Der Netzwerkzugriff Ihres Unternehmens ist entscheidend: So können Sie dagegen vorgehen Bericht

Die Insikt Group nutzte die Recorded FutureⓇ-Plattform, um tiefere Einblicke in die Monetarisierungsmechanismen für unbefugten Zugriff zu erhalten und durch den Einsatz von Sicherheitsinformationen umfassende Strategien zur Risikominderung für die Bekämpfung unbefugter Zugriffe zu entwickeln. Dieser Bericht ist für Unternehmen von Interesse, die sich Sorgen über unbefugten Zugriff und entsprechende Methoden zur Risikominderung machen.

Executive Summary

In der Vergangenheit waren Pay-per-Install-Dienste (PPI) der wichtigste Monetarisierungsweg in der Schattenwirtschaft (UE) für Commodity-Botnet-Betreiber. Während Botnets weiterhin PPI-Dienste füttern, zeigen die Daten von Recorded Future, dass Angebote für unbefugten Zugriff zunehmen, angetrieben durch größere Monetarisierungsmöglichkeiten über Direktverkäufe oder Auktionen in Untergrundforen.

Basierend auf einer Analyse von Recorded Future geht die Insikt Group mit mittlerer Sicherheit davon aus, dass die Nachfrage nach direktem, unbefugtem Zugriff in der EU weiter steigen wird, was zu einer Zunahme opportunistischer und gezielter Angriffe führen wird. Nach der Beobachtung von Verkäufen und Auktionen in Foren in der EU und der Kommunikation mit Bedrohungsakteuren geht die Insikt Group davon aus, dass der erste unberechtigte Zugriff (der in Untergrundforen verkauft wird) hauptsächlich durch Phishing, die Wiederverwendung von Anmeldeinformationen, die Platzierung von Web-Shells oder die Ausnutzung falsch konfigurierter oder anfälliger Software erfolgt.

Wichtige Urteile

• Werbung für Pay-per-Install-Dienste (PPI) und der Direktverkauf von nicht autorisiertem Zugriff haben sich im Jahr 2017 mehr als verdreifacht und nehmen im Laufe der Zeit weiter zu.
• Ebenso hat sich die Anzahl eindeutiger Spitznamen, die für PPI-Dienste und unbefugten Zugriff werben, im Jahr 2017 mehr als verdreifacht und ist gegenüber dem Vorjahr gestiegen.
• Angesichts der jährlichen Zunahme beim Verkauf unberechtigter Zugriffe sind Kriminelle zu dem Schluss gekommen, dass sie ihre Gewinne durch den Verkauf an andere Kriminelle maximieren können, sei es im Rahmen von Einzelverkäufen oder Auktionen.
• Im öffentlichen Sektor und in Unternehmen wird es wahrscheinlich zu einem Anstieg gezielter und opportunistischer Angriffe kommen, da immer mehr Akteure versuchen, die Nachfrage nach spezifischen, nicht autorisierten Netzwerkzugriffen zu befriedigen.
• Informationssicherheitsexperten müssen sich auf die Verhinderung und Erkennung der vier Hauptmechanismen konzentrieren, die zu einem ersten unbefugten Zugriff führen: Phishing, Wiederverwendung von Anmeldeinformationen, Platzierung von Web-Shells und Ausnutzen bekannter Software-Schwachstellen.

Hintergrund

Die Schattenwirtschaft (UE) ist die Gesamtheit der Online-Akteure und -Technologien, die den Kauf, Verkauf und Handel mit kriminellen Gütern und Dienstleistungen erleichtern. Die UE hat kontinuierlich Innovationen entwickelt und ist gereift, um die Gewinne zu maximieren und Strafverfolgung zu vermeiden. In der Vergangenheit konzentrierte sich ein Großteil der UE auf die Beschaffung und Monetarisierung gestohlener Zahlungskartendaten, aber im Jahr 2007 schuf das Aufkommen von HTTP-basierten Botnets mit mehreren Funktionen wie Zeus eine beliebte Heimindustrie, die als Pay-per-Install (PPI) bekannt ist.

