Der Schlüssel zum Hacker-Glück

Wie sich Hacker unbefugten Zugang zu Microsoft-Konten verschafften, welche bösartigen Aktivitäten sie nun durchführen können und wie NDR Ihrem Unternehmen hilft, sich besser vor APTs zu schützen

Storm 0558 Hack Blog - Laptop Email Login.jpg

Einleitung: Der jüngste Cybervorfall bei Microsoft durch den Bedrohungsakteur Storm-0558

Im Frühsommer konnten sich Hacker Zugang zu E-Mail-Konten mehrerer Regierungsbehörden darunter auch einige in den USA und Westeuropa verschaffen: Bei diesem Advanced Persistent Threat (APT), über den auch Microsoft in seinem eigenen Blog berichtet, hatten äußerst raffinierte Angreifer, (der vermutlich in China ansässige Akteur Storm-0558), bereits über einen längeren Zeitraum Zugang zu E-Mail-Konten von etwa 25 Organisationen, darunter auch Regierungsbehörden erlangt. Die Gruppe hatte digitale Authentifizierungs-Tokens gefälscht, um auf Webmail-Konten zuzugreifen, die über den Outlook-Dienst von Microsoft laufen. Diese wurden zunächst eingesetzt, um auf Exchange Online und Outlook-Inhalte zugreifen zu können.

Der gestohlene Schlüssel ermöglicht Zugriff auf Microsofts Dienste in der Cloud

Die Hacker hatten einen gestohlenen privaten MSA-Schlüssel verwendet, um Sicherheitstokens zu fälschen und sich damit einen weitreichenden Zugang zu den Cloud-Diensten von Microsoft zu verschaffen. Sie nutzen dann die gefälschten, digitalen Authentifizierungstoken, um damit auf Webmail-Konten zuzugreifen, die über Outlook laufen, wobei sie einen Consumer Signing Key verwendeten.

Das ist passiert, Schritt für Schritt:

  1. Die Angreifer haben einen Signierschlüssel von Microsoft gestohlen.
  2. Mit diesem konnten sie sich dann –funktionierende- Zugriffstokens für Outlook Web Access (OWA) und Outlook.com ausstellen und E-Mails und Anhänge herunterladen.
  3. Ein Fehler bei der Plausibilitätsprüfung führte dann dazu, dass die digitale Signatur, die nur für Privatkundenkonten (MSA) gedacht war, auch im Azure Active Directory für Geschäftskunden funktionierte.
  4. Der gestohlene Schlüssel gewährt somit auch Zugriff auf einen Azure Active Directory (Azure AD oder AAD) OpenID-Signaturschlüssel und kann verwendet werden, um neben Outlook, Office, SharePoint und MS Teams, Zugriffstokens für Benutzerkonten für fast alle Microsoft-Cloud-Dienste zu erstellen.
  5. Der gestohlene Schlüssel wird nicht nur in Microsofts Exchange Online verwendet, sondern überall in der Microsoft-Cloud: Er kann alle OpenID v2.0-Zugangs-Tokens für Konten und Azure Active Directory-Anwendungen signieren.
  6. Es ist den Hackern nun also möglich, in alle Azure-AD-Instanzen einzudringen, die von Microsoft und seinen Cloud-Anwendungen verwendet werden, da sie den anderen AD-Instanzen ja “bekannt” sind und oft die "Anmeldung bei Microsoft" aktiviert haben.
  7. Der kompromittierte Schlüssel könnte sich nun auf alle Microsoft APPs auswirken.

Nun stellen sich natürlich mehrere Fragen:

  • Warum wurde das Problem so lange nicht entdeckt?
  • Warum war Microsoft nicht in der Lage, es zu beheben oder zu verhindern?
  • Warum hat kein SIEM, IAM oder Endpoint Security Alarm geschlagen?
  • Warum wurde der Vorfall erst entdeckt, als ein Kunde Microsoft über einen verdächtigen Login informierte, und warum ist sich der Softwareriese aus Redmond immer noch nicht zu 100% sicher, was wirklich passiert ist?
  • Was muss getan werden, um Systeme vor Vorfällen wie diesen zu schützen?

Storm 0558 Hack Blog - Office.jpg

Practice What You Preach!

