Jump to content

Einfallstore Ransomeware?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

vor einer Stunde schrieb testperson:

... und jetzt spioniere ich die Reinigungsfirma aus, bewerbe mich dort, warte auf einen Einsatz beim Ziel und habe intern Zugriff auf die Hardware. :grins1:

(Alternativ verschaffe ich mir als "IT-Dienstleister", Interessent, oder sonst wer Zutritt ins Gebäude.)

Wenn man gezielt ins Visier genommen wird weil man z.Bsp. ein hochinteressantes Produkt hat wird es eh schwierig. Dann ist man auf relativ verlorenem Posten weil dann spezifisch vorgegangen wird. Sabotage an sich ist dann auch eher selten. Da gehts dann eher um Informationsbeschaffung. Da bemerkst es dann vielleicht das was nicht stimmt, wenn bei einer Routine-Kontrolle in der Werkstatt festgestellt wird, dass Dein Auto verwanzt wurde. Nicht ganz unüblich in der Forschung. ;-)

Zumindest heute noch. Irgendwann wird das vielleicht auch System haben weil das sorglose Klicken auf Links nicht mehr funktioniert. Aber solange das ganze noch Anonym funktioniert, wird das wohl auch so bleiben und die Reinigungsfirma die absolute Ausnahme bleiben. Schadet aber sicher nicht, sich auch auf das einzustellen. =)

Link zu diesem Kommentar

Ganz grob:

 

-Mail-Filter, der alle Anhänge mit "aktiven" Inhalten entfernt. Auch Office mit Makros

-Internet Proxy, der das Gleiche macht, auch via SSL

-Exchange nicht ins Internet hängen (z.B. mit einem dedizierten SMTP-Gateway)

-USB-Ports für Datenträger sperren

-Applocker richtig konfigurieren.

 

bearbeitet von zahni
Link zu diesem Kommentar

Habe in einer Umgebung vor ein paar Monaten mal folgendes umgesetzt:

Desktop A bzw. internes Netz: Internetverbindung über Firewall nur mit Whitelisting für unternehmensnotwendiges wie E-Mail, Bankanbindung, MS-Updates, ERP

Desktop B: Internetzugriff auf alles (gefiltert ;) )ausser den Adressen oben (Bis auf MS-Updates)

Transfer-Server welcher in beiden Netzen hängt und auf Netzwerk Seite B nur ein dummes Protokoll spricht (sollte also nicht also nicht auf gängige Angriffe reagieren).

 

Die User haben einen KVM-Switch um umzuschalten. Ist eine relativ hohe Materialschlacht. evtl. wäre es ökonomischer hier auf ein Ferwartungsprotokoll zu setzen. Dürfte aber ausser Pixel nichts von B nach A lassen. Dachte da auch schon an VNC. Jemand besser Ideen?

 

Kommt eigentlich erstaunlich gut an bei den Usern. E-Mail hatte ich anfänglich bei den Testusern auf B, hat sich aber nicht wirklich bewährt. War einfach zu mühsam für die tägliche Arbeit um sämtliche CAD Daten, Zeichnungen, Kundendokumente etc erst auf den Transfer zu legen. Dachte mir dann, OK wenn man sich also trotz allem etwas einfangen würde, dann könnte wenigstens kein Code nachgeladen werden solange keiner der kritischen externen Dienste direkt betroffen ist. Auf nachladen von Code sind aber viele der aktuellen Schadcodes angewiesen. Die meisten öffnen "nur" das Tor.

Aber eben, wie viel das im Ernstfall bringt... Schwierig zu beurteilen. Ich bin froh wenn es nie eintrifft. Aber je mehr Steine im Weg liegen und je schneller und aktueller man mit Restores sein kann, desto weniger haben automatisierte Angriffe eine Chance solange man nicht Opfer von einem gezielten Angriff wird. Was normal zum Glück nicht die KMU-Stufe ist, ausser eben Forschung =)

 

 

Mal noch eine Annäherung für Kleinumgebungen

Zumindest denke ich - auch wenn mein Storage-VM-Prinzip auf ESXi hier verpöhnt ist und obwohl das wohl die wenigsten selber ernsthaft geprüft haben - dass dies doch einiges bringt weil lediglich der aktive Teil verschlüsselt werden kann auf welcher ein ESXi Zugriff hat. Die Storage-VM selbst ist bis auf NFS komplett zu. Die Credentials dürften schwierig einfach so zu klauen sein (nicht Domain joined). Die Zugangsdaten mit einem Keylogger ebenfalls, weil man sich so selten einloggt. Bis jetzt habe ich jedenfalls noch nicht gelesen, dass PCI-Passtrough-Geräte direkt verschlüsselt wurden. Da dies doch eher sehr exotisch ist, hoffe ich, es interessiert kein Mensch. =)

Ein Rebuild ist dann easy, Festplatte mit ESXi + Storage VM tauschen und Systeme wieder hochfahren. Im Optimalfall liegt eine Kopie neben dem Server. VSS Snapshot aktivieren und man hat einen Zustand seiner Wahl ohne das ein Recovery notwendig ist innerhalb weniger Minuten zur Analyse bereit. Im Lab hat das funktioniert. Im Ernstfall? Ich hoffe ich brauche es nie. =)

 

 

Ansonsten für jene diese interessiert ein netter "Blog" wie solcher Krempel überhaupt funktioniert, teilweise ziemlich übel wie wenig es im Endeffekt eigentlich braucht. Finde ihn recht informativ.

Irgendwie ist das am Ende so easy, dass man eigentlich alles nur noch Offline haben möchte. Und das sind nur eine handvoll der bekannten öffentlichen Exploits. Wundert mich irgendwie fast, dass nicht mehr passiert. :wtf:

https://itm4n.github.io/windows-server-netman-dll-hijacking/
https://itm4n.github.io/from-rpcview-to-petitpotam/

 

Und ein Anti-Script-Projekt zu üblich bekannten Einfallstoren, das relativ zeitnah aktualisiert wird: https://github.com/itm4n/PrivescCheck

 

 

Alleine das DLL-Hijacking. Wenn ich mir vorstelle wie viel Aufwand die Pflege von erlaubten DLL Hashes mit z.Bsp. Applocker gibt, wird mir schlecht. Wie soll man das managen bei den vielen Updates? Mir persönlich ist das schleierhaft. Habe zwar eine Umgebung wo ich das Pflege, aber das ist echt ein Krampf. Oder ich machs zu kompliziert. Und ob es das am Ende wirklich bringt? :rolleyes:

Und all die Sicherheitstools? Doch einige der grossangelegten Hacks der letzten Jahre kam über Sicherheitstools rein, wunderprächtige Aussicht... *rofl*

AppLocker soll ja angeblich mit ein paar "Handgriffen" deaktiviert bzw. umgehbar sein. Leider kann ich meinen Hint nich mehr finden wo das demonstriert wird. War irgend ein Design-Fehler. War aber noch zu W2008R2 Zeiten. Vielleicht gehts auch nicht mehr, ist ja doch einige Zeit her. War damals so ein Blog-Eintrag warum SAFER - das eingestellt wurde - deutlich schwieriger zu knacken sei als AppLocker. Vielleicht finde ichs ja wieder oder ist mittlerweile sogar obsolet. Aber irgendwie war mir das früher auch zu mühsam alles umzusetzen in einer Klein-Umgebung, aber man kommt wohl je länger je weniger darum herum... Sollte nur irgendwie Umgebungsübergreifend automatisierbar sein, sonst ist das uncool. *hmpf*

Link zu diesem Kommentar
vor 6 Stunden schrieb MurdocX:

Wenn ich die Meldungen so durchlese, dann bin ich der Exot hier ;-) 

Weil? =)  Was ist deiner meinung nach des Hackers liebster Freund den Du genannt hast?

Das Problem mit den Dienstleister ist immer das die guten Leute dieser Firmen selten jene sind, die sich um die Anliegen der KMU's kümmern. Also selbst wenn man sich Leistung einkauft, bekommt man oft keine sinnvolle Beratung. Ist so meine Erfahrung, nicht nur im IT Bereich. ;)

 

 

Ich finde ja schade, dass MS keine effektiven, einfach verständlichen Konfigurations-Guide-Lines zu Verfügung stellt wenn Sie schon aus Kompatibilitätsgründen nicht so konfigurieren, dass es mal sicher ist - soweit man das sagen kann - und man freigeben muss.

bearbeitet von Weingeist
Link zu diesem Kommentar
vor 2 Stunden schrieb Weingeist:

Ich finde ja schade, dass MS keine effektiven, einfach verständlichen Konfigurations-Guide-Lines zu Verfügung stellt wenn Sie schon aus Kompatibilitätsgründen nicht so konfigurieren, dass es mal sicher ist - soweit man das sagen kann - und man freigeben muss.

SCT? Verständlicher geht's ja wohl kaum - Backup der GPO einspielen, verknüpfen, fertig. Ach, die 16-Bit-Applikation aus 1998 funktioniert nicht mehr? Nun, Du wolltest "sicher" ;-) 

Link zu diesem Kommentar
vor 14 Stunden schrieb cj_berlin:

SCT? Verständlicher geht's ja wohl kaum - Backup der GPO einspielen, verknüpfen, fertig. Ach, die 16-Bit-Applikation aus 1998 funktioniert nicht mehr? Nun, Du wolltest "sicher" ;-) 

Ja klar, aber ich finde nicht, das dies ausreicht oder? Und so manches was da umgesetzt wird, hat eben Voraussetzungen damit es auch so geht (CA z.Bsp.)

