Instrumente der Windows-Verwaltung bereiten Angreifern leichtes Spiel

Unsere Leitstelle erreichte in letzter Zeit häufig die Meldung „WMI Event Subscription“. Hinter WMI verbirgt sich die Windows-Verwaltungsinstrumentation. Mit WMI können Systemadministratoren Aufgaben lokal und per Remote ausführen.

Doch so praktisch das ist, es birgt auch Gefahren: Angreifer können eine Persistenz herstellen, sich dauerhaft im System einhacken und Berechtigungen erhöhen, indem sie schädliche Inhalte ausführen, die durch ein Ereignisabonnement der Windows-Verwaltungsinstrumentation (WMI) ausgelöst werden. Eine Persistenz kann durch Techniken erzielt werden, die Angreifer verwenden, um den Zugriff auf Systeme über Neustarts, geänderte Anmeldeinformationen und andere Unterbrechungen hinweg aufrechtzuerhalten, die ihren Zugriff unterbrechen könnten. Die WMI kann in diesem Kontext verwendet werden, um Ereignisfilter zu installieren, die Codes ausführen, wenn ein definiertes Ereignis eintritt. Beispiele für Ereignisse, die abonniert werden können, sind die Wall-Clock-Zeit, die Benutzeranmeldung oder die Betriebszeit des Computers. Die Wall-Clock-Zeit ist die tatsächliche Zeit, die vom Start eines Computerprogramms bis zum Ende vergeht.

Die Gefahr dabei: Angreifer können die Fähigkeiten von WMI nutzen, um ein Ereignis zu abonnieren und beliebigen Code auszuführen, wenn dieses Ereignis auftritt, wodurch eine Persistenz auf einem System gewährleistet wird. Angreifer können auch WMI-Skripte in Windows Management Object (MOF)-Dateien (.mof-Erweiterung) kompilieren, die verwendet werden können, um ein vorsätzliches Abonnement zu erstellen.

Auch wenn die Implementierung dieser o.g. Technik kein Toolkit erfordert, können jedoch verschiedene Frameworks wie Metasploit, Empire, PoshC2, PowerSploit und mehrere PowerShell-Skripte und C#-Tools dazu verwendet werden, um diese Technik zu automatisieren und verschiedene Optionen für die Codeausführung bereitzustellen. Dabei ist zu beachten, dass WMI-Ereignisse als User ‚SYSTEM‘ ausgeführt werden, über Neustarts hinweg bestehen bleiben und Administratorrechte erforderlich sind, um diese Technik zu verwenden.

Aus der Sicht unseres Expertenteams kann MWI im Normalfall dazu verwendet werden, um verschiedene Aktivitäten wie Lateral Movement, Persistenz, Codeausführung und Command and Control (C2) für Testzwecke durchzuführen. Lateral Movement ist eine Taktik, die von Angreifern verwendet wird, um sich durch ein Netzwerk zu bewegen. Die Tatsache, dass WMI ein Teil von Windows ist, das in fast allen Windows-Betriebssystemen (Windows 98-Windows 10) vorhanden ist, ermöglicht es, diese offensiven Aktivitäten im Blue-Team zu erkennen, da wir in der Leistungsstufe 2 Windows Log-Daten in unserer Überwachung eingebunden haben.

Unsere Handlungsempfehlungen:

- Überwachen Sie WMI-Ereignisabonnementeinträge und vergleichen Sie aktuelle WMI-Ereignisabonnements mit bekannten legitimen Abonnements für jeden Host. Z.B. können Tools wie Sysinternals Autoruns dazu verwendet werden, um WMI-Änderungen zu erkennen, die Persistenz-Versuche darstellen könnten.

-Monitoring für die Erstellung neuer WMI ‘EventFilter‘, ‘EventConsumer‘, und ‘FilterToConsumerBindingEreignisse‘. Ereignis-ID 5861 wird auf Windows 10-Systemen protokolliert, wenn neue ‘EventFilterToConsumerBindingEreignisse‘ erstellt werden.

-Überwachen Sie Prozesse und Befehlszeilenargumente, die zum Registrieren der WMI-Persistenz verwendet werden können, wie das ‘Register-WmiEvent‘ PowerShell-Cmdlet, sowie solche, die aus der Ausführung von Abonnements resultieren (d. h. das Spawnen vom WMI-Provider-Hostprozess WmiPrvSe.exe).

Referenzen:

https://attack.mitre.org/techniques/T1546/003/

https://www.fuzzysecurity.com/tutorials/19.html

https://www.blackhat.com/docs/us-15/materials/us-15-Graeber-Abusing-Windows-Management-Instrumentation-WMI-To-Build-A-Persistent%20Asynchronous-And-Fileless-Backdoor-wp.pdf

https://www.mdsec.co.uk/2019/05/persistence-the-continued-or-prolonged-existence-of-something-part-3-wmi-event-subscription/

OT-Cybersicherheitslücken - eine vernachlässigte Bedrohung

Bei einem unserer Kunden aus der Industriebranche identifizierten wir kürzlich eine Schwachstelle auf SPS-basierten OT-Systemen, die ein veraltetes Betriebssystem verwendeten. Auch wenn die tatsächliche Schwachstelle nur einen geringen Umfang hatte, wären die Auswirkungen bei einem erfolgreichen Angriff verheerend gewesen. Heute möchten wir Ihnen von diesem Vorfall berichten und daraus wertvolle Maßnahmenempfehlungen ableiten.

