Der florierende Untergrundmarkt für Access-as-a-Service

Originalartikel von Trend Micro

Netzwerkverteidiger haben oft die Aufgabe, die Abfolge der Ereignisse nachzuvollziehen, die es einem Angreifer ermöglichten, seine Attacke im Netzwerk durchzuführen. Dazu müssen sie bestimmte Fragen stellen: Wie sind die Angreifer eingedrungen? Was haben sie getan, um in das Netz einzudringen? Welche Aktionen haben sie nach dem Eindringen in das Netzwerk durchgeführt, die es ihnen ermöglichten, ihre Zugriffsrechte zu erweitern? Leider sind die Antworten heutzutage nicht mehr so eindeutig, oder fallen gar ganz aus, denn moderne Kriminelle führen ihr Spiel bedeutend raffinierter durch.

In Untergrundforen gibt es ein neues, florierendes Geschäftsmodell, bei dem so genannte Zugangs-Broker gestohlene Anmeldedaten oder direkten Zugang zu Unternehmen verkaufen. Ransomware-Angreifer müssen beispielsweise nicht mehr erst eine Sicherheitslücke ausnutzen oder infektiöse Mails versenden, um sich Zugang zu verschaffen – jetzt können sie sich den Zugang einfach erkaufen.

Zugangs-Broker bieten solchen Zugang als Dienstleistung an und ebnen so den Weg für die eigentlichen schädlichen Angriffe. Die Existenz dieses neuen Untergrundmarkts ist die Ursache für die Entkopplung zwischen einem ersten Einbruch in ein Unternehmen und den nachfolgenden Angriffen, die Tage oder sogar Monate später erfolgen.

Trotz der Bezeichnung „As a Service“ handelt es sich nicht um eine tatsächliche Dienstleistung, bei der die Kriminellen den Service nach dem Verkauf erbringen: Vielmehr geht es um ein Angebot, das eher einem digitalen Produkt ähnelt. Zugangs-Broker im kriminellen Untergrund werben für diesen Dienst oft wie für ein Ticket, mit dem der Käufer direkt reinkommt.

In der Realität sieht die Sache jedoch ein wenig anders aus. Manchmal ist es der Zugang zu einer Web-Shell oder eine ähnliche einfache Methode, um eine Eingabeaufforderung in das kompromittierte Netzwerk zu erhalten. In den meisten Fällen handelt es sich jedoch nur um eine Reihe von Anmeldedaten und einen VPN-Server (Virtual Private Network), mit dem eine Verbindung hergestellt wird. Auf diese Weise kann der Verkäufer von Anfang an das Vertrauen des Käufers gewinnen, denn er muss sich nur über eine gemeinsame Remote-Sitzung in das Netzwerk einloggen und nachweisen, dass er Zugang zu den Netzwerkressourcen hat. Ransomware ist häufig mit „Access as a Service“-Geschäftsmodell verknüpft, weil dieses kriminelle Angebot ungeahnte Infektionsraten ermöglicht hat.

Quellen der gestohlenen Zugangsdaten

Zugangs-Broker beziehen die Zugangsdaten aus vielen verschiedenen Quellen. Sie können öffentlich zugänglich sein, aus dem Austausch mit anderen Angreifern, aus der Ausnutzung von Sicherheitslücken oder aus anderen Angriffen stammen, die sie entweder selbst durchgeführt oder von anderen böswilligen Akteuren erworben haben könnten.

Eine der offensichtlichsten Methoden an Zugangsdaten zu gelangen sind Datendiebstähle und das Knacken von Passwort-Hashes. Botmaster nutzen ihre Botnetze unter anderem für das Ausspionieren der Internetverbindungen infizierter Benutzer und das Sammeln von Benutzerdaten. Die gestohlenen Zugangsdaten landen in der Regel in einem Malware-Log des Botmasters, der sie dann oder mit gegen andere Logs tauscht. Weitere Quellen sind der Missbrauch von Schwachstellen oder opportunistisches Hacking.

