Einfallstore Ransomeware (die zweite)

[Thomas Maggnussen 2]

Hallo!

Ich habe das Thema schon einmal vor einem Jahr gepostet. Am Freitag hat es ja die "Stimme Mediengruppe" erwischt. 
Vom Web Server bis zum Telefonserver ging wohl alles nichts mehr. 

Ich habe selbst 3 Ransomeware Vorfälle bei 3 unterschiedlichen Firmen "mitgemacht". 
Was ich auch bei diesem Fall nicht verstehe und wo ich leider noch "hänge" ist: Wenn schon mal ein Unternehmen so "fair" ist und zu sagen, ja uns hat es "erwischt" so finde ich nie den genauen Hergang d.h. wie geschah die Verschlüsselung von allen wichtigen Systemen?

Aber vorallem: Haupteinfallstor ist, soweit ich es sehe und erlebt habe, immer irgendein Programm od. Script welches von einem User (Im Anhang, per Link als Dowload) ausgeführt wird. Wird es aktiv "greift" es nach allen Dateien, die der User erreichen kann. Also z.B. Netzlaufwerke ob auf dem Server oder in einer Cloud. Soweit so gut aber wie kann es dann sein:
 

- dass das Email System auch nicht mehr funktioniert? Der User hat keine Zugriffsrechte z.B. auf die komplette Exchange Datenbank und/oder den Exchange Server
- das selbe gilt für den Telefonserver

- es scheint auch Fälle zu geben, wo auch das Backup nichts mehr nützte, weil auch verschlüsselt.

Also damit ein Infekt so umgreifen kann, da müsste doch schon ein Domänen-Admin den Virus auslösen oder?
Den einzigen Weg, den ich mir vorstellen kann: Ist es denn wirklich so, dass es Variante gibt, die ein "User" ausführen kann und der Virus dann alle Werkzeuge an Board hat, um sich z.b. über Sicherheitslücken sich in der ADS selbst Vollzugriff auf alles zu geben? In Bezug auf Exchange z.b.: er müsste ja dann die mdb Datenbank verschlüsseln/umschreiben. Die ist aber ständig im Zugriff (geöffnet). Oder ist das wirklich schon soweit, dass er sich, eben über eine Sicherheitslücke im ADS Volle Rechte verschafft, jeden Server verbindet, alle Dienste stoppt und dann die Laufwerke verschlüsselt? Ferne konnte ich bei einem meiner Fälle innerhalb von Minuten mittels Volumenschattenkopie das Laufwerk wiederherstellen. Gibt es also so Mördervarianten die all das berücksichtigen um einen Laden mehrere Tage total Tot zu halten?

Hat jemand vielleicht mal eine Quelle von einem größeren Unternehmen wo genau beschrieben worden ist, wie das gesamt System lahm gelegt worden ist bzw. denke ich da zu naiv und zu simple oder sehe ich den Wald vor lauter Bäume nicht mehr?

Danke für Erfahrungsaustausch. 

LG
Thomas

[NorbertFe 1.805]

vor 45 Minuten schrieb Thomas Maggnussen:

so finde ich nie den genauen Hergang d.h. wie geschah die Verschlüsselung von allen wichtigen Systemen?

Das wissen sie meist selbst nicht und falls doch, ist es vermutlich immer schwierig zum Teil selbst verursachte Lücken schonungslos offenzulegen.

 

vor 47 Minuten schrieb Thomas Maggnussen:

Also damit ein Infekt so umgreifen kann, da müsste doch schon ein Domänen-Admin den Virus auslösen oder?

Nein, wie kommst du auf den schmalen Ast? Als User ausgeführte Schadsoftware wird halt im allgemeinen versuchen unerkannt weitere Rechte zu erlangen. Als Dom-Admin wärs halt leichter, aber das dürfte nicht in jedem Fall der Auslöser sein. (Hoffe ich jedenfalls ;))

vor 49 Minuten schrieb Thomas Maggnussen:

In Bezug auf Exchange z.b.: er müsste ja dann die mdb Datenbank verschlüsseln/umschreiben. Die ist aber ständig im Zugriff (geöffnet). Oder ist das wirklich schon soweit, dass er sich, eben über eine Sicherheitslücke im ADS Volle Rechte verschafft, jeden Server verbindet, alle Dienste stoppt und dann die Laufwerke verschlüsselt? Ferne konnte ich bei einem meiner Fälle innerhalb von Minuten mittels Volumenschattenkopie das Laufwerk wiederherstellen. Gibt es also so Mördervarianten die all das berücksichtigen um einen Laden mehrere Tage total Tot zu halten?

