Locale

Schliessen

Unverbindliche Anfrage

*=Pflichtfelder

Wie Protforce Ihre Daten verarbeitet und welche Rechte Sie in diesem Zusammenhang haben, erfahren Sie hier

Schliessen

Rufen Sie uns an.

Wir beraten Sie gerne!

portrait

Jeremy James Hakelberg

Business Development Manager

Icon Phone 0800 473 0000
Zum Kontakt
Logo

HONEYPOT GEGEN HACKER

Angriffe hinter den Kulissen

26.11.2019

Ständig wird über Cyberattacken und erfolgreiche Angriffe berichtet - in den wenigsten Fällen wird allerdings beleuchtet mit welch aggressiver Intensität dies permanent global stattfindet.

Protforce nutzt zur ständigen Untersuchung von neuen und bekannten Angriffen Lockfallen für Angreifer - sogenannte Honeypots.

Was wir dort erkennen, bewerten und wie daraus Bedrohungsszenarien abgeleitet werden, möchten wir Ihnen im folgenden Beitrag näherbringen:

Protforce IT Security Darius Ghassemieh

Darius Ghassemieh

Geschäftsführer

1. ANGRIFF

Ein typischer Angriff läuft in vielen Fällen - oder zumindest in zigtausenden Fällen pro Minute im freien Internet - folgendermaßen ab: Ein potenzieller Angreifer nutzt ein Programm mit dessen Hilfe sich Dienste eines Systems, welche über das Internetprotokoll angeboten werden, identifizieren lassen. Diese Programme sind unter dem Begriff Portscanner bekannt und weit verbreitet.

Zur Funktion von Portscannern sei an dieser Stelle lediglich gesagt, dass sie unterschiedliche Möglichkeiten zur Bestimmung von Namen, Versionen und Details von Diensten besitzen.

IT Security Abbildung 1 v2.1 Darstellung von IP Adresse Ports und der dazugehoerigen Dienste
 Abbildung 1.1:Darstellung von IP Adresse, Ports und der dazugehörigen Dienste

Mit dem Wissen über einen Dienst und dessen Version ist es potenziell möglich bekannte Sicherheitslücken zu bestimmen, indem beispielsweise öffentliche Datenbanken mit Informationen zu Schwachstellen genutzt werden. Die Wahrscheinlichkeit, dass für bekannte Sicherheitslücken bereits verwendbarer Schadcode existiert ist hoch. Dieser Schadcode wird oftmals als ausführbares „Proof of Concept“ Programm von den Entdeckern der Schwachstelle bereitgestellt und dient dann als Grundlage für Angriffe.

IT Security Abbildung 1.2 Fuer die Dienste existieren unterschiedliche AngriffsvektorenAbbildung 1.2: Für die Dienste existieren unterschiedliche Angriffsvektoren

Nach der Identifikation der Dienste werden deren bekannte Schwachstellen angegriffen. Sollte der Angriff Erfolg haben, ist das System bzw. der Dienst und seine Daten als kompromittiert anzusehen, da der Angreifer potenziell Zugriff erlangt hat und somit Informationen exfiltrieren und manipulieren kann.

In Abbildung 1.1 ist zu erkennen, dass die Ports 22, 1433 und 3389 Dienste anbieten. Dabei handelt es sich um einen SSH Dienst, eine Microsoft SQL Datenbank und den Remote Desktop Dienst eines Windows Betriebssystems. Die häufigste Form des Angriffs auf Datenbanken, welche uneingeschränkt für jeden im Internet ansprechbar sind, stellen Brute-Force Attacken dar. Dabei werden in der Regel bekannte oder standardisierte Benutzernamen (sa, Administrator, root) mit Passwortlisten kombiniert, um eine valide Anmeldung zu erraten. Diese Anmeldung kann wiederum von einem Angreifer genutzt werden, um tiefer in das System vorzudringen. Demzufolge ist bereits der Versuch einer unautorisierten Anmeldung an dem Datenbankdienst als Angriff zu bewerten.

Eine andere Art von Angriff stellt die Sicherheitslücke CVE-2019-0708 dar. Hierbei handelt es sich um eine sogenannte ‚unauthenticated remote code execution‘ - also die Möglichkeit beliebigen Programmcode aus der Ferne und ohne Authentifizierung ausführen zu können. Diese Art Schwachstelle gilt stets als kritisch, da weder Anmeldedaten noch erweiterter Systemzugriff vorhanden sein muss, um Zugriff auf den betroffenen Dienst und dessen System zu erlangen.

Die BlueKeep Sicherheitslücke erhält erstmals am 14. Mai 2019 öffentliche Aufmerksamkeit, da Microsoft einen Patch für CVE-2019-0708 bereitstellt, nachdem das britische National Cyber Security Centre die Schwachstelle entdeckt und gemeldet hat. Es wird vermutet, dass erste nichtöffentliche Proof of Concepts bereits ab dem 1. Juni 2019 im Umlauf sind. Öffentlich bekannter und zugänglicher Schadcode zur Ausnutzung der Sicherheitslücke erscheint einen Monat später, zum 1. Juli. Die ersten großangelegten und massenhaften Angriffe sind ab September 2019 feststellbar und halten bis heute an.

