Warum sind die Angreifer so erfolgreich und schaffen es Woche für Woche, ein Unternehmen nach dem anderen zu verschlüsseln?
Einen Teil des Erfolgs hat jeder von uns auf seinem Windows-PC. Es sind diese zwei Tools, die hin und wieder mal vom Administrator genutzt werden, entweder bei Problemen oder wenn ein Skript ausgeführt werden muss.
Genau, die Eingabeaufforderung und die PowerShell.
Bei den Anwendern wohl noch als „DOS-Fenster“ bekannt, schwarzer oder blauer Hintergrund mit weißer Schrift.
Warum sollen denn diese beiden Tools den Cyberkriminellen helfen, unsere Systeme zu übernehmen und vor allem alle unsere Daten zu verschlüsseln?
Dazu muss man wissen, wie ein Cyberangriff abläuft, in der Regel ist es eine Phishing-Mail. Durch das Öffnen eines Anhangs wird der Schadcode (Virus) ausgeführt und dieser verbindet sich mit der Infrastruktur der Hacker (C2-Server). Er sagt: „Hallo, ich bin hier und warte auf weitere Anweisungen!“
Diese erste Software der Angreifer macht erstmal nicht viel und richtet auch keinen großen Schaden an, denn sie läuft in einem sehr begrenzten Umfang auf deinem PC. Damit der Hacker nun mehr Rechte auf dem System bekommt und Daten verändern oder sogar verschlüsseln kann, werden Skripte aus dem Internet nachgeladen.
Diese Skripte sind ähnlich wie es Administratoren tun, eine Reihe von Befehlen, die man nicht alle einzeln abtippen möchte. Damit diese Skripte funktionieren, muss jemand diese Befehle auf dem System verstehen können, und da kommen die beiden Tools ins Spiel. Der Angreifer startet die Eingabeaufforderung oder die PowerShell und führt seine Skripte aus. Mit diesen beiden Tools kann er im Hintergrund und relativ unbemerkt Informationen sammeln und seine Standardroutinen laufen lassen, die ihm unter anderem Administratorberechtigungen ergaunern.
Jetzt fragt ihr euch bestimmt: „Warum sind diese Tools dann überhaupt auf meinem System?“
In der Vergangenheit haben Administratoren mit Hilfe dieser Tools viel automatisiert und sich redundante Arbeit erspart.
Heutzutage werden die Tools auf Arbeitsplatzrechnern nur sehr selten bis gar nicht benutzt, da Verwaltungssoftware u.a. die Installation von Updates oder neuer Software übernommen hat.
Also was sollte man nun tun?
Man kann die Nutzung dieser beiden Tools auf allen Client-Systemen im Unternehmen relativ einfach einschränken. Dazu müssen entsprechende Gruppenrichtlinien erstellt werden, welche die Ausführung verhindern. Zusätzlich ist es ratsam, das Logging zu aktivieren und zu erweitern, um Benachrichtigungen zu erhalten, wenn diese Tools auf einem Rechner verwendet werden. Auf diese Weise kann schnell reagiert werden, wenn beispielsweise die Eingabeaufforderung oder PowerShell auf einem Anwender-PC gestartet wird. Man kann dann den Rechner direkt untersuchen oder isolieren. Für Unternehmen, die PowerShell-Skripte einsetzen, kann die Ausführung von signierten Skripten erlaubt werden.
Bei den Kollegen von Black Hill Security findet ihr eine Anleitung zur Aktivierung des Powershell-Loggings:
https://www.blackhillsinfosec.com/powershell-logging-blue-team/
Verhindere ich dadurch einen erfolgreichen Cyberangriff?
Cyberangriffe, die genau auf solche einfachen Mechanismen angewiesen sind? Ja!
Denn hier wird auch nur „Schema F“ angewendet und kopiert. Fällt das Tool bei der Abarbeitung der Reihenfolge auf die Nase, muss manuell vom Hacker eingegriffen werden. Das schreckt viele Angreifer vor allem im Ransomware-Geschäft ab, denn diese haben die Tools nicht selbst entwickelt und sitzen ähnlich hilflos wie ein Anwender vor der Fehlermeldung.
Hier findet Ihr die 10 häufigsten Schwachstellen in Pentests: TOP 10 FINDINGS IN PENTESTS