Ja sowas gibts inklusive übernommener veeam Backup repositories usw. Usf. Denke nicht, dass bei einem gezielten Angriff irgendwas übersehen wird.

 

vor 51 Minuten schrieb Thomas Maggnussen:

Hat jemand vielleicht mal eine Quelle von einem größeren Unternehmen wo genau beschrieben worden ist, wie das gesamt System lahm gelegt worden

Schon etwas älter:

https://redmondmag.com/blogs/scott-bekker/2018/08/domain-controller-nightmare.aspx?m=1

[Damian 1.401]

Hi

 

vor einer Stunde schrieb Thomas Maggnussen:

Also damit ein Infekt so umgreifen kann, da müsste doch schon ein Domänen-Admin den Virus auslösen oder?

Es gibt die allgemeine Vorstellung, das ein User mit einem Klick einfach nur ein Script auslöst und 5 Minuten später ist der ganze Laden übernommen. So etwas gab und gibt es sicher auch noch, aber bei den heutigen Netzen laufen solche Angriffe in der Regel viel langsamer und strukturierter ab.

Wenn der besagte User mit seinem Klick eine Lücke in seinem System aufreisst, haben die Angreifer erst einmal einen Fuß in der Tür. Vor dort aus erkunden sie dann, wie das Netzwerk strukturiert ist und suchen sich weitere Angriffsvektoren. Dieses Ausspähen dauert einige Tage bis mehrere Wochen. Eventuell noch länger. Wichtig ist, dass sie dabei unentdeckt bleiben.

Wenn die Angreifer dann zuschlagen, geschieht dies koordiniert an mehreren vorher ausgespähten Stellen zugleich. Sie greifen das Netzwerk und seine System von innen heraus an. Die Admins haben dann nur noch wenige bis gar keine Möglichkeiten mehr, zu intervenieren.

So kommt es, das auch sehr große und komplexe Infrastrukturen lahmgelegt werden, die man eigentlich für sehr sicher hielt. Der Klick des Users war nur der erste Schritt der Invasion.

VG
Damian

[testperson 1.534]

Heise Medien war doch "vor kurzem" auch Opfer einer Ransomware Attacke und die haben das auch relativ genau und offen beschrieben, was da wo und wie passiert war.

Heise hatte auch mal das Vorgehen beschrieben und wie die diversen Gruppen da "Hand in Hand" vorgehen und die befallenen Systeme (teils händisch) auf Lukrativität prüfen, um dann "stumpf" zu verschlüsseln oder eben sich weiter vor zu arbeiten.

[NilsK 2.785]

Moin,

 

. Die beschrieben "langsamen" Angriffe gibt es durchaus. Häufiger ist aber, dass das alles automatisiert geschieht und einfach in kurzer Zeit möglichst viel Porzellan zerschlägt. Das erhöht den Druck, schnell ein hohes Lösegeld zu zahlen.

 

Bei heise war es sehr wahrscheinlich auch diese Sorte Angriff. Der Einstieg ließ sich dort recht sicher auf eine Phishing-E-Mail zurückführen. In einem anderen Fall, wo ich bei der Nachlese dabei war, war es ein Client, dessen RDP-Zugang schlecht gesichert war.

 

Man sollte auch nicht davon ausgehen, dass diese Netze nach so einer Attacke wirklich gut geschützt werden würden....

 

Gruß, Nils

 

[NorbertFe 1.805]

vor 1 Minute schrieb NilsK:

RDP-Zugang schlecht gesichert war.

Gute Umschreibung ;)

[cj_berlin 1.137]

vor 2 Stunden schrieb Thomas Maggnussen:

 

Also damit ein Infekt so umgreifen kann, da müsste doch schon ein Domänen-Admin den Virus auslösen oder?

Ich sage es mal so:

1. Es gibt noch sehr viele Domain-Admins mit Email-Postfach und/oder Internet-Berechtigung
2. Wenn in der Umgebung beispielsweise ein 2012er DC mit aktiviertem Print Spooler vorhanden ist, der seit 3 Jahren nicht gepatcht wurde, agiert jeder authentifizierter Angreifer (=User, der auf ein Dokument mit Makro clickt) eine halbe Sekunde später mit der Identität eines Domain Controllers, was im Zweifel noch etwas höher ist als Domain Admin. 

 

Oh, und noch etwas: "Ransomware" hat nur ein "e", nämlich am Ende.