Das Pay-per-Install-Ökosystem (PPI).
PPI stützt sich auf automatisierte Plattformen, auf denen Käufer für den unbefugten Zugriff auf die Computer der Opfer bezahlen, um Malware-Payloads und/oder andere potenziell unerwünschte Anwendungen (PUA) zu installieren. Der Preis, der für jeden kompromittierten Computer berechnet wird, hängt in der Regel von der Käufernachfrage nach dem Land ab, in dem sich die betroffenen Computer befinden. PPI-Plattformen (auch als Affiliate-Netzwerke bekannt) sind natürliche Kanäle von Drittanbietern für die Monetarisierung großer Infektionen (Botnets oder Exploit-Kits). Das PPI-Modell ist einfach, aber die Verwendung einer PPI-Plattform birgt ein Risiko für Botnet-Betreiber, da absichtlich ungenaue Installationsstatistiken die Gewinne für den Besitzer der PPI-Plattform steigern.
In ähnlicher Weise sind PPI-Plattformen bequeme Mechanismen für Käufer, um schnell auf große Mengen kompromittierter Computer zuzugreifen und weitere Nutzlasten wie Banking-Trojaner, Ransomware, Adware oder Spyware zu installieren. Das PPI-Modell behandelt alle Infektionen/Kompromittierungen als generische Ware, unabhängig von der Opferorganisation – Regierung, Unternehmen oder Privathaushalt. Traditionell ist das einzige Preisunterscheidungsmerkmal die Geografie.

Werbung für Pay-per-Install (PPI)-Dienste im kriminellen Untergrund. (Quelle: Recorded Future)
Umgekehrt erkennen UE-Akteure, dass unbefugter Zugriff auf bestimmte Arten von Systemen zu einem erhöhten Monetarisierungspotenzial führen kann. Akteure verkaufen (oder versteigern) unbefugten Zugang direkt über UE-Foren, was möglicherweise mehr Zeit und Geduld erfordert, aber rentabler ist als Standard-PPI-Dienste.
Die Unterschiede im Monetarisierungspotenzial sind gravierend. Ein Akteur, der in der Lage ist, Malware auf 1.000 Geräten zu installieren, kann damit rechnen, dass ein PPI-Dienst zwischen 0,05 und 0,20 US-Dollar pro Infektion zahlt (abhängig von den geografischen Standorten der infizierten Hosts). Selbst am oberen Ende der Spanne liegt der tägliche PPI-Umsatz bei 200 US-Dollar (6.000 US-Dollar pro Monat). Dieses Modell behandelt jede Infektion als generische Ware, unabhängig davon, wo die Infektion auftritt.
Umgekehrt maximiert der direkte Verkauf oder die Auktion des Zugangs zu einem System oder Netzwerk (oft ein Markenunternehmen oder eine Regierungsbehörde) den Umsatz. Zum Beispiel ist die Fxmsp Group ein produktiver Verkäufer von unbefugtem Zugriff, der sich oft 20.000 US-Dollar für den Zugriff auf eine Organisation sichert.

Verkauf spezifischer Netzwerkzugriffe zu höheren Preisen. (Quelle: Aufgezeichnete Zukunft)