Es gibt zwei Aspekte in dieser Geschichte. Erstens, was Microsoft hätte tun müssen, um Schaden von seinen Kunden abzuwenden? Dies warf US-Senator Ron Wyden Microsoft in einem Schreiben an die Leiter des US-Justizministeriums, der Cybersecurity and Infrastructure Security Agency und der Federal Trade Commission vor. Das Unternehmen hätte nur nicht über einen einzigen Hauptschlüssel verfügen sollen, der, wenn er gestohlen würde, dazu verwendet werden könnte, sich Zugang zu fast allen privaten Kommunikationsdaten seiner Kunden zu verschaffen; Microsofts Signierschlüssel hätten in einem Hardware-Sicherheitsmodul (HSM) gespeichert werden müssen, dessen Aufgabe es ja eben ist, den Diebstahl solcher Schlüssel zu verhindern. Und da der MSA-Schlüssel, der bei diesem Hack verwendet wurde, bereits 2016 erstellt wurde und 2021 ablief, hätte er bis dahin erneuert werden müssen (weil er bis heute bereits kompromittiert, worden sein könnte).

Die wichtigere Frage für die meisten von uns dürfte jedoch lauten: Was können Einzelpersonen und Unternehmen tun, um sich jetzt und in Zukunft gegen APTs, wie die von Storm-0558 zu schützen?

Nun, das Identitäts- und Zugriffsmanagement (IAM) spielt eine grundlegende Rolle in jedem Sicherheits-Stack, leider war die ständige Überprüfung der Identitäten der Benutzer in diesem Fall einer "gestohlenen Identität" zwecklos... Und selbst der Einfluss von Metainformationen, z.B. die Geolocation eines potenziellen Log-ins, konnte in diesem Fall durch die Verwendung einer gefälschten VPN-Adresse wohl umgangen werden.

IDS/IPS-Systeme sollen verdächtige oder unbefugte Aktivitäten wie den vorliegenden Angriff, aber auch Vireninfektionen, Mal- und Ransomware, Zero-Day-Angriffe und SQL-Injection u.ä. erkennen. Leider erkennt ein IDS/IPS nur Anomalien über bekannte Signaturen, z.B. Domains oder IP-Adressen, die bereits aufgelistet sind. Das heißt, man sollte wissen, wonach man sucht, sonst wird man nicht fündig. Wenn aber Domänen nicht zuvor als bösartig signiert wurden, werden herkömmliche Sicherheitslösungen nichts finden und Angreifer werden immer das schwächste Glied in der Kette erwischen.

Die Sicherheitslücke von Storm-0558 wurde schließlich durch eine langwierige Auswertung der Authentifizierungs-Protokolldateien durch Microsoft-Analysten gefunden.

Was bedeutet das für zukünftige Cybersicherheitssysteme von Unternehmen? Ein System zur Überwachung von Anwendungsprotokollen, dass die Protokolle aller Anwendungen überprüft und automatisch Anomalien oder verdächtige Aktivitäten in Echtzeit erkennt, könnte Anomalien erkannt haben, die von den Eindringlingen verursacht wurden. Außerdem ist eine Überwachung von Authentifizierungsprotokollen, um Authentifizierungsereignisse auf allen Systemen zu monitoren wichtig und ein SIEM, um diese Anmeldeaktivitäten zu korrelieren, zu analysieren, sowie um bei fehlgeschlagenen Anmeldeversuchen (ungewöhnliche Anmeldemuster und unbefugter Zugriff) umgehend auf potenzielle Sicherheitsbedrohungen zu reagieren. Das ungelöste Problem jeder SIEM-Lösung bleibt jedoch bestehen, nämlich die enorme Anzahl von Fehlalarmen und die Notwendigkeit, die Use-Cases vorher zu programmieren, um die Korrelation sichtbar zu machen.

Storm 0558 Hack Blog - Network Engineer in Data Centre.jpg

Was ist mit EDR?

Man könnte sagen: Wenn es Windows-Event-Logs gibt, auf die geschaut wird, sollte eine Alarmierung doch möglich sein oder nicht? Nun, beim EDR (Endpoint Detection and Response System) werden die Daten der Agenten jedes einzelnen Gerätes gesammelt. Das bedeutet aber, dass es eine Abhängigkeit von jedem einzelnen Agenten und seiner "Performance" gibt. Grundsätzlich gibt es leider verschiedene Techniken, um eine Erkennung durch das EDR zu vereiteln, indem etwa EDR-Erkennungsmechanismen unterlaufen- oder spezielle Techniken zur Umgehung bestimmter EDR-Systeme eingesetzt werden:

Die Bandbreite reicht hier von polymorpher Malware, die in der Lage ist, ihr Aussehen und ihr Verhalten ständig zu ändern, um so die Erkennung durch signaturbasierte EDR-Tools zu erschweren, Angriffe auf die EDR-Infrastruktur, bei denen Angreifer die EDR-Infrastruktur direkt angreifen, indem sie Schwachstellen in EDR-Agenten und Verwaltungskonsolen ausnutzen, um den EDR-Schutz zu deaktivieren, bis hin zu manuellen Angriffen mit maßgeschneiderten Malware-Techniken, Social Engineering und Phishing, um legitime Zugangsdaten für die EDR-Verwaltung zu erhalten. Sobald die Angreifer einen EDR-Agenten deaktivieren oder blockieren, wird das EDR blind, oder mit anderen Worten: Die EDRs liefern zwar Daten, aber nur so lange, wie ihre Agenten laufen.