[NorbertFe 1.805]

Sie rannte halt etwas. ;)

[mwiederkehr 351]

vor 12 Stunden schrieb Thomas Maggnussen:

Den einzigen Weg, den ich mir vorstellen kann: Ist es denn wirklich so, dass es Variante gibt, die ein "User" ausführen kann und der Virus dann alle Werkzeuge an Board hat, um sich z.b. über Sicherheitslücken sich in der ADS selbst Vollzugriff auf alles zu geben?

Das ist, wie schon geschrieben wurde, ein mehrstufiger Prozess. Man nutzt dazu Sicherheitslücken und Nachlässigkeiten wie nicht genügend getrennte Netze aus.

 

Wenn man Glück hat, ist der User lokaler Admin. Wenn man ganz viel Glück hat, ist die Gruppe "Domänen-Benutzer" bei allen Rechnern in der Gruppe "Administratoren", nicht nur der jeder User auf seinem Rechner, und die Windows Firewall ist nicht aktiviert. Falls der User nur auf seinem Rechner Admin ist, installiert man einen Keylogger und zeigt ein paar Fehlermeldungen an. Der herbeigerufene Supporter meldet sich dann an und wenn man Glück hat, ist der Domain-Admin.

 

Auf die Server kommt man mit etwas Glück recht leicht, wenn der iLO erreichbar ist und nie gepatcht wurde. Telefonanlagen sind heutzutage komplette Rechner, meist mit uralten Versionen von Linux und diverser Software drauf. Die werden selten regelmässig aktualisiert und wenn man Glück hat, funktioniert ein uralter Exploit für Apache 1.3, proftpd oder so, welche alle als "root" laufen.

 

Was ich damit sagen will: In den meisten Umgebungen hat man früher oder später "Glück". Deshalb ist es auch so wichtig, die Datensicherung getrennt aufzubewahren und regelmässig von einem anderen System aus Restore-Tests zu fahren. Es gab schon Fälle, da wurden die Systeme transparent verschlüsselt. Gemerkt hat man nichts, bis der Schlüssel entfernt wurde. Die Sicherung war immer erfolgreich, hat aber die letzten Monate verschlüsselte Dateien gesichert.

[zahni 521]

Aus meine Sicht der Basis-Schutz:

 

- Im Email-System läuft ein Content-Filter, der alle ausführbaren Programme herausfiltert, und unklare Dateien (z.B. verschlüsselte ZIP-Archive) von einer befähigten Person prüfen lässt.

- Web-Proxy, der auch via SSL-Interception alle ausführbaren Programme herausfiltert, böse Skripte und den Zugang zu bekannten "verseuchten Seiten" blockiert. Natürlich muss Ausnahmen für definierte Quellen, Server und User definieren können.

- Am Client läuft als letzte Bastion ein korrekt konfigurierter Applocker bzw. SRP.

- Wenn man mag installiert man noch einen Virenscanner. Der bringt heute aber eigentlich nichts.

 

[daabm 1.185]

vor 22 Stunden schrieb Thomas Maggnussen:

dass das Email System auch nicht mehr funktioniert? Der User hat keine Zugriffsrechte z.B. auf die komplette Exchange Datenbank und/oder den Exchange Server

 

Doch, meistens hat er. Schau Dir mal die Traversal/PrivEsc Pfade an, die Bloodhound/Scanhound Dir zeigt... Das hat sogar uns erwischt, und wir wissen eigentlich, was wir tun 🙈

(Also "erwischt" im Sinne von "unerwartete Traversals", nicht im Sinne von "Ransomware")

[Thomas Maggnussen 2]

Wow. 
Super!

Danke für das Feedback!

Also allgemein, seid ihr eher der Meinung, so große Schäden kommen zustande, wenn das Netz längere Zeit ausgespäht wird. Hab nur kleine Kunden (50-500 User). Denke nicht, dass es das Wert ist da gezielt Zeit zu investieren. Das dass bei Heise damals passiert ist, hat mich schon ein wenig gewundert, immerhin nehme ich an, dass die Sicherheitstechnisch sehr fitt sind.

Spricht also auch eher nach einem "gezielten" Angriff. Stimmt schon, irgendwo ist immer eine Lücke. Ist bei euch bestimmt auch so, dass ihr mit dem Patchen gar nicht mehr hinterherkommt. Bzw. ist noch gar nicht so lange her, da gabs nen Patch für den DC dann funktionierte die Anmeldung nicht mehr. Bis jetzt hatte ich eigentlich nur Schäden eben wegen Patches. Das die Anmeldung am DC nicht geht, dass die Drucker nicht mehr angesprochen werden (Windows) usw. Wartet man, hat man die Gefahr dass die Lücke ausgenützt wird. Patch man sofort, kann es auch zu Problemen kommen. Das letzte mal, wars ein Update des Virenscanners und auf einen Schlag waren 10 Rechner "tot". Also nach der Anmeldung kam nichts mehr. Blieb nur der Abgesicherte Modus und Virendienst deaktiveren. 

