Venafi warnt vor Secure-Shell-Backdoors in Unternehmensnetzen

SSH als Einfallstor für Kriminelle und Spione

17. Februar 2020, 12:15 Uhr   |  Von Dr. Wilhelm Greiner.

SSH als Einfallstor für Kriminelle und Spione

"Angriffe, die auf SSH zielen, nehmen zu - auch bei ganz normaler kommerzieller Malware", warnt Yana Blachmann von Venafi. Blachman ist seit letztem Sommer zuständig für den neu gegründeten Threat-Intelligence-Bereich (Sammlung und Auswertung von Bedrohungsinformationen) bei dem Spezialisten für den Schutz von Maschinenidentitäten (Mechanismen zur Etablierung von Vertrauensbeziehungen zwischen IT-Instanzen, zum Beispiel Zertifikate). Bisher, so Blachmann, sie die Kompromittierung und Manipulation von SSH-Schlüsseln die Domäne von Penetration-Testern, APT-Gruppen (Advanced Persistent Threat, langanhaltender gezielter Angriff) und nationalstaatlich finanzierten Angreifern gewesen. Inzwischen aber finde man auch Commodity-Malware - Schadsoftware "von der Stange" - für den automatisierten Diebstahl von SSH-Keys - oder, in Venafis Terminologie, SSH-basierten Maschinenidentiäten.

200217_Venafi_Yana_Blachman
©

"Angriffe, die auf SSH zielen, nehmen zu - auch bei ganz normaler kommerzieller Malware", warnt Yana Blachmann, Threat Intelligence Researcher bei Venafi. Bild: Venafi

Mit der Kompromittierung von SSH verfolgen die Angreifer laut der Security-Forscherin zwei mögliche Ziele: Erstens könnte ein Angreifer seinen eigenen Schlüssel der SSH-Schlüsselliste hinzufügen, um sich dauerhaften Backdoor-Zugang zu einem Netzwerk zu verschaffen, etwa zur Installation weiterer Malware, für Wirtschaftsspionage etc.; zweitens sieht man bei Venafi einen neuen Schwarzmarkt für SSH-Schlüssel entstehen: "SSH-Keys könnten das nächste unter Kriminellen gehandelte Gut werden, wie heute Benutzernamen und Passwörter", so Blachmann. Das Problem: "SSH-Keys verfallen nicht", warnt die Forscherin, "Angreifer erhalten dadurch persistenten Backdoor-Zugang zu einer Umgebung, selbst über Jahrzehnte hinweg."

Die Kommerzialisierung dieses Vorgehens habe man bei Venafi bereits beobachtet: Der Banking-Trojaner TrickBot, der sich inzwischen zu einer regelrechten Malware-Infrastruktur weiterentwickelt habe, unterstützt laut Blachmann inzwischen den Credentials-Diebstahl bei PuTTY (Microsofts SSH-Client) und OpenSSH. Man habe Verbindungen von TrickBot zu Lazarus beobachtet, einer APT-Gruppe, die dem Regime in Nordkorea zugeordnet wird.

Denkbar wäre damit laut der Venafi-Forscherin, dass Kriminelle künftig TrickBot oder eine andere Malware nutzen, um automatisiert SSH-Schlüssel zu entwenden oder neue Keys auf unternehmenseigenen SSH-Listen anzulegen. Diese Fernzugriffsmöglichkeiten könnten sie dann auf dem Schwarzmarkt an Erpresser, APTs oder regierungsnahe Angeifergruppen verkaufen. "Die Lage ist exponentiell gefährlich", resümiert die Threat-Intelligence-Forscherin.

Zur Abwehr solcher Angriffe empfiehlt man bei Venafi, sich an den Empfehlungen zu orientieren, die die US-Behörde NIST (National Institiute of Standards and Technology) zum Umgang mit SSH herausgegeben hat. Ein wichtiger Schritt sei es hier, SSH-Listen nicht mehr händisch zu verwalten, sondern deren Management zu automatisieren - zum Beispiel eben mit Lösungen, wie sie Venafi offeriert.

Laut Venafi-Angaben arbeitet man in der Branche zudem an Zertifikaten für SSH, wie sie bereits von TLS-/HTTPS-geschützten Websites bekannt sind. Solche Zertifikate könnten sicherstellen, dass SSH-Zugänge nach einer bestimmten Zeit verfallen, sofern das Zertifikat nicht erneuert wird. Dies würde das Problem unbegrenzt gültiger SSH-Zugänge abstellen.

Auf Produktseite neu bei Venafi: Die SaaS-Lösung Venafi.cloud ist im Open-Beta-Stadium, man beginnt mit Services rund um TLS. Ziel sind Großunternehmen, die das TLS-Management auslagern wollen. Zudem besteht laut Kevin Bocek, Vice President Security Strategy and Threat Intelligence bei Venafi, inzwischen eine Kooperation mit HashiCorp: Öffentliche vertrauenswürdige Zertifikate seien nun mittels Venafi Secrets Engine for Vault direkt aus der HashiCorp-Lösung Vault heraus zugänglich. Des Weiteren gebe es eine Kooperation mit dem deutschen Security-Consulting-Haus Accessec, um Bosch-PLCs (Programmable Logic Controller, speicherprogrammierbare Steuerung) mit Sicherheitszertifikaten auszustatten. Dies soll helfen, vernetzte Industrieumgebungen besser zu schützen.

Weitere Informationen finden sich unter www.venafi.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Kaspersky-Analyse: Cloud Atlas nutzt jetzt polymorphe Malware
60 Prozent mehr Angriffe auf das Gesundheitswesen
Unternehmen im Visier von Emotet und TrickBot

Verwandte Artikel

APT

Cybercrime

Malware