Erfolgreicher Hürdenlauf

von Mark Heitbrink

Es ist ein Horrorszenario: Die Verschlüsselung der firmeneigenen Daten – schlimmstenfalls, nachdem diese gestohlen wurden und im Darknet zu landen drohen. Die Maßnahmen, mit denen Admins Ransomware vorbeugen, unterteilen sich in zwei Aspekte: Erstens die Verhinderung des Angriffs und zweitens das Ausbremsen einer Attacke, wenn diese doch Erfolg hat. Beide Aufgaben bedingen Änderungen in Arbeits- und Prozessabläufen, benötigen administrative Eingriffe und sind nicht immer bequem. Wir zeigen, wie Sie Ransomware mit Bordmitteln den Kampf ansagen.

Die Wege, auf denen Ransomware ins Firmennetz gelangt, sind begrenzt. Die E-Mail samt schädlicher Anhänge steht an erster Stelle. Aber auch der Fremdzugriff auf das Postfach ist denkbar, bei dem vorhandene Attachments manipuliert werden. In vielen Firmen finden sich zudem immer noch offene Türen in der Firewall, die direkt ins interne Netzwerk führen: RDP und andere Protokolle, die Remote-Zugriff erlauben, sind hier zu nennen. Dann gibt es manipulierte Software, die Nutzer selbst heruntergeladen und installiert haben. Nicht zuletzt genügt bei manipulierten Webseiten bereits ein Besuch aus, um sich Ransomware (oder andere Malware) einzufangen – Stichwort: Drive-by-Attacken.

Einfallstor E-Mail

E-Mail ist der häufigste Weg von Ransomware ins Unternehmen. Ein einfacher Dateianhang reicht aus. Der Versand von Milliarden E-Mails kostet nichts außer Strom. Valide Empfängeradressen lassen sich kaufen, finden und generieren. Jeder, der schon länger mit derselben E-Mail-Adresse arbeitet, kennt das Problem von Spam und weiß, dass die eigene Adresse schon lange verbrannt ist. Der technisch brillante Zug von Locky war beispielsweise, dass die Malware und die zugehörige ausführbare Datei nicht direkt im Anhang enthalten waren. Vielmehr erhielten die Empfänger ein Excel-File samt Makro, das als Downloader fungierte. Erst zum Zeitpunkt der Ausführung des Makros wurde das eigentliche Executable aus dem Internet heruntergeladen und zur Ausführung gebracht. Die Virenscanner insbesondere auf den Mailservern haben keinen Alarm geschlagen, da der Anhang selbst unkritisch erschien.

Es ist ein permanentes Katz-und-Maus-Spiel: Angreifer kreieren Malware, die früher oder später von Antivirus-Programmen erkannt wird. Aufgrund der Fülle an Schadcode und der immer gewiefteren Tricks der Angreifer, ihre Malware zu verschleiern, mussten die AV-Hersteller auf eine verhaltensbasierte Erkennung umstellen. Stammt ein File aus dem Internet, ist nicht von einem vertrauenswürdigen Softwarehersteller digital signiert und versucht womöglich, auf kritische Systembereiche zuzugreifen, herrscht Alarm auf dem System. Auch blockieren die AV-Tools auffällige Verbindungen ins Internet.

Bei diesem Wettlauf haben die Angreifer in der Regel die Nase vorn. Hat der Admin eine Regel erstellt, die Excel-Dateien mit Makro verbietet, so schwenken Angreifer um auf PDF-Dateien mit Java-Script oder HTM-Dateien, in denen das Skript verpackt ist. Ein Vehikel sind auch OneNote-Dateien, in denen ein Excel-File samt Makro steckt. So geht das Spiel endlos weiter und am Ende werden immer Attachments mit gefährlichen Anteilen durchrutschen. Eine relative einfache Methode, um das in den Griff zu bekommen: Keine pauschale Annahme von E-Mails mit Attachment. Wenn keine Anhänge reinkommen, muss auch kein Spamfilter und Virenscanner diese bewerten und erkennen.

Um dennoch legitime E-Mails samt Anhang zu erhalten, bedarf es eines Workflows in Form eines festen Prozesses. Es gibt Drittanbieter, die das abbilden können. Wer dann E-Mails mit Attachment versenden möchte, muss vorher mit dem Empfänger kommunizieren. Der Empfänger kann mit dem Versender einen Weg aushandeln, über den der Anhang übergeben werden kann. Schließlich möchte ein Unternehmen auch keine "Bewerbung.zip" verlieren, wenn es sich tatsächlich um einen guten Bewerber handelt. Wer etwas versenden möchte, dem ist zuzumuten, auf eine Antwortmail zu reagieren, in der steht, dass er sich persönlich melden soll.

Drittanbieter in diesem Mailfluss haben hierfür fertige Dialoge und Portale im Portfolio, die per Kennwort geschützt den Upload initiieren. Das Kennwort darf trivial sein, es wird per Telefon spontan ausgehandelt und der Upload ist für ein bestimmtes Zeitfenster zugelassen. Der Anhang kann dann untersucht und analysiert werden, bevor er den Weg zum Empfänger findet. Natürlich muss es Allowlisten für automatisierte Systeme geben, aber dem normalen Anwender in der eigenen Firma und seinem Gegenüber sind in der Regel ein paar Extraklicks zuzumuten. Der Vorteil bei diesem Workflow liegt darin, dass ein Unternehmen nicht auf spezielle Endungen reagieren muss, sondern schlicht alles blockiert, was unabgesprochen reinkommt.

Unsichere Kennwörter

Wenden wir uns einer weiteren Baustelle in der IT-Sicherheit zu: Kennwörter. Die traurige Wahrheit ist, dass Firmen immer noch unsichere Passwörter im Einsatz haben und sich nicht trauen, auf mindestens 16 Zeichen umzustellen, weil das den Anwendern nicht zumuten sei. Allen Unternehmen muss jedoch klar sein, dass ein direkter Zugriff von außen über das Internet auf ein beliebiges System nicht mehr allein durch ein mäßig sicheres Kennwort geschützt sein darf. Selbst ein 20 Zeichen langes Passwort kann versagen, wenn es Angreifern in die Hände fällt. Es besteht deshalb ein klarer Zwang zu Multifaktor-Authentifizierung, One-Time-Passwords (OTP) und ähnlichen Verfahren.

Auch haben viele Unternehmen den Weg in die Cloud gewählt. Der Exchange-Server steht dabei oft exponiert im Netz und ist von überall in der Welt ansprechbar. Der einzige Schutz für das E-Mail-Konto des Geschäftsführers ist dabei das Kennwort "Sommer23", weil er es alle drei Monate wechseln muss und darauf überhaupt keine Lust hat. Das Ärgerliche ist dabei, dass das Kennwort "Sommer23" sogar der Microsoft-Komplexitätsregel für Passwörter entspricht: Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen – drei dieser vier Zeichensätze werden benötigt, bei mindestens sechs Zeichen Länge. Jeder halbwegs versierte Angreifer lacht sich derweil darüber ins Fäustchen.

Sobald ein Angreifer Zugriff auf das Postfach erlangt, kann er beispielsweise auf die E-Mail eines Kollegen, in dem eine Excel-Tabelle steckt, mit einer weiteren Excel-Tabelle samt Makros und Schadcode antworten. Der Empfänger wird in dem Fall niemals den Verdacht einer Attacke haben, da es eine direkte Antwort auf die eigene E-Mail vom richtigen Kollegen ist. Zudem sind die Attachment-Policies der Unternehmen intern oft lascher geregelt als Posts von extern – ein Phänomen, das sich übrigens die berüchtigte Malware Emotet in automatisierter Form zunutze gemacht hat.

Eine weitere Möglichkeit, auf die Angreifer mittlerweile häufig setzen, ist die Manipulation von Rechnungen. Der Rechnungsversand per E-Mail hat sich etabliert. Wenn der Versand eines PDFs durch eine Mailregel im Outlook an den Angreifer umgeleitet wird, kann das PDF mit einer anderen Rechnungssumme versehen und die Bankdaten angepasst werden, um dann wieder vom vermeintlich richtigen Absender herausgeschickt zu werden.