Bedrohungsanalyse

Zunehmender PPI und Werbung mit unberechtigtem Zugriff

Die historischen UE-Daten von Recorded Future zeigen seit 2016 einen Anstieg sowohl des PPI als auch der Werbung für unbefugten Zugriff im Vergleich zum Vorjahr. Die folgenden Grafiken veranschaulichen die zunehmenden Werbetrends, von denen wir erwarten, dass sie sich bis 2019 fortsetzen werden (die diesjährigen Daten wurden im August gemessen). Die Metriken sind konsistent, wenn sie anhand des Werbeinhalts und auch anhand des eindeutigen Autorenmonikers gemessen werden.
Um Daten über Referenzen und Autoren von Untergrundforen zu sammeln, erstellte die Insikt Group Abfragen für Erwähnungen von "PPI" und "unbefugtem Zugriff" auf der Recorded Future-Plattform. Die Abfragen wurden auf der Grundlage gemeinsamer Entitäten im Zusammenhang mit dem Verkauf von PPI oder unbefugtem Zugriff auf Systeme sowie auf Textübereinstimmungen für verschiedene Verkaufsbegriffe in mehreren Sprachen durchgeführt. Falsch positive Ergebnisse wurden aus dem Datensatz entfernt, indem vorhandene Abfragen geändert wurden. Zum Beispiel war die Verkaufssprache für den "Zugriff auf" Kartenverifizierungswerte ein häufiger Fehlalarm bei mehreren Abfragen. Daher wurden Abfragen so geändert, dass diese Verweise absichtlich ausgeschlossen wurden.

Beispiel einer Abfrage für unberechtigten Zugriff. (Quelle: Aufgezeichnete Zukunft)

Beispiel für eine englische PPI-Abfrage. (Quelle: Recorded Future)
Um außerdem die Anzahl der Akteure zu zählen, die entweder PPI oder unberechtigten Zugriff erwähnen, und gleichzeitig die Zahl der Fehlalarme so gering wie möglich zu halten, führte die Insikt Group eine automatisierte Aggregation der Autorennamen in mehreren Foren durch. Ähnliche Autorennamen mit mehr als fünf Buchstaben (die keine gängigen Wörter im Wörterbuch waren) und Beiträge in mehreren Foren, die sich ausschließlich mit PPI oder unberechtigtem Zugriff befassten, wurden zusammengefasst. Während es sich bei einigen dieser aggregierten Spitznamen möglicherweise nicht wirklich um denselben Akteur handelt, hat die Insikt Group mit mittlerer Sicherheit festgestellt, dass es sich bei der Mehrheit dieser Spitznamen um echte Positivmeldungen handelt, basierend auf doppelten Akteursnamen und Inhalten. Da die falschen Duplikate nicht mehr gezählt werden, stellt der Datensatz zudem eine potenzielle Untergrenze für die tatsächliche Anzahl von PPI-Verkaufsposts im Vergleich zu nicht autorisierten Zugriffen dar.

Anzahl der Autoren nach Jahr, die entweder unbefugten Zugriff oder PPI in kriminellen Untergrundforen erwähnen.
Anhand der Daten konnten wir die Anzahl der Autoren ermitteln, die von Januar 2014 bis September 2019 in Untergrundforen unbefugten Zugriff und PPI erwähnten. Die Zahl der eindeutigen Spitznamen, die für PPI und unberechtigten Zugriff werben, hat stark zugenommen, und die Zahl der Autoren von Januar bis September 2019 entspricht der Zahl der Autoren in den Vorjahren über einen vergleichbaren Neunmonatszeitraum.

Anzahl der Posts pro Jahr, die entweder auf unbefugten Zugriff oder PPI in kriminellen Untergrundforen verweisen.

In ähnlicher Weise hat die Insikt Group von Januar 2014 bis September 2019 die Beiträge zu unbefugtem Zugriff und PPI in Untergrundforen gesammelt. Die Daten zeigen auch deutlich, dass die Anzahl der PPI-Anzeigen und Anzeigen für nicht autorisierten Zugriff stetig zunimmt.

Bedeutender globaler Zugriff

Basierend auf der von Recorded Future in Foren gesammelten Daten unbefugter Zugriffe geht die Insikt Group mit mittlerer Sicherheit davon aus, dass der Fokus der Angriffe größtenteils auf Unternehmen des öffentlichen und/oder privaten Sektors liegt und sich auf Organisationen auf der ganzen Welt auswirkt. Seit Insikt im Dezember 2016 über einen russischsprachigen Kriminellen berichtete, der unbefugten Zugang zur US-Wahlhilfekommission (Election Assistance Commission, EAC) verkaufte, beobachtet die Insikt Group regelmäßig den Verkauf unbefugter Zugänge im kriminellen Untergrund. Nachfolgend finden Sie eine Auswahl bemerkenswerter Verkäufe oder Auktionen, basierend auf der beworbenen Zugriffsebene und dem Potenzial für negative Auswirkungen auf die Organisation. Die von den meisten Akteuren beworbenen Zugänge sind regelmäßig vage und enthalten keine konkreten Namen von Opferorganisationen.

