Cyber-Angriff auf deutsche Industrie mithilfe von Windows Defender ATP aufgedeckt
Im Dezember 2016 hat ein Industriekonglomerat in Deutschland bekanntgegeben, dass es Opfer eines Cyberangriffs geworden ist. Die Analyse ergab, dass es sich um eine professionell ausgeführte Industriespionage handelte. Der Presse zufolge haben die Angreifer Malware der Winnti-Familie eingesetzt, um im Februar 2016 ständigen Zugriff auf das Netzwerk des Konglomerats zu erhalten.
In diesem Blog erhalten Sie einen Einblick in die Winnti-Malware und wie sie von den beiden bekannten Gruppen BARIUM und LEAD verwendet wird. Dabei erfahren Sie, wie diese Gruppen die Malware in unterschiedliche Ziele implementieren und welche Techniken Microsoft-Forscher eingesetzt haben, um dieses Implantat aufzuspüren.
Um zu verstehen, wie dieser und ähnliche Cyber-Angriffe abgeschwächt werden können, müssen Sie zunächst verstehen, wie Windows Defender Advanced Threat Protection (Windows Defender ATP) Aktivitäten kennzeichnet, die in Verbindung mit BRARIUM, LEAD und anderen bekannten Gruppen stehen. Zusätzlich ist es wichtig zu wissen, wie Windows Defender ATP umfassende Threat Intelligence über diese Gruppen zur Verfügung stellt. Zunächst wird der Winnti-Implantat-Installationsprozess besprochen. Anschließend beschäftigt sich dieser Blog damit, wie Windows Defender ATP solche Angriffsmethoden und Tools erfassen und visualisierte Kontextinformationen bereitstellen kann, um tatsächliche Angriffe zu untersuchen und zu bekämpfen. Des Weiteren bekommen Sie, Informationen zu neuen zentralisierte Funktionen – die als Erweiterungen für Windows Defender ATP mit dem Windows 10 Creators Update veröffentlicht werden – verwendet werden können, um Bedrohungen schnell zu stoppen. Dazu gehört auch das Unterbinden von Command-and-Control-Kommunikation (C&C-Kommunikation) und der Installation von zusätzlichen Komponenten oder das Verbreiten von bereits bestehenden Implantaten auf andere Computer im Netzwerk.
Winnti Gruppen: BARIUM und LEAD
Winnti wird von Microsoft Threat Intelligence mit mehreren Gruppen assoziiert. Diese Gruppen sind Sammlungen von Malware, unterstützender Infrastruktur, Online-Rollen, Viktimologie und anderen Angriffsartefakten, die der Microsoft Intelligent Security Graph verwendet, um Angriffsaktivitäten zu kategorisieren und zuzuordnen. Microsoft benennt diese Gruppen nach Elementen aus dem Periodensystem. In diesem Fall heißen die beiden Gruppen, die am stärksten mit Winnti in Verbindung gebracht werden, BARIUM und LEAD. Obwohl die beiden Gruppen jeweils Winnti einsetzen, sind BARIUM und LEAD in sehr unterschiedlichen Einbruchsszenarien involviert.
BARIUM etabliert vor dem Angriff auf unterschiedlichen Social-Media-Plattformen eine Beziehung zu seinen potentiellen Opfern. Diese Opfer stammen insbesondere aus den Bereichen Business Development und Personalabteilung. Sobald BARIUM ein Verhältnis zu den Opfern aufgebaut hat, startet die Gruppe mit Spear-Phishing-Attacken. Dafür kommt eine Vielzahl von einfachen Malware-Installationsvektoren zum Einsatz. Zu diesen gehören beispielsweise bösartige Shortcut-Links (.lnk) mit versteckten Payloads, kompilierte HTML-Hilfe-Dateien (.chm) oder Microsoft-Office-Dokumente mit Makros oder Exploits. Die erste Einbruchsphase verwendet das Win32/Barlaiy-Implantat. Dies ist bekannt für seine Verwendung von Social-Network-Profilen, Seiten für die gemeinschaftliche Bearbeitung von Dokumenten und Blogs für C&C. In späteren Phasen verlässt sich BARIUM auf Winnti für den ständigen Zugriff. Der Großteil der Opfer stammt aktuell aus den Bereichen Videospiele, Multimedia und Internet Content. Einige Angriffe richteten sich aber auch gegen Technologieunternehmen.
