Thought Leadership
Banken zählen nach wie vor zu den Lieblingsojekten für Hacker. Und obwohl die Branche erhebliche strategische und technische Anstrengungen unternimmt, um die „Liebesbeweise“ abzuwehren, ist es stellenweise immer noch viel zu einfach, ein Geldinstitut zu entern. Sagt Martin Hanic von Citadelo. Ein Ethical Hacker erzählt.
“Klar, dass ich keine Namen nennen kann. Wir befinden uns in der Bankenbranche. Die Aufgabe ist stets dieselbe: Hält das komplexe Sicherheitssystem einem realistischen Szenario stand? Wir einigen uns mit dem Sicherheitsteam des Auftraggebers auf eine umfassende, aber klare Definition des Anwendungsbereichs. Eine einfache Definition von No-Go-Techniken und eine nach Prioritäten geordnete Liste von Zielen – beginnend mit der Domänenverwaltung, gefolgt von einer Liste interner Systeme und Dokumentenspeicher, die als sensibel gelten.
Mein Red Team und ich sind bereit zum Start. Wie üblich, beginnen wir mit OSINT. Das Sammeln von Namen und E-Mail-Adressen von Mitarbeitern im Allgemeinen ist in der Regel der einfache Teil. Es gibt verschiedene öffentliche Quellen, einschließlich sozialer Medien. Glücklicherweise finden wir bei einem lokalen File-Sharing-Dienst eine Reihe von Präsentationen der Personalabteilung, darunter auch einige interne. Dieser Dienst erweist sich als Goldgrube, da er eine Liste von Kontakten für den Großteil einer bestimmten Abteilung enthält. Als “Nebenprodukt” stoßen wir auch auf einige Vertragsentwürfe mit Anmerkungen, die uns weitere Kontakte liefern.
“Wer spielt denn nicht gern Spion?”
Um eine Vorstellung davon zu bekommen, welche Geräte, Anwendungen bzw. Software bei unserem Angriffsziel zum Einsatz kommen, suchen (und finden) wir nach öffentlich zugänglichen Beschaffungsinformationen wie Ausschreibungen usw. und natürlich nach Referenzen von Lieferanten.
Das Sammeln von Informationen über das Gebäude selbst und die Gewohnheiten der dort arbeitenden Menschen zu erhalten, gehört zu den Lieblingsphasen meiner Arbeit. Wer spielt denn nicht gerne Spion? Im Gebäude umherzulaufen, um nach anderen Eingängen, Raucherzonen und Kameras zu suchen… in der Lobby auf einen Freund zu warten, der vermeintlich immer zu spät kommt… Im Café auf der anderen Straßenseite zu sitzen, um die Stoßzeiten zu beobachten, wann Menschengruppen kommen und gehen, zu erfahren, wer welche Waren oder Dienstleistungen liefert und wie die Sicherheitsvorkehrungen aussehen… den Angestellten beim Kaffee oder beim Mittagessen im nahegelegenen Restaurant zuzuhören, während man die Wifi-Handshakes ihrer Geräte abfängt… und jede Menge Klatsch und Tratsch über den lokalen IT-Support mitbekommt. Wie gesagt, das ist das Beste am Red Teaming. Unser Plan beginnt zu reifen.
Glücklicherweise sucht der Auftraggeber auch gerade Praktikanten – per Jobportal. Das ist toll, denn wir haben auch einige Praktikanten und die teilen wir gerne. Nicht nur, dass der Praktikant in der Bank eine super Zeit hat und mit allen Vorteilen gelockt wird. Er bekommt auch einen kurzen Rundgang durch die Firma. Freundlicherweise zeichnet er das gleich für uns auf, außerdem bringt er noch ein paar Wifi-Scans mit.
Das Einzige, was uns für unseren großen Auftritt jetzt noch fehlt, sind ein paar gültige Domänen-Zugangsdaten, die uns einen Vorsprung gegenüber der internen IT verschaffen. Zu diesem Zweck verwenden wir unsere Lieblingskombination aus Phishing und Vishing, um die freundlichen KollegInnen in der Personalabteilung anzurufen. (“Wenn der nette Kollege aus der IT anruft”, siehe Kasten 1)
Wenn der nette Kollege aus der IT anruft: der Mensch als schwächstes Glied in der Kette
“Hallo, hier ist Peter aus der IT-Abteilung (ja, der, über den Sie sich in der Mittagspause immer beschweren). Ja, ich rufe Sie von meinem Mobiltelefon aus an, weil die Hälfte des Teams krank ist und wir ein obligatorisches Homeoffice haben. Tut mir leid, dass ich Sie störe, aber wir sind mitten in der Migration des Mailservers und müssen sie bis Freitag abschließen. Wir müssen nicht nur Überstunden machen, sondern ich muss jetzt auch noch alle Leute von einer Liste anrufen, denen wir eine Mail mit Anweisungen schicken, damit wir sicher sind, dass sie es auch tun. Lächerlich, ja, das brauchen Sie mir nicht zu sagen.