Anhand der Analyse der unten stehenden Verkaufsbeiträge, des Engagements der Bedrohungsakteure und der von der Insikt Group in den letzten vier Jahren durchgeführten Auktionen für unberechtigten Zugriff kann die Insikt Group mit mittlerer Sicherheit feststellen, dass die folgenden vier Angriffsvektoren (in keiner bestimmten Reihenfolge nach Wichtigkeit) die primären Methoden sind, die zum Erreichen des ersten unberechtigten Zugriffs verwendet werden.

• Phishing
• Wiederverwendung von Anmeldeinformationen
• Platzierung der Web-Shell
• Ausnutzen einer bekannten Software-Sicherheitslücke

Auswahl an Auktionen und Verkäufen ohne autorisierten Zugriff. (2016–2019)

Profilerstellung für zwei Verkäufer mit unberechtigtem Zugriff: VincentVega und Fxmsp

Die folgenden beiden Fallstudien veranschaulichen das Monetarisierungspotenzial sowohl des gezielten als auch des opportunistischen Zugriffs.

VincentVega

VincentVega, Mitglied eines bekannten russischsprachigen kriminellen Untergrundforums, ist ein Paradebeispiel für einen Akteur, der sich opportunistischen Zugang zunutze macht. Der Akteur hatte sich Zugang zu einer der größten Investmentbanken und Sicherheitsfirmen Chinas verschafft (Bericht zum Umsatz 2015: 37,6 Milliarden RMB), indem er auf internetfähigen Systemen einen ungerichteten Brute-Force-Angriff auf RDP ausführte.

VincentVega wirbt für den Zugang zum internen Netzwerk eines chinesischen Unternehmens. (Quelle: Aufgezeichnete Zukunft)

Im August 2019 bewarb VincentVega einen externen Fernzugriff auf das lokale Netzwerk eines großen chinesischen Unternehmens für fünf Bitcoin. In seinem Beitrag behauptete der Akteur, er habe sich zunächst Zugang zum Netzwerk verschafft, indem er IPs mit RDP-Zugriff per Brute-Force-Angriff geknackt habe. Sie gaben an, dass das lokale Netzwerk 20.000 funktionierende lokale IPs enthält, von denen etwa 865 über RDP-Zugriff verfügen, während 500 der betroffenen Hosts auch über Administratorzugriff verfügen. In ihrem Beitrag gaben sie an, den Zugang zu verkaufen, weil sie zwar wüssten, dass dieser wertvoll sei, jedoch nicht wüssten, wie sie ihn monetarisieren könnten.

Aufgrund dieser zugegebenermaßen unbekannten Tatsachen geht die Insikt Group davon aus, dass VincentVega bei einem ungezielten Versuch, IPs mit schlecht passwortgeschützten RDP-Diensten zu finden, auf das Unternehmen gestoßen ist. Als der Angreifer sich jedoch erst einmal im Firmennetzwerk befand, erkannte er, dass es je nach Größe und Funktionalität des Netzwerks zahlreiche Möglichkeiten gab, den Zugriff auf das Netzwerk zu monetarisieren und zu verkaufen.

