>
Research (Insikt)

Der Netzwerkzugriff Ihres Unternehmens ist entscheidend: So können Sie dagegen vorgehen Bericht

Veröffentlicht: 30. Oktober 2019
Von: Insikt Group

insikt-group-logo-aktualisiert-2.png

Klicken Sie hier , um die komplette Analyse als PDF herunterzuladen.

Die Insikt Group nutzte die Recorded FutureⓇ-Plattform, um tiefere Einblicke in die Monetarisierungsmechanismen für unbefugten Zugriff zu erhalten und durch den Einsatz von Sicherheitsinformationen umfassende Strategien zur Risikominderung für die Bekämpfung unbefugter Zugriffe zu entwickeln. Dieser Bericht ist für Unternehmen von Interesse, die sich Sorgen über unbefugten Zugriff und entsprechende Methoden zur Risikominderung machen.

Executive Summary

In der Vergangenheit waren Pay-per-Install -Dienste (PPI) für die Betreiber kommerzieller Botnetze der wichtigste Weg, um in der Untergrundwirtschaft (UE) Geld zu verdienen . Während Botnetze weiterhin PPI-Dienste versorgen, zeigen die Daten von Recorded Future, dass die Zahl der Angebote für unbefugten Zugriff zunimmt, was auf größere Monetarisierungsmöglichkeiten durch Direktverkäufe oder Auktionen in Untergrundforen zurückzuführen ist.

Basierend auf einer Analyse von Recorded Future geht die Insikt Group mit mittlerer Sicherheit davon aus, dass die Nachfrage nach direktem, unbefugtem Zugriff in der EU weiter steigen wird, was zu einer Zunahme opportunistischer und gezielter Angriffe führen wird. Nach der Beobachtung von Verkäufen und Auktionen in Foren in der EU und der Kommunikation mit Bedrohungsakteuren geht die Insikt Group davon aus, dass der erste unberechtigte Zugriff (der in Untergrundforen verkauft wird) hauptsächlich durch Phishing, die Wiederverwendung von Anmeldeinformationen, die Platzierung von Web-Shells oder die Ausnutzung falsch konfigurierter oder anfälliger Software erfolgt.

Wichtige Urteile

  • Werbung für Pay-per-Install-Dienste (PPI) und der Direktverkauf von nicht autorisiertem Zugriff haben sich im Jahr 2017 mehr als verdreifacht und nehmen im Laufe der Zeit weiter zu.

  • Ebenso hat sich die Anzahl eindeutiger Spitznamen, die für PPI-Dienste und unbefugten Zugriff werben, im Jahr 2017 mehr als verdreifacht und ist gegenüber dem Vorjahr gestiegen.

  • Angesichts der jährlichen Zunahme beim Verkauf unberechtigter Zugriffe sind Kriminelle zu dem Schluss gekommen, dass sie ihre Gewinne durch den Verkauf an andere Kriminelle maximieren können, sei es im Rahmen von Einzelverkäufen oder Auktionen.

  • Im öffentlichen Sektor und in Unternehmen wird es wahrscheinlich zu einem Anstieg gezielter und opportunistischer Angriffe kommen, da immer mehr Akteure versuchen, die Nachfrage nach spezifischen, nicht autorisierten Netzwerkzugriffen zu befriedigen.

  • Informationssicherheitsexperten müssen sich auf die Verhinderung und Erkennung der vier Hauptmechanismen konzentrieren, die zu einem ersten unbefugten Zugriff führen: Phishing, Wiederverwendung von Anmeldeinformationen, Platzierung von Web-Shells und Ausnutzen bekannter Software-Schwachstellen.

