{"id":243962,"date":"2021-02-01T08:32:33","date_gmt":"2021-02-01T07:32:33","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=243962"},"modified":"2021-02-01T08:43:25","modified_gmt":"2021-02-01T07:43:25","slug":"nicht-berwachtes-ghost-konto-ermglichte-den-netfilim-hackern-1-monat-daten-abzuziehen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/02\/01\/nicht-berwachtes-ghost-konto-ermglichte-den-netfilim-hackern-1-monat-daten-abzuziehen\/","title":{"rendered":"Nicht überwachtes Ghost-Konto ermöglichte den Netfilim-Hackern 1 Monat Daten abzuziehen"},"content":{"rendered":"

[English<\/a>]Bei der Computersicherheit liegt der Teufel oft im Detail. Ein verstorbener Mitarbeiter, dessen Konto noch bestand und nicht \u00fcberwacht wurde, erm\u00f6glichte einer Ransomware-Gruppe einen Monat lang unbemerkt Daten aus einem System abzuziehen. Mit beteiligt waren aber auch Cisco-Produkte mit gravierenden Sicherheitsl\u00fccken, \u00fcber die die Angreifer der Netfilim-Gruppe \u00fcber ein Administratorkonto auf die Active Directory-Strukturen des Unternehmens-Netzwerks zugreifen konnte.<\/p>\n

<\/p>\n

\"\"Der Hersteller von Sicherheitsl\u00f6sungen, die Firma Sophos hat k\u00fcrzlich diesen Fall, als Lehrbeispiel, was alles schief gehen kann, ver\u00f6ffentlicht. Ich bin \u00fcber nachfolgenden Tweet<\/a> von Threadpost darauf gesto\u00dfen, die das Ganze in diesem Artikel<\/a> aufbereitet haben. F\u00fcr die Cyberkriminellen war das Geisterkonto so etwas wie ein Jackpot.<\/p>\n

\"Sicherheitsmeldung\"<\/a><\/p>\n

Sophos hat die Analyse am 26. Januar 2021 im Beitrag Nefilim Ransomware Attack Uses \"Ghost\" Credentials<\/a> ver\u00f6ffentlicht. Ein Opfer hatte das Rapid Response Team von Sophos kontaktiert, weil mehr als 100 seiner Systeme von einem Netfilim-Ransomware-Angriff verschl\u00fcsselt worden waren. Die Netfilim-Gruppe verfolgt die Taktik, vor der Verschl\u00fcsselung m\u00f6glichst viele Dateien der Opfer abzuziehen, um diese mit einer Ver\u00f6ffentlichung zu erpressen, falls dieses nicht zahlt.<\/p>\n

Die gegenst\u00e4ndliche Nefilim Ransomware-Attacke mit mehr als 100 betroffenen Systemen ging auf die Kompromittierung eines nicht \u00fcberwachten Kontos zur\u00fcck, das einem drei Monate zuvor verstorbenen Mitarbeiter geh\u00f6rte, so die Sicherheitsforscher. Die Analyse liest sich aber als Kette an Sicherheitsproblemen beim Opfer.<\/p>\n

Citrix-Schwachstellen als Einfallpunkt<\/h2>\n

Sophos-Forscher Michael Heller, berichtete, dass dieses Opfer \u00fcber ausgenutzte, gravierender Schwachstellen in der Citrix-Software kompromittiert werden konnte. Die forensische Analyse von Sophos ergab, dass das im Unternehmen installierte Citrix Storefront 7.15 CU3 zum Zeitpunkt des Vorfalls f\u00fcr einen bekannten kritischen Sicherheitsfehler (CVE-2019-11634) und vier hochgradig schwerwiegende Probleme (CVE-2019-13608, CVE-2020-8269, CVE-2020-8270, CVE-2020-8283) anf\u00e4llig war. Storefront ist ein Unternehmens-App-Store, \u00fcber den Mitarbeiter genehmigte Anwendungen herunterladen k\u00f6nnen.<\/p>\n

Geisterkonto f\u00fcr den Einstieg<\/h2>\n

Das Team geht davon aus, dass dies mit ziemlicher Sicherheit der urspr\u00fcngliche Einstiegspunkt in das Netzwerk des Opfers war. \u00dcber das nicht mehr \u00fcberwachte, aber unbenutzte Konto des verstorbenen Mitarbeiters erhielten die Cyberkriminellen Zugriff auf ein Administratorkonto. Nach dem erfolgreichen Eindringen \u00fcber die Citrix-Installation verwendeten sie auch RDP-Logins (Remote Desktop Protocol), um den Fernzugriff auf das urspr\u00fcngliche Administratorkonto, das f\u00fcr den Angriff verwendet wurde, aufrechtzuerhalten.<\/p>\n

Mimikatz f\u00fcr den Zugriff auf den Jackpot, den DC<\/h2>\n

F\u00fcr die laterale Bewegung im Unternehmensnetzwerk nutzten die Angreifer Mimikatz. Mit diesem Tool waren sie in der Lage, die auf dem System gespeicherten Anmeldeinformationen aufzulisten und einzusehen k\u00f6nnen. Anschlie\u00dfend gelang es, ein Dom\u00e4nenadministratorkonto zu kompromittieren. Damit war der Jackpot geknackt, denn ein Dom\u00e4nenadministrator kann in einem Windows Active Directory Informationen bearbeiten und die Konfiguration von Active Directory-Servern \u00e4ndern (z.B. neue Benutzer erstellen oder Berechtigungen \u00e4ndern).<\/p>\n

Die Rapid Response-Untersuchung entdeckte PowerShell-Befehle und die Forensiker stellten fest, dass die Nefilim-Ransomware-Bin\u00e4rdateien mithilfe von Windows Management Instrumentation (WMI) \u00fcber das kompromittierte Dom\u00e4nen-Administratorkonto bereitgestellt wurden. Weiterhin wurden RDP und Cobalt Strike verwendet, um sich seitlich auf mehrere Hosts zu bewegen, und das Netzwerk zu erkunden, hei\u00dft es in der Analyse<\/a>. Die Hacker installierten dann die Datei\u00fcbertragungs- und Synchronisierungsanwendung MEGA, um Daten abzuziehen.<\/p>\n

Insgesamt waren die Nefilim-Operatoren etwa einen Monat lang im Netzwerk des Opfers, und f\u00fchrten ihre Aktivit\u00e4ten oft mitten in der Nacht aus, um nicht entdeckt zu werden. Bekannt wurde die Aktion nur, weil die Netfilim-Cyber-Kriminellen abschlie\u00dfend die Ransomware selbst starteten, um die Dateien auf diesen Systemen zu verschl\u00fcsseln.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Bei der Computersicherheit liegt der Teufel oft im Detail. Ein verstorbener Mitarbeiter, dessen Konto noch bestand und nicht \u00fcberwacht wurde, erm\u00f6glichte einer Ransomware-Gruppe einen Monat lang unbemerkt Daten aus einem System abzuziehen. Mit beteiligt waren aber auch Cisco-Produkte mit gravierenden … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-243962","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/243962","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=243962"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/243962\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=243962"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=243962"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=243962"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}