Wie ExeonTrace helfen kann, den Microsoft Exchange-Hack zu erkennen
Mehr als hunderttausend Microsoft Exchange Server wurden weltweit gehackt, wobei die DACH-Region besonders betroffen zu sein scheint. Dieser Artikel erklärt, wie ExeonTrace dabei helfen kann, das Eindringen durch automatisierte und manuelle Netzwerkanalyse zu erkennen.
Ein Überblick über den Microsoft Exchange-Hack
Microsoft berichtet in den letzten Tagen über einen massiven Angriff auf seinen Exchange Server. Angreifer sind über vier Sicherheitslücken erfolgreich in die Microsoft Exchange Server-Versionen 2013 bis 2019 eingedrungen. Obwohl das Ausmaß des Angriffs noch nicht bekannt ist, dürfte er Hunderttausende von Unternehmen weltweit betreffen. Dies macht ihn zu einem der bedeutendsten Angriffe, die es bisher gab. Schlimmer noch, laut Kasperskys IT-Sicherheitsexperten gehören Deutschland und die Schweiz zu den am stärksten betroffenen Ländern.
Den Hackern ist es gelungen, in die betroffenen Systeme einzudringen und sogenannte Web-Shells zu installieren. Über diese können sie auch nach den Sicherheitspatches auf die Exchange-Server und Mails zugreifen. Gefährlich ist, dass die Angreifer die Web-Shell nutzen können, um weitere Malware-Tools wie PowerShell-Skripte, Mimikatz oder Cobalt Strike im Unternehmensnetzwerk zu installieren. Dadurch sind die Opfer der Gefahr ausgesetzt, dass sich die Angreifer im gesamten Netzwerk ausbreiten, Daten kompromittieren, stehlen und gegen Lösegeld verschlüsseln (Ransomware-Angriff), während sie vorrücken.
Das Ausmaß des Angriffs hat ein noch nie dagewesenes Ausmaß. Seriöse Sicherheitsmedien berichten, dass die Web-Shell mit hoher Wahrscheinlichkeit auf Servern installiert wurde, selbst wenn sie noch am Tag der Ankündigung gepatcht wurden. Diejenigen, die noch nicht gepatcht haben, werden mit hoher Wahrscheinlichkeit von dem Angriff betroffen sein.
Angesichts dieser kritischen Situation hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) eine [Notfallanweisung] (https://www.cisa.gov/ed2102) herausgegeben: Alle zivilen und von der Regierung betriebenen Microsoft Exchange-Server sollten sofort aktualisiert oder, falls erforderlich, von den Systemen getrennt werden.
Wie ExeonTrace helfen kann, kompromittierte Server zu erkennen
Obwohl der Angriff sehr weit fortgeschritten ist, kann ExeonTrace helfen, das Eindringen zu erkennen. Die Erkennung stützt sich auf zwei Funktionen von ExeonTrace:
Automatisierte Analyse des Netzwerkverkehrs
ExeonTrace verfügt über mehrere Modelle zur Erkennung von unregelmäßigen Datenflüssen und Mustern, die auftreten, wenn Angreifer versuchen, sich innerhalb eines Netzwerks auszubreiten (interne Erkundung, seitliche Einschleusung und Datenexfiltration). Wir empfehlen, die von ExeonTrace ausgelösten Alarme für vor Ort installierte Microsoft Exchange Server mit höchster Priorität zu behandeln. Typische Anomalien sind:
- Vertikales Scannen (Fluss)
- Horizontales Scannen (Durchfluss)
- Neue interne Dienste und neue eingehende Verbindungen (Fluss)
- Ausgehende Verbindungen zu neuen Ports/Servern/Diensten (Fluss)
- Bytes an externen Endpunkt (Fluss)
- Befehl und Kontrolle (Proxy)
- DNS-Volumen (Proxy & DNS)
- Domänenerzeugungsalgorithmus (Proxy & DNS)
Je nach den Anwendungen, die auf den Exchange-Servern ausgeführt werden, können einige dieser Kommunikationsmuster für eine automatische Erkennung unbemerkt bleiben. Wir empfehlen daher dringend, zusätzlich zur automatischen Erkennung eine manuelle Analyse durch ExeonTrace durchzuführen.
Untersuchung der Kommunikationsmuster von Microsoft Exchange-Servern
Die Flussvisualisierung "Client-Server-Paare" ist für diese Untersuchung besonders leistungsfähig. Dort kann ein Analyst die Exchange-Server filtern, indem er ihre IPs in die Suchleiste oben auf der Seite eingibt. Wir empfehlen, die drei Verbindungsmatrix-Visualisierungen (interner Verkehr/ausgehender Verkehr/eingehender Verkehr) hinsichtlich der folgenden Aspekte zu überprüfen:
Client-Server-Paare - Intern:
- Gibt es Anzeichen für eine seitliche Bewegung? Zum Beispiel kommuniziert der Server mit anderen internen Geräten neu über SSh (Port 22/TCP), RCP (Port 135/TCP), SMB (Port 445/TCP), WinRm (Port 5985/TCP und 5986/TCP).
- Gibt es eine erhöhte Kerberos- (Port 88) oder LDAP-Aktivität?
Client-Server-Paare - Ausgehend:
- Stellt der Server als Client Verbindungen her, die nicht erklärt werden können?
Client-Server-Paare - Eingehend:
- Gibt es Verbindungen mit großen Mengen an ausgehenden Daten?
- Gibt es Verbindungen von Clients aus unerwarteten geografischen Regionen?
- Gibt es Verbindungen über Fernsteuerungs-/Verwaltungstools? Zum Beispiel das Remote Desktop Protocol (RDP) an Port 3389.
Zusammenfassend lässt sich sagen, dass ExeonTrace die Anomalien mit hoher Wahrscheinlichkeit automatisch erkennt, es sei denn, es gab bereits vor dem Angriff Anwendungen auf dem Exchange-Server, die ähnliche Datenströme erzeugen. Datenströme erzeugt haben, erkennt ExeonTrace die Anomalien mit hoher Wahrscheinlichkeit automatisch. Die zusätzliche manuelle Analyse des Exchange Servers durch die Verkehrsvisualisierung von ExeonTrace gibt Ihnen die zusätzliche Sicherheit.