Ein weiteres Problem für einen umfassenden Schutz via EDR ist, dass in kombinierten IT/OT-Umgebungen in Unternehmen oder etwa in Organisationen der Finanzbranche, geschützte Systeme üblich sind, so dass EDRs-Agenten hier überhaupt nicht installiert werden können. Schauen wir uns noch einmal an, wie die "Storm"-Hacker angegriffen haben: Es war ein Hack über Xlogs und Azure-Authentifizierungsprotokolle, der die Server kompromittierte, mit einer Konzentration auf Daten auf der Microsoft-eigenen Azure Public Cloud. Da die Überwachung und Überprüfung von Authentifizierungsprotokollen, die typischerweise für die Protokollierung von Daten verwendet werden, angepasst, geclustert und im Falle von Störungen alarmiert werden können, könnte ein Machine Learning basiertes Cybersicherheitssystem, das Anomalien auf der Grundlage von Modellen eines normalen und unauffälligen Datenverkehrs erkennt, einen Unterschied für künftige Angriffe machen.
Die Überprüfung von bereits korrumpierten Anwendungen und deren Kommunikation sowie die Erkennung von erlernten Unregelmäßigkeiten ist nur mit einer Machine Learning fähigen Network Detection and Response (NDR) Lösung wie ExeonTrace möglich: Sie überwacht den Datenverkehr im Netzwerk mithilfe von maschinellem Lernen und erkennt Anomalien, basierend auf Modellen eines normalen und unauffälligen Netzwerkverkehrs.

Reduzieren Sie den Vorsprung der Hacker mit maschinellem Lernen (ML)

Ein dynamisches, auf ML basierendes, NDR kann Angriffe aufspüren, ohne bereits vorher gespeicherte, bekannte "indicators of compromise" zu haben. Stattdessen sucht es nach verdächtigem Verhalten und erkennt es. Es liefert Daten von Switches, Firewall-Logs u.ä. und arbeitet ohne Agenten. Dies ermöglicht eine allgemeinere, breitere Detektion. Zum Beispiel im Falle einer internen Reconnaissance, bei der sich der Angreifer zunächst umschaut, was er angreifen kann, oder im Falle einer Erkennung von Lateral Movements, wenn sich der Angreifer bereits im Netzwerk bewegt, oder im Falle von bereits kompromittierten Servern: Ein NDR erkennt und warnt, bevor eine bösartige Aktion tiefer in das Netzwerk gelangt, also, bevor die Kommunikation stattfindet, bemerkt sie der Analyzer. Ein weiteres Beispiel ist die Erkennung eines bösartigen Command-and-Control-Kanals in den Proxy-Log-Daten.

Das maschinelle Lernen kann zwischen Benutzeraktivitäten und "nicht vom Benutzer ausgelösten" Aktivitäten unterscheiden und beide für die Erkennung herausfiltern. Im Gegensatz zu Erkennungstools, die sich auf bekannte Domänen für Signaturen verlassen müssen, um zu reagieren, können neue und potenziell bösartige Domänen von einem NDR mit maschinellem Lernen, wie ExeonTrace innerhalb von nur 24 Stunden gelernt und erkannt werden.

Wie funktioniert Machine Learning im NDR?

Es gibt zwei Arten des maschinellen Lernens: Überwachtes (supervised) und unüberwachtes (unsupervised). Während beim überwachten Lernen markierte Eingabe- und Ausgabedaten verwendet werden, werden bei den unüberwachten Lernalgorithmen die Daten nicht im Voraus markiert. Sowohl die Algorithmen welche aktiv überwacht oder unsupervised trainiert werden, lernen in zwei Dimensionen:

  • Die erste Dimension "Zeit", wobei Fragen gestellt werden wie etwa: Was tut ein Windows-Client normalerweise? Was hat er in der Vergangenheit getan? (Lernen anhand einer Zeitkurve) und was tut er jetzt? Zum Beispiel: "Warum greift diese Instanz plötzlich auf Admin-Protokolle zu?".
  • Die zweite Dimension: "Raum" vergleicht das Verhalten jedes Geräts mit dem der anderen Geräte im Netzwerk. Beides ist nur über einen längeren Zeitraum möglich und ist keine Moment-Analyse.

