Wie automatisches Scannen und Skripting Exchange-Angreifern zu mehr Opfern verhalf

Cyber Security News

Die Zahl der Unternehmen, die über vier Zero-Day-Bugs in Microsoft Exchange angegriffen wurden, hat 30.000 erreicht und steigt weiter an – dank automatischer Scan- und Scripting-Techniken, die von Angreifern eingesetzt wurden.

Laut Quellen, die mit SC Media sprachen, nutzten Angreifer Ende Februar automatisierte Scan-Funktionen, um Exchange-Benutzer zu identifizieren, die für den Exploit anfällig waren. Die Anzahl der Hacks hielt sich zunächst in Grenzen, aber nachdem Microsoft am vergangenen Dienstag die Zero-Days öffentlich gemacht und Notfall-Patches herausgegeben hatte, implementierten böswillige Akteure ein Skript, das es ihnen ermöglichte, den massiven automatisierten Hack zu starten.

Die Lektion hier: Böswillige Akteure nutzen weiterhin die Kombination aus automatisierten Scannern und Skripten, um strategisch eine hohe Anzahl von Opfern zu erreichen, vor allem, wenn sie spüren, dass die Zeit, Schaden anzurichten, bevor die Patches ablaufen, knapp wird.

“Im Jahr 2021 kann man davon ausgehen, dass ein System, das direkt dem Internet ausgesetzt ist, kontinuierlich gescannt und untersucht wird, sowohl von Diensten wie Shodan und Census.io als auch von Angreifern, die nach leichten Zielen suchen”, so Jerry Gamblin, Director of Security Research bei Kenna Security.

Mit solchen Tools “können Sie eine Menge Server finden, die für die Welt offen sind”, sagte Yossi Naar, Chief Visionary Officer und Mitbegründer von Cybereason. “Sie können … Ihre eigenen Scans durchführen, wenn Sie wollen, aber Sie werden ein verteiltes Netzwerk von Scannern wollen, damit Sie nicht bemerkt oder blockiert werden.”

Und wenn eine Schwachstelle gefunden wird, können die Bedrohungsakteure dann entweder ihre Ziele individuell und methodisch auswählen, oder sie können in die Breite gehen und ein großes Spektrum angreifen.

“Verschiedene Bedrohungsakteure haben unterschiedliche Sammelprioritäten und Strategien”, sagten mehrere Kaspersky-Forscher in einem schriftlichen Interview mit SC Media. “Einige könnten beispielsweise an einem ganz bestimmten Dokument interessiert sein, wie einer COVID-19-Impfstoffformel oder vielleicht den Schaltplänen eines Jet-Prototyps. Andere sind vielleicht daran interessiert, ein großes Netz auszuwerfen, um Informationen wie E-Mails, SMS oder Netzwerkverkehr zu sammeln. Diese Prioritäten können sich auch von Zeit zu Zeit verschieben, je nach geopolitischen Zusammenhängen.”

Dennoch ist es merkwürdig: APTs gehen oft sehr chirurgisch und umsichtig vor und ziehen es vor, unter dem Radar zu bleiben, um Cyberspionage an sorgfältig ausgewählten Zielen durchzuführen. In der Tat ist der Hauptakteur, der für den Exploit verantwortlich gemacht wird, Hafnium oder Emissary Panda, dafür bekannt, dass er gezielt Forscher von Infektionskrankheiten, Anwaltskanzleien, Hochschulen, Verteidigungsunternehmen, politische Denkfabriken und Nichtregierungsorganisationen angreift. Plötzlich 30.000 Organisationen anzugreifen, klingt ungewöhnlich.

Andererseits wurden mindestens zwei andere Gruppen – Tick und Calypso – dabei beobachtet, wie sie die Schwachstellen von Exchange ausnutzten, und Experten gehen davon aus, dass weitere Akteure nach der öffentlichen Bekanntgabe gehandelt haben.

Wer auch immer sich dazu entschlossen hat, Tausende von Unternehmen zu scannen und massenhaft zu infizieren, es ist gut möglich, dass sie diese Taktik umgesetzt haben, nachdem die Zero-Days öffentlich bekannt wurden.

In einem Interview mit dem Sicherheitsexperten Brian Krebs sagte Steven Adair, Präsident von Volexity, dass das Team seiner Firma die ersten Angreifer beobachtete, die die Bugs am 6. Januar ausnutzten, aber dass die Aktivität nach den Sicherheitsupdates deutlich zunahm.

