Kriminelle bevorzugen Phishing als Erstzugriffsmethode und nutzen legale Tools für unauffällige Angriffe auf sensible Systeme, wie eine aktuelle Studie herausfand.
shutterstock – Olivier Le Moal
Der Missbrauch legitimer privilegierter Zugänge (legitimate privileged access) nimmt zu . Wie der Cisco Talos‘ Jahresrückblick 2024 herausfand, nutzten Angreifer immer öfter gestohlene Identitäten für ihre Attacken, darunter auch Ransomware-Erpressungen. Dafür missbrauchen die Hacker
- Anmeldedaten,
- Tokens,
- API-Schlüssel und
- Zertifikate.
Angriffe dieser Art waren zuletzt für über die Hälfte aller Sicherheitsverletzungen verantwortlich. Gestohlene Zugangsdaten ermöglichten Angreifern initialen Zugang zu Systemen ihrer Opfer und dort intern weitere laterale Bewegungen. In über 60 Prozent der untersuchten Cyber-Vorfälle wurden Identitäten kompromittiert, bei Ransomware sogar in sieben von zehn Fällen.
Erstzugang mit gültigen Konten
Ransomware-Banden nutzen Cisco zufolge gestohlene Anmeldedaten für den Erstzugang zu Netzwerken, oft über Initial Access Broker (IABs). Diese Daten werden im Dark Web schon ab zehn Dollar verkauft, hochwertige Zugänge können allerdings bis zu 3.000 Dollar kosten. Infostealer-Malware extrahiert hierfür Passwörter, Session-Tokens und Zertifikate von infizierten Geräten. Der Vorteil gestohlener Anmeldedaten liegt darin, dass sie einfacher zu nutzen sind als Schwachstellen oder von manipulierten Nutzern installierte Malware.
Laut dem Bericht
- nutzte jeder Fünfte Ransomware-Angreifer bekannte Schwachstellen,
- 12 Prozent erfolgten opportunistisch und
- Phishing war mit fast 25 Prozent eine der häufigsten Erstzugriffsmethoden.
Angreifer tarnen sich hierfür als bekannte Marken wie Microsoft, Apple oder Amazon beziehungsweise unternehmensspezifische Dienste wie DHL, Confluence oder SharePoint Online.
Die häufigste Phishing-Technik basiert auf bösartigen Links mit 58 Prozent, gefolgt von infizierten Anhängen in einem Viertel der Fälle und Voice-Phishing mit 17 Prozent.
Legale Tools für laterale Bewegungen
Angreifer mit kompromittierten Zugangsdaten können sich oft unauffällig im Netzwerk bewegen und so nach und nach auf verschiedene interne Systeme zugreifen. Fast die Hälfte der Identitätsangriffe zielte auf Active Directory (AD), ein Fünftel auf Cloud-Anwendungen.
Das Tool Mimikatz wird hierfür häufig verwendet, um Anmeldeinformationen zu extrahieren. Angreifer nutzen darüber hinaus legale Tools wie PsExec, AnyDesk sowie das Remote Desktop Protocol (RDP) für laterale Bewegungen. Sie zielen auf Local-Security-Authority-Subsystem-Service- (LSASS-)Daten, SAM-Datenbanken und zwischengespeicherte Anmeldeinformationen ab. Hierfür missbrauchen sie auch Techniken wie DCSync, um Zugriff auf Domänen-Controller zu erlangen.
API-Schlüssel und Sitzungstokens als neue Angriffsziele
Als die am weitesten verbreitete Authentifizierungs- und Autorisierungslösung in der Unternehmens-IT ist das Active Directory (AD) eine Goldgrube für Angreifer. Für Unternehmen ist es daher von entscheidender Bedeutung, bei der Konfiguration und dem Entwurf von Sicherheitsrichtlinien für Active Directory die Best Practices der Branche zu befolgen.
Zu verhindern gibt es viel: Angreifer nutzen zum Beispiel die Verknüpfung von Azure Active Directory mit lokalen AD-Installationen, um zwischen Cloud- und lokalen Netzwerken zu wechseln und erweitern die zu schützenden Anmeldeinformationen um API-Schlüssel und Sitzungstokens.
Tools wie ROADtools und AAAInternals ermöglichen es den Kriminellen zudem, Microsoft Entra ID-Umgebungen zu durchsuchen und Befehle auszuführen. Hacker missbrauchen darüber hinaus fehlende oder falsch konfigurierte MFA, etwa durch Push-Spray-Angriffe (MFA-Bombing) oder Phishing-Kits, die Opfer zur Eingabe von MFA-Codes verleiten.
100.000 „Gehilfen“ durch kompromittiertes Administratorkonto
In einem von Talos IR untersuchten Beispiel kompromittierten Cyberkriminelle eine Universität mit mehr als 100.000 Nutzern: Sie brachten einen Systemadministrator dazu, auf einen Authentifizierungslink zu klicken, der das Device des Angreifers zur MFA-zugelassenen Liste der Universität hinzufügte.
Das Administratorkonto war durch einen früheren Einbruch oder IAB bereits kompromittiert. Die Hacker nutzten das Konto, um unter anderem Phishing-E-Mails zu versenden. Ein weiteres Risiko war die hohe Anzahl an Administrator-Konten von externen Auftragnehmern, die offen im Zugriff der Cybergangster lagen.
Ein weiterer Unsicherheitsfaktor sind zudem mehr und mehr KI-gestützte Phishing-Techniken, welche Angriffe zunehmend raffinierter und schwerer erkennbar machen.
MFA für alle Konten
Die Experten empfehlen deshalb, MFA für alle Konten zu aktivieren, insbesondere bei VPN-Konten, und weisen darauf hin, dass MFA korrekt konfiguriert und verdächtige Aktivitäten überwacht werden müssen. Zudem sollten Unternehmen Benutzer über MFA-Erschöpfungsangriffe aufklären, strengere Schwellenwerte für MFA-Anfragen einführen und höhere Sicherheitsfaktoren wie Challenge-Response-Authentifizierung aktivieren.
Die Registrierung neuer MFA-Geräte sollte zudem kontinuierlich überwacht und strengeren Richtlinien unterzogen werden.