Vermessung_des_Untergrunds-1.jpg

Hintergrund

Die Untergrundwirtschaft (UE) ist die Gesamtheit aller Online-Akteure und Technologien, die den Kauf, Verkauf und Handel mit kriminellen Waren und Dienstleistungen ermöglichen. Die EU hat ständig Neuerungen eingeführt und sich weiterentwickelt, um ihre Gewinne zu maximieren und einer Strafverfolgung zu entgehen. In der Vergangenheit konzentrierte sich die EU vor allem auf die Beschaffung und Monetarisierung gestohlener Zahlungskartendaten. Im Jahr 2007 entstand jedoch mit der Einführung vielseitiger HTTP-basierter Botnetze wie Zeus ein beliebtes Nebengewerbe namens Pay-per-Install (PPI).

Netzwerkzugriffsanalyse-1-2.png

Das Pay-per-Install (PPI)-Ökosystem.

PPI basiert auf automatisierten Plattformen, auf denen Käufer für den unbefugten Zugriff auf die Computer der Opfer bezahlen, um Malware-Payloads und/oder andere potenziell unerwünschte Anwendungen (PUA) zu installieren. Der für jeden kompromittierten Computer verlangte Preis hängt normalerweise von der Käufernachfrage in dem Land ab, in dem sich die betroffenen Computer befinden. PPI-Plattformen (auch als Affiliate-Netzwerke bekannt) sind natürliche Drittanbieter-Kanäle zur Monetarisierung großer Infektionen (Botnets oder Exploit-Kits). Das PPI-Modell ist unkompliziert, doch die Verwendung einer PPI-Plattform birgt Risiken für Botnetzbetreiber, da die Installationsstatistiken absichtlich ungenau sind und dadurch die Gewinne des PPI-Plattformbesitzers steigen.

Ebenso sind PPI-Plattformen praktische Mechanismen für Käufer, um schnell auf eine große Anzahl kompromittierter Computer zuzugreifen und weitere Payloads wie Banking-Trojaner, Ransomware, Adware oder Spyware zu installieren. Das PPI-Modell behandelt alle Infektionen/Kompromittierungen als generische Ware, unabhängig von der Opferorganisation – staatlich, unternehmensweit oder privat. Traditionell ist die geografische Lage der einzige Preisunterschied.

Netzwerkzugriffsanalyse-2-1.png

Werbung für Pay-per-Install (PPI)-Dienste im kriminellen Untergrund. (Quelle: Aufgezeichnete Zukunft)

Umgekehrt erkennen die Akteure der EU, dass der unbefugte Zugriff auf bestimmte Arten von Systemen ein erhöhtes Monetarisierungspotenzial bedeuten kann. Akteure verkaufen (oder versteigern) unbefugten Zugriff direkt über UE-Foren, was zwar mehr Zeit und Geduld erfordert, aber profitabler ist als herkömmliche PPI-Dienste.

Die Unterschiede im Monetarisierungspotenzial sind gravierend. Ein Akteur, der in der Lage ist, Malware auf 1.000 Geräten zu installieren, kann von einem PPI-Dienst eine Zahlung zwischen 0,05 und 0,20 US-Dollar pro Infektion erwarten (abhängig vom geografischen Standort der infizierten Hosts). Selbst am oberen Ende der Spanne beträgt der tägliche PPI-Umsatz 200 US-Dollar (6.000 US-Dollar pro Monat). Dieses Modell behandelt jede Infektion als generisches Produkt, unabhängig davon, wo die Infektion auftritt.

Umgekehrt lässt sich der Umsatz maximieren, wenn der Zugriff auf ein System oder Netzwerk (häufig ein namhaftes Unternehmen oder eine Regierungsbehörde) direkt verkauft oder versteigert wird. Beispielsweise verkauft die Fxmsp Group regelmäßig unbefugten Zugriff und erhält für den Zugriff auf eine einzige Organisation oft 20.000 US-Dollar.

Netzwerkzugriffsanalyse-3-1.png

Verkauf spezifischer Netzwerkzugriffe zu höheren Preisen. (Quelle: Aufgezeichnete Zukunft)

Bedrohungsanalyse

Zunehmender PPI und Werbung mit unberechtigtem Zugriff

Die historischen UE-Daten von Recorded Future zeigen seit 2016 einen Anstieg sowohl des PPI als auch der Werbung mit unberechtigtem Zugriff im Vergleich zum Vorjahr. Die folgenden Diagramme veranschaulichen die zunehmenden Werbetrends, die sich unserer Erwartung nach auch im Jahr 2019 fortsetzen werden (die Daten dieses Jahres wurden im August erhoben). Die Messwerte sind konsistent, wenn sie anhand des Anzeigeninhalts und auch anhand des eindeutigen Autorennamens gemessen werden.

