Mit diesen Tools arbeiten Hacker

In der Theorie sind viele Unternehmen auf Angriffe von Hackern und auf Malware- oder Ransomware-Attacken vorbereitet und die IT-Sicherheitsverantwortlichen wiegen sich in Sicherheit. Was jedoch fehlt sind praktische Vorgehensweisen und die Sicht aus dem Blickpunkt des Angreifers. Denn zu verstehen, wie die Cyberkriminellen arbeiten, hilft den Schutz der eigenen Systeme zu verbessern.

Wie arbeiten Hacker?

Die bekannte Hackerin Alissa Knight erklärt, wie sie beim Hacken vorgeht: "Sobald ich in einem Netzwerk eine Lücke gefunden habe, mache ich mich zunächst auf die Suche nach Domain-Admin-Rechten, indem ich Anmeldeinformationen aus dem Speicher der Systeme auslese. Dabei suche ich so lange, bis ich solche Rechte in einem Netzwerk findet." Knight wurde durch erfolgreiche Angriffe auf Behörden in den USA bekannt und arbeitet mittlerweile auch für Geheimdienste im Bereich der Cyber-Kriegsführung.

Sobald ein Hacker in einem Netzwerk Fuß gefasst hat, kann er sich über privilegierte Benutzerkonten, Schattenadministratoren und ungeschützte Bereiche des Netzwerks problemlos ausbreiten. Gemäß dem Verizon Data Breach Incident Report sind gestohlene Anmeldedaten mit über 60 Prozent die mit Abstand begehrteste Datenkategorie, mit denen Kriminelle sich Zugriff auf fremde IT-Systeme verschaffen.

Hackerangriffe laufen in vielen Fällen nach einem identischen Muster ab: Zunächst versuchen die Angreifer sich mit herkömmlichen Benutzerrechten im Netzwerk anzumelden. Tools wie LaZagne, BloodHound und Mimikatz helfen dabei, sich anschließend erhöhte Rechte zu verschaffen. Sobald ein Angreifer genügend unsichere Benutzerkonten übernommen hat und über die entsprechenden umfassenden Rechte verfügt, kann er damit in einem Netzwerk grenzenlos Schaden anrichten und Daten abziehen (Account Takeover). Diese Vorgehensweise ist so einfach wie effektiv und funktioniert in praktisch jedem Netzwerk. In nahezu allen Fällen von erfolgreichen Attacken, müssen Angreifer überhaupt nichts "hacken", sie melden sich einfach an.

Die Tools der Hacker

Sehen wir uns die Tools, mit denen Cyberkriminelle arbeiten, genauer an. Das kostenlose Open-Source-Tool LaZagne sucht in Arbeitsspeichern und Cache nach Kennwörtern und sogenannten verwaisten Konten. Dies sind Benutzerkonten, die zwar in vielen Netzwerken und den dort betriebenen Anwendungen noch existieren, aber keinem aktiven User mehr zugeordnet sind. Handelt es sich dabei um ein privilegiertes Benutzerkonto, sind die Sicherheitsvorkehrungen in den meisten Unternehmen bereits ausgehebelt, bevor jemand den Angriff bemerkt. Mit LaZagne können Hacker die Kontrolle über Webbrowser, Chat-Tools, Datenbanken, E-Mail-Clients, Git, Maven, PHP, SVN, viele Admin-Tools, WLAN-Kennwörter sowie LSA-Secrets erlangen.

Das kostenlose Open-Source-Tool LaZagne sucht in Arbeitsspeichern und Cache nach Kennwörtern von Benutzerkonten, die in vielen Netzwerken und den dort betriebenen Anwendungen (derzeit 71[1]) noch existieren. Und schon eine Lücke reicht aus, um an ein Kennwort zu kommen. Handelt es sich dabei um ein privilegiertes Benutzerkonto, sind die Sicherheitsvorkehrungen in den meisten Unternehmen bereits ausgehebelt, bevor jemand den Angriff bemerkt. Mit LaZagne können Hacker die Kontrolle über Webbrowser, Chat-Tools, Datenbanken, E-Mail-Clients, Git, Maven, PHP, SVN, viele Admin-Tools, WLAN-Kennwörter sowie LSA-Secrets erlangen.

Auch Bloodhound ist bei Hackern beliebt und kommt bei Attacken immer noch häufig zum Einsatz. Dabei handelt es sich um ein Tool für das Identity Risk Management und das Attack Surface Management, optimiert für den Einsatz gegen Active Directory. Einfach ausgedrückt ermöglicht Bloodhund es einem Angreifer, Domain-Admin-Rechte zu finden und zu übernehmen. Auch hier gilt: Wenn ein Hacker auf Admin-Rechte im Active Directory zugreifen kann, muss er nicht mehr "hacken". Er kann tun und lassen was er will, ohne dass Sicherheitstools eingreifen.

Mimikatz schließlich dient dazu, Authentifizierungsdaten wie zum Beispiel Kerberos-Ticketsanzuzeigen, abzuspeichern und unverschlüsselte Passwort-Hashes sowie entschlüsselte Passwörter aus dem Arbeitsspeicher eines Systems auszulesen. Zusammen mit LaZagne und Bloodhound findet Mimikatz zügig einen Weg, um an Kennwörter oder funktionierende Kerberos-Tickets von privilegierten Konten zu kommen. Hacker nutzen häufig das sogenannte "Kerberoasting", um Netzwerke über Active Directory anzugreifen. Sehr vereinfacht gesprochen handelt es sich dabei um eine Art Brute-Force-Angriff, mit dem verschlüsselte Kerberos-Passwörter für Domain Controller geknackt werden. Das ist eine ziemlich effektive Technik, wenn ein Angreifer über nur wenige Rechte innerhalb einer Domain verfügt.

Identity Management reicht nicht aus

Diese Tools, mit denen Hacker Netzwerke erfolgreich angreifen, kosten nicht einmal Geld. Die Einstiegshürde für Angreifer ist entsprechend niedrig, die Erfolgschancen groß. Privileged Account Management (PAM), Multi-Faktor-Authentifizierung (MFA) und andere Identity-und-Access Management-Lösungen (IAM) bieten natürlich einen gewissen Schutz. Aber sie hinterlassen blinde Flecken, die Angreifer mit schöner Regelmäßigkeit ausnutzen. Zum einen, weil die Abstimmung zwischen IT und Sicherheitsteams längst nicht immer ideal verläuft, zum anderen sind bestehende Identitätslösungen schlicht nicht konzipiert, um Unbekanntes aufzudecken oder komplexe Active-Directory-Strukturen zu entwirren. Identity Risk Management hingegen wurde entwickelt, um fortlaufend privilegierte Zugangsberechtigungen zu identifizieren, ausnutzbare Identitätsrisiken automatisch zu beheben und entsprechende Kontrollen einzurichten.