iX 12/2018
S. 82
Report
Security-Awareness
Aufmacherbild

Red Teaming: Post Exploitation und Lateral Movement

Seitwärtsbewegungen

Das Eindringen in ein IT-Netzwerk ist die eine Sache, sich darin zu bewegen und Kontrolle über wichtige Teile davon zu erlangen, eine andere. Erkenntnisse darüber, wie ein Angreifer vorgeht, sind für die Verteidigung zwingend erforderlich.

Der sechste Artikel der Serie zu Red Team Assessments beschäftigt sich mit einer der komplexesten und wichtigsten Phasen einer solchen Übung, die auch bei wirklichen APT-Angriffen (alle Abkürzungen siehe Glossar) für die Angreifer- sowie die Verteidigerseite kriegsentscheidend ist: Post Exploitation und Lateral Movement. Post Exploitation bezeichnet die Aktionen, die unmittelbar nach dem Eindringen in ein System stattfinden, unter Lateral Movement versteht man das Sichbewegen nach allen Seiten in einem Netzwerk.

In dieser Phase hat man es als Angreifer bereits geschafft, den Perimeter, also die äußeren Schutzmauern seines Ziels, zu überwinden, und besitzt Zugang zu mindestens einem internen Netzbereich (beschrieben in den vorherigen Artikeln, siehe iX 2/2018, 4/2018, 6/2018, 9/2018, 10/2018). Die Aufgabe besteht nun darin, sich innerhalb dieses Netzwerks fortzubewegen, um weitere, strategisch relevante Netzkomponenten wie Server, Admin-Workstations, Datenbanken, Netzwerkkomponenten et cetera unter seine Kontrolle zu bekommen.

Dies ist meistens notwendig, um letztendlich eine „kritische Funktion“ zu kompromittieren, die wiederum zentrale Assets des Ziels stark beeinträchtigen oder gänzlich zerstören könnte. Dieser Begriff – „Critical Function“ – stammt aus dem im Mai 2018 von der europäischen Zentralbank EZB veröffentlichten Rahmenwerk für ethisches Hacking auf der Basis von Threat Intelligence (das Framework und alle weiteren Links des Artikels sind über ix.de/ix1812082 zu finden). Es beschreibt kontrollierte und individuell zugeschnittene Tests in Bezug auf Cyberangriffe auf den Finanzmarkt.

Ein Lateral Movement unterscheidet sich stark von einem internen Penetrationstest. Bei Letzterem werden meist Systeme, Ports und Services gescannt und auf Schwachstellen hin geprüft, die die Pentester dann unter Umständen ausnutzen können (Exploitation). Ein interner Pentest ist infolgedessen sehr „laut“ und mit der internen IT abgestimmt, teilweise findet er sogar in Testumgebungen statt.

Heimlich, still und leise

Bei einem Lateral Movement indessen, das immer in produktiven Umgebungen durchgeführt wird, muss man darauf achten, keine Alarmglocken auszulösen und unter dem Radar zu bleiben („OPSEC-Safety“). Statt zu scannen und Dienste zu exploiten, verwendet man die Bordmittel des gekaperten Systems (oft eine MS-Windows-Workstation in einem Active Directory), arbeitet wenn möglich vom Arbeitsspeicher aus und vermeidet das Anlegen von Dateien sowie das Nachladen von Angreifer-Tools. Probate Mittel sind in AD-Umgebungen PowerShell, WMI, SMB- und DCOM-Kommunikation sowie das .NET-Universum. All das ist fast immer schon auf den Windows-Systemen vorhanden und erlaubt es Angreifern, wenige Spuren zu hinterlassen.

Im Folgenden soll ein Lateral Movement innerhalb eines Red Team Assessment beschrieben werden, das wir für einen Kunden durchgeführt haben. Zum Schutz des Kunden sind alle Daten anonymisiert und der Kontext leicht verändert.

Der Kunde stammt aus dem Bereich der Trinkwasserversorgung und der Entwässerung (Klärwerke) in der DACH-Region. Er wollte in Erfahrung bringen, ob und wie es möglich ist, den kritischen Prozess der Wasserfiltrierung so zu manipulieren, dass entweder ungeklärtes Wasser zurück in Flüsse und Seen geleitet wird oder verschmutztes Wasser über die Trinkwasserversorgung unerkannt beim Verbraucher landet. Da beide Bereiche sehr komplex sind und aus diversen Schritten des Filterns, Messens und Weiterleitens bestehen, wird mittlerweile fast alles in diesem Zusammenhang über SCADA-Systeme zur Automatisierung der Abläufe und damit über IT-Systeme gesteuert.

Unser Kunde nutzte die Wonderware System Platform, ein etabliertes System in diesem Bereich. Da es die mit Abstand kritischste Funktion innerhalb der Kundeninfrastruktur anbot, war es das erklärte Ziel, dieses System unter unsere Kontrolle zu bekommen, um damit den Filtrierungs- und Desinfektionsprozess stören zu können – ohne es tatsächlich zu tun.

Zugang über erbeutete Workstations

Nach einer längeren Phase der taktischen Informationsbeschaffung [1] und einem erfolgreichen Einbruch über einen damals neu erschienenen Firefox-Browser-Exploit auf drei Windows-Workstations, die sich im Office-Netzwerk des Wasserversorgers befanden, konnte die Post-Exploitation-Phase beginnen.

In einem solchen Fall – die Rede ist hier immer von kritischen produktiven Umgebungen – zieht es der Kunde in der Regel vor, dass wir diese Phase bei ihm vor Ort, meist ohne Wissen der IT-/OT-Abteilungen durchführen. Dabei steht uns immer mindestens ein eingeweihter leitender Mitarbeiter zur Verfügung, der die Umgebungen gut kennt. Durch dieses Vorgehen lassen sich Schadensfälle vermeiden, die durch das versehentliche Angreifen heikler Systeme oder Ressourcen entstehen können. Trotz des Einsatzes vor Ort arbeiteten wir wie echte Angreifer aus dem Internet über die drei gekaperten Systeme im internen Netz.

Oft gibt es in solchen Wasserwerken und ähnlichen ICS-Umgebungen, wie auch hier, keine eigene IT-Security-Abteilung, geschweige denn ein eigenes SOC-Team, was es Angreifern stark vereinfacht, sich lateral im internen Netz zu bewegen. Der IT-Leiter mit seinen zwei bis fünf Mitarbeitern ist für den Betrieb sowie für die Sicherheit der IT- und OT-Systeme verantwortlich.

Kommentieren