Es wird letztlich immer Wege geben, auf denen Attachments ins Unternehmen finden. Sobald Mitarbeiter diese öffnen und es zur Ausführung von Schadcode kommt, verlassen sich Firmen auf ihre Virenscanner und kombinieren diese mit verhaltensbasierter Erkennung – insbesondere als Clouddienst mit E, M oder X und DR (E = Endpoint, M= Managed, X= Extended, DR = Data Research). Hiermit lässt sich seitens der Anbieter gutes Geld verdienen, da sie ihren Schutz als Abonnement anbieten und pro Endpoint abrechnen. Das Unternehmen gibt damit die Verantwortung aus der Hand und verlässt sich auf ein Werkzeug, das erkennen muss, wenn etwas passiert. Wäre es nicht wesentlich besser, die Kontrolle zu behalten und es vor allem gar nicht erst zur Ausführung kommen zu lassen?

Software gezielt erlauben

Es ist kein beliebter Ansatz, dennoch ein sehr effektiver. Und schon seit Urzeiten gibt es Werkzeuge für Software-Allowlisting:

- XP, Service Pack 2, Software Restriction Policies (aka Safer)

- Windows Vista, Applocker (Enterprise, aka Safer2)

- Windows 10 1607, Device Guard

- Windows 10 1709, Device Guard wird zu Windows Defender Application Control

- Patchday 30. September 2022: Jede Professional-Version von Windows unterstützt jetzt Applocker per Gruppenrichtlinie, es ist nicht länger ein Enterprise-Feature. Applocker konnte dabei schon seit jeher per MDM für Professional-Versionen eingerichtet werden, zeigte sich aber stets recht unhandlich.

Das Blockieren unbekannter Software ist sicherlich das schärfste Schwert im Waffenarsenal der Verteidigung. Auch hier ist es ähnlich dem kompletten Blockieren von Anhängen in der Mail: Es kommt grundsätzlich nur zur Ausführung, was dem Unternehmen bekannt ist. Dadurch ergibt sich, dass schadhafter Code schon sehr gut gemacht sein muss, um zum Zug zu kommen. Das Regelwerk hat eventuell Lücken und wer Software-Allowlisting im Unternehmen etabliert, muss es pflegen; es ist ein fortwährender Prozess.

Vor dieser Arbeit sträuben sich verständlicherweise die Administratoren, da der Zoo an eigenen Anwendungen meist groß ist und der Berg, der zu erklimmen gilt, extrem hoch erscheint. Brechen wir es aber auf einen einfachen Weg herunter und deklarieren alleine "%programfiles%" und "%Systemroot%" für sicher, da diese Pfade im Benutzerkontext nicht zu ändern sind, haben wir mit zwei Regeln die Masse an Software erschlagen. Natürlich ist das kein Schutz vor Angreifern mit Admin-Rechten, aber die erste Verteidigungslinie muss das meiste an Attacken aushalten. Benutzer haben in diesen Pfaden keine Schreibrechte, bis auf wenige Ausnahmen, die geregelt werden können [1].

Ordnerzugriff und PowerShell beschränken

Schadsoftware benötigt in der Regel einen Ort, auf den sie Schreibrechte besitzt, um eine Executable zu generieren oder das Skript zu speichern. Hierfür wird alles unterhalb von "%userprofile%" adressiert sowie "C:\Temp", beides leicht zugängliche Verzeichnisse. Es gilt daher, nur noch Pfade zur Ausführung zu erlauben, auf die ein User keine Schreibrechte besitzt. Des Weiteren gibt es das Phänomen der "Scheinordner". Das Windows-Explorer-API unterscheidet nicht zwischen "C:\Windows" und "C:\Windows " (mit Leerzeichen am Ende). In letzterem Ordner kann jedoch Code abgelegt werden und der Explorer denkt, es handle sich um "C:\Windows". Ärgerlicherweise erlaubt Windows den Benutzern (und damit auch Angreifern), direkt unterhalb von "C:" Ordner zu erstellen. Das gilt es, auf NTFS-Ebene zu verhindern. [2].

Neben Pfadregeln können Herausgeberzertifikate genutzt werden, um Software zu erlauben. Programme, die kein Zertifikat besitzen, lassen sich mit einem eigenen Code-Signing-Zertifikat und dem Cmdlet "Set-AuthenticodeSignature" als Admin bei Bedarf selbst signieren. Wer ein Code-Signing-Zertifikat besitzt, kann damit übrigens auch die Makros und PowerShell-Skripte signieren, die zur Ausführung kommen dürfen. Nur bestimmte Pfade für die Ausführung erlauben, einigen Zertifikaten vertrauen – das ist ein übersichtliches Regelwerk. Natürlich geht es auch besser. So können Admins auf bestimmte Programmversionen abzielen oder Hashes für einzelne Dateien erzeugen. Im ersten Ansatz sollte aber ein weniger granulares, simples Regelwerk etabliert werden, damit die Technik überhaupt zum Einsatz kommt.

