Angreifer beim Eindringen aus der Cloud ins Netzwerk aufspüren

IT-Sicherheitstipps im Cloud-Umfeld von Vectra AI zum Jahresauftakt 2021

[datensicherheit.de, 04.01.2021] Die zahlreichen erfolgreichen Cyber-Angriffe der vergangenen Monate hätten es mehr als deutlich gemacht: IT-Sicherheitsteams benötigten einen Einblick in die Interaktion der Benutzer mit ihrer IT-Infrastruktur über alle Medien hinweg. Vectra AI erläutert in einer aktuellen Stellungnahme, wie dies möglich werden könnte. Sicherheitsingenieure hätten Lösungen entwickelt, welche eine einheitliche Ansicht der Konten im Netzwerk und in der Cloud böten. Zudem wird darauf hingewiesen, dass – um herauszufinden, wie Angreifer „Office 365“ ausnutzen –, der aktuelle „Spotlight Report“ von Vectra AI nützliche Informationen liefere. Mit einer modernen „Network Detection and Response“-Plattform könnten Unternehmen Sichtbarkeit herstellen, um Angreifer aufzuspüren und darauf reagieren.

Angriffe aus der Cloud: Während der gesamten Phase wachsam bleiben!

„Wird ein potenzieller Angreifer entdeckt, der versucht, Daten aus der Produktionsdatenbank zu exfiltrieren, lässt sich dieser nicht einfach ausschalten, um sich der nächsten Aufgabe zuzuwenden.“
Sicherheitsexperten müssten daher sehen können, wie und wo die Angreifer eingedrungen sind, und diese Lücke stopfen. Das könnten sie jedoch nicht, „wenn sie die Punkte zwischen der Cloud und der Netzwerk-Infrastruktur nicht verbinden können“.

Angreifer sehen Cloud-Netzwerk nicht als das geringste Hindernis

Ein Beispiel wäre demnach, wenn ein Benutzer auf „Office 365“ das Opfer von Spear-Phishing wird, so dass gestohlene Zugangsdaten verwendet werden, um auf Kritische Infrastrukturen zuzugreifen. Eine zeitgemäße Sicherheitsplattform zeige dann diese Informationen auf, mit vollständigem Kontext darüber, was der Benutzer wann getan hat und warum man eingreifen sollte.
„Wenn jemand einige fragwürdige Exchange-Operationen auf ,Office 365‘ durchführt, kann eine moderne Lösung schnell zeigen, welche Hosts dieses Konto im Netzwerk betrifft, so dass sich sehen lässt, ob es verdächtige Aktivitäten auf diesen Hosts gegeben hat.“ Bei der Betrachtung einiger aktueller Angriffe werde deutlich, dass Angreifer das Cloud-Netzwerk nicht als das geringste Hindernis für den Verlauf ihres Angriffs sähen.

Ausnutzung legitimer Tools für unerlaubte Aktionen über die Cloud

Die Aktionen von „APT 33“ hätten mit dem Brute-Forcing schwacher Zugangsdaten und der Ausnutzung von E-Mail-Regeln begonnen, um zum Endpunkt zu gelangen. „Einmal auf dem Endpunkt angekommen, wurden die Zugangsdaten desselben Benutzers genutzt, um den Angriff seitlich voranzutreiben. Wenn die Netzwerk- und Cloud-Erkennungsportfolios nicht miteinander verknüpft sind, kann jedoch das Ausmaß eines solchen Angriffs komplett übersehen werden.“
Die Angriffsfläche von „Office 365“ sei nicht nur auf den ersten Zugriff beschränkt. Angreifer mit „Office 365“-Zugang könnten „SharePoint“ missbrauchen, um freigegebene Ordner zu beschädigen und sich mithilfe von DLL-Hijacking-Techniken oder durch das Hochladen von Malware seitlich auf Endpunkte auszubreiten. Dieselbe „SharePoint“-Funktionalität, welche für die Synchronisierung normaler Benutzerdateien verwendet werde, könne auf jedem Endpunkt ausgeführt werden, um eine einzelne Freigabe zu synchronisieren und so die Standard-Netzwerksammlungstechniken zu umgehen. Ein Angreifer könne dann mit ein paar Klicks dauerhafte Exfiltrationskanäle über „Power Automate“-Flows einrichten, welche täglich Daten von jedem infizierten Endpunkt hochladen könnten. Hierzu gebe es viele Möglichkeiten und es würden immer mehr.

Network Detection and Response empfohlen, um Angriffen über die Cloud zu wehren

Denkbar sei auch ein Problem in der Cloud, bei dem sich die Angreifer mit Brute-Force-Aktivitäten die Zugangsdaten eines Kontos verschafft haben, gefolgt von der Erstellung neuer E-Mail-Regeln, „was zwar schlecht, aber nicht schlimm ist“. Es sei dabei aber auch zu einer seitlichen Bewegung im Netzwerk gekommen, was viel besorgniserregender sei, da nicht bekannt sei, wie die Hacker hereingekommen sind. „In Cognito bedeutet das Zusammenführen dieser Ansichten, dass Analysten einen frühen und vollständigen Überblick haben, der es ihnen ermöglicht, den Angriff zu stoppen, bevor Daten verschoben werden oder Schaden entsteht.“
Um herauszufinden, wie Angreifer „Office 365“ ausnutzen, liefere der aktuelle „Spotlight Report“ von Vectra AI nützliche Informationen. Mit einer modernen „Network Detection and Response“-Plattform könnten Unternehmen Sichtbarkeit herstellen, um Angreifer in ihren Netzwerken und „Office 365“-Implementierungen zu erkennen und darauf zu reagieren.

Weitere Informationen zum Thema:

datensicherheit.de, 14.07.2020
Office 365: Zunehmender Missbrauch von Nutzerkonten

VECTRA, Chris Morales, 19.10.2020
The Office 365 Tools and Open Services Attackers Love to Use

VECTRA
O365 Security Spotlight Report – Report & Stats | Vