Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts

Mitglied: colinardo

colinardo (Level 5) - Jetzt verbinden

Apr 15, 2021, aktualisiert Apr 16, 2021, 3997 Aufrufe, 9 Kommentare, 7 Danke

Servus Kollegen und Mitstreiter,

da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins dabei waren, die meinten Ihre Systeme nicht wirklich zurück oder neu aufsetzen zu müssen und sich so scheinbar in Sicherheit wägen, wollte ich hier mal ein exemplarisches Beispiel aus "Igor Bogdanov's Blog" geben, welches zeigt wie ausgefeilt sich Malware selbst auch auf scheinbar sicheren Systemen verstecken kann und im Netzwerktraffic auf den ersten und zweiten Blick so gut wie nicht auffällt.

In diesem Beispiel konnte die C&C Malware auf den eingesetzten Gateways den SSL-Traffic mitlesen und so personenbezogene Daten im Klartext absaugen.

APT Encounters of the Third Kind (Achtung: Possible "North Korean" influence ;-) face-wink)

Viel Spaß beim Lesen :-) face-smile.

Gruß @colinardo
Mitglied: departure69
Apr 15, 2021, aktualisiert um 18:13 Uhr
@colinardo:

Sehr interessant, doch für mich weitenteils Bahnhof & Suaheli, und das nicht der englischen Sprache wegen.

Weil Du die Exchange-Admins ansprichst: Zu der Kategorie dürfte ich auch gehören, keinerlei tiefergehendes Wissen zu solcher Art von möglichen Angriffen vorhanden. Unseren Exchange hat ein Systemhaus aufgesetzt, von dem ich sehr viel halte, ich selbst kann das EAC bedienen, und in selten vorkommenden Fällen auch mal ein Exch.-PS-Skript absetzen. Monatliche Windows-Updates für den Server mache ich ebenfalls, und auch die Installation der Messaging Security und der CUs und ggf. ab und zu zwischendurch erscheinende Exchange-Updates. Und natürlich Backup. Ich sehe regelmäßig in die Protokolle der Messaging-Security und behalte den freien Speicher im Auge. Viel mehr ist es nicht, was ich selber tun kann.

Bin ich damit ein Exchange-Admin, der diese Bezeichnung verdient? So ein richtiger Exchange-Freak, der mit jedem Exchange-Bit per Du ist? Vermutlich nicht. Oder besser ganz sicher nicht.

Aber gestatte eine Frage: Als neulich die Exchange-Attacken stattfanden, habe ich eifrig beim BSI/LSI mitgelesen. Selbstredend habe ich sofort das kurz zuvor (die Attacken gab's aber schon früher) erschienene Sonderupdate installiert und danach die ganzen Prüfschritte, die wiederum vom BSI/LSI, aber auch von Microsoft beschrieben wurden, durchgeführt. Und auch ansonsten alles, was in den einschlägigen Gazetten, mitunter auch hier im Forum, empfohlen wurde. Die dabei entstandenen Logs habe ich dem Systemhaus zugesandt und erhielt zur Antwort, daß die Auswertung der Logs ergeben hat, daß wir vor Installation des Updates NICHT angegriffen wurden.

Hätte ich mir hier trotzdem - ohne bekannte Not - den zeitlichen und aufwandstechnischen Irrsinn antun sollen, die Installation komplett neu aufzusetzen (Windows-Server + Exchange-Server)? Wiege ich mich nur in scheinbarer Sicherheit?


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: StefanKittel
Apr 15, 2021, aktualisiert um 18:45 Uhr
Hallo,

Zitat von @departure69:
Hätte ich mir hier trotzdem - ohne bekannte Not - den zeitlichen und aufwandstechnischen Irrsinn antun sollen, die Installation komplett neu aufzusetzen (Windows-Server + Exchange-Server)?

Wir hatten die Frage hier im Forum schon diskutiert.
Da die Angriffe ja schon im Januar stattfanden, man vom Exchange zum AD und von dort überall hinkommt, hätte man eigentliche alle Exchange-Server weltweit und alle mit diesen verbundenen Server und PCs neu aufsetzen müssen.

Gehen wir beim Angreifer wirklich mal von Luther Stickell (Mission Impossible) aus.
Bloss weil man nichts finden kann heist das ja nicht, dass da nichts ist.