Um Daten zu Verweisen auf Underground-Foren und zu deren Autoren zu sammeln, erstellte die Insikt Group Abfragen für Erwähnungen von „PPI“ und „unbefugtem Zugriff“ auf der Recorded Future-Plattform. Die Abfragen wurden auf Basis gängiger Entitäten im Zusammenhang mit PPI-Verkäufen oder unberechtigtem Zugriff auf Systeme sowie anhand von Textübereinstimmungen für verschiedene Verkaufsbedingungen in mehreren Sprachen durchgeführt. Durch die Änderung vorhandener Abfragen wurden Falschmeldungen aus dem Datensatz entfernt. Beispielsweise war die Verkaufssprache im Zusammenhang mit dem „Zugriff auf“ Kartenprüfwerte ein häufiger falscher Positivbefund bei mehreren Abfragen. Daher wurden die Abfragen geändert, um diese Referenzen absichtlich auszuschließen.

Netzwerkzugriffsanalyse-4-1.png

Beispiel einer Abfrage für unberechtigten Zugriff. (Quelle: Aufgezeichnete Zukunft)

Netzwerkzugriffsanalyse-5-1.png

Beispiel einer englischen PPI-Abfrage. (Quelle: Aufgezeichnete Zukunft)

Um zusätzlich die Anzahl der Akteure zu zählen, die entweder PPI oder unbefugten Zugriff erwähnen, und gleichzeitig die Zahl der Fehlalarme so gering wie möglich zu halten, führte die Insikt Group eine automatische Aggregation der Autorennamen aus mehreren Foren durch. Ähnliche Autorennamen mit mehr als fünf Buchstaben (die keine gängigen Wörterbuchwörter waren) und Beiträge in mehreren Foren, die sich ausschließlich auf PPI oder unberechtigten Zugriff bezogen, wurden aggregiert. Während es sich bei einigen dieser aggregierten Moniker möglicherweise nicht wirklich um denselben Akteur handelt, hat die Insikt Group mit mittlerer Sicherheit festgestellt, dass es sich bei der Mehrheit dieser Moniker um echte Positivwerte handelt, basierend auf doppelten Akteur-Monikern und Inhalten. Da die falschen Duplikate nicht mehr gezählt werden, stellt der Datensatz zudem eine potenzielle Untergrenze für die tatsächliche Anzahl von PPI-Verkaufsposts im Vergleich zu nicht autorisierten Zugriffen dar.

Netzwerkzugriffsanalyse-6-2.png

Anzahl der Autoren nach Jahr, die entweder unbefugten Zugriff oder PPI in kriminellen Untergrundforen erwähnen.

Anhand der Daten konnten wir die Anzahl der Autoren ermitteln, die von Januar 2014 bis September 2019 in Untergrundforen unbefugten Zugriff und PPI erwähnten. Die Zahl eindeutiger Spitznamen, die für PPI und unberechtigten Zugriff werben, hat stark zugenommen und die Zahl der Autoren von Januar bis September 2019 entspricht der Zahl der Autoren in den Vorjahren im gleichen Neunmonatszeitraum.

Netzwerkzugriffsanalyse-7-2.png

Anzahl der Posts pro Jahr, die entweder auf unbefugten Zugriff oder PPI in kriminellen Untergrundforen verweisen.

In ähnlicher Weise hat die Insikt Group von Januar 2014 bis September 2019 die Beiträge zu unbefugtem Zugriff und PPI in Untergrundforen gesammelt. Die Daten zeigen auch deutlich, dass die Anzahl der PPI-Anzeigen und Anzeigen für nicht autorisierten Zugriff stetig zunimmt.