Fxmsp-Gruppe

Die Fxmsp Group hingegen ist ein klares Beispiel dafür, wie ein Unternehmen durch unbefugte Eindringversuche in großem Maßstab einen hohen Profit erzielen kann. Bei der Gruppe handelt es sich um ein russisch- und englischsprachiges Kollektiv cyberkrimineller Täter, die es auf eine große Bandbreite von Opfern weltweit abgesehen haben und diesen unberechtigten Netzwerkzugriff verkaufen. Dazu zählen Unternehmen aus dem Finanzsektor, dem E-Commerce-Bereich, der Industrie und staatliche Institutionen. Die Fxmsp Group kompromittiert häufig große Mengen an Netzwerken, um sie an andere Cyberkriminelle weiterzuverkaufen. Seit 2017 ist die Fxmsp Group in globale Unternehmens- und Regierungsnetzwerke eingedrungen und hat den unbefugten Zugriff anschließend für Beträge zwischen einigen Hundert und über 100.000 US-Dollar verkauft.

Beiträge von Nikolay von der Fxmsp Group, der Zugang zu Netzwerken verschiedener Organisationen verkauft.

Die Fxmsp Group zeigt Geduld und Koordination unter den Teammitgliedern. Dem Akteur mit dem Spitznamen „Fxmsp“ wird vorgeworfen, Netzwerke kompromittiert zu haben, während die Akteure mit den Spitznamen „Lampeduza“, „Antony Moricone“, „Nikolay“, „BigPetya“ und anderen für die Maximierung der Monetarisierung durch unbefugten Zugriff verantwortlich sind.

Wir gehen mit mittlerer Sicherheit davon aus, dass die Fxmsp Group versucht, unbefugten Zugriff über ein Netzwerk privater Kontakte zu monetarisieren, bevor sie quasi-öffentlich einen Verkaufsthread oder eine Auktion für einen größeren Käuferkreis erstellt. Dies lässt darauf schließen, dass die von der Fxmsp Group initiierten Forenauktionen nur einen Bruchteil der verfügbaren unbefugten Zugriffe ausmachen, die die Fxmsp Group zu einem bestimmten Zeitpunkt zu Geld zu machen versucht.

Ausblick

Wir gehen davon aus, dass die Zahl der unbefugten Zugriffe und Direktverkäufe mit vermeintlichem Nutzen für das Opfer in absehbarer Zukunft weiter zunehmen wird. Malwarespezifische PPI-Partnerdienste werden in der EU weiterhin kriminellen Wert bieten, allerdings sind Malware-Infektionen im PPI-System weniger profitabel als opportunistischer und gezielter unbefugter Zugriff.

Fachleute für Informationssicherheit sollten sich auf die Implementierung und Überprüfung präventiver Best Practices in Verbindung mit internen proaktiven Erkennungsbemühungen im Hinblick auf die folgenden vier primären Methoden zur Schaffung eines ersten unbefugten Zugriffs konzentrieren: Phishing, Wiederverwendung von Anmeldeinformationen, Platzierung von Web-Shells und Ausnutzen von Sicherheitslücken.

Risikominimierung

Security Intelligence ist notwendig, um erste unbefugte Zugriffe über Threat-Hunting-Methoden schnell zu erkennen. Diese Methoden sollten im Laufe der Zeit wachsen, da operative Praktiker ihr Wissen über gegnerische Taktiken und die interne Netzwerkumgebung erweitern. Eine neue Methodik sollte zu einer fortlaufenden Hunting-Implementierung über einen Automatisierungs-/Orchestrierungs-Workflow (SOAR) führen. In diesem Abschnitt finden Sie Empfehlungen zur Risikominderung für die vier wichtigsten Methoden des Erstzugriffs, die von der Insikt Group gefunden wurden.