 

Paar Beispiel:

- Firewall (Vorlagen bei OutBlock für systemrelevante Dienste wie AD, DNS, Beschreibung was man tunlichst tun sollte, drauf hinweisen das Dienste teilweise maskiert werden und somit leider keine Filterung auf den Dienst möglich ist, welche das betrifft usw.) --> Teilweise vorhanden klar

- wirklich für den Betrieb notwendige Dienste, sowie entsprechende Beschreibung was genau für was verantwortlich ist, eventuell sogar beteiligte Dateien (Nachschlagewierk halt, recht undurchsichtig teilweise)

- CA - Was hilft einem Admin wenn er NTLM deaktivieren soll, aber keine Ahnung hat was es überhaupt dafür braucht, das Kerberos unter Windows funktioniert. Diese Infos sind oder waren es zumindest (vermute immer noch) unglaublich mühsam herauszufinden. Das dies wirklich nicht Straight-Forward ist, beweist das die wenigstens Umgebungen, selbst grössere, überhaupt über eine CA verfügen  ;)

--> Ging schon was in die Richtung mit Anleitungen für eine 0815 CA, aber auch da steht nicht was man nun explizit für die Abschaltung von NTLM machen muss. Braucht es nur Computer-Zertifikate? Welche Rechte braucht das Zertifikat? Oder braucht es auch User Zertifikate? Was passiert wenn der User ein Signing-Recht erhält? Kann er dann Scripte signieren die dann überall in der Firma als "safe" gelten? Ich meine das sind zwar Basics, aber bis man den Krempel zusammen hat wird man fast selig, zumindest vor ein paar Jahren. Und ich rede nicht von komplexen Dingen, sondern einfach nur den 0815-Kram den man eben für Kerberos braucht. :rolleyes:

 

Seitenhieb mit 16bit? Pffft das war aber unter die Gürtelinie hahah :rofl: :cool: Nö 16bit habe ich zum Glück wirklich nur noch auf einzelnen, speziellen Systemen. Analysengeräte, Spezialdrucker, Roboter und so Zeugs. Die sind alle Offline. Ich bzw. die Buden sind dennoch froh, dass es noch zum laufen zu bekommen ist weil es teilweise Systeme sind, die es so nicht mehr gibt, zu selten gebraucht werden damit sich Neuanschaffung lohnt, viel genauer sind als neue usw. Darum mag ich ja Windows so, irgendwie gehts immer in halbwegs vernünftigem Zeitrahmen. :cool:

Mir machen halbaktuelle, integrierte Systeme viel mehr Sorgen.

Link zu diesem Kommentar
vor einer Stunde schrieb Weingeist:

Das dies wirklich nicht Straight-Forward ist, beweist das die wenigstens Umgebungen, selbst grössere, überhaupt über eine CA verfügen  ;)

Das stellst Du jetzt einfach mal als gegeben hin. Stimmt aber so nicht. In meiner Praxis verfügen nahezu 100% der Umgebungen, auch kleinere (was immer das in meiner Praxis bedeutet), über eine eigene oder eine extern gemanagte PKI... Ob jeder dieser PKIs so gepflegt und gehärtet ist, wie sie sollte, steht auf einem anderen Blatt.

 

Ich vermag halt einfach nicht zu erkennen, wo bei alldem die Schuld von Microsoft oder von jedem anderen Hersteller ist. Bei einem Produkt hat Microsoft es versucht, die Defaults auf Sicherheit zu trimmen: Vista. Was war das Gejammer groß! 

vor einer Stunde schrieb Weingeist:

Ja klar, aber ich finde nicht, das dies ausreicht oder?

SCT war nur ein Beispiel. Du hast Dich beschwert, dass der Hersteller keine leicht zu bedienenden Mittel zur Verfügung stellt, Compatibility-bound Defaults in Security-bound Defaults umzuschalten. Das ist die Antwort darauf. Das, ASR und WDAC bringen schon eine ganze Menge. Der Rest ist Aufgabe der Admins. Was wäre denn sonst ihre Aufgabe? Schöne Namen aus dem Disney-Kanon für die Server aussuchen?

Link zu diesem Kommentar

Das ist das was mir öfters begegnet. Viele die sich um die Sicherheit kümmern, wissen gar nicht so genau gegen was und wie sie sich absichern müssen. Sie denken sie wüssten es, tun sie aber nicht. Sicherheit ist ein komplexeres Feld, deshalb teile ich auch nicht die Meinung von @cj_berlin bzgl. der Admins. Dafür sollten sich Unternehmen eigenes Personal oder Dienstleister aneignen, die Konzepte gezielt zerpflücken und Lösungen aufzeigen.