Bedeutender globaler Zugriff

Basierend auf der von Recorded Future in Foren gesammelten Daten unbefugter Zugriffe geht die Insikt Group mit mittlerer Sicherheit davon aus, dass der Fokus der Angriffe größtenteils auf Unternehmen des öffentlichen und/oder privaten Sektors liegt und sich auf Organisationen auf der ganzen Welt auswirkt. Seit Insikt im Dezember 2016 über einen russischsprachigen Kriminellen berichtete, der unbefugten Zugang zur US-Wahlhilfekommission (Election Assistance Commission, EAC) verkaufte, beobachtet die Insikt Group regelmäßig den Verkauf unbefugter Zugänge im kriminellen Untergrund. Nachfolgend finden Sie eine Auswahl bemerkenswerter Verkäufe oder Auktionen, basierend auf der beworbenen Zugriffsebene und dem Potenzial für negative Auswirkungen auf die Organisation. Die von den meisten Akteuren beworbenen Zugänge sind regelmäßig vage und enthalten keine konkreten Namen von Opferorganisationen.

Anhand der Analyse der unten stehenden Verkaufsbeiträge, des Engagements der Bedrohungsakteure und der von der Insikt Group in den letzten vier Jahren durchgeführten Auktionen für unberechtigten Zugriff kann die Insikt Group mit mittlerer Sicherheit feststellen, dass die folgenden vier Angriffsvektoren (in keiner bestimmten Reihenfolge nach Wichtigkeit) die primären Methoden sind, die zum Erreichen des ersten unberechtigten Zugriffs verwendet werden.

  • Phishing

  • Wiederverwendung von Anmeldeinformationen

  • Platzierung der Web-Shell

  • Ausnutzen einer bekannten Software-Sicherheitslücke

Datum Schauspieler Zugang
Dezember 2016 Rasputin US-Wahlhilfekommission (EAC)
Oktober 2017 Ein gewalttätiger Gott Eine US-Nachrichten-Website mit zwei Millionen Lesern
Dezember 2017 Freundlich unfreundlich 540 Web-Shells von US-Medienunternehmen und 15 Admin-Panels von EU-Medienressourcen (22.000 US-Dollar)
Juni 2018 Maklaud Verkehrsdatenbanken der Moskauer Polizei (25.000 $)
Dezember 2018 Zifus 300 italienische E-Commerce-Web-Shells (3.000 $)
Januar 2019 Wolfram Asiatische E-Commerce-Website (10.000 $)
März 2019 asadi64 Remote Desktop Protocol (RDP)-Zugriff auf ein großes US-Ölunternehmen
März 2019 BigPetya (Fxmsp) Asiatischer Automobilhersteller
April 2019 weste VNC-Zugriff auf 22 Computer in neun verschiedenen US-Hotels
April 2019 Aaaakkkka Interner Kreditcomputer einer italienischen Bank (2.000 $)
Mai 2019 Abonnieren Web-Shell-Zugriff auf eine Waffenfabrik
Juni 2019 truniger RDP-Zugriff mit Administratorrechten auf eine italienische Gemeinde
Juni 2019 Stil Customer-Relationship-Management-System (CRM) einer neuseeländischen Investmentfirma (10.000 $)
Juni 2019 AD0 Unternehmensnetzwerk eines internationalen Online-Händlers (25.000 $)
Juni 2019 Aaaakkkka Verkauft Zugang zum Server eines nicht näher bezeichneten Energieversorgers (600 $)
August 2019 SHERIFF Administratorzugriff auf die Datenbank eines großen australischen Bauunternehmens (12.000 $)
August 2019 B.Gesucht Domänenadministratorrechte für ein Netzwerk mit 19.000 PCs in 20 Gesundheitskliniken in Louisiana
August 2019 bc.monster Das Netzwerk eines US-Energiekonzerns
August 2019 johnsherlock, Infoshell SSH-Zugriff (Secure Shell) auf das Netzwerk eines multinationalen Gesundheitsunternehmens
August 2019 -TMT- Administrativer Zugang zum Netzwerk einer brasilianischen Hypermarktkette
August 2019 VincentVega Großes chinesisches Finanzunternehmen (5BTC)
September 2019 Katavasya Neuseeländische E-Commerce-Site für Schusswaffen und Munitionszubehör
September 2019 Antony Moricone, (Fxmsp) Unternehmensnetzwerk eines deutschen Herstellers dekorativer Beleuchtung, einschließlich 10 Domänencontrollern
September 2019 Juventus1 Administratives Webpanel einer asiatischen Fluggesellschaft
September 2019 Gabriele1 Netzwerk (mit über tausend Computern) eines US-amerikanischen Öl- und Gasexplorationsunternehmens (24.000 US-Dollar)
September 2019 OS-Version: Antiviren-Website mit hohem Datenverkehr (8.000 $)