Eine Manipulation eines Chipsatzes der auf Mainboards eingesetzt wird, wäre für jeden verhängnisvoll.

Zitat von @departure69:
Wiege ich mich nur in scheinbarer Sicherheit?
Ja, aber auch vorher schon :-) face-smile

So what? Keine IT mehr nutzen?
Bitte warten ..
Mitglied: colinardo
Apr 15, 2021, aktualisiert um 22:37 Uhr
Servus @departure69

Es ist ja auch immer eine Abwägungssache.
Die Server wurden ja erst mal massenhaft infiziert um dann später zu schauen, lohnt sich das Target überhaupt um weitere Schritte einzuleiten. Da ist dann auch klar das eine 3 Mann Klitsche einer Autowerkstatt wohl eher ein weniger lukratives Ziel darstellt als bspw. ein mittelständiges Maschinenbau-Unternehmen.
Das Hacker nicht abertausende Server und Netzwerke in einem kurzen Zeitraum so detailliert scannen und beurteilen können ist auch klar, das braucht Zeit. Da wird es dann also auch diverse dieser Systeme geben auf denen man auch "nur" die bekannten Backdoors vorfindet, auch klar.
Wenn man sich dann aber nicht im klaren ist was es für den eigenen Betrieb bedeuten kann wenn sensible Daten abgegriffen werden und sich dann die Sonnenbrille aufsetzt und weg schaut dann ist das sehr wohl fahrlässig.

Ich hatte auch einige Systeme zu bereinigen und die Mehrzahl der Kunden denen ich dazu geraten habe die Systeme neu aufzusetzen haben diesen Rat auch befolgt, aber genau der Mittelständer der unserem Rat nicht gefolgt ist hat es dann letztendlich voll erwischt. Man kann nur von Glück sagen daß das Unternehmen keine Insolvenz anmelden musste, aber das jetzt bestimmt einige Mitarbeiter zum Arbeitsamt stiefeln müssen, und das in Pandemie-Zeiten, ist nicht besonders schön. Nur weil ein Vorgesetzter mal wieder nach Prinzip "Geiz ist Geil" auf Kosten der Mannschaft gehandelt hat.

Was ich damit einfach nur noch mal klar machen wollte ist, ein Admin hat eine nicht zu unterschätzende Verantwortung für ein Unternehmen und diese sollte er auch bestmöglich einsetzen.


Wiege ich mich nur in scheinbarer Sicherheit?
Tja das ist die Frage aller Fragen.

Was ist schon sicher, wir vertrauen auf Code den ein Großkonzern mit x Milliarden Dollar Umsatz geschrieben hat, da sollte man ja eigentlich meinen das Code eine gewisse Sicherheit hat, aber wie man sieht ist niemand gegen menschliche Fehler gefeit, gerade in unserer schnelllebigen Zeit entstehen Projekte oftmals ohne zu die entsprechende Sorgfalt immer mit dem Ziel den max. Profit raus zu kitzeln.

Aber man kann das Risiko durch einfache Maßnahmen reduzieren auch wenn sie oftmals für uns mehr Arbeit bedeuten, aber dafür sind wir ja Admins aus Leidenschaft (hoffentlich 😉).

Wie sagt doch so manch einer
No risk no fun

Nur eins ist sicher, das wir alle irgendwann die Radieschen mal von unten sehen.

So weit mein Wort zum Donnerstag
@colinardo
Bitte warten ..
Mitglied: altmetaller
Apr 16, 2021 um 13:06 Uhr
Hallo,

Zitat von @StefanKittel:

Da die Angriffe ja schon im Januar stattfanden, man vom Exchange zum AD und von dort überall hinkommt, hätte man eigentliche alle Exchange-Server weltweit und alle mit diesen verbundenen Server und PCs neu aufsetzen müssen.

Das zum Einen. Zum Anderen verhält es sich so, dass die administrative Kultur unter Windows schlichtweg eine andere ist als unter Linux.

Die grundlegende Vorgehensweise "Ich klicke solange, bis es funktioniert und dann rühre ich es nicht mehr an" ist dort schlichtweg dem Umstand geschuldet, dass Windows "Closed Source" ist und somit niemand nachvollziehen kann, was diese Software genau macht.