Eine der wichtigsten Dienstleistungen von Zugangs-Brokern ist die Validierung von Zugangsdaten. Unabhängig von der Quelle versuchen sie immer zu überprüfen, ob die Paare aus Benutzername und Passwort funktionieren, indem sie sie entweder manuell ausprobieren oder spezielle Skripts verwenden, die dies in großem Stil tun. Bei der Validierung von Zugangsdaten aus einem Einbruch versuchen die Broker häufig, diese sowohl auf der Einbruchsseite als auch auf der Unternehmens- oder offiziellen Seite zu validieren.

Die Zugangs-Broker lassen sich grob in drei Gruppen unterteilen: Opportunistische Anbieter verkaufen in der Regel einen einmaligen Zugang und werben für ihre Angebote in kriminellen Internetforen. Engagierte Makler haben Zugang zu einer Reihe verschiedener Unternehmen, die sie in größeren Untergrundnetzwerken bewerben. Sie wenden sich auch direkt an gemeinsame Partner, die als Affiliates fungieren. Online-Shops schließlich bestehen aus einer Gruppe von Verkäufern, die eine Vielzahl von kriminellen Daten anbieten. Diese speziellen Shops werden nicht voranalysiert und garantieren nur den Zugang zu einem einzelnen Gerät, nicht zu einem Netzwerk oder einem Unternehmen.

Untergrundmarkt für Access-as-a-Service

Wir haben über 900 Angebote von Zugangs-Brokern untersucht, die von Januar bis August 2021 in verschiedenen englischsprachigen und russischen Untergrundforen für Cyberkriminelle vorhanden waren. Es gab keine signifikanten Preisunterschiede zwischen englisch- und russischsprachigen Foren. 43 % aller Anzeigen von Zugangs-Broker zielten auf Unternehmen in Europa ab, gefolgt von Nordamerika mit 24 % und Asien mit 14 %.

Bild 1. Access as a Service-Angebote nach Regionen

RDP- und VPN-basierter Zugang waren das am häufigsten angebotene Produkt. Nach Prüfung von mehr als tausend Anzeigen stellten wir fest, dass 36 % den Zugang zu Hochschulen, Universitäten und Schulen anboten, und 11 %, boten den Zugang zu Produktionsbetrieben und professionellen Dienstleistungen.

In den USA gab es 2020 eine rekordverdächtige Anzahl von Datenschutzverletzungen im Bildungssektor, umso mehr aufgrund des Fernunterricht für mehrere Monate während der Pandemie. Zudem waren viele Unternehmen gezwungen, ihre Mitarbeiter aus dem Home Office arbeiten zu lassen, wo der Sicherheit weniger Aufmerksamkeit geschenkt wird. Schulen sind ein ideales Ziel, da sie eine Goldmine für persönliche Informationen wie Finanzdaten, Krankenakten und Sozialversicherungsnummern darstellen, die in cyberkriminellen Foren verkauft oder als Lösegeld gefordert werden können. Ein weiterer möglicher Faktor ist, dass Schulen und Universitäten im Allgemeinen nur über begrenzte Sicherheitsbudgets verfügen und tendenziell offener und weniger streng kontrolliert sind als Unternehmen.

Bild 2. Verkaufsangebote nach Branchen

Zu den am stärksten betroffenen Ländern gehörten die Vereinigten Staaten, Spanien, Deutschland, Frankreich und das Vereinigte Königreich. In Deutschland waren die beiden wichtigsten Branchen, in denen der Zugang im Untergrund verkauft wurde, die professionellen Dienstleistungen mit 28 % und das Bildungswesen mit 24 %.

Bild 3. Verkaufsangebote für Deutschland

Preise

Die analysierten Preise beziehen sich alle auf Zugang zu den Systemen eines ganzen Unternehmens. Diese Art von Angeboten umfasst in der Regel höhere Zugriffslevel, die es einem Eindringling ermöglichen, Zugang zu mehr Ressourcen zu erlangen. Daher kann man davon ausgehen, dass der Hacker bereits eine gewisse Vorarbeit geleistet hat, um den Zugang zu ermöglichen. Infolgedessen sind die Preise für diese Produkte höher.

