Supply Chain-Angriffen mit Managed Detection and Response begegnen

Originalartikel von Ryan Maglaque, Jessie Prevost, Joelson Soares, Janus Agcaoili

Moderne Technologien haben die Verwaltung großer IT-Umgebungen deutlich vereinfacht im Vergleich zu früher, als jeder Endpunkt manuell konfiguriert und gewartet werden musste. Viele Unternehmen nutzen Tools und IT-Lösungen, die eine zentrale Verwaltung von Endgeräten ermöglichen und die Aktualisierung, Fehlerbehebung und Bereitstellung von Anwendungen von einem entfernten Standort aus bieten.

Dieser Vorteil hat jedoch seinen Preis: Genau so wie die IT-Mitarbeiter von einem einzigen Standort aus auf die Maschinen zugreifen können, bedeutet die Zentralisierung der modernen technischen Infrastruktur auch, dass böswillige Akteure den Haupt-Hub angreifen können, um sich Zugang zum gesamten System zu verschaffen. Noch brenzliger ist, dass Cyberkriminelle nicht einmal mehr einen direkten Angriff auf ein Unternehmen starten müssen – sie können die Sicherheitsmaßnahmen umgehen, indem sie sich auf die Supply Chain ihres Ziels konzentrieren. Anstatt beispielsweise zu versuchen, Schwachstellen im System eines großen Unternehmens zu finden, das wahrscheinlich über starke Verteidigungsmaßnahmen verfügt, kann ein Angreifer stattdessen kleinere Unternehmen angreifen, die Software für größere Partner entwickeln. Zwei Beispiele für Supply Chain-Angriffe sollen den Ablauf verdeutlichen und auch wie mithilfe unseres Managed Detection and Response (MDR)-Teams der Attacke begegnet werden kann.

Erster Vorfall: Angriff auf die Kaseya-Plattform

Am 2. Juli während des  Kaseya Ransomware-Angriffs warnten wir einen unserer Kunden über die Entdeckung von Ransomware auf seinem System.

Bild 1. Der Ablauf des Vorfalls

Unsere Untersuchung ergab verdächtige Aktivitäten, als die Datei AgentMon.exe, die Teil des Kaseya-Agenten ist, eine andere Datei, cmd.exe, erzeugte, die für die Erstellung der Payload agent.exe verantwortlich ist, die wiederum MsMpEng.exe ablegte. Über unsere erweiterte Root Cause Analysis (RCA) konnten wir einige Items sehen, bevor die Ransomware ausgeführt wurde.

Bild 2. Vision One-Konsole zeigt den Infektionsablauf

Wir entdeckten, dass die Malware versuchte, die Anti-Malware und Anti-Ransomware-Funktionen von Windows Defender mithilfe von PowerShell-Befehlen zu deaktivieren. Weitere Details zum Ablauf liefert der Originalbeitrag.

Die mit maschinellem Lernen arbeitenden Erkennungsfunktionen konnten die Ransomware blockieren und aufspüren, allerdings war das Schutzmodul nicht in allen Sicherheitsagenten von Trend Micro Apex One™ aktiviert. Daher bat der Support des Unternehmens das Team, die Produkteinstellungen zu überprüfen. Da die Prozesskette zeigte, dass die Ransomware von einem Kaseya-Agenten ausging, ersuchten wir unseren Kunden, die Kaseya-Server zu isolieren, um die Bedrohung einzudämmen.

Wenige Stunden später gab Kaseya einen Warnhinweis an seine Benutzer, ihren Virtual System/Server Administrator (VSA)-Server bis auf weiteres abzuschalten.

Zweiter Vorfall: Credential Dumping-Angriff auf das Active Directory

Der zweite Supply Chain-Vorfall, den unser MDR-Team einzudämmen hatte, beginnt mit einer Warnung an einen Kunden über einen Credential Dump in seinem Active Directory (AD). Die Incident View in Trend Micro Vision One™ fasste andere Entdeckungen in einer einzigen Ansicht zusammen und lieferte zusätzliche Informationen über das Ausmaß der Bedrohung. Von dort aus konnten wir einen Server, einen Endpunkt und einen Benutzer in Verbindung mit der Bedrohung sichtbar machen. Auch fand unser Team verdächtige Aktivitäten bezüglich WmiExec sowie geplante Aufgaben als Persistenzmechanismus für die Datei System.exe. Auch hier liefert der Originalbeitrag die gesamten technischen Details der Analyse.

Auf der Grundlage dieser Erkenntnisse empfahlen wir dem Kunden, die Anmelde-Logs der betroffenen Anwendung zu überprüfen, um zu sehen, ob während der Zeit, in der die Bedrohung auftrat, verdächtige Konten verwendet wurden.

Durch die genaue Überwachung der Umgebung konnte die Bedrohung nach dem Credential Dump gestoppt werden. Außerdem wurden die IOCs (IP-Adressen und Hashes) zur Liste der verdächtigen Objekte hinzugefügt, um sie zu blockieren, während auf die Erkennung gewartet wurde. Bei der weiteren Überwachung wurde kein weiteres verdächtiges Verhalten festgestellt.

Schutz vor Angriffen auf die Supply Chain

Es ist zu erwarten, dass diese Angriffe in Zukunft zunehmen werden, da sie oft zu den gleichen Ergebnissen führen wie ein direkter Angriff und gleichzeitig eine größere Angriffsfläche für böswillige Akteure bieten. Angriffe auf die Supply Chain lassen sich nur schwer nachverfolgen, da die betroffenen Unternehmen oft keinen vollständigen Zugang zur Sicherheitslage bei ihren Supply Chain-Partnern haben. Dies kann durch Sicherheitslücken im Unternehmen selbst noch verschärft werden. So können Produkte und Software beispielsweise Konfigurationen wie Ordnerausschlüsse (Folder Exclusion) und eine suboptimale Implementierung von Erkennungsmodulen aufweisen, so dass Bedrohungen schwerer zu erkennen sind.

Sicherheits-Audits sind dafür ein sehr wichtiger Schritt zur Sicherung der Lieferkette. Selbst wenn Drittanbieter als vertrauenswürdig bekannt sind, sollten dennoch Sicherheitsvorkehrungen getroffen werden, falls es kompromittierte Konten oder sogar Insider-Bedrohungen gibt.

Mit Vision One die Bedrohung eindämmen

Trend Micro Vision One bietet Unternehmen die Möglichkeit, Bedrohungen über mehrere Sicherheitsebenen hinweg zu erkennen und darauf zu reagieren. Die Lösung unterstützt Unternehmen mit Optionen für den Umgang mit Bedrohungen, denn:

  • Sie kann Endpunkte isolieren, die oft die Quelle der Infektion sind, bis sie vollständig gesäubert wurden oder die Untersuchung abgeschlossen ist.
  • Sie kann IOCs blockieren, die mit der Bedrohung in Verbindung stehen, z. B. Hashes, IP-Adressen oder Domänen, die bei der Analyse gefunden wurden.
  • Sie kann Dateien für weitere Untersuchungen sammeln.

Der Originalbeitrag liefert auch die Indicators of Compromise (IoCs) für die beiden Vorfälle.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.