Aber die Leute ignorieren derlei ja wie üblich oder löschen sie, weil es sich um Phishing oder so handeln könnte, und jetzt muss ich die Leute anrufen, um sicherzustellen, dass sie sich in das neue System einloggen, damit wir am Freitag umstellen können. Als ob ich nichts Besseres zu tun hätte! Sie haben die Mail nicht bekommen? Komisch. Geben Sie mir eine Sekunde, ich schicke sie Ihnen noch einmal… Also, bitte loggen Sie sich einfach auf dem neuen OVA-Server ein, ich überprüfe, ob das Konto migriert wurde und spiele dann wieder Call Center. Nein, nicht die ganze Abteilung… es sind nur einige Leute, deren Konto aus irgendeinem Grund nicht automatisch migriert wurde… Toll, wie ich sehe, sind Sie fertig! Danke und einen schönen Tag. “
Wir sind bereit zur Infiltration. Das erste Team, Codename “Raucher”, ist in Wirklichkeit ist nur ein Typ mit einem T-Shirt und der Aufschrift “Kopiergeräte Zaťko – OKI / MINOLTA” (Anm. der Redaktion: Zaťko ist der Name des Gründers von Citadelo) und einem Wagen voller Kopierpapier und Kartons mit leeren Drucker-Patronen. Er gesellt sich zu den Entwicklern, die üblicherweise vor der eigentlichen Mittagspause eine Rauchpause einlegen. – “Du bist auch Entwickler? – Ja, wir haben ein bisschen Dolphin benutzt, ohne Quatsch, Delphi. Das war Delphi, als ich im ersten und letzten Jahr an der Universität war. Kann man das noch benutzen? Sch…, mein Chef ruft an, ja, ich bin auf dem Weg… Kannst du mir bitte die Tür aufhalten?” –
Unsere Frontleute dagegen sind tatsächlich ein Team. Unser Hauptdarsteller im Business-Anzug (mit einem “Kopiergeräte Zaťko”-T-Shirt darunter), genannt “Jumper”, wartet geduldig am Empfang. Er führt ein sehr langes Telefonat und wartet darauf, abgeholt zu werden. Unsere Freundin (und Schauspielerin) nähert sich eilig dem Drehkreuz, während sie einen offenen Stapel an Dokumenten in der Hand hält und gleichzeitig ein leidenschaftliches Telefonat führt. Ihre Zugangskarte baumelt an einem Band an ihrer linken Hand.
Kein Wunder, dass sie in ihrer Eile nicht bemerkt, dass das Kartenlesegerät anders piept und rot blinkt. Sie stoppt nicht, stürzt über das Drehkreuz, die Papiere fliegen über den Boden. Keiner, auch nicht die Wachleute und unser Hauptdarsteller, zögern, ihr aufzuhelfen. Glücklicherweise geht es ihr gut und sie hat sich nichts getan. Wir sind drin.
Vorbereitungen für den Fernzugriff
Unsere beiden Jungs in den coolen T-Shirts machen sich auf den Weg, um die regelmäßige vierteljährliche Wartung der Netzwerkdrucker durchzuführen. Jeder in einer anderen Etage. Beide bewaffnet mit zwei mächtigen Red-Teaming-Waffen.
- einem Raspberry Pi mit zwei USB-Netzwerkadaptern und einem LTE-Modem, um es hinter dem Netzwerkdrucker zu installieren. So kann unser Hacker-Team, das bequem in unserem Büro sitzt, per Fernzugriff auf das Netzwerk zugreifen und den Angriff durchführen. Es kann noch viel mehr, zum Beispiel mit NAC umgehen, aber das hat sich als nicht notwendig erwiesen, da es einfacher ist, eine Ausnahme für Drucker zu setzen.
- Papierkram und zwar eine ganze Menge, darunter gefälschte Bestellformulare, Wartungspläne, Genehmigungen. Und das Wichtigste, ein “Reparaturabnahmedokument”: “Was ich da mache? Ich überprüfe den Drucker natürlich. Gibt es noch andere Probleme, die ich überprüfen soll, abgesehen von den bereits erwähnten? Und können Sie das für mich unterschreiben? Wer kann das? “
Nach dem Aufstellen der Geräte ist unser Remote-Team bereit, mit der Arbeit zu beginnen.
Da wir die Entdeckung durch das örtliche Blue Team vermeiden wollen, müssen wir uns zunächst zurückhalten. Zuerst hören wir einfach eine Weile zu. Dann überprüfen wir die Hosts, die, von denen wir wissen, dass sie in der Personalabteilung existieren sowie einige gängige. Als nächstes widmen wir uns den Dateifreigaben.
Ursprünglich war geplant, die Benutzergruppen und Benutzer nach und nach aus dem Adressbuch zu übernehmen, da unser Drucker über eine “Adressbuch”-Funktion verfügt, aber dazu kommt es nicht.
