Angriffssimulationen als Schlüssel zum Erfolg
Anmeldedaten, wie Nutzername und Passwort, zählen nach wie vor zu den beliebtesten Beutestücken von Cyberkriminellen. Um die Credentials ihrer Opfer erfolgreich in ihren Besitz zu bringen, setzen diese besonders häufig auf die Angriffsmethode des Credential Dumping. Sich hiervor effektiv zu schützen, ist nötig und möglich.
Advertorial
Doch müssen die eingesetzten Sicherheitslösungen, müssen ihre Einstellungen, muss die gesamte Sicherheitsarchitektur auch umfassend und regelmäßig auf ihre Effektivität hin getestet werden. Realistische Angriffs-Simulationen sind dabei unerlässlich.
Effektiv vor Credential Dumpings geschützt
Jedes vierte deutsche Unternehmen, so die Bitkom-Studie Wirtschaftsschutz 2022, hatte im vergangenen Jahr mindestens einen Credential-Diebstahl zu beklagen. Ein unter Cyberkriminellen beliebtes und häufig genutztes Angriffsverfahren: Credential Dumping, auch bekannt als Password Dumping. Beim Credential Dumping dringen die Angreifer zunächst in die Endgeräte ihrer Opfer ein, wo häufig aufgezeichnete Anmeldedaten unverschlüsselt im Arbeitsspeicher (RAM) vorliegen. Von diesen fertigen sie dann Kopien an, die sie für Folgeangriffe auf dieselben Opfer nutzen. Im Besitz der erbeuteten Anmeldedaten, können sie sich dann meist unbemerkt und ungehindert von den IT-Sicherheitsteams und -systemen ihrer Opfer frei in deren Netzwerken bewegen.
Ein Credential Dumping rechtzeitig zu erkennen und abzuwehren, das Risiko eines erfolgreichen Credential Dumpings schon im Vorfeld zu minimieren, ist nötig und möglich. Entsprechende Lösungen existieren. Doch müssen die Sicherheitslösungen auch auf ihre Tauglichkeit getestet, müssen ihre Einstellungen, muss die gesamte Sicherheitsarchitektur auch auf ihre Einsatzfähigkeit hin überprüft werden – und dies nach Möglichkeit unter realistischen Bedingungen.
Angriffssimulationen als Generalprobe
Eine effiziente und effektive Testmethode ist die realistische Simulation von Angriffen über eine professionelle Breach and Attack Simulation (BAS). Unter Zuhilfenahme einer BAS-Plattform kann die Effektivität der eigenen Sicherheitslösungen im Hinblick auf verschiedene Bedrohungsszenarien – auch auf Credential Dumping – getestet, analysiert und ausgewertet werden.
Hunderte unterschiedliche Varianten von Credential Dumping-Angriffen können von solch einer Plattform schnell und unkompliziert auf die eigene Sicherheitsarchitektur abgegeben, ihre Auswirkungen analysiert werden. Anwender können dann ermitteln, wie viele und welche Angriffe erfolgreich, wie viele entdeckt und wie viele rechtzeitig gestoppt werden konnten. IT-Sicherheitsteams erhalten so ein umfassendes und realistisches Bild von der Widerstandsfähigkeit ihrer Sicherheitssysteme. Detaillierte Informationen über etwaige Sicherheitslücken und zur Wirksamkeit der Sicherheitskontrollen – sowohl im Hinblick auf Credential Dumping, als auch auf andere Angriffe – werden ihnen zur Verfügung gestellt.
Statt immer nur zu reagieren, können sie nun endlich auch beginnen, proaktiv vorzugehen. Beispielsweise, indem sie etwaige Schwachstellen der Authentifizierungskontrollen, der Nutzerberechtigungen und der Authentifizierungsmethoden ausmerzen. So kann das Risiko, Opfer eines Credential Dumpings zu werden, verringert, kann die allgemeine IT-Sicherheitslage der Unternehmen spürbar angehoben werden.
