Letzte Woche habe ich an einem Webinar teilgenommen, das sich an IT-Mitarbeiter richtete. Thematisch sollte es ein „Rundumschlag“ zu aktuellen Bedrohungen werden, eine Art Hacker Crashkurs sozusagen. Als repräsentatives Fallbeispiel wählten die beiden Sicherheits-Gurus einen cleveren und sehr zielgerichteten Phishing-Angriff aus. Dieser führte zu einem APT-Angriff, der wiederum eine DLL Hijacking-Attacke enthielt. Ich war überrascht zu sehen, wie gezielt die Hacker nach Passwort-Hashwerten suchten, nachdem sie einmal erfolgreich ins Netzwerk eingedrungen waren.
Pass the Hash (PtH), so habe ich gelernt, ist ein Standard-Hackertrick um an neue Identitäten zu gelangen. Das macht Sinn. Hacker bevorzugen es, Anmeldeinformationen auf genau diese Weise zu nutzen und sich direkt als Benutzer anzumelden, anstatt mehrere Hintertüren im C2-Stil nutzen zu müssen. Ohne eine ausgefeilte Überwachung ist die Wahrscheinlichkeit überaus gering, den oder die Eindringlinge in Echtzeit oder auch im Nachhinein zu identifizieren.
Vermeiden Sie den Local Admin
Wie im ersten Teil zu Pass the Hash-Angriffen schon beschrieben setzt PtH voraus, dass ein Angreifer für das System, in das er erfolgreich eingedrungen ist, die Administrationsrechte besitzt. Der im System gespeicherte Hash ist meist genau mit diesen lokalen Administrationsrechten ausgestattet. Er wird als solches aber nicht dazu genutzt die eigentliche Identität festzustellen. Stattdessen dient der Hash zum Verschlüsseln und Entschlüsseln von Nachrichten in einem Challenge-Response-Protokoll.
Tatsächlich wird der Hash-Code nur dazu missbraucht, die Identität eines Benutzers zu übernehmen. Der schwierigste Part ist es also, an die lokalen Administrationsrechte zu kommen. Leider ist genau das keine allzu große Hürde. Auf Windows-Systemen (vor Vista) wird das lokale Admin-Konto automatisch erstellt und im schlimmsten Falle hat die IT für jedes System auch noch dasselbe Admin-Passwort vergeben.
Angenommen ein Laptop wird durch Malware aus einer Phishing-Mail kompromittiert. Die Malware wird versuchen, mit Brute-Force-Angriffen die lokalen Admin-Passwörter auszulesen. Von diesem System aus können die Hacker dann auf weitere Geräte und Server zugreifen. Die nötigen Anmeldeinformationen werden aus dem Speicher mittels der PtH-Toolkits gelesen oder es wird einfach das generelle Admin-Passwort verwendet.
Es kann für Administratoren durchaus enervierend sein, aber die Benutzerkontensteuerung ist ein guter Schutz gegen PtH.
Glücklicherweise verzichten neuere Windows-Versionen wie Windows 7 und 8 auf standardmäßige lokale Administrationskonten. Microsoft hat sogar eine neue Malware-Abwehr über die Benutzerkontensteuerung eingeführt. Sie verlangt jetzt eine ausdrückliche Genehmigung für einen Benutzer oder eine Software, wenn Nutzer oder Programm erweiterte Rechte benötigten oder einfordern.
Administratoren kennen die Benutzerkontensteuerung aus den Popups für Zustimmungs- oder Zugangsdatenabfragen. Diese sind zwar lästig, verhindern aber ein ungehindertes Ausführen von Malware und APTs.
Unternehmen mit älteren Betriebssystemen sollten auf IT-Richtlinien setzen, die von den Benutzern komplexe Passwörter verlangen, die nicht einfach zu erraten sind. Der Aufwand ist gering und erschwert es Hackern, einfache Admin-Passwörter zu ermitteln und über den wieder verwendeten Hash Zugriff auf weitere Systeme zu erlangen. Sinnvoll kann es auch sein, den Gerätenamen (oder eine Variation davon) im Passwort mit zu verwenden.
Untersagen Sie lokale Netzwerk-Logins
Bei älteren und neueren Windows-Betriebssystemen ist es ebenfalls sinnvoll, den lokalen Administratoren die direkte Vernetzung mit anderen Systemen zu untersagen. In einer Active Directory-Umgebung würden Sie dies mittels eines Group Policy Object (GPO)-Editors umsetzen. Hier werden dann die Benutzerrechte gemäß den Netzwerkrichtlinien vergeben. Wie das im Einzelnen funktioniert können Sie hier nachlesen.
Zusammengefasst: Sie deaktivieren die Anmelderechte des Remote-Logins im Netzwerk und legen dann die Nutzer und Gruppen gemäß den spezifischen Benutzerrichtlinien an.
Limitieren Sie Hashes
Die genannten Maßnahmen berücksichtigen schon einen großen Teil der Angriffspunkte für PtH-Attacken. In unserem Eingangsbeispiel haben die Hacker zu SQL-Injection-Techniken gegriffen, um Daten des Datenbankservers, der mit erhöhten Rechten ausgeführt wurde, zu stehlen. Das Ergebnis: die Eindringlinge konnten auf High-Level-Hashes zugreifen.
Die grundlegenden Sicherheitsprinzipien sollten im Vordergrund stehen: nutzen Sie keine Dienste – seien es SQL-Server oder andere IT-Infrastrukturen – mit Zugriffsrechten auf Domain- oder Unternehmenslevel. Diese Berechtigungen liegen weit über dem, was Systemprogramme für die Ausführung ihrer Aufgaben in der Regel benötigen. Sollte die Software einmal beeinträchtigt sein, würden die Befehle automatisch auf einem erhöhten Zugriffslevel ablaufen.
Doch das ist nicht immer praktisch umsetzbar, und natürlich werden auch zukünftig noch Zero-Day-Attacken auf uns zukommen. Die Grundidee ist es, die Ausbreitung der „schlechten“ Hashes – typischerweise Domain-Administratoren – im Netzwerk zu begrenzen. Es ist wichtig, sich bewusst zu machen, dass mit einem Single-Sign-On der Hash bei den DAs schon beim Einloggen in das System gespeichert wird.
Die Grundregel ist einfach: Nur Domain-Administrationen dürfen Zugang zu Systemen mit hohem Berechtigungslevel erhalten. Zugangsberechtigungen zu diesen Konten dürfen definitiv nicht auf alten Mitarbeiter-Laptops oder Computern gespeichert sein.
Es gibt für Systemadministratoren immer die Möglichkeit ein separates Konto ohne Domain-Administrationsberechtigungen zu erstellen, wenn Endgeräte gewartet werden sollen.
So verhindern Sie, dass Hacker oder interne Eindringlinge die Kontrolle über ihr System und den Domain-Administrator-Hash erlangen, nur weil dieser gerade zufällig im Speicher aufzufinden war.
The post „Pass the Hash“-Angriffe genauer betrachtet, Teil 2 appeared first on Varonis Deutsch.