Bei einem unserer Kunden wurde kürzlich der Dienst „PSEXESVC“ installiert. „PSEXESVC“ wird üblicherweise mit der Sysinternals Suite von Microsoft in Verbindung gebracht und dient dazu, Remote-Verwaltungsfunktionen auf einem System auszuführen. Uns war jedoch ein aktueller Fall bekannt, bei dem der neue Windows-Dienst „PSEXESVC“ auf mehreren Hosts erstellt wurde und somit zu einem Sicherheitsrisiko wurde. Wir berichteten unserem Kunden von diesem Fall und halfen ihm, sich vor einem möglichen Cyberangriff zu schützen. Gerne möchten wir heute auch Ihnen aufzeigen, welche Maßnahmen Sie ergreifen können.
Wie funktioniert der Angriff?
Ein Angreifer, der eine Windows Admin Share nutzt, kann eine Binärdatei in das Root-Verzeichnis des Systems ablegen. In diesem speziellen Fall wurde die Datei „PSEXESVC.exe“ im System-Rootverzeichnis platziert. Die Sysinternals Suite ist ein legitimes und nützliches Tool, das jedoch auch von Angreifern missbraucht werden kann. Insbesondere das Tool PsExec kann dazu verwendet werden, Befehle remote auszuführen und die Eingabe/Ausgabe der Befehlszeile umzuleiten, um das Gefühl einer lokalen Ausführung zu vermitteln. Zu diesem Zweck erstellt PsExec remote einen Dienst auf dem Zielhost, der die E/A-Umleitung und die Ausführung des Befehls auf dem Ziel handhabt. Dieser Dienst ist standardmäßig „PSEXESVC“, kann aber vom Angreifer geändert werden.
Auswirkungen und Handlungsempfehlungen
Ohne eine entsprechende Autorisierung stellen Installation und Verwendung von PSEXESVC eine enorme Bedrohung für Ihre IT-Sicherheit dar. Da die Datei Befehle remote ausführt, kann sie von Angreifern genutzt werden, um Aktionen zu maskieren und potenziell schädliche Befehle auf Ihren Systemen auszuführen.
Unsere Empfehlungen zur Abwehr solcher Angriffe:
- Überprüfen Sie, ob die Installation von PSEXESVC.exe im Root-Verzeichnis autorisiert wurde und ob die Ausführung allgemein in Ihrem System erwünscht ist.
- Überwachen Sie kontinuierlich Ihre Systemprotokolle auf Anzeichen von verdächtigen Aktivitäten. Ein plötzlicher Anstieg von PSEXESVC-Instanzen könnte auf einen Angriff hindeuten.
- Schränken Sie den Zugriff auf Admin Shares ein und verwenden Sie strenge Zugriffssteuerungen, um sicherzustellen, dass nur autorisierte Benutzer auf sie zugreifen können.
- Aktualisieren Sie regelmäßig Ihre Systeme und Anwendungen, um bekannte Sicherheitslücken zu beheben.
- Nutzen Sie eine zuverlässige Antivirensoftware, ein Intrusion Detection System (IDS) sowie ein SIEM-System, um mögliche Bedrohungen frühzeitig zu erkennen.
- Führen Sie regelmäßige Sicherheitsschulungen für Ihr Personal durch, um das Bewusstsein für diese Art von Angriffen zu erhöhen und Best Practices für die Cybersicherheit zu fördern.