Phishing

So vermittelt beispielsweise die Überprüfung von E-Mail-Inhalten und Anhängen, die von einem E-Mail-Sicherheitsgateway unter Quarantäne gestellt wurden, ein grundlegendes Bewusstsein für die Taktiken der Gegner, die in der Vergangenheit fehlgeschlagen sind. Gleichzeitig werden wertvolle Beispiele dafür präsentiert, wo abgeleitete Technikmodifikationen in Zukunft erfolgreich sein könnten. Eine E-Mail-Sicherheitsanwendung kann so konfiguriert werden, dass bestimmte eingehende Dateianhänge¹ (z. B. „hta“ – ausführbare HTML-Datei) blockiert werden, sie blockiert jedoch keine schädlichen E-Mails mit Links zu Websites von Drittanbietern.
Der Schwerpunkt einer Phishing-Hunting-Methodik würde in diesem Fall daher auf der Identifizierung neuer Domänen liegen, die wahrscheinlich für Phishing verwendet werden (Inhalt des E-Mail-Texts), basierend auf der lexikalischen Nähe der Domäne zu weit verbreiteten Domänen von Cloud-Anbietern (wie DocuSign, Google Mail-Diensten, Microsoft Office365, Amazon Storage usw.). Sicherheitsinformationen liefern neue Domänenkandidaten, die dann zur Verbesserung der Inhaltsprüfung und -erkennung von E-Mail-Sicherheitsgateways in der DNS-Telemetrie oder der Auflösung von Webproxy-Geräten verwendet werden sollten.

Aufgezeichnete Future-Abfrage zur Identifizierung neuer Phishing-Domänen.

Wiederverwendung von Anmeldeinformationen

Wachsamkeit bei der Asset-Verwaltung und der Entfernung von mit dem Internet verbundenen Systemen, auf denen Anwendungen ohne Multi-Faktor-Authentifizierung ausgeführt werden, ist eine gute Hygiene, um die Wiederverwendung von Anmeldeinformationen und im Falle von RDP Brute-Force-Angriffe zu verhindern. Security Intelligence reduziert das Risiko der Wiederverwendung von Anmeldeinformationen durch Angreifer, indem kompromittierte Anmeldeinformationen in erster Linie durch Datenbankverletzungen aufgedeckt werden. Der entsprechende SOAR-Workflow sollte Active Directory nach Benutzern durchsuchen , die mit neu erkannten Anmeldeinformationssätzen übereinstimmen. Immer wenn ein gültiger Benutzer in einem Satz von Anmeldeinformationen gefunden wird, wird eine Kennwortzurücksetzung initiiert.

Platzierung der Web-Shell

Angreifer platzieren Web-Shells in der Regel über eine Software-Schwachstelle oder eine Fehlkonfiguration auf Webservern. Eine Web-Shell umgeht häufig eine Web Application Firewall (WAF) und ermöglicht eine langfristige Persistenz auf einem oder mehreren Webservern. Angreifer verwenden Web-Shells, um Informationsressourcen auszunutzen oder sich unbefugten Zugriff auf zusätzliche Systeme zu verschaffen. Security Intelligence ist eine wichtige Komponente der Web-Shell-Suche, die eine kontinuierliche Identifizierung neuer Web-Shells und die damit verbundenen Funktionsbewertungen erfordert. Ältere Web-Shells verwenden beispielsweise die grundlegende, Formular- oder Digest-HTTP-Authentifizierung, die in der Netzwerktelemetrie einfach zu identifizieren ist (Zeek ist ein wertvolles Open-Source-Tool für das Parsen und Analysieren von Netzwerkprotokollen).
Darüber hinaus sind YARA-Regeln eine weitere Open-Source-Ressource, um bestimmte Web-Shells basierend auf Dateibedingungen (in der Regel Zeichenfolgen) zu identifizieren.

Neue Web-Shells auftauchen. (Quelle: Aufgezeichnete Zukunft)

Ausnutzen einer bekannten Software-Sicherheitslücke

Die kontinuierliche Priorisierung und Ausführung von Patches in einer Unternehmensumgebung ist eine Herausforderung, aber Sicherheitsinformationen können hilfreich sein, indem sie neue Schwachstellen aus der Zeit vor NVD aufdecken und vorhandene Schwachstellen verbessern, insbesondere bei Hinweisen auf eine Ausnutzung „in freier Wildbahn“.

Zusätzlicher Kontext zu Schwachstellen bereitgestellt durch Recorded Future Intelligence Cards ™ . (Quelle: Aufgezeichnete Zukunft)

Fußnoten

¹https://www.cyber.gov.au/publications/malicious-email-mitigation-strategies