Red Teaming: Post Exploitation und Lateral Movement

Seitwärtsbewegungen

Sascha Herzog

Das Eindringen in ein IT-Netzwerk ist die eine Sache, sich darin zu bewegen und Kontrolle über wichtige Teile davon zu erlangen, eine andere. Erkenntnisse darüber, wie ein Angreifer vorgeht, sind für die Verteidigung zwingend erforderlich.

Der sechste Artikel der Serie zu Red Team Assessments beschäftigt sich mit einer der komplexesten und wichtigsten Phasen einer solchen Übung, die auch bei wirklichen APT-Angriffen (alle Abkürzungen siehe Glossar) für die Angreifer- sowie die Verteidigerseite kriegsentscheidend ist: Post Exploitation und Lateral Movement. Post Exploitation bezeichnet die Aktionen, die unmittelbar nach dem Eindringen in ein System stattfinden, unter Lateral Movement versteht man das Sichbewegen nach allen Seiten in einem Netzwerk.

In dieser Phase hat man es als Angreifer bereits geschafft, den Perimeter, also die äußeren Schutzmauern seines Ziels, zu überwinden, und besitzt Zugang zu mindestens einem internen Netzbereich (beschrieben in den vorherigen Artikeln, siehe iX 2/2018, 4/2018, 6/2018, 9/2018, 10/2018). Die Aufgabe besteht nun darin, sich innerhalb dieses Netzwerks fortzubewegen, um weitere, strategisch relevante Netzkomponenten wie Server, Admin-Workstations, Datenbanken, Netzwerkkomponenten et cetera unter seine Kontrolle zu bekommen.

APT, Advanced Persistent Threat: komplexer, zielgerichteter Angriff.

C&C-Server, Command and Control: zentraler Server, der Befehle an gekaperte Rechner (Opfersysteme) verteilt und von diesen Informationen erhält.

DCOM, Distributed Component Object Model: von Microsoft definierte objektorientierte Interprozesskommunikation über ein Rechnernetz.

GPP, Group Policy Preferences: Gruppenrichtlinieneinstellungen, mit denen Administratoren auf Clients bestimmte Konfigurationen bereitstellen können.

ICS, Industrial Control Systems: industrielle Steuerungssysteme, die aus Soft- und Hardware sowie Vernetzungskomponenten bestehen.

ISMS, Information Security Management System: Managementsystem für Informationssicherheit, bestehend aus Prozessen und Regeln, die in einer Organisation die Informationssicherheit dauerhaft steuern, weiterentwickeln und verbessern sollen.

LAPS, Local Administrator Password Solution: Mit LAPS lässt sich pro Client ein dynamisches Passwort generieren und im Active Directory hinterlegen. Es soll das (unsichere) Hinterlegen lokaler Administratorpasswörter in den Gruppenrichtlinien ablösen.

MES, Manufacturing Execution System: eine prozessnah operierende Ebene eines mehrschichtigen Fertigungsmanagementsystems.

OT, Operational Technology: OT ist Hardware und Software, die eine Änderung durch die direkte Überwachung und/oder Kontrolle von physikalischen Geräten, Prozessen und Ereignissen im Unternehmen erkennen oder verursachen kann. Dazu gehören etwa industrielle Kontroll- oder SCADA-Systeme, aber auch alle anderen vernetzten Geräte, die mechanische oder physikalische Auswirkungen haben können.

Red Team / Blue Team, rotes und blaues Team: Die roten Teams testen die Angriffswiderstandsfähigkeit der IT eines Unternehmens oder einer Organisation, indem sie versuchen, in die Systeme einzudringen und Angriffe zu simulieren. Die blauen Teams bestehen aus den Sicherheitsverantwortlichen einer Organisation, sie sollen die IT von innen schützen.

SCADA-Systeme, Supervisory Control and Data Acquisition: Systeme zum Überwachen und Steuern technischer Prozesse.

SIEM, Security Information and Event Management: SIEM-Systeme sammeln Daten aus Netzwerkkomponenten, Systemen und Anwendungen, werten sie aus und korrelieren sie, um sicherheitsrelevante Vorfälle frühzeitig zu erkennen.

SMB, Server Message Block: Netzwerkprotokoll für verschiedene Serverdienste in Rechnernetzen, etwa Datei- oder Druckdienste.

SOC, Security Operations Center: Organisationseinheit, die sich ausschließlich um die Cybersicherheit der IT-Systeme kümmert. Das schließt die permanente Überwachung der Sicherheit via Sensorik ein, aber auch das planvolle Reagieren bei Sicherheitsvorfällen.

SPS, speicherprogrammierbare Steuerungen: Gerät, das digital programmiert wird und der Steuerung einer Maschine oder Anlage dient. Gegensatz zur fest verdrahteten Steuerung.

TIBER-EU, Threat Intelligence-based Ethical Red Teaming: Rahmenwerk der Europäischen Zentralbank für kontrollierte Angriffe, um die Widerstandsfähigkeit des Finanzsektors gegenüber Cyberattacken zu testen.

