Mit kompromittierten Systemen ist es wie mit einem Wasserrohrbruch: Häufig bleibt er unentdeckt und umso länger er unentdeckt bleibt, desto mehr Schaden richtet er in der Regel an. In manchen Fällen kann jedoch schlimmeres verhindert werden, so auch kürzlich bei einem unserer angeschlossenen Kunden. Von diesem Vorfall möchten wir Ihnen heute berichten.
Das betroffene Unternehmen hatte uns beauftragt, einen weiteren Standort Ihrer Organisation in unser SOCaaS einzubinden. Nachdem der Standort in unser SOCaaS übernommen wurde, identifizierten unsere Experten bei der Analyse der Baseline-Informationen eine Backdoor.
Ein mutmaßlicher APT-Angreifer (Advanced Persistent Threat) hatte einen Server kompromittiert. Hierfür hatte er über die Powershell einen decodierten Base64-Code als Service installiert und ausgeführt. Danach baute er eine Remote-Verbindung auf und schleuste per Powershell eine Schadsoftware ein. An dieser Stelle folgte eine Meldung des Windows Defenders, dass die Lsass.exe gedumpt wurde, d.h. es wurde eine Liste der im Arbeitsspeicher befindliche Usernamen und Kennwörter ausgelesen. Auf Grund eines fehlenden, zentralen Monitorings der Logdaten und Endpoint-Meldungen im Unternehmen blieben die Aktionen, vor der Integration in unser SOCaaS, auf dem Server jedoch vorerst unentdeckt.
Nachdem unsere Experten das kompromittierte System identifiziert hatten, wurde das betroffene System neu aufgesetzt, um eventuelle Schadcodereste vollständig zu beseitigen. Außerdem wurde die bestehende Domain aufgelöst und durch eine unternehmenseigene Domain ersetzt sowie neue Admin- und User-Accounts erstellt.
Auch wenn es in diesem beschriebenen Fall glimpflich abgelaufen ist: Wir konnten feststellen, dass die Kompromittierung mit der Ausnutzung der Exchange-Schwachstelle bereits Anfang des Jahres begonnen hatte. Eine tiefgehende Netzwerkanalyse bestätigte jedoch glücklicherweise, dass keine weiteren Systeme kompromittiert waren. Der Vorgang zeigt dennoch, wie wichtig ein zentrales Monitoring ist, denn alleine das Speichern von Logdaten und das Auslösen einer Endpointlösung ohne nachfolgende Maßnahmen bietet keinen Schutz von komplexen und zielgerichteten Angriffsszenarien.