“Selbst wenn Sie am selben Tag gepatcht haben, an dem Microsoft die Patches veröffentlicht hat, ist die Wahrscheinlichkeit hoch, dass sich eine Web-Shell auf Ihrem Server befindet”, so Adair gegenüber Krebs. “Die Wahrheit ist, wenn Sie Exchange einsetzen und noch nicht gepatcht haben, ist die Wahrscheinlichkeit sehr hoch, dass Ihre Organisation bereits kompromittiert ist.”

“Das Ausnutzen der ‘Patch-Lücke’ ist eine gängige Taktik, die wir bei vielen Akteuren gesehen haben, wenn sie feststellen, dass ihr Exploit verbrannt wurde. Das ist wahrscheinlich das, was wir jetzt sehen”, erklärte Kaspersky.

In der Tat: “Wenn Sie denken oder wissen, dass Ihre Schwachstellen bald gepatcht werden – was wahrscheinlich ist, dass die Angreifer einen gewissen Einblick hatten – ist das eine Strategie, bei der man nichts verlieren kann. Man wird so oder so abgeschaltet – da kann man genauso gut nehmen, was man kriegen kann, bis das passiert”, sagt Naar.

“An diesem Punkt wissen die Angreifer… wenn sie in der Lage sind, erfolgreich eine Web-Shell zu implantieren, können sie zumindest die Persistenz aufrechterhalten, vorausgesetzt, die Organisation tut nichts anderes als die Patches anzuwenden”, sagte Satnam Narag, Staff Research Engineer bei Tenable.

Natürlich brauchen die Angreifer einen effizienten Weg, um die besagte Webshell über mehrere Organisationen hinweg zu implantieren. Und genau hier kommt das Exploit-Skript ins Spiel.

“Der erste Schritt ist die Erkundung, indem öffentlich zugängliche Systeme online mit Tools wie Shodan, BinaryEdge und ZoomEye aktiv identifiziert werden”, so Narag. “Sobald dieser Schritt abgeschlossen ist, beinhaltet der zweite Schritt die Eingabe der gesammelten Liste von Systemen durch ein Exploit-Skript, das prüfen kann, ob ein System verwundbar ist oder nicht, und wenn ja, die Schwachstelle ausnutzt, um die Web-Shells zu implantieren.”

Dabei ist eine solche Eile seitens der Angreifer vielleicht gar nicht nötig. Viele Unternehmen versäumen es, Patches schnell aufzuspielen, bemerkte Narag – und es wird wahrscheinlich auch in den kommenden Wochen und Monaten noch viele potenzielle Opfer geben.

“Der Wert einer Zero-Day-Schwachstelle wird nicht geringer, sobald sie zu einer N-Day-Schwachstelle wird”, sagte Narag. “Im Jahr 2020 hat die CISA mehrere Warnungen herausgegeben, in denen sie auf die Nutzung von N-Day-Schwachstellen durch nationalstaatliche Gruppen hinwies, was die Botschaft unterstreicht, dass ungepatchte Schwachstellen genauso wertvoll, wenn nicht sogar noch wertvoller sind als Zero-Days.

Abgesehen von der Ausnutzung der Patch-Lücke gibt es noch andere Gründe für Angreifer, sich breit aufzustellen und Tausende von Unternehmen auf einmal zu infizieren.

In einigen Fällen “sagt mir das, dass sie wahrscheinlich nach Stellen in der Lieferkette suchen, die sie angreifen können, und nicht unbedingt erwarten, das Ziel direkt zu treffen”, so Naar. “Wenn man so weit geht, ist es auch einfach, das oder die wirklichen Ziele zu verschleiern und sie im Rauschen zu verstecken. Es ist eine riskante Strategie, aber sehr effektiv. Wenn man 30.000 Organisationen trifft, ist es sehr schwer zu sagen, welche die wirklichen Ziele waren, und sie werden wahrscheinlich in ein falsches Gefühl der Sicherheit eingelullt.”

Da Angreifer weiterhin automatisierte Tools verwenden, um nach bekannten Schwachstellen zu scannen und diese auszunutzen, empfiehlt Gamblin, dass Unternehmen Schritte unternehmen, um ein besseres Gefühl für ihre Angriffsfläche zu bekommen. “Open-Source-Tools wie intrigue.io helfen dabei immens”, sagte er. “Sobald die Angriffsfläche verstanden ist, können Organisationen daran arbeiten, diese so weit wie möglich zu minimieren.” Außerdem sagte er: “Organisationen sollten auch einen ‘Notfall-Kill-Schalter’ haben. [implemented] haben, mit dem sie ein System schnell vom Netz nehmen können, wenn sie wissen, dass es massenhafte Exploits gegen Systeme gibt, die sie nicht patchen konnten.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com