IT Security Abbildung 1.3 Typische Entstehung und Verbreitung von Schwachstellen
 Abbildung 1.3: Typische Entstehung und Verbreitung von Schwachstellen

2. HONEYPOT

Doch wie sind solche Aussagen über Ausnutzung von neuen Sicherheitslücken, Anwendung von Brute-Force Angriffen und dergleichen überhaupt ermittelbar? Gibt es eine Möglichkeit Angriffe auf Dienste sichtbar zu machen, ohne seine Systeme der Gefahr auszusetzen tatsächlich kompromittiert zu werden? Womit wir bei dem eigentlichen Thema dieses Blogbeitrags wären: Honigtöpfe!

Man kann sich einen Honeypot als eine Art Lockfalle vorstellen, die einem potenziellen Angreifer die Anwesenheit eines Dienstes vorgaukelt, diesen jedoch nicht tatsächlich funktional zur Verfügung stellt. Indem der erwartete Port angeboten wird und die Antwort vom vermeintlichen Dienst der des echten Dienstes entspricht - hier spricht man von der Emulation eines Dienstes - können Portscanner getäuscht und Angriffe provoziert werden. Der durchgeführte Angriff kann somit protokolliert, nachvollzogen und dargestellt werden.

Die grundlegende Erkenntnis, die sich beim Einsatz eines Honeypots im Internet bereits nach kurzer Zeit einstellt, ist die Tatsache, dass die Anzahl und Geschwindigkeit von Angriffen beängstigend hoch ausfallen. So hat Protforce innerhalb von 7 Tagen insgesamt über 4,5 Millionen globale Angriffe auf unterschiedliche Dienste festgestellt. Allein etwa 2 Millionen dieser Angriffe hatte das Erraten von Anmeldeinformationen für Datenbankdienste zum Ziel.

IT Security Abbildung 2.1 Zusammenfassung der BlueKeep Angriffe auf den emulierten RDP Dienst des Honeypots
Abbildung 2.1: Zusammenfassung der Angriffe auf die emulierten Datenbankdienste MySQL und MSSQL des Honeypots. Rechts daneben die beliebtesten Passwörter der Angreifer.

Indes konnte Protforce beobachten, dass die vormals erwähnte Sicherheitslücke BlueKeep nach wie vor sehr aktiv global ausgenutzt wird. In diesem Fall wird der Remotedesktopdienst von Windows emuliert und sowohl Brute-Force Angriffe als auch die Ausnutzung bekannter Exploits wie BlueKeep aufgezeichnet.

 IT Security Abbildung 2.2 Zusammenfassung der BlueKeep Angriffe auf den emulierten RDP Dienst des Honeypots
Abbildung 2.1: Zusammenfassung der BlueKeep-Angriffe auf den emulierten RDP-Dienst des Honeypots.

Anhand der Beobachtung dieser zwei Angriffsarten lassen sich bereits erste Erkenntnisse gewinnen:

  1. Brute-Force Angriffe auf Authentifizierungen finden unabhängig von anderen Sicherheitslücken ständig und in hoher Intensität statt. Dies gilt auch für andere Dienste, die eine klassische Authentifizierung anbieten. Besonders als Ziel beliebt sind seit 2018 IoT-Geräte, da deren Standardkennwörter häufig von ihren Besitzern nicht geändert werden.

  2. Sobald einsatzbereiter Code für neue Sicherheitslücken in Form eines Exploits oder Proof of Concepts öffentlich wird, ist zu erwarten, dass diese Angriffstechniken in kürzester Zeit ausgenutzt werden.

Diese Beobachtungen bestätigen den Konsens, der innerhalb der IT-Security Branche herrscht: Alles was potenziell angreifbar ist, wird auch tatsächlich angegriffen. Dabei spielt es keine Rolle wem das System gehört, was es tut oder welche Daten darauf vorhanden sind.

Es zeigt sich jedoch auch, dass bereits die Umsetzung einfachster IT-Security Prinzipien zu einer starken Reduzierung von Angriffen führen kann. Angefangen bei der Implementierung und Nutzung geeigneter Passwortrichtlinien, über die Anwendung des Minimalprinzips, bis hin zu einem funktionalen Patch- und Updatemanagement, stehen einfache und effektive Mittel zur Verfügung, um die Angriffsfläche für das eigene Unternehmen zu reduzieren.

Folgende Fragestellungen könnten Ihnen dabei helfen potenzielle Probleme frühzeitig aufzudecken:

1.) Sind alle Unternehmenssysteme, Applikationen und Daten bekannt, definiert und dokumentiert? Existiert eine Liste mit allen Assets, wird eine IT-Asset Management Software genutzt?

2.) Sind ausschließlich unbedingt notwendige Unternehmensdienste über das Internet erreichbar? Sind diese Dienste im Rahmen eines Penetration Tests auf Sicherheit überprüft worden?

3.) Wie werden sicherheitsrelevante Patches für Systeme und Applikationen zur Verfügung gestellt? Existiert ein dokumentierter Update-Prozess?

Ob als Windfahne zur Ermittlung der allgemeinen Lage, oder als effektives Frühwarnsystem im eigenen Unternehmensnetzwerk - Honeypots sind für verschiedene Aufgaben geeignet. Dank der Open Source Community sind dabei viele Honeypots frei verfügbar, können also von jedermann aufgesetzt und genutzt werden.

Welche Unterschiede zwischen unterschiedlichen Honeypot-Typen bestehen, wie man Honeypots aufbaut und wie sich damit schlussendlich die allgemeine Sicherheit Ihres Unternehmens verbessern lässt, erläutert Protforce im kommenden Whitepaper.