In der Ära der digitalen Transformation, in der Cybersicherheit eine immer wichtigere Rolle spielt, ist es unerlässlich, auch während festlicher Zeiten wie der kürzlich erst zu Ende gegangenen Karnevalssession wachsam zu bleiben. Ein aktueller Vorfall bei einem unserer Kunden unterstreicht, wie Cyberkriminelle gerade solche Perioden nutzen, um unbemerkt ihre Angriffe durchzuführen.
Unsere Analyse begann mit der Entdeckung von ungewöhnlichen Aktivitäten, bei denen ein Benutzer sich mittels der w3wp.exe-Webserver-Anwendung und Kerberos-Authentifizierung an einem System anmeldete. Obwohl dies allein noch kein definitives Zeichen für einen möglichen Angriff ist, war die anschließende Verwendung des Tools xSearch eindeutig alarmierend. Mit Befehlen wie „xsearch.exe -scanuser“ und „xsearch.exe -scanbrowser“ ermöglicht dieses Tool das Sammeln detaillierter Informationen über Benutzerkonten und Browserdaten. Zusätzlich wurde eine Befehlszeilenskriptdatei von einer unbekannten Quelle heruntergeladen, gefolgt von mehreren Ausführungen des „whoami“-Befehls, was auf einen Versuch hinweist, detaillierte Privilegieninformationen des angemeldeten Benutzers zu erlangen.
Eine weitere ungewöhnliche Beobachtung war die Ausführung des Befehls „C:\WINDOWS\system32\NOTEPAD.EXE“ mit einem spezifischen Dateipfad, gefolgt von „C:\WINDOWS\splwow64.exe 8192“. Diese Sequenz legt nahe, dass die Angreifer versuchten, einen 32-Bit-Prozess auf einem 64-Bit-System zu starten, möglicherweise um Sicherheitsmechanismen zu umgehen oder Schadcode zu verstecken.
Basierend auf den beobachteten Aktivitäten lassen sich mehrere Vermutungen zur Art des Angriffs anstellen:
1. Durch die Nutzung der Kerberos-Authentifizierung könnten die Angreifer versucht haben, gestohlene oder leicht zu erratende Anmeldedaten zu verwenden, um Zugang zu weiteren Systemen zu erhalten.
2. Die Verwendung von Tools wie xSearch deuten darauf hin, dass die Angreifer an der Sammlung von Benutzerinformationen und Browserdaten interessiert waren, möglicherweise um weitere Angriffe vorzubereiten oder sensible Daten zu stehlen.
3. Der Download der unbekannten „cmd-Datei und die Ausführung von „splwow64.exe„ könnten Teil eines Versuchs sein, Schadsoftware auf dem System zu installieren oder bestehende Sicherheitslösungen zu umgehen.
Unsere Handlungsempfehlungen
Um ähnliche Vorfälle zu vermeiden und die Sicherheit Ihrer Infrastruktur auch an Feiertagen zu steigern, empfehlen wir folgende Maßnahmen:
1. Seien Sie besonders in festlichen Zeiten aufmerksam, da Angreifer diese Zeiten nutzen, um unbemerkt zu agieren.
2. Nutzen Sie fortschrittliche Sicherheitstools, um Anmeldeversuche zu analysieren und ungewöhnliche Muster zu erkennen.
3. Überprüfen und beschränken Sie die Nutzung von Tools auf Ihrem System, um die Angriffsfläche zu minimieren.
4. Sensibilisieren Sie Ihre Mitarbeiter für die Risiken und Anzeichen von Cyberangriffen.
5. Entwickeln Sie klare Protokolle für den Fall ungewöhnlicher Aktivitäten, um schnell und effektiv reagieren zu können.
Mit einer Kombination aus proaktiven Sicherheitsstrategien, kontinuierlicher Überwachung und einer Kultur des Cybersicherheitsbewusstseins können Sie Ihr Unternehmen effektiver gegen die fortschrittlichen Taktiken von Cyberkriminellen schützen. Der beschriebene Vorfall verdeutlicht die Notwendigkeit, Sicherheitsmaßnahmen ständig zu evaluieren und anzupassen, um den sich wandelnden Bedrohungslandschaften gerecht zu werden. Cyberkriminelle nutzen jede Gelegenheit, einschließlich Feiertage und besonders festliche Zeiten im Jahr, wenn die Wachsamkeit möglicherweise herabgesetzt ist und Sicherheitsteams nicht in voller Besetzung anwesend sind.
Cybersicherheit erfordert ein kontinuierliches Engagement und die Anpassung an neue Bedrohungen. Der Vorfall, bei dem Angreifer ausgeklügelte Methoden wie den Missbrauch von Kerberos-Authentifizierung und das Ausnutzen von Systemtools anwendeten, zeigt dass Unternehmen proaktiv vorgehen müssen. Die Implementierung von Sicherheits-Best-Practices, regelmäßige Überprüfungen der Sicherheitsinfrastruktur, die Schulung von Mitarbeitern und die Entwicklung schneller Reaktionsmechanismen sind entscheidend, um das Risiko eines erfolgreichen Cyberangriffs zu minimieren.