 

Auswahl an Auktionen und Verkäufen ohne autorisierten Zugriff. (2016–2019)

Profilerstellung für zwei Verkäufer mit unberechtigtem Zugriff: VincentVega und Fxmsp

Die folgenden beiden Fallstudien veranschaulichen das Monetarisierungspotenzial sowohl des gezielten als auch des opportunistischen Zugriffs.

VincentVega

VincentVega, Mitglied eines bekannten russischsprachigen kriminellen Untergrundforums, ist ein Paradebeispiel für einen Akteur, der sich opportunistischen Zugang zunutze macht. Der Akteur hatte sich Zugang zu einer der größten Investmentbanken und Sicherheitsfirmen Chinas verschafft (Bericht zum Umsatz 2015: 37,6 Milliarden RMB), indem er auf internetfähigen Systemen einen ungerichteten Brute-Force-Angriff auf RDP ausführte.

Netzwerkzugriffsanalyse-8-1.png

VincentVega wirbt für den Zugang zum internen Netzwerk eines chinesischen Unternehmens. (Quelle: Aufgezeichnete Zukunft)

Im August 2019 bewarb VincentVega einen externen Fernzugriff auf das lokale Netzwerk eines großen chinesischen Unternehmens für fünf Bitcoin. In seinem Beitrag behauptete der Akteur, er habe sich zunächst Zugang zum Netzwerk verschafft, indem er IPs mit RDP-Zugriff per Brute-Force-Angriff geknackt habe. Sie gaben an, dass das lokale Netzwerk 20.000 funktionierende lokale IPs enthält, von denen etwa 865 über RDP-Zugriff verfügen, während 500 der betroffenen Hosts auch über Administratorzugriff verfügen. In ihrem Beitrag gaben sie an, den Zugang zu verkaufen, weil sie zwar wüssten, dass dieser wertvoll sei, jedoch nicht wüssten, wie sie ihn monetarisieren könnten.

Aufgrund dieser zugegebenermaßen unbekannten Tatsachen geht die Insikt Group davon aus, dass VincentVega bei einem ungezielten Versuch, IPs mit schlecht passwortgeschützten RDP-Diensten zu finden, auf das Unternehmen gestoßen ist. Als der Angreifer sich jedoch erst einmal im Firmennetzwerk befand, erkannte er, dass es je nach Größe und Funktionalität des Netzwerks zahlreiche Möglichkeiten gab, den Zugriff auf das Netzwerk zu monetarisieren und zu verkaufen.

Fxmsp-Gruppe

Die Fxmsp Group hingegen ist ein klares Beispiel dafür, wie ein Unternehmen durch unbefugte Eindringversuche in großem Maßstab einen hohen Profit erzielen kann. Bei der Gruppe handelt es sich um ein russisch- und englischsprachiges Kollektiv cyberkrimineller Täter, die es auf eine große Bandbreite von Opfern weltweit abgesehen haben und diesen unberechtigten Netzwerkzugriff verkaufen. Dazu zählen Unternehmen aus dem Finanzsektor, dem E-Commerce-Bereich, der Industrie und staatliche Institutionen. Die Fxmsp Group kompromittiert häufig große Mengen an Netzwerken, um sie an andere Cyberkriminelle weiterzuverkaufen. Seit 2017 ist die Fxmsp Group in globale Unternehmens- und Regierungsnetzwerke eingedrungen und hat den unbefugten Zugriff anschließend für Beträge zwischen einigen Hundert und über 100.000 US-Dollar verkauft.

