Framework dokumentiert sind. In der zweiten Phase solle man alle bekannten Methoden erfassen, die Angreifer nutzen, um Maschinenidentitäten zu erstellen. Die dritte Phase besteht darin, neue Techniken und potenzielle Szenarien des gegnerischen Verhaltens zu identifizieren. Dazu muss man CTI-Techniken (Cyber Threat Intelligence) beherrschen und die Rolle von Maschinenidentitäten verstehen.
SSH-Maschinenidentitäten, im Allgemeinen SSH-Schlüssel genannt, dienen bekanntlich zur Absicherung von Fernzugriffen und zur Automatisierung von Prozessen wie der Steuerung von Cloud-Umgebungen, VPN-Verbindungen oder auch IoT-Geräten. Sie ermöglichen privilegierten Zugriff auf die wichtigsten Systeme von Organisationen wie Server und Datenbanken. Dies macht sie für Angreifer äußerst wertvoll. Ein einziger SSH-Schlüssel kann dazu dienen, unentdeckt Root-Zugriff auf kritische Systeme und Daten zu erhalten, sodass dem Angreifer alle Türen offenstehen, von der Umgehung von Sicherheitskontrollen bis hin zur Injektion betrügerischer Daten, der Umgehung von Verschlüsselungssoftware oder der Installation persistenter Malware.
Mehrere hochkarätige Malware-Kampagnen, die 2019 beobachtet wurden, hatten ihre Angriffe um SSH-Elemente erweitert. Von Adware- und Spam-Kampagnen bis hin zu Kryptominern und Trojanern: Alle hatten neue SSH-Fähigkeiten. Meist fügte Malware den SSH-Schlüssel des Angreifers einer Liste autorisierter Schlüssel auf dem Rechner des Opfers hinzu. Dies bedeutet, dass der Rechner dem Schlüssel und der Identität der Angreifer vertraut, sodass der Angreifer auf dem betroffenen System sein Unwesen treiben kann. In anderen Fällen konnte die Malware eine schwache SSH-Authentifizierung erzwingen und sich Zugang zum Ziel, zu Nutzer- und Host-Daten verschaffen, um dann weitere Rechner zu infizieren.
Einige Beispiele für erfolgreiche Malware-Kampagnen, bei denen ab 2019 SSH-Schlüssel genutzt wurden:
TrickBot: Ursprünglich ein Banking-Trojaner und 2016 erstmals aufgetaucht, wurde TrickBot zu einer flexiblen, universellen, modularen Crimeware, die sich im Laufe der Jahre auf Unternehmensumgebungen verlagert hat. TrickBot wird Kriminellen als modularer Dienst für verschiedene Aktivitäten angeboten. Es umfasst viele Funktionen, von der Erstellung von Netzwerkprofilen, der Sammlung von Massendaten und der Einbindung von Exploits. Seit 2019 kann TrickBot Berechtigungsnachweise für PuTTY (SSH-Client für Microsoft) und OpenSSH erfassen. Die Malware sucht nach Angaben zu Host- und Benutzernamen, um sich weiterverbreiten zu können (Lateral Movement).
KryptoSink: Diese Kryptomining-Kampagne nutzt eine fünf Jahre alte Schwachstelle (CVE-2014-3120) in Elasticsearch-Systemen auf Windows- und Linux-Plattformen aus, um die XMR-Kryptowährung zu schürfen. CryptoSink erzeugt eine Backdoor zum Ziel-Server, indem der öffentliche Schlüssel des Angreifers der autorisierten Schlüsseldatei auf dem Rechner des Opfers hinzugefügt wird.
Exim-Server-Wurm: Dieser Wurm zielt auf anfällige Exim-Mail-Server auf Unix-/Linux-Systemen, um Monero-Kryptowährungs-Miner auszubringen. Er erstellt eine Hintertür zum Server, indem er seinen eigenen öffentlichen SSH-Schlüssel hinzufügt und den SSH-Server aktiviert, falls dieser deaktiviert ist.
Skidmap: Hier handelt es sich um ein Kernel Mode Rootkit, das durch Hinzufügen des öffentlichen SSH-Schlüssels des Angreifers zu den autorisierten Schlüsseln Zugriff auf eine Hintertür zu einem Zielrechner erhält. Skidmap nutzt Fehlkonfigurationen oder die Exposition gegenüber dem Internet, um Root- oder administrativen Zugriff auf das System zu erhalten und Kryptomining-Malware zu platzieren.
Auch SSH-Schlüssel können in den falschen Händen mächtige Waffen sein. Bis vor Kurzem hatten allerdings nur gut finanzierte APT-Hackergruppen (Advanced Persistent Threat) diese Fähigkeit. Nun aber werden SSH-Fähigkeiten immer mehr zum Allgemeingut. Beunruhigend ist dabei der Umstand, dass ein Angreifer eine Hintertür monetarisieren und an organisierte und staatlich finanzierte Angreifer verkaufen kann, etwa für Cyberspionage oder Cyberkriegsführung. Ein gutes Beispiel dafür ist die TrickBot-Bande, die einen „Bot as a Service“ zusammen mit einem vollständigen Toolkit an die von Nordkorea gesponserte Gruppe Lazarus zur Monetarisierung wie auch für die Cyberspionage verkauft hat, wie eine Untersuchung von Sentinel-One kürzlich gezeigt hat.
Der beste Schutz vor SSH-Missbrauch ist sicherzustellen, dass man vollständige Transparenz und Informationen über jeden autorisierten SSH-Schlüssel im Unternehmen und in der Cloud hat. Denn Angreifer missbrauchen nicht nur bestehende Maschinenidentitäten, sondern fügen auch ihre eigenen bösartigen SSH-Schlüssel in Zielumgebungen ein. Es gilt also, nicht nur die bekannten, sondern alle Schlüssel zu finden und zu analysieren.
Unternehmen übersehen jedoch regelmäßig die Bedeutung des Schutzes von Maschinenidentitäten, SSH-Schlüssel sind selten Teil der IT-Sicherheitsstrategie. Und da sie nie ablaufen, haben viele Organisationen keine Möglichkeit zu erfahren, welche SSH-Schlüssel für eine bestimmte Aktion oder Aufgabe zum Einsatz kommen. Laut jüngsten Untersuchungen glauben nur zehn Prozent der Unternehmen, dass sie über vollständige und genaue Informationen über alle SSH-Schlüssel verfügen. Damit besteht also ein großes Risiko, dass diese Schlüssel missbraucht oder gestohlen werden.
Der Schutz von Maschinenidentitäten ist ein kontinuierlicher Prozess, da sich die Angreifer wie auch das Unternehmensnetzwerk weiterentwickeln. Das übergeordnete Ziel ist es, jederzeit Einblick in das Verhalten der Angreifer rund um die Maschinenidentitäten zu haben. Im Idealfall sollte dieses Modell die Teams, die sich mit Maschinenidentitäten befassen, näher an SecOps heranführen. Es gilt, sie mit greifbaren und messbaren Mitteln auszustatten, mit denen sie ihre Kontrollmechanismen in Hinblick auf diese Bedrohungen bewerten können.
Lesen Sie mehr zum Thema