ExeonTrace kombiniert beide Algorithmen, es sucht nach verdächtigen Mustern -, sowohl mit unsupervised, als auch mit supervised ML -, dadurch vergleicht es beide möglichen Baselines, um die Erkennungsarbeit so am effektivsten zu machen und das NDR zum perfekten Alarmsystem für Netzwerke zu machen. Außerdem ist ExeonTrace kaum manipulierbar, da es eine Kombination aus verschiedenen (überwachten und unüberwachten) Algorithmen verwendet.

Selbst in einem bereits kompromittierten/infizierten Netz, in das zuvor Malware eingedrungen ist, können Angriffe mit NDR nachvollziehbar gemacht werden. Und in der Forensik, um rückwirkend zu sehen, ob und falls ja, was passiert ist, kann dies über die Protokolldatenereignisse gesehen werden: sogar noch Jahre nachdem ein Eindringling in das System kam.

Storm 0558 Hack Blog - ExeonTrace Screen.jpg

Brechen wir die Asymmetrie zwischen Angreifern und Verteidigern auf: Gemeinsam!

Die Kombination von Network Detection and Response (NDR) und Endpoint Detection and Response (EDR) kann eine leistungsstarke Verteidigungsstrategie für die Cybersicherheit schaffen und das Machine Learning nutzen: Während sich NDR auf die Überwachung und Analyse des Netzwerkverkehrs konzentriert, um verdächtige Aktivitäten, insbesondere Lateral Movements und Datenexfiltration, zu erkennen und darauf zu reagieren, konzentriert sich Endpoint Detection and Response (EDR) auf die Überwachung und Sicherung einzelner Endpunkte (z. B. Workstations, Server), indem Endpunktdaten gesammelt und analysiert werden, um bösartige Aktivitäten, wie die Kompromittierung von Endpunkten und dateibasierte Angriffe, zu erkennen und darauf zu reagieren.

Die gemeinsame Nutzung von Daten durch NDR und EDR wird die Daten des jeweils anderen bereichern und einen umfassenderen Einblick in potenzielle Bedrohungen ermöglichen. So können beispielsweise Informationen über eine verdächtige Netzwerkverbindung, die vom NDR erkannt wurden, weitere Untersuchungen auf dem entsprechenden Endpoint durch das EDR-System auslösen und umgekehrt.

Algorithmen des maschinellen Lernens in NDR- und EDR-Systemen tragen dazu bei, die Genauigkeit der Bedrohungserkennung zu verbessern und Fehlalarme zu reduzieren. Mithilfe von Machine Learning können Muster und Anomalien im Netzwerkverkehr und im Verhalten von Endgeräten identifiziert werden, die auf bösartige Aktivitäten hindeuten könnten. Außerdem helfen maschinelle Lernmodelle dabei, grundlegende Verhaltensweisen für das Netzwerk und die Endpunkte festzulegen. Auf diese Weise können die Systeme abnormale Aktivitäten erkennen, die von den festgelegten Normen abweichen und so potenzielle Bedrohungen leichter erkennen.

Zusammenfassung

Da hochentwickelte APT-Hacker versuchen, sich Zugang zu Unternehmen zu verschaffen, sind proaktive Cybersicherheitsmaßnahmen, mit auf maschinellem Lernen basierender Network Detection and Response, NDR und einer soliden Endpoint Detection and Response, EDR unerlässlich, um fortgeschrittene Bedrohungen und verdächtige Aktivitäten zu erkennen und zu entschärfen. Auf der Suche nach einer proaktiven und dynamischen Cybersecurity, die ihre Fähigkeit, Bedrohungen effektiv zu erkennen und zu entschärfen, deutlich verbessert, sollten Algorithmen des maschinellen Lernens zur Erkennung von fortgeschrittenen Bedrohungen und verdächtigen Mustern die Hauptrolle spielen. Während die Automatisierung dabei helfen kann, schnell auf erkannte Bedrohungen zu reagieren und die Verweildauer von Angreifern zu minimieren, können ML-Modelle kontinuierlich, gegen sich weiterentwickelnde Bedrohungen und Angriffstechniken aktualisiert und regelmäßig neu trainiert werden und so relevant bleiben.

Vereinbaren Sie einen Termin mit unseren Sicherheitsexperten und erfahren Sie mehr darüber, wie ML-gestützte NDR-Lösungen Ihre digitalen Ressourcen sichern und Ihr Unternehmen vor Advanced Persistent Threats schützen können. Wir benötigen nur 30 Minuten Ihrer wertvollen Zeit, um Ihnen zu zeigen, wie ExeonTrace Ihre Cybersicherheit auf die nächste Stufe hebt, und zwar hier.

Klaus Nemelka

Author:

Klaus Nemelka

Product Marketing Manager

email:

klaus.nemelka@exeon.com

Share:

Published on:

08.08.2023