Netzwerkzugriffsanalyse-9-1.png

Beiträge von Nikolay von der Fxmsp Group, der Zugang zu Netzwerken verschiedener Organisationen verkauft.

Die Fxmsp Group zeigt Geduld und Koordination unter den Teammitgliedern. Dem Akteur mit dem Spitznamen „Fxmsp“ wird vorgeworfen, Netzwerke kompromittiert zu haben, während die Akteure mit den Spitznamen „Lampeduza“, „Antony Moricone“, „Nikolay“, „BigPetya“ und anderen für die Maximierung der Monetarisierung durch unbefugten Zugriff verantwortlich sind.

Wir gehen mit mittlerer Sicherheit davon aus, dass die Fxmsp Group versucht, unbefugten Zugriff über ein Netzwerk privater Kontakte zu monetarisieren, bevor sie quasi-öffentlich einen Verkaufsthread oder eine Auktion für einen größeren Käuferkreis erstellt. Dies lässt darauf schließen, dass die von der Fxmsp Group initiierten Forenauktionen nur einen Bruchteil der verfügbaren unbefugten Zugriffe ausmachen, die die Fxmsp Group zu einem bestimmten Zeitpunkt zu Geld zu machen versucht.

Ausblick

Wir gehen davon aus, dass die Zahl der unbefugten Zugriffe und Direktverkäufe mit vermeintlichem Nutzen für das Opfer in absehbarer Zukunft weiter zunehmen wird. Malwarespezifische PPI-Partnerdienste werden in der EU weiterhin kriminellen Wert bieten, allerdings sind Malware-Infektionen im PPI-System weniger profitabel als opportunistischer und gezielter unbefugter Zugriff.

Fachleute für Informationssicherheit sollten sich auf die Implementierung und Überprüfung präventiver Best Practices in Verbindung mit internen proaktiven Erkennungsbemühungen im Hinblick auf die folgenden vier primären Methoden zur Schaffung eines ersten unbefugten Zugriffs konzentrieren: Phishing, Wiederverwendung von Anmeldeinformationen, Platzierung von Web-Shells und Ausnutzen von Sicherheitslücken.

Risikominimierung

Sicherheitsinformationen sind erforderlich, um mithilfe von Methoden zur Bedrohungssuche schnell den ersten unbefugten Zugriff zu erkennen. Diese Methoden sollten mit der Zeit erweitert werden, da die Praktiker ihre Kenntnisse über die Taktiken des Gegners und die interne Netzwerkumgebung erweitern. Eine neue Methodik sollte zu einer kontinuierlichen Jagdimplementierung über einen Automatisierungs-/Orchestrierungs-Workflow (SOAR) führen. Dieser Abschnitt enthält Empfehlungen zur Risikominderung für die vier wichtigsten Erstzugriffsmethoden der Insikt Group.

Phishing

So vermittelt beispielsweise die Überprüfung von E-Mail-Inhalten und Anhängen, die von einem E-Mail-Sicherheitsgateway unter Quarantäne gestellt wurden, ein grundlegendes Bewusstsein für die Taktiken der Gegner, die in der Vergangenheit fehlgeschlagen sind, und liefert zugleich wertvolle Beispiele dafür, bei welchen Modifikationen abgeleiteter Techniken in Zukunft Erfolg haben könnten. Eine E-Mail-Sicherheitsanwendung kann so konfiguriert werden, dass sie bestimmte eingehende Dateianhänge1 (beispielsweise „hta“ – ausführbare HTML-Datei) blockiert, bösartige E-Mails mit Links zu Websites von Drittanbietern werden jedoch nicht blockiert.