Im Gegensatz zu BARIUM hat sich LEAD einen größeren Ruf für Industriespionage erworben. In den vergangenen Jahren gehörten zu den Opfern:
- Multinationale, multiindustrielle Unternehmen aus den Bereichen Textilmanufaktur, Chemie und Elektronik
- Pharmaunternehmen
- Ein Unternehmen aus der Chemieindustrie
- Eine Universitätsfakultät mit Fokus auf Luftfahrttechnik und Forschung
- Ein Unternehmen, das in die Planung und Herstellung von Automotoren involviert ist
- Eine Cyber-Sicherheitsfirma mit Fokus auf den Schutz von industriellen Kontrollsystemen
LEAD verfolgte mit den Einbrüchen das Ziel, sensible Daten zu entwenden – inklusive Forschungsmaterial, Prozessdokumente und Projektpläne. Zusätzlich brachte die Gruppe Zertifikate für die Codesignierung in ihren Besitz, um ihre Malware in nachfolgenden Angriffen zu signieren.
In den meisten Fällen umfassten die Angriffe von LEAD keine hochentwickelten Exploit-Techniken. Die Gruppe unternimmt auch keine gesonderten Anstrengungen, um im Vorfeld der Attacke eine Beziehung zu den Opfern aufzubauen. Stattdessen schickt LEAD einfach E-Mails mit einem Winnti-Installer an die potentiellen Opfer. Anschließend verlässt sich die Gruppe auf grundlegende Social-Engineering-Taktiken, um die Empfänger davon zu überzeugen, die Malware zu installieren. In einige Fällen hat LEAD einfach Brute Force eingesetzt, um Zugangsdaten zu erhalten. Alternativ haben sie SQL-Injektionen ausgeführt oder ungepatchte Web-Server ausgenutzt und anschließend den Winnti-Installer auf die kompromittierten Maschinen kopiert.
Winnti aufspüren
Microsoft Analytics zeigt, dass Winnti bei Angriffen in Asien, Europa, Ozeanien, im Mittleren Osten und in den USA in den vergangenen sechs Monaten zum Einsatz kam (Bild 1). Die jüngste Angriffsserie wurde im Dezember 2016 beobachtet.
Bild 1: Einsatzziele von Winnti von Juli bis Dezember 2016.
Obwohl das Aufspüren von Bedrohungen von Winnti klassische Untersuchungsarbeit beinhaltet, greifen die Analysten von Microsoft Threat Intelligence auf die Vorteile von Machine Learning zurück. Wenn Angreifer Winnti für den Zugang zu Web-Server verwendet haben, versteckten sie das Implantat im Grunde für jeden sichtbar. Allerdings haben sie es als eine vertrauenswürdige und legitime Datei getarnt. Dies war der Fall bei zwei bekannten Einbrüchen in 2015. Damals nannten die Angreifer die Implantat-DLL “ASPNET_FILTER.DLL”, um diese als DLL für den ASP.NET-ISAPI-Filter (Tabelle 1) auszugeben. Zwar bestehen offensichtliche Unterschiede zwischen der legitimen und der bösartigen Datei, allerdings würde das Ausfiltern der bösartigen Datei erfordern, dass ein Datensatz mit Millionen von möglichen Dateinamen, Software Publishern und Zertifikaten durchsucht werden muss. Microsoft-Forscher haben eine Kombination von Erkennung von Anomalien und überwachten Machine Learning verwendet, um den Datensatz zu reduzieren und aussagekräftige, Malware-bezogene Anomalien von gutartigen Daten zu trennen.
Tabelle 1: Legitime ASPNET_FILTER.dll vs. getarntes Winnti-Beispiel.
Umgang mit Winnti-Einbrüchen
Windows Defender ATP hilft Netzwerksicherheits-Professionals auf mehreren Wegen beim Umgang mit Einbrüchen von Gruppen wie BARIUM und LEAD. Das folgende Beispiel wurde mithilfe eines Winnti-Installer entwickelt, der bei Angriffen im Dezember 2016 zum Einsatz kam.
Benachrichtigungen für Cyber-Angriffe
Microsoft Threat Intelligence spürt ständig Gruppen wie BARIUM und LEAD auf. Zusätzlich dokumentiert es die Taktiken, Techniken und Methoden, die bei den Angriffen verwendet werden. Dabei liegt ein besonderer Fokus auf den Tools und der Infrastruktur, die solche Angriffe ermöglichen. Windows Defender ATP überwacht regelmäßig geschützte Endpunkte und sucht nach solchen Indikatoren für gefährliche Aktivitäten. Wenn Windows Defender ATP eine verdächtige Aktivität aufgespürt hat, benachrichtigt es das Security-Operations-Center-Personal (Bild 3).
Bild 4: Zusammenfassung von LEAD und tiefgehende Dokumentation.
Windows Defender ATP ist außerdem in der Lage, bisher unbekannte Attacken zu entdecken. Dafür wird das Systemverhalten auf Anzeichen von feindlichen Aktivitäten überwacht. Dazu gehören:
- Installation und Aktivierung von Malware sowie ihre Beständigkeit
- Backdoor-Befehle und -Kontrolle
- Diebstahl von Anmeldeinformationen
- Seitliche Bewegung auf andere Maschinen im Netzwerk
Zahlreiche Malware-Familien registrieren sich beispielswiese selbst als Dienste während der Installation, um auch nach Neustarts weiterhin Zugriff zu haben. Der Großteil der Malware, der diese Techniken einsetzt, modifiziert die notwendigen Registrierungsschlüssel in einer Art und Weise, dass sie nicht mehr dem Profil eines legitimen Programms entsprechen. Winnti ist dabei keine Ausnahme. Aus diesem Grund kann Windows Defender ATP während des Installationsprozesses von Winnti einen Verhaltensalarm auslösen (Bild 5).
Bild 5: Benachrichtigung über anormale Service-Erstellung.
Um die Reichweite zu verbessern und gleichzeitig False Positives zu verringern, verwendet Windows Defender ATP den Intelligent Security Graph, um vor der Erstellung von Benachrichtigungen zwischen verdächtigen und harmlosen Verhalten zu unterscheiden. Dabei werden Alter der Datei, die globale Verteilung und das Vorhandensein und die Validierung einer digitalen Signatur in Betracht gezogen.
Visualisierte Kontextinformationen
Windows Defender ATP bietet für Benachrichtigungen, die entweder durch eine bestimmte Threat Intelligence in Verbindung mit einer Gruppe oder einem generischen auffälligen Verhalten ausgelöst wurden, angereicherten und visualisierten technischen Kontext. Dieser visuelle Kontext erlaubt Security-Operations-Center-Personal (SOC), Benachrichtigungen mit allen zugehörigen Artefakten zu untersuchen, den Umfang des Cyber-Angriff einzuschätzen und einen umfassenden Aktionsplan vorzubereiten. In den nachfolgenden Screenshots zeigt Windows Defender ATP eindeutig die Präsenz der Winnti-Installation, in denen der Installer eine DLL auf die Festplatte hinterlegt (Bild 6), die DLL mithilfe von rundll32 lädt (Bild 7), die DLL als einen Dienst einrichtet (Bild 8) und eine Kopie von sich selbst im Pfad C:\Windows\Help (Bild 9) speichert.
Bild 6: Winnti-Installer legt eine DLL ab.
Bild 7: Winnti-Installer lädt die DLL mit rundll32.
Bild 8: Winnti richtet sich selbst als Dienst ein.
Bild 9: Der Installer kopiert sich in C:\Windows\Help\
Windows Defender ATP zeigt diese Aktivitäten in einem Prozessbaum in einer Zeitleiste für infizierte Computer an. Analysten können daraus detaillierte Informationen herausziehen wie die abgelegte Implantat-DLL, den Befehl zum Ausführen von rundll32.exe und Laden der DLL sowie die Anpassung der Registry, die die DLL als Service einrichten. Diese Informationen können einen ersten Einblick bieten, um das Ausmaß des Breach einzuschätzen.
Schutzmaßnahmen
Das Windows 10 Creators Update wird mehrere Erweiterungen für Windows Defender ATP enthalten, die neue Optionen für SOC-Personal für sofortige Maßnahmen für eine erkannte Bedrohung bieten. Wenn ein Eindringling einen mit Windows Defender ATP geschützten Computer kompromitiert, kann das SOC-Personal diesen Computer aus dem Netzwerk isolieren, C&C des Implantats blockieren und Angreifer davon abhalten, zusätzliche Malware zu installieren und sich auf anderen Computern im Netzwerk auszubreiten. Währenddessen wird die Verbindung zum Windows-Defender-ATP-Dienst aufrechterhalten. SOC-Personal kann von der isolierten Maschine Live-Untersuchungsdaten sammeln. Dazu gehören DNS-Cache- oder Sicherheits-Event-Logs, die verwendet werden können, um Benachrichtigungen zu verifizieren, das Ausmaß des Einbruchs einzuschätzen und weitere Aktionen zu planen.
Bild 11: Optionen für Reaktionsmaßnahmen.
Eine weitere Möglichkeit ist es, das Winnti-Implantat aufzuhalten und unter Quarantäne zu stellen. Somit lässt sich der Einbruch auf einer einzelnen Maschine stoppen. BARIUM und LEAD sind nicht bekannt dafür, großangelegte Spear-Phishing-Kampagnen durchzuführen. Aus diesem Grund ist es eher unwahrscheinlich, dass SOC-Personal mit mehreren Computern beschäftigt sind, die von diesen Gruppen zur gleichen Zeit kompromittiert sind. Nichtsdestotrotz unterstützt Windows Defender ATP auch das Blockieren des Implantats im ganzen Unternehmen, um großangelegte Einbrüche bereits in einer frühen Phase aufzuhalten (Bild 12).
Bild 12: Maßnahmen zum Aufhalten einer Bedrohung.
Fazit: Erkennungszeit verkürzen und Auswirkungen reduzieren
Berichten zufolge hat es mehrere Monate gedauert, um den Angriff auf das Industriekonglomerat zu erkennen und aufzuhalten. Die Zeit zwischen dem eigentlichen Cyber-Angriff und seiner Erkennung dürfte den Angreifern genügend Zeit gegeben haben, um sensible Informationen zu lokalisieren und zu entwenden.
Mit den erweiterten Post-Breach-Detection-Möglichkeiten von Windows Defender ATP ist SOC-Personal in der Lage, diese Zeitspanne auf wenige Stunden oder sogar Minuten zu reduzieren. Dies führt zur Reduzierung von potentiellen Auswirkungen durch ständigen Zugriff auf das Netzwerk durch Angreifer. Windows Defender ATP bietet außerdem weitreichende Informationen über Gruppen, die für solche Cyber-Angriffe verantwortlich sind. Damit erhalten Kunden die Möglichkeit, Aspekte der Angriffe zu verstehen, die nicht von Netzwerk- und Endpoint-Sensoren wie Köder für Social Engineering und die regionale Natur eines Angriffs stammen. Mit relevanten visualisierten Informationen können Analysten das Verhalten von Malware auf betroffenen Maschinen studieren und somit ihre eigenen Reaktionen planen. Abschließend bietet Windows ATP mit dem angekündigten Creators Update zusätzliche Möglichkeiten, um Gefahren wie Winnti zu erkennen. Zudem erhält die Lösung zentralisierte Reaktionsmöglichkeiten wie das Isolieren einer Maschine und Blockieren einer Datei. Dies ermöglicht ein schnelles Eindämmen von bekannten Angriffsmethoden.
“In Deutschland gewinnt das Thema IT-Sicherheit täglich an Bedeutung hinzu. Das zeigt sich unter anderem daran, dass neue Vorfälle immer öfters auch in den Medien hierzulande behandelt werden. Zudem sind Unternehmen seit Juli 2015 wegen des neuen IT-Sicherheitsgesetzes verpflichtet, IT-Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik zu melden. Kunden sollten sich aus diesem Grund aktiv mit dem Thema beschäftigen und Windows Defender Advanced Threat Protection evaluieren, bevor sie selbst Opfer eines Cyber-Angriffes werden.”, so Milad Aslaner, Senior Product Manager Windows & Cyber Security bei Microsoft Deutschland.
Windows Defender ATP ist in den Kern von Windows 10 Enterprise integriert und kann ohne zusätzliche Kosten getestet werden.
Quelle: Microsoft Technet