Link zu diesem Kommentar

@NorbertFe Finde ich nicht. Oft ist es nicht das wollen, sondern eben einfach das es zu kompliziert ist bzw. unnötig kompliziert gemacht ist und Infos fehlen. Wäre eine interne CA Pflicht und die Wegleitung dazu ganz vorne ersichtlich, es gäbe deutlich mehr davon. Davon bin ich überzeugt. Insbesondere, wenn man sich sonst gar nicht anmelden könnet :aetsch2:

 

 

Am 23.10.2021 um 14:40 schrieb cj_berlin:

Das stellst Du jetzt einfach mal als gegeben hin. Stimmt aber so nicht. In meiner Praxis verfügen nahezu 100% der Umgebungen, auch kleinere (was immer das in meiner Praxis bedeutet), über eine eigene oder eine extern gemanagte PKI... Ob jeder dieser PKIs so gepflegt und gehärtet ist, wie sie sollte, steht auf einem anderen Blatt.

Ich rede hier nicht von einer PKI für Webdienste oder vorinstalliertem Kram, sondern nur von der 0815 Windows-Anmeldung, 0815 Windows-Umgebung und der Abschaffung von NTLM. Logisch kommt jeder in irgend einer Form in Kontakt mit Zertifikaten die irgendwo gemanaged werden, aber darum geht es nicht. Und ich behaupte, Du weisst eigentlich ganz genau auf was ich hinaus will. :rolleyes:

Auf alle Fälle sind immer noch sehr sehr sehr viele Umgebungen nicht Kerberos-Basiert. Sogar wichtige Infrastruktur, also nichtmal im Staat oder Gesundheitswesen ist das Thema durch. Wie soll es im KMU angekommen sein?!?

Das ist imho numal dem Umstand geschuldet, das es keine 0815 Wegleitung gibt die man einfach befolgen kann. Vom Hersteller. Und das es nicht der Standard ist, sondern NTLM. Ich kann mich gut erinnern als ich vor ein paar Jahren mir die ganzen Infos zusammengesucht habe. Ehrlich gesagt habe ich sogar ziemlich viele Stunden damit verbracht und mich hat es wirklich interessiert. Ich wollte wissen wie man das aufbaut. Alleine die Tatsache, dass man nicht einfach Schwups einfach verständliche Anleitungen findet beweeist, dass das Thema eben noch NICHT angekommen ist. Vielleicht

 

Aber Du oder Ihr kannst/könnte das gerne anders sehen, ich behaupte jetzt einfach, KMU sind nicht eure Clientel und da wo Du/Ihr in Anspruch genommen wirst/werdet, sind die Leute/Unternehmen entsprechend mit dem Thema bereits à jour. Aber das dürften nicht 90% der Installationen sein. (Von mir aus auch 60%, keine Ahnung ehrlich gesagt). Just my 2cents. ;)

 

Und MS habe ich nicht direkt die Schuld gegeben. Sondern einfach nur auf die Tatsache hingewiesen, dass sie zu wenig unternehmen und es in der Hand hätten. Wenn sie wollen würden. Ein bisschen was geht, denn mittlerweile gibt es doch ein paar Infos mehr die man sogar findet... Aber immer noch keine exakte Wegleitung. Aber wenn sie zu viel machen würden, kämen wohl mehr support-anfragen = mehr arbeit = weniger Gewinn. Auch nur meine 2 cents dazu. Wollte nur aufzeigen das es auch andere Denkweisen gibt. Die ihr natürlich nicht teilen müsst. ;)

bearbeitet von Weingeist
Link zu diesem Kommentar
vor 3 Stunden schrieb NorbertFe:

Kerberos und pki haben jetzt aber auch keinen direkten Zusammenhang, oder? 

Ja hm nein doch vielleicht irgendwie? Beide benutzen so komisches Zeug wie AES, also dieses Krypta- Zeug halt :engel:

Wir arbeiten in unserer aktuellen AD-Inkarnation hart daran, NTLM los zu werden. Und ja, es ist hart. SCVMM kann ohne NTLM keine Cluster machen (auch nicht unter 2019), SQL kann es auch nicht... Und die Kollegenschaft, die dann nicht realisiert, daß Kerberos halt nur mit Trust/Keytab funktioniert und nicht "einfach so" mit User/PW, das macht's auch nicht einfacher... "Dieser Weg, wird kein leichter sein, dieser Weg, ist steinig und schwer" :neutral2:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...