Auch die PowerShell muss für Benutzer reglementiert werden, die PowerShell ist letztlich ein Administrationswerkzeug. Sie erlaubt unter anderem auch das Nachladen von Code oder die dateilose Ausführung von Code [3].

Mit Applocker loslegen

Als Kritik am Microsoft-eigenen Produkt lässt sich die schlechte und teilweise umständliche Verwaltung anführen, dafür ist diese aber als Bordmittel vorhanden und direkt einsetzbar. Applocker verfügt über ein Monitoring, das erst einmal nur dokumentiert, bevor Admins das Feature scharf schalten. Das Monitoring sollte mit Windows Event Forwarding kombiniert werden, damit die Events blockierter Anwendungen an einer zentralen Stelle auflaufen. Die Vorstellung, heute mit Applocker anzufangen und nach wenigen Tagen dann startklar zu sein, ist jedoch falsch.

Vielmehr beginnen Admins mit dem Monitoring und verbessern ihr Regelwerk. Sobald keine Fehler mehr auftauchen, wird von der Überwachung auf das Erzwingen umgestellt. Das kann je nach Firma und den eingesetzten Testclients in zwei Wochen erledigt sein oder in zwei Monaten. Wichtig ist, dass die IT-Abteilung überhaupt damit beginnt. Drittanbieter verwenden meist intelligente Agenten auf den Clients, die neben dem Software-Allowlisting und dem besseren zentralen Management auch noch ein Port-Blocking leisten. Für Applocker spricht allerdings, dass der Administrator keine Ausrede hat, just in diesem Moment damit anzufangen. Das zusätzlich immer noch ein Virenscanner oder die Microsoft Defender Attack Surface Reduction Rules zum Einsatz kommen, steht außer Frage. Das Allowlisting übernimmt jedoch den wichtigsten Part.

Mit dem gezielten Freischalten von Software schließen wir übrigens noch zwei weitere Einfallstore: Unerwünschte Softwaredownloads und Malware auf Internetseiten. Häufig wird Software nämlich nicht direkt beim Hersteller heruntergeladen, sondern über fadenscheinige Portale, da diese bei der Suchmaschine des Vertrauens als Erstes auftauchen. Was von dort zusätzlich mit auf dem Rechner landet, ist unbekannt. Ein weiterer nützlicher Nebeneffekt von Allowlisting ist zudem die Kontrolle über den Microsoft Store, wegen dessen Kontrolle Admins sich seit Jahren die Haare raufen. Die Antwort ist tatsächlich simpel: Den Windows Store erlauben und die Apps per Herausgeberregel steuern. Was nicht erlaubt ist, wird nicht ausgeführt. Es ist stellenweise irritierend, wie sehr sich Firmen gegen diese Technik verweigern, da sie die Arbeit und Administration scheuen.

Bevor wir es vergessen: Bei PUA oder PUP (Possible Unwanted Application / Program) reden wir auch über die Erweiterungen in den Webbrowsern. Diese haben unter Umständen direkten Zugriff auf die Formulardaten von Webseiten und damit auf Kennwortfelder, Bankdaten et cetera. Nicht jede Extensions macht nur das, wofür Nutzer sie heruntergeladen haben. Die drei großen Browser Chrome, Edge und Firefox bieten Gruppenrichtlinien zur Kontrolle der Erweiterungen. Es wird eine Blocklist "*" (Alles) implementiert und nur erlaubt, was bekannt ist. Die Extensions verfügen praktischerweise über eindeutige Kennungen. Über diese können Erweiterungen dann automatisch installiert oder zur Installation erlaubt werden.

Segmentierung auf Admin-Ebene

Das Unternehmen ist keine perfekte Festung. Trotz vielfältigster Maßnahmen kann es schließlich doch zur Ausführung von Schadsoftware kommen. Je nach Art der Attacke kann dies ein kurzer, harter Schlag sein. Der Angreifer gelangt ins Unternehmen, verschlüsselt so viel und so schnell wie möglich und möchte Geld. Er kann sich aber auch einnisten und, langsam, aber stetig zu den Kronjuwelen des Unternehmens samt Übernahme administrativer Konten vorarbeiten. Letztere sind ein Mittel zum Zweck und werden benutzt, da sie Zugriff auf interessante Ziele bieten.

Administratoren müssen deshalb ihre Art der Arbeit umstellen und sich damit anfreunden, dass sie nicht länger einen Generalschlüssel für die Firmen-IT besitzen, sondern einen Schlüsselbund nutzen. Es geht um die Delegation und das Tiering. Zurzeit arbeiten noch sehr viele Admins mit einem Konto, das Mitglied der Domänen-Admins ist, um ihr Tagesgeschäft zu erledigen. Mit diesem Account greifen sie auf die Clients zu, auf Server und natürlich auch auf den Domänencontroller. Das ist sehr bequem, denn Domänen-Admins sind auf jeden Microsoft-System Mitglied in der lokalen Gruppe der Administratoren aufgrund des Default User Mappings. Die Mitglieder der lokalen Gruppen auf einem System können per Gruppenrichtlinie geregelt werden. Der Wirkungskreis eines administrativen Kontos ist dabei so klein wie möglich zu halten.

Wurde ein Client gehackt und es meldet sich ein hochprivilegiertes Konto an diesem Rechner an, kann der Angreifer die Sitzung übernehmen oder mit einem Keylogger das Kennwort abgreifen. Hochwertigen Admin-Konten müssen daher die Anmeldung und der Zugriff auf gefährdete Systeme verweigert werden.

Den Anfang macht meist die Trennung nach Clients-, Server- und Domänen-Admins. Ein Client-Admin mit der Berechtigung, alle Clients zu verwalten, besitzt jedoch noch immer ein Angriffspotenzial, das nicht viel kleiner ist als das eines Domänen-Admins – er kann alle Clients verwalten. Die Trennung sollte deshalb auf Einzelsysteme heruntergebrochen werden. Microsoft liefert hierfür LAPS (Local Admin Password Solution). Während von Mai 2015 bis März 2023 noch ein zusätzliches Stück Software hierfür nötig war, ist LAPS seit April 2023 eine Systemkomponente [4]. Das Tool generiert ein individuelles Kennwort für einen lokalen administrativen Account und dokumentiert diesen im jeweiligen Computerobjekt des AD. Der Wirkungskreis beschränkt sich damit auf den einen Client und das Kennwort gilt nur an der einen Maschine.

Ebenfalls muss nicht jeder Administrator gleich Domänen-Admin-Rechte besitzen, nur weil er einen Computer ins AD integriert oder ein Kennwort zurücksetzen muss. Das Verzeichnis erlaubt seit jeher eine Delegation und damit eine Rechtevergabe ähnlich den NTFS-Berechtigungen im Dateisystem, nur in dem Fall über die Organisationseinheiten in Form von Ebenen und Objekten. Der Schutz von Konten durch diese Art der Trennung ist existenziell und übrigens keine neue Idee [5]. Microsoft hat bereits 2012 zwei PDF-Dateien veröffentlicht, in denen Redmond diese Technik erklärt und Hilfe zu den nötigen Maßnahmen anbietet [6].

Fazit

Der Schutz des eigenen Netzwerks muss so gestaltet werden, dass der Angreifer zum einen deutlich mehr Zeit benötigt und womöglich die Lust verliert und Admins wiederum die Chance haben, den Angriff zu erkennen. Die Segmentierung der administrativen Konten geht Hand in Hand mit der Segmentierung des Netzwerks. Es gilt, die laterale Bewegung auf derselben Ebene und vor allem horizontal in privilegierte Bereiche zu verhindern. Die Windows-Firewall kann hier per Gruppenrichtlinien eine große Hilfe sein. Wenn Admins es hinbekommen, dass ein normaler Client nicht mehr mit anderen Clients redet, dann ist bereits viel gewonnen [7]. Im Detail gibt es neben den genannten Großbaustellen noch viele weitere Aspekte, die ebenfalls dazugehören: Patchmanagement, Schulungen der Mitarbeiter, aber auch ein Umdenken beim Backup.

Ransomware-Schutz unter Windows

Erfolgreicher Hürdenlauf

Einfallstor E-Mail

Einfallstor E-Mail

Unsichere Kennwörter

Software gezielt erlauben

Ordnerzugriff und PowerShell beschränken

Mit Applocker loslegen

Segmentierung auf Admin-Ebene

Fazit