Die häufigsten Credential Dumping-Techniken – und wie man sie erfolgreich simuliert
Laut dem MITRE ATT&CK-Framework fällt Credential Dumping in die Kategorie ‚Credential Access‘ und kann mit einer Vielzahl unterschiedlicher Angriffstechniken, wie Mimikatz, Pwdump oder auch LSADump, erfolgreich simuliert werden. Um die hauseigene Cyberabwehr im Hinblick auf Credential Dumping wirklich umfassend auf Herz und Nieren zu prüfen, sollten stets die folgenden Angriffstechniken zur Anwendung gebracht werden:
- Erstellen einer Volumenschattenkopie mit WMI: Bei dieser Technik wird die Windows Management Instrumentation (WMI) genutzt, um eine Volumenschattenkopie zu erstellen, die auch Credentials enthalten kann.
- Auszug aus der geheimen LSA-Registrierung: Diese Technik greift auf die Registrierung eines Systems zu und extrahiert Local Security Authority (LSA)-Geheimnisse, die Kennwort-Hashes und andere sensible Informationen enthalten können.
- Extrahieren von SAM-Registrierung, Anmeldedaten und Geheimnissen: Diese Technik greift auf die Registrierung eines Systems zu und extrahiert die Security Account Manager (SAM)-Datenbank sowie alle gespeicherten Anmeldedaten und Geheimnisse.
- Dump aller Anmeldeinformationen mit allen verfügbaren LaZagne-Methoden (Windows): Bei dieser Technik wird das LaZagne-Tool verwendet, um alle verfügbaren Anmeldeinformationen aus einem System zu extrahieren.
- DCSync mit Mimikatz (Alle Benutzer): Diese Technik verwendet das Mimikatz-Tool und die Domain Controller (DC) Sync-Funktion, um eine Kopie der Passwort-Hashes der Domäne anzufordern.
- DCSync mit gepacktem Mimikatz (64): Diese Technik ähnelt der vorherigen, beinhaltet jedoch die Verwendung einer gepackten Version von Mimikatz, die speziell für 64-Bit-Systeme entwickelt wurde.
- PowerShell DPAPI Daten aus Datei entschlüsseln (Unprotect): Bei dieser Technik werden PowerShell und die Data Protection API (DPAPI) verwendet, um Daten aus einer Datei zu entschlüsseln, wodurch ein Angreifer möglicherweise Anmeldedaten extrahieren kann.
- SPN-Benutzer-Hash-Extraktion mit Kerberoasting: Bei dieser Technik wird das Kerberoast-Tool verwendet, um eine große Anzahl von Kerberos-Tickets anzufordern und daraus Passwort-Hashes zu extrahieren.
Kerberos-Ticket mit uneingeschränkter Delegation: Bei dieser Technik wird ein Kerberos-Ticket mit uneingeschränkter Delegation angefordert, das verwendet werden kann, um sich als ein anderer Nutzer auszugeben und dessen Anmeldedaten zu extrahieren. - SpoolSample: Bei dieser Technik wird das SpoolSample-Tool verwendet, um Windows-Hosts zu zwingen, sich über die MS-RPRN-RPC-Schnittstelle bei anderen Rechnern zu authentifizieren, wodurch ein Angreifer dann ebenfalls die Anmeldedaten abrufen kann.
Fazit
Credential Dumping stellt nach wie vor eine erhebliche Bedrohung für Unternehmen dar. Effektive Sicherheitslösungen existieren, doch müssen sie stets proaktiv auf ihre Einsatzfähigkeit hin überprüft werden. Simulationen über BAS-Plattformen sind der effektivste und effizienteste Ansatz, die eigene Sicherheitsarchitektur auf etwaige Credential Dumping-Schwachstellen abzuklopfen.
Torsten Wiedemeyer, Country Manager DACH, Central & Eastern Europe, Cymulate