In den letzten Jahren sind die Risiken schwerwiegender industrieller Cybervorfälle deutlich gestiegen. Industrieunternehmen sind zu Hauptzielen für Ransomware und ausgeklügelte Angriffe auf kritische Infrastrukturen geworden. Die Bemühungen um die digitale Transformation durch die Konnektivität mit Cloud-Diensten, Anbietern und Remote-Mitarbeitern eröffnen dabei neue Angriffswege. Auch IoT-Geräte erzeugen mehr Schwachstellen.

Während Industrieunternehmen in den letzten Jahren stark in Cybersicherheit investiert haben, konzentrierte sich jedoch der Großteil der Ausgaben auf die IT-Sicherheit. Die OT-Sicherheit wurde dabei stark vernachlässigt. Und das, obwohl die meisten OT-Systeme über Funktionen verfügen, die veraltete Bedrohungsumgebungen beinhalten. Fortschrittliche Angriffe und die digitale Transformation erfordern jedoch fortschrittlichere OT-Cybersicherheitsmaßnahmen, die Bedrohungen identifizieren und schnell auf verdächtiges Verhalten reagieren können.

Im OT-Bereich sollten Cybersicherheitsmanagementlösungen folgende Funktionen enthalten:

• Automatisierung von zeitaufwändigen Aktivitäten wie Bestandsaufnahmen, Compliance-Berichte und Bewertungen von Schwachstellen-Hinweisen.
• Echtzeit-Kontextualisierung von Sicherheitswarnungen z. B. über SIEM (Security Information and Event Management) und eine schnelle Prüfung potenzieller Sicherheitsbedrohungen. Echtzeit-Kontextualisierung bedeutet, dass die gesammelten Daten in Echtzeit mit Kontextinformationen angereichert werden. Kontext zu Benutzern, Assets, IP-Adressen, Geolokalisierung, Bedrohungsinformationen und Ergebnissen von Schwachstellenscans. Wird ein Alarm tatsächlich ausgelöst, helfen die Kontextinformationen den Schweregrad einzuschätzen. Echtzeit-Kontextualisierung nimmt einen Teil der Ermittlungsarbeit bei der Analyse von Sicherheitswarnungen ab, sobald sie generiert werden. Sie können IT-Sicherheitsteams mit relevanten Zusatzinformationen versorgen, die mit den Sicherheitswarnungen verbunden sind.
• Schnelles Blockieren bekannter Bedrohungen und Erleichterung der Implementierung von „Kill-Chain“-Aktionen, um aktive Angriffe zu stoppen. Es empfiehlt sich ebenfalls die Vereinfachung der Isolierung kompromittierter Assets sowie die Wiederherstellung von Systemen
• Kontinuierliche Analyse von Risiken basierend auf neuen Schwachstellen und Bedrohungen.
• Unterstützung bei der Planung von Cybersicherheitsinvestitionen zur Bewältigung neuer Sicherheitsherausforderungen.

Die Certified Security Operations Center GmbH erarbeitet Lösungen zur Erkennung von Anomalien und Sicherheitsverletzungen, die Eindringlinge schnell erkennen und den Verteidigern, in diesem Fall Unternehmen, Zeit zum Reagieren geben, bevor Angreifer Schaden anrichten können. So auch in dem aktuell beschriebenen Fall. Wir bieten Lösungen, die anormales Verhalten innerhalb von Assets und der Netzwerkkommunikation erkennen können.

Unser Red-Team führt kontinuierlich Simulationen von Angriffen durch, um Wahrscheinlichkeitsschätzungen erfolgreicher Kompromittierungen zu generieren. Anfängliche Schätzungen werden auf nicht abgeschwächten Systemen durchgeführt, um eine solide Sicherheitsbasis zu erhalten. Die Simulation berücksichtigt alle vorhandenen Sicherheitskontrollen und hilft uns dabei unsere Sets an Regeln auf Richtigkeit zu prüfen.

Gerne möchten wir Ihnen für die Sicherheit Ihrer OT-Systeme folgende Handlungsempfehlungen geben:

• Es sollten regelmäßig Risikoanalysen durchgeführt werden, um Gefahren zu erkennen und zu bewerten. Die Risikoanalyse sollte spezifisch für ein Unternehmen, eine Produktionsumgebung, ein System, eine Anlage oder eine Maschine durchgeführt werden.
• Durch Authentifizierung und Autorisierung kann sichergestellt werden, dass nur berechtigte Mitarbeiter Zugriff auf Maschinen und Anlagen haben.
• Segmentierung des Betreibernetzes in einzelne abgetrennte Segmente in der OT-Umgebung bzw. die Trennung des OT-Netzes vom Unternehmens- und externen Netzwerk.
• Alle ICS- (Industrial Control System) Komponenten sollten auf ihre Sicherheit überprüft und das Netzwerkdesign entsprechend gestaltet werden, um die Ausnutzung von bekannten Schwachstellen einzudämmen.
• Erarbeitung und Umsetzung von Sicherheitsrichtlinien und –Prozessen. Es müssen Rollen, Zuständigkeiten und Verantwortlichkeiten definiert werden. Zudem sollten Unternehmen regelmäßig Übungen zur Reaktion auf Vorfälle durchführen, um die organisatorische Effektivität zu testen.