Der Schwerpunkt einer Phishing-Jagdmethode würde in diesem Fall daher auf der Identifizierung neuer Domänen liegen, die wahrscheinlich für Phishing verwendet werden (Inhalt des E-Mail-Texts), und zwar auf der Grundlage der lexikalischen Nähe der Domäne zu gängigen Domänen von Cloud-Anbietern (wie etwa DocuSign, Google Mail-Diensten, Microsoft Office365, Amazon Storage usw.). Sicherheitsinformationen liefern neue Domänenkandidaten, die dann zur Verbesserung der Inhaltsprüfung und -erkennung des E-Mail-Sicherheitsgateways in der DNS-Telemetrie oder der Auflösung von Web-Proxy-Geräten verwendet werden sollten.

Netzwerkzugriffsanalyse-10-1.png

Aufgezeichnete Future-Abfrage zur Identifizierung neuer Phishing-Domänen.

Wiederverwendung von Anmeldeinformationen

Wachsamkeit beim Asset-Management und das Entfernen internetseitiger Systeme, auf denen Anwendungen ohne Multi-Faktor-Authentifizierung laufen, ist eine gute Hygienemaßnahme, um die Wiederverwendung von Anmeldeinformationen und im Fall von RDP Brute-Force-Angriffe zu verhindern. Sicherheitsinformationen verringern das Risiko der Wiederverwendung von Anmeldeinformationen durch Angreifer, indem sie kompromittierte Anmeldeinformationen, vor allem aus Datenbankverletzungen, an die Oberfläche bringen. Der entsprechende SOAR-Workflow sollte Active Directory nach Benutzern durchsuchen, die mit neu entdeckten Anmeldeinformationssätzen übereinstimmen. Immer wenn in einem Anmeldeinformationssatz ein gültiger Benutzer gefunden wird, wird eine Kennwortzurücksetzung eingeleitet.

Platzierung der Web-Shell

Angreifer platzieren Web-Shells auf Webservern üblicherweise über eine Software-Sicherheitslücke oder eine Fehlkonfiguration. Eine Web-Shell umgeht häufig eine Web Application Firewall (WAF) und ermöglicht eine langfristige Persistenz auf einem oder mehreren Webservern. Angreifer nutzen Web-Shells, um Informationsressourcen auszunutzen oder sich unbefugten Zugriff auf zusätzliche Systeme zu verschaffen. Sicherheitsinformationen sind eine wichtige Komponente der Web-Shell-Suche, die eine kontinuierliche Identifizierung neuer Web-Shells und die Bewertung zugehöriger Funktionen erfordert. Beispielsweise verwenden ältere Web-Shells die grundlegende, Formular- oder Digest-HTTP-Authentifizierung, die in der Netzwerktelemetrie problemlos identifiziert werden kann (Zeek ist ein wertvolles Open-Source-Tool zum Parsen und Analysieren von Netzwerkprotokollen).

Darüber hinaus sind YARA-Regeln eine weitere Open-Source-Ressource zum Identifizieren bestimmter Web-Shells basierend auf Dateibedingungen (normalerweise Zeichenfolgen).

Netzwerkzugriffsanalyse-11-1.png

Neue Web-Shells auftauchen. (Quelle: Aufgezeichnete Zukunft)

Ausnutzen einer bekannten Software-Sicherheitslücke

Die kontinuierliche Priorisierung und Ausführung von Patches in einer Unternehmensumgebung ist eine Herausforderung, aber Sicherheitsinformationen können hilfreich sein, indem sie neue Schwachstellen aus der Zeit vor NVD aufdecken und vorhandene Schwachstellen verbessern, insbesondere bei Hinweisen auf eine Ausnutzung „in freier Wildbahn“.

Netzwerkzugriffsanalyse-12-1.png

Zusätzlicher Kontext zu Schwachstellen bereitgestellt durch Recorded Future Intelligence Cards ™ . (Quelle: Aufgezeichnete Zukunft)

Fußnoten

Verwandt