Ich bin ehrlich: Kein Mitleid! In meiner Vorstellung flüchten sich immer mehr in die Abhängigkeit der Cloud und werden zukünftig "so richtig ausgenommen". Ich persönlich lerne gleichzeitig, wie wenig man eigentlich zum Leben braucht und nehme immer weniger Dienstleistungen in Anspruch. Mal gucken, wer länger durchhält :-) face-smile

Gruß,
Jörg
Bitte warten ..
Mitglied: Lochkartenstanzer
Apr 16, 2021 um 14:25 Uhr
Moin,

sehr interessanter Beitrag, erinnert mich an meine Jugend, als ich noch in Binärcode für forensische Zwecke herumgewühlt habe. Leider hat sich meine Tätigkeit inzwischen ganz anders entwickelt.

Interessant auch die Aussagen des Kunden:

After getting all the forensics the client insisted on reconnecting his systems to the web, they were "losing money".

"I don't care who else they are attacking. I just want them off my lawn!"

Erinnert mit an das alte Gebet an den heiligen Sankt Florian.

Aber nach dem Lesen sieh das aus wie ein sehr spezialisierter und gezielter Angriff in dessen "Genuß" nicht allzuviele Leute kommen dürften, was allerdings kein grund ist, sich in falscher Sicherheit zu wiegen.

Alles in allem eine schöne Freitagslektüre.

lks
Bitte warten ..
Mitglied: Th0mKa
Apr 17, 2021 um 10:14 Uhr
Zitat von @altmetaller:

Hallo,

Zitat von @StefanKittel:
Die grundlegende Vorgehensweise "Ich klicke solange, bis es funktioniert und dann rühre ich es nicht mehr an" ist dort schlichtweg dem Umstand geschuldet, dass Windows "Closed Source" ist und somit niemand nachvollziehen kann, was diese Software genau macht.

Diese These halte ich für sehr gewagt und letztlich auch für nicht haltbar. Weder muss man unter Windows solange klicken bis es funktioniert, noch ist der durchschnittliche Linuxadmin ein so versierter Programmierer das er mal eben den Sourcecode des Linuxkernel und seiner genutzten Applikationen bewerten kann.

/Thomas
Bitte warten ..
Mitglied: StefanKittel
Apr 17, 2021 um 10:37 Uhr
Moin,

ich denke, das dies der heutigen Informationsverfügbarkeit geschuldet.

"Früher" wuste nur Fachpersonal was die Fehler 1511 und 1515 bedeuten.
Also wenn Du auf Schulungen war wo so etwas besprochen wurde oder Du ein dickes Buch hattest und darin stundenlange gelesen hast.

Heute nimmt man eine Suchmaschiene und eine Videoplattform und hat nach 2 Minuten detailierte Anleitungen für komplexe Vorgänge.
Aber meist nur die Anleitung ohne Hintergrundinformationen warum und wieso.

Bedingt durch diese Informationsfülle überschätzen sich viele, ich vermutlich auch.
Aber viele Arbeitgeber von IT-Systemhäuser weisen Azubis im 2. Lehrjahr nicht mehr wie früher Geräte reinigen und PCs installieren sondern Exchange Cluster einrichten zu und gebgen dafür nur ein paar Tipps und Links zu Anleitungen.

Stefan
Bitte warten ..
Mitglied: Th0mKa
Apr 17, 2021 um 10:44 Uhr
Zitat von @StefanKittel:

Moin,

ich denke, das dies der heutigen Informationsverfügbarkeit geschuldet.

Nicht nur das, es ist ja gerade im Projektgeschäft eine Frage des Preises ob ich alle Best Practices in Bezug auf Sicherheit verfolge oder nur das notwendigste umsetze um nich in Haftung genommen zu werden. Sicherheit kostet (Zeit und/oder Geld) und macht das Leben des Admins unbequem.

/Thomas
Bitte warten ..
Mitglied: altmetaller
Apr 17, 2021, aktualisiert um 17:53 Uhr
Hallo,

Zitat von @Th0mKa:

Diese These halte ich für sehr gewagt und letztlich auch für nicht haltbar. Weder muss man unter Windows solange klicken bis es funktioniert, noch ist der durchschnittliche Linuxadmin ein so versierter Programmierer das er mal eben den Sourcecode des Linuxkernel und seiner genutzten Applikationen bewerten kann.

Vielleicht hängt es auch davon ab, mit was für Aufträgen man konfrontiert wird. Ich bin schon häufiger mit Systemen konfrontiert worden, wo ich als fünfter, sechster oder einmal auch als fünfzehnter IT-Dienstleister das Ergebnis derartiger "Administratoren" bewundern durfte und habe auch schon Strafanzeigen und Zivilverfahren (Schadensersatz) begleitet.

Aber, in einem Punkt gebe ich Dir Recht. Den "Ich guck' mir einfach mal jede Option in der GUI an und klicke alles an, was mir persönlich richtig erscheint ohne die Hintergründe zu kennen" Admin gibt es auch noch, den habe ich ausgeblendet.

Aber "eigentlich" ist es auch gut so. Gerade bei derartigen Kunden kann man stundenlohntechnisch "ein richtiges Fass aufmachen", zahlen tut ja letztendlich der Vorgänger, der 's versaut hat (oder dessen Betriebshaftpflicht - wenn er denn eine hat). Zwei bis drei Aufträge pro Jahr reichen :-) face-smile

Gruß,
Jörg

P.S.: Die Linux-Admins, die ich kenne, sind durchaus in der Lage, Sourcecodes des Linux-Kernels uns der genutzten Applikationen zu bewerten und deren Integrität zu prüfen. Du nicht?
Bitte warten ..
Heiß diskutierte Inhalte
Data privacy
FAX ist nicht mehr Datenschutzkonform
brammer1 day agoInformationData privacy49 Comments

Hallo, jetzt sollte es jeder begreifen FAX ist nicht mehr Datenschutzkonform brammer

Humor (lol)
Na, kann euer Toaster auch schon WLAN?
ITlerin9523 hours agoGeneralHumor (lol)16 Comments

Also ich frag mich ja selbst echt oft, ob wirkliche alle technischen Neuerungen auch wirklich notwendig sind. Hintergrund ist, ich brauch einen neuen Toaster. ...

Exchange Server
Exchange 2019 als VM?
Mr.Vain1 day agoQuestionExchange Server9 Comments

Hallo zusammen, wir nutzen derzeit Exchange 2013 mit allen Rollen auf einem physischen Server (Ca. 260 Postfächer, Server 2012R2, Xeon E-2603v3 6Core, 16GB RAM, ...

Windows Update
Keine Updates zum Mai-Patchday über WSUS?
solved Coreknabe23 hours agoQuestionWindows Update12 Comments

Moin, wir laden über unseren WSUS die Windows Updates herunter (Server 2012R2). Jetzt stelle ich gerade verwundert fest, dass es Stand jetzt (19:45 Uhr) ...

Exchange Server
Sicherheitsupdates für Exchange Server 11. Mai 2021
kgborn23 hours agoInformationExchange Server4 Comments

Sicherheitsupdates für Exchange Server 11. Mai 2021 Technet-Beitrag Meine Zusammenstellung: Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021)

Networking Basics
Statische Route auf UTM
solved Ex0r2k1611 hours agoQuestionNetworking Basics30 Comments

Moin! Ich habe an meiner Sophos UTM an einem physischen Interface einen Switch angeschlossen. Dieser läuft im Netz 10.1.1.0/24. Ich kann von meinem aktuellen ...

Exchange Server
Office 365 ohne lokalen Exchange
RicoPausB1 day agoQuestionExchange Server8 Comments

Moin zusammen wir sind erst vor kurzem ins Office 365 eingestiegen und hatten vorher auch keinen Exchange Server im Einsatz. Ein Hybrid-Setup liegt also ...

SAN, NAS, DAS
Synology-NAS DS1813+: Lebensdauer des Gerätes?
Ormenson1 day agoQuestionSAN, NAS, DAS10 Comments

Hallo Forum! In unserer Firma nutzen wir ein Synology NAS DS1813+ als zentraler Datenspeicherort. Konfiguriert ist er als RAID mit Ausfallsicherheit einer Platte. Die ...