Erkennen und Abwehren von Unusual Network Connection via RunDLL32

Erkennen und Abwehren von Unusual Network Connection via RunDLL32

In unserem SOC wurde diese Woche eine „Unusual Network Connection via RunDLL32“ identifiziert. Eine anschließende Untersuchung ergab, dass bösartige DDL‘s (Dynamic Link Library) in Form von ungewöhnlichen Instanzen von einer EXE-Datei 'rundll32.exe' erstellt wurden. Diese DDL‘s stellten eine ausgehende Netzwerkverbindung zu einem bestimmten Command & Control-Server her. Die Datei „rundll32.exe“ befand sich in diesem Fall nicht wie üblich im Ordner „C:\Windows\System32“, sondern unter dem Pfad „C:\Windows\System“.

Eine weitere Analyse ergab, dass die Datei bei jedem Start von Windows im Taskmanager an oberster Stelle angezeigt wurde. Unter diesen Umständen, handelt es sich bei der „rundll32.exe“ um eine infizierte bzw. schadhafte Datei, in der sich diverse Malware und Trojaner verbergen und gravierende Folgen nach sich ziehen können: Trojaner stellen eine wesentliche Bedrohung für Systeme dar, da sie nicht nur die CPU eines infizierten Systems verlangsamen, was zu Überlastung des Rechners und eventuell zu vermehrten Abstürzen führen kann, sondern auch das Eintrittstor für weiteren Schadcode sein können.

Im vorliegenden Fall konnte ein Indiz für ausgehende Netzwerkverbindungen gefunden werden. Es wurde eine Verbindung zu einem externen Command & Control-Server aufgebaut. Die Verbindung wurde durch unser „Active Response“ umgehend beendet und der Kunde durch unser Blue-Team informiert, sodass Schäden in der Infrastruktur verhindert werden konnten.

Unsere Handlungsempfehlungen

  • Im Ernstfall sollte die Anwendung eines Antivirenscanners, der versucht, die Systemdateien wiederherzustellen Abhilfe schaffen.
  • Benutzern sollten nur jene Zugriffsrechte zugewiesen werden, die zur Erfüllung ihrer Aufgabe notwendig sind. Ein Mitarbeiter, der mit Geschäftsanwendungen arbeitet, benötigt beispielsweise keine Administrator-Rechte oder einen Zugriff auf Netzlaufwerke, den er zur Erfüllung seiner Aufgaben nicht oder nicht mehr benötigt.
  • Außerdem sollten regelmäßig Patches und Updates eingespielt werden. Ein zentrales Update- und Patchmanagement muss für das zeitnahe Einspielen der Updates und Patches sorgen. Es sollte Benutzern nicht gestattet werden, bei Benachrichtigungen des Adobe oder Java-Updaters wiederholt auf „später erinnern“ zu klicken.

 

Schwaches Passwort ermöglicht erfolgreichen Brute Force Angriff

Details des Vorfalls

Unser SOC zeigte kürzlich folgenden Vorfall bei einem unserer angeschlossenen Kunden an: Innerhalb von 53 Sekunden wurden insgesamt 43 fehlerhafte Anmeldeversuche am selben Host vorgenommen. 12 Minuten später konnte sich derselbe User mit der gleichen Source-IP erfolgreich am Host einloggen.  Nach einer umfassenden Analyse stellte sich heraus, dass ein Angreifer versucht hatte, sich durch die wiederholte Eingabe verschiedener Passwörter Zugang zu einem Benutzerkonto zu verschaffen. Dieser Angreifer hatte in kürzester Zeit automatisiert möglichst viele Zeichenkombinationen errechnet, um das Kennwort des Users zu erraten – und das mit Erfolg.

Diese Vorgehensweise ist bekannt als „Brute Force Attacke“. Da das in diesem Fall vom User gewählte Passwort sehr schwach und somit relativ leicht zu erraten war, konnte sich der Angreifer so nach wenigen Minuten unerlaubten Zugriff auf das Kunden-System verschaffen.  Unser Kunde wurde durch unser Blue-Team umgehend informiert, sodass dieser den betroffenen Client rechtzeitig neu aufsetzen konnte. Größere Schäden in der Infrastruktur des Kunden konnten somit verhindert werden.

Unsere Maßnahmenempfehlungen

  • Grundsätzlich gilt: Je länger das Passwort, desto besser. Ein gutes Passwort sollte mindestens acht Zeichen lang sein.
  • Damit das Passwort für Angreifer schwer zu berechnen ist, sollten bei der Passwortwahl neben Buchstaben, Zahlen und Sonderzeichen genutzt werden. Es empfiehlt sich beispielsweise, unterschiedliche Wörter aneinanderzureihen und durch Sonderzeichen oder Leerzeichen zu verbinden.
  • Zur Verwaltung von unterschiedlichen oder komplexen Passwörtern ist ein Passwortmanager ein nützliches Hilfsmittel.
  • Es sollte nach Möglichkeit eine Zwei-Faktor-Authentisierung genutzt werden, damit Angreifer nach erfolgreicher Errechnung des Passwortes auf eine weitere Hürde stoßen.