WMI, Windows Management Instrumentation: Microsofts Implementierung und Erweiterung des Standards Common Information Models (CIM) für das Management von IT-Systemen.

Dies ist meistens notwendig, um letztendlich eine „kritische Funktion“ zu kompromittieren, die wiederum zentrale Assets des Ziels stark beeinträchtigen oder gänzlich zerstören könnte. Dieser Begriff – „Critical Function“ – stammt aus dem im Mai 2018 von der europäischen Zentralbank EZB veröffentlichten Rahmenwerk für ethisches Hacking auf der Basis von Threat Intelligence (das Framework und alle weiteren Links des Artikels sind über ix.de/ix1812082 zu finden). Es beschreibt kontrollierte und individuell zugeschnittene Tests in Bezug auf Cyberangriffe auf den Finanzmarkt.

Ein Lateral Movement unterscheidet sich stark von einem internen Penetrationstest. Bei Letzterem werden meist Systeme, Ports und Services gescannt und auf Schwachstellen hin geprüft, die die Pentester dann unter Umständen ausnutzen können (Exploitation). Ein interner Pentest ist infolgedessen sehr „laut“ und mit der internen IT abgestimmt, teilweise findet er sogar in Testumgebungen statt.

Heimlich, still und leise

Bei einem Lateral Movement indessen, das immer in produktiven Umgebungen durchgeführt wird, muss man darauf achten, keine Alarmglocken auszulösen und unter dem Radar zu bleiben („OPSEC-Safety“). Statt zu scannen und Dienste zu exploiten, verwendet man die Bordmittel des gekaperten Systems (oft eine MS-Windows-Workstation in einem Active Directory), arbeitet wenn möglich vom Arbeitsspeicher aus und vermeidet das Anlegen von Dateien sowie das Nachladen von Angreifer-Tools. Probate Mittel sind in AD-Umgebungen PowerShell, WMI, SMB- und DCOM-Kommunikation sowie das .NET-Universum. All das ist fast immer schon auf den Windows-Systemen vorhanden und erlaubt es Angreifern, wenige Spuren zu hinterlassen.

Im Folgenden soll ein Lateral Movement innerhalb eines Red Team Assessment beschrieben werden, das wir für einen Kunden durchgeführt haben. Zum Schutz des Kunden sind alle Daten anonymisiert und der Kontext leicht verändert.

Der Kunde stammt aus dem Bereich der Trinkwasserversorgung und der Entwässerung (Klärwerke) in der DACH-Region. Er wollte in Erfahrung bringen, ob und wie es möglich ist, den kritischen Prozess der Wasserfiltrierung so zu manipulieren, dass entweder ungeklärtes Wasser zurück in Flüsse und Seen geleitet wird oder verschmutztes Wasser über die Trinkwasserversorgung unerkannt beim Verbraucher landet. Da beide Bereiche sehr komplex sind und aus diversen Schritten des Filterns, Messens und Weiterleitens bestehen, wird mittlerweile fast alles in diesem Zusammenhang über SCADA-Systeme zur Automatisierung der Abläufe und damit über IT-Systeme gesteuert.

Unser Kunde nutzte die Wonderware System Platform, ein etabliertes System in diesem Bereich. Da es die mit Abstand kritischste Funktion innerhalb der Kundeninfrastruktur anbot, war es das erklärte Ziel, dieses System unter unsere Kontrolle zu bekommen, um damit den Filtrierungs- und Desinfektionsprozess stören zu können – ohne es tatsächlich zu tun.

Zugang über erbeutete Workstations

Nach einer längeren Phase der taktischen Informationsbeschaffung [1] und einem erfolgreichen Einbruch über einen damals neu erschienenen Firefox-Browser-Exploit auf drei Windows-Workstations, die sich im Office-Netzwerk des Wasserversorgers befanden, konnte die Post-Exploitation-Phase beginnen.

In einem solchen Fall – die Rede ist hier immer von kritischen produktiven Umgebungen – zieht es der Kunde in der Regel vor, dass wir diese Phase bei ihm vor Ort, meist ohne Wissen der IT-/OT-Abteilungen durchführen. Dabei steht uns immer mindestens ein eingeweihter leitender Mitarbeiter zur Verfügung, der die Umgebungen gut kennt. Durch dieses Vorgehen lassen sich Schadensfälle vermeiden, die durch das versehentliche Angreifen heikler Systeme oder Ressourcen entstehen können. Trotz des Einsatzes vor Ort arbeiteten wir wie echte Angreifer aus dem Internet über die drei gekaperten Systeme im internen Netz.

Oft gibt es in solchen Wasserwerken und ähnlichen ICS-Umgebungen, wie auch hier, keine eigene IT-Security-Abteilung, geschweige denn ein eigenes SOC-Team, was es Angreifern stark vereinfacht, sich lateral im internen Netz zu bewegen. Der IT-Leiter mit seinen zwei bis fünf Mitarbeitern ist für den Betrieb sowie für die Sicherheit der IT- und OT-Systeme verantwortlich.