Man kämpft auch immer gegen die User. War damals ein geschrei bzw. nervte es weil die lokalen Admin Rechte genommen wurden. OWA hab ich auch abgestellt und ActiveSync für Handys wollte ich auch abschaffen, bin aber da am Widerstand gescheitert. Für mich ist es das Beste wenn halt gar kein System mehr von außen erreichbar ist oder halt nur per VPN. 

Sicherung läuft seit je her 3x. Auf der NAS auf eine Linux Kiste per Script mit Backup Konto des Linux Servers das nicht auf dem Windows Server gespeichert ist. Am Wochenende per zeitgestäuerten VPN auf die NAS bei der GL zuhause und JA alle zwei Tage stöpseln wir USB Festplatten ab und an und schaffen die außer Haus ;-). Geht natürlich noch in relativ kleinen Umgebungen. 

Das andere ist, dass ich gerade einen Virenschutz suche der nicht auf der Cloud beim Hersteller läuft. Da bin ich immer am Diskutieren: Weiß keiner mehr was bei Solarwinds passiert ist? Also ich würde zusehen bei dem Virenhersteller oder Remotedienstleister reinzukommen. Mit einem Schlag hab ich dann auf jedem Client System über die Agents Systemrechte. BINGO!  Ähnliches war ja bei DATEV glaub vor einem Jahr mal der Fall. Auf jedem Rechner in der BuHa läuft der DATEV Agent und aktualisiert sich brav selbständig Das ist für mich der Wahnsinn. 

Hab das wie gesagt schon 3x mitgemacht. Einmal wurde ich extern dazu gerufen, diese Firma war nicht mehr zu retten und um die 50 Leute verloren ihren Job. Seitdem bin ich wohl ein wenig Paranoid und übervorsichtig. Geschäftlich ist ja so ein Infekt das "Beste" was es gibt. Die Reperatur dauert Tage ABER der Psychische Stress ist mir kein Geld der Welt mehr wert. Glaube, wer das mal mitmacht, sieht es ähnlich. 

Naja, Perfekt sind unsere Netzte trotz des Zusatzaufwandes bestimmt auch nicht. Wir können nur unser Bestes tun und die Risiken minmieren. 

Nochmal danke für die Feedbacks
LG
Thomas
 

[cj_berlin 1.137]

vor 6 Minuten schrieb Thomas Maggnussen:

Bis jetzt hatte ich eigentlich nur Schäden eben wegen Patches. 

Weil Du die Schäden, die ohne Patches möglicherweise aufgetreten wären, nicht siehst. Diese Argumentation kennt man aus der Diskussion übers Impfen, und in den seltensten Fällen kommt man da auf den grünen Zweig  

vor 9 Minuten schrieb Thomas Maggnussen:

Sicherung läuft seit je her 3x. Auf der NAS auf eine Linux Kiste per Script mit Backup Konto des Linux Servers das nicht auf dem Windows Server gespeichert ist. Am Wochenende per zeitgestäuerten VPN auf die NAS bei der GL zuhause und JA alle zwei Tage stöpseln wir USB Festplatten ab und an und schaffen die außer Haus ;-). Geht natürlich noch in relativ kleinen Umgebungen. 

Viel wichtiger wäre jedoch: Wie oft macht ihr eine Restore-Übung? Also von der letzten Stufe, wenn die beiden vorherigen gefallen sind?

[Thomas Maggnussen 2]

Am 17.10.2022 um 21:01 schrieb NorbertFe:

Schon etwas älter:

https://redmondmag.com/blogs/scott-bekker/2018/08/domain-controller-nightmare.aspx?m=1

Wow. Ist ja cool. Glück im Unglück sozusagen. 
 

[zahni 521]

Als Sysadmin braucht man starke Nerven in in ist in jedem Fall der Schuldige, wenn etwas passiert. Daher muss man Sicherheitskonfigurationen eben gegen User-Befindlichkeiten durchsetzen oder die Risiken den Verantwortlichen haarklein kommunizieren. Dann kann man diese Information im Notfall vorweisen und ist aus der Nummer raus. Die Arbeit hat man natürlich trotzdem.