Als wir die Windows-Dateifreigaben der HR-Webtools aus unserer ersten Erkundungsphase aufzählten, stellen wir fest, dass es einen Ordner namens “html” gibt. Es ist keine Überraschung, dass ein Gastzugang nicht erlaubt ist. Wir senken unsere Erwartungen und versuchen, mit einem der gefälschten HR-Anmeldedaten von gestern darauf zuzugreifen. Wir haben wieder einmal Glück. Nicht nur, dass wir Zugang zu einem Ordner erhalten, der sich als das Stammverzeichnis einer unter Windows gehosteten PHP-Anwendung herausstellt, sondern wir erhalten auch Schreibrechte. Yes! Das ist Remote-Code-Ausführung, schnell und schmerzlos! Dabei haben wir uns hart auf unseren Einsatz vorbereitet, indem wir einige RCE-Exploits der letzten Wochen gesammelt und getestet haben, in der Hoffnung auf lange Patch-Fenster auf einigen Systemen.
Aber das ist gar nicht erforderlich: Der Zugriff auf sensible Dokumente, die im Dokumentenstamm der Anwendung selbst gespeichert sind und der Zugriff auf das Backend-DBMS reichen schon, um ans Ziel zu kommen. Aber warum sollten wir unser Glück und unsere Fähigkeiten nicht weiter auf die Probe stellen, um tiefer in das Netzwerk einzudringen, vor allem, als wir herausfinden, dass der Webserver mit SYSTEM-Rechten ausgeführt wird?
Goldene Grundsätze – nicht neu, aber immer noch gültig
Aus diesen Einsätzen kann man eine Menge lernen. Das Offensichtlichste ist: Domänenadministratorkonten sollten niemals für die Anmeldung bei Systemen im Netzwerk verwendet werden. Die wichtigste Lektion ist, dass Sicherheitsprozesse und -standards eine wichtige Rolle in der Gesamtsicherheitsstrategie spielen, aber nur, wenn sie in der Realität auch wirklich korrekt umgesetzt werden. Dies gilt auch für so grundlegende Dinge wie die Berechtigungen für gemeinsam genutzte Ordner, die – wenn sie in die falschen Hände geraten – massive Auswirkungen auf das Gesamtsystem haben können.
Daher hat der Grundsatz “Vertrauen ist gut, Kontrolle ist besser” immer noch goldenen Boden. Ein regelmäßiger Wettbewerb zwischen dem roten und dem blauen Team sollte nicht nur dazu beitragen, echte Sicherheitslücken im Unternehmen zu ermitteln, die Angreifer ausnutzen könnten, sondern auch die Fähigkeiten beider Teams zu verbessern. Und zu guter Letzt: Nicht vergessen, der Mensch ist immer noch das schwächste Glied in der Kette. Auch Admins sind Menschen.
Garant für Kronjuwelen
Um unsere Tarnung nicht gleich auffliegen zu lassen, indem wir Tools wie Mimikatz auf den Rechner hochladen, holen wir uns den Inhalt von lsass, indem wir rundll32.exe nutzen. Die Datei lässt sich bequem über den Webserver und die Dateifreigabe, die wir bereits eingebunden hatten, downloaden. Der Angriffsrechner erweist sie sich schließlich auch als Goldgrube, da er die Hashes mehrerer Benutzer enthält.
Ein NThash erregt unsere besondere Aufmerksamkeit, da er zu einem “desktop_admin_7”-Benutzer gehört. Auch wenn der Name schon alles sagt, zeigt ein schneller Blick auf die Gruppen, denen der Benutzer angehört, dass er tatsächlich Mitglied von “Desktop Admins” und “Hotline Support” ist. Bingo!
Mit Koffein und den Ergebnissen eines langsamen, aber gezielten Port-Scans von Webservern auf verfügbaren Desktops bewaffnet, durchsuchen wir die Ergebnisse nach einigen interessanten Zielen, etwa “PC-12345-DEV”. Dinge, die auf “dev” enden, sind fast immer ein Garant für “Kronjuwelen”. Während wir also ein paar naive Wetten auf die Ergebnisse abschließen und unsere Hoffnungen auf einen Desktop-Domänenbenutzer hochhalten, führen wir crackmapexec aus, um den lsass-Speicher erneut zu dumpen – aber dieses Mal aus der Ferne.
Wir haben große, wenn auch nicht allzugroße Hoffnungen in ein Mitglied einer anderen privilegierten Gruppe gesetzt, vielleicht einen Servergruppenadministrator. Ein Domänenadministrator ist hier ja sicher auf keinen Fall angemeldet. Unser Kollege, der nach der Gruppenzugehörigkeit des “da_admin_2” sucht, verschüttet vor Aufregung seinen Kaffee. Wir kennen die Antwort schon, bevor er “Yess!” ruft.
Wir zögern keine Sekunde und starten damit, NTDS.dit mit wmiexec als Beweis zu sichern.
Game over. Diesmal ging es schnell.”