Die meisten engagierten Zugangs-Broker geben ihre Preise nicht öffentlich bekannt, sondern werben stattdessen mit der Art des Unternehmens, dem Jahresumsatz und den Zugangslevels. Die Geschäfte werden immer über private oder direkte Nachrichten abgewickelt. Die Jahreseinnahmen sind für potenzielle Ransomware-Kunden wichtig, da sie Aufschluss darüber geben, ob sich das Opfer das Lösegeld leisten kann. Der VPN-Zugang verlangt nicht so viel Geld wie Admin-Angebote, da viele VPN-Angebote den Markt überschwemmen und es auch spezielle VPN-Shops gibt. Weitere Details zur Preisgestaltung beinhaltet der Originalbeitrag.

Ransomware und Access-as-a-Service

Obwohl Ransomware nicht die einzige Payload ist, die nach dem Eindringen abgelegt wird, ist sie wahrscheinlich häufigste. In der Regel werden die Gewinne aus Lösegeldzahlungen in 80 % für die Ransomware-Gruppe und 20 % für denjenigen aufgeteilt, der ihnen den Zugang verschafft hat. Ransomware-Angriffe sind in den meisten Fällen deshalb erfolgreich, weil jemand der Gruppe Zugang zum Zielnetzwerk verschafft hat, unabhängig davon, ob es sich dabei um einen Zugangsverkäufer oder einen einzelnen Hacker handelt. Beim Partnerschaftsmodell ist die Aufteilung umgekehrt. Hier wird von den Partnern erwartet, dass sie die Lösegeldverhandlungen führen; daher ist die Auszahlung für sie höher.

Da die Ransomware-Payload der sichtbarste Teil des Angriffs ist, neigen Sicherheitsadmins dazu, sich in erster Linie auf diesen Teil zu konzentrieren, und auch die meisten Sicherheitsdiskussionen drehen sich um Ransomware-Angriffe und nicht um die Überwachung und Eindämmung der Aktionen von Zugangs-Brokern.

Empfehlungen für Verteidigungsstrategien

Unternehmen haben sich in der Regel darauf konzentriert, die Auswirkungen von Angriffen auf ihre Netzwerke zu verhindern und abzuschwächen. Obwohl Best Practices wie effiziente Backup-Funktionen, Überwachung von massenhaften Verschlüsselungsversuchen, Monitoring von bösartigen Mails und die Abschirmung von Benutzern vor den Auswirkungen von Ransomware in der Regel ausgezeichnete Präventivmaßnahmen sind, gibt es für Netzwerke weitere Schutzmaßnahmen.

Cybersicherheits- und Netzwerkteams können zusätzliche Schritte veranlassen, um dem Verhalten der Angreifer entgegenzuwirken. Alle diese Maßnahmen zielen darauf ab, das erste Eindringen, das einen Ransomware-Angriff ermöglicht, zu erkennen und zu verhindern:

  • Überwachen Sie öffentliche Sicherheitsverletzungen. Das bedeutet, Passwortverletzungen anzusehen, sobald diese öffentlich werden. Darüber hinaus wäre es hilfreich, den kriminellen Untergrund zu beobachten und regelmäßig nach Anzeichen für ein Eindringen in Ihr Netzwerk zu suchen. Sind die für das Monitoring notwendigen Ressourcen nicht vorhandensollten Sie in Erwägung ziehen, einen solchen Dienst von einem speziellen Sicherheitsanbieter zu erwerben.
  • Bei Verdacht, dass einige Ihrer Credentials an die Öffentlichkeit gelangt sind, setzen Sie die Passwörter aller Benutzer zurück. Möglicherweise sollten auch die Anmeldedaten Ihrer System- und Dienstkonten zurückgesetzt werden.
  • Ziehen Sie die Einrichtung eines Zwei-Faktor-Authentifizierungssystems (2FA) für Ihre Remote-Benutzer in Betracht. So können Sie Angreifer daran hindern, sich mit geleakten Anmeldedaten Zugang zu Ihrem Netzwerk zu verschaffen.
  • Nach einem Angriff sollte Ihr Incident Response (IR)-Team das mittlerweile beliebte Mehrfach-Angreifer-Szenario prüfen. Moderne Angriffe erfolgen in zwei oder mehr Phasen, bei denen die Angreifer zunächst für die Einrichtung und Aufrechterhaltung des externen Zugangs verantwortlich sind und diesen dann an andere Bedrohungsakteure verkaufen, die den eigentlichen Angriff durchführen. Diese einzelnen Angriffspunkte unterscheiden sich in Bezug auf ihren Zeitplan und ihre Vorgehensweise.
  • Überwachen Sie das Benutzerverhalten und legen Sie Dinge fest, die Benutzer nicht tun sollten. Credential Dumping, Netzwerk-Scans und andere ungewöhnliche Aktivitäten sollten Flags auslösen, die jedes Security Information and Event Management (SIEM) oder Managed Detection and Response (MDR)-Produkt erkennen kann. Überwachen Sie Ihre SIEM/MDR-Protokolle und setzen Sie Alerts.
  • Behalten Sie Ihre DMZ im Auge. Gehen Sie davon aus, dass die mit dem Internet verbundenen Dienste (VPN, Webmail, Webserver usw.) ständig angegriffen werden. Dies sind die wichtigsten Maschinen, die immer vollständig gepatcht werden müssen. Ändern Sie regelmäßig Ihre Passwörter, beschränken Sie Installationen auf ein absolutes Minimum und aktivieren Sie 2FA.
  • Implementieren Sie Netzwerksegmentierung und Mikrosegmentierung, um laterale Bewegungen zu verhindern und das Monitoring zu unterstützen. Unternehmen können von der Segmentierung von Büro- und Servernetzwerken profitieren. Dies kann durch die Mikrosegmentierung von Informationssystemen, die Verwendung von ordnungsgemäß geschützten Verwaltungsnetzwerken zum Schutz der zugrunde liegenden Verwaltungsschnittstellen der Netzwerkinfrastruktur und den Einsatz von Virtualisierungs- und Cloud-Infrastrukturen erfolgen.
  • Erwägen Sie standardisierte Best Practices für Passwortrichtlinien. Das National Institute of Standards and Technology (NIST) in den USA und die Agentur der Europäischen Union für Cybersicherheit (ENISA) haben aktualisierte Richtlinien zu diesem Thema herausgegeben. Wir empfehlen insbesondere deren Sammlung der aktualisierten Passwortrichtlinien, die auf GitHub zusammengestellt wurden.

Fazit

Noch bis vor kurzem war es üblich, dass erfahrene Angreifer im kriminellen Untergrund Exploits oder Schwachstellen kauften, um in Unternehmensnetzwerke einzudringen. Heutzutage haben Access-as-a-Service-Angebote das Leben der Angreifer vereinfacht. Dadurch können Angreifer direkt eindringen und sich mehr auf laterale Bewegungen und Privilegienerweiterung konzentrieren. Angreifer können nun mehr Zeit damit verbringen, innerhalb des Netzwerks die Server zu finden, auf denen sich die interessantesten Daten befinden.

Letztlich führt dies dazu, dass Angreifer schneller und einfacher in das Netzwerk eindringen können, sich aber über einen längeren Zeitraum entwickeln. Noch wichtiger ist, dass diese Veränderung im Verhalten der Angreifer bei der Planung der Verteidigungsstrategie berücksichtigt werden muss. Die Überwachung des Netzwerks auf Anzeichen eines Eindringens sollte sich sowohl auf Schwachstellen an der Netzwerkgrenze als auch auf Benutzer konzentrieren, die versuchen, sich lateral innerhalb des Netzwerks zu bewegen und einen erweiterten Zugriff auf Ressourcen zu erhalten. Eine gute Verteidigungsstrategie erfordert eine ganzheitliche Lösung, die diese beiden Aspekte berücksichtigt und gleichzeitig den erweiterten Zeitrahmen einbezieht, der für die Auswertung von SIEM- und MDR-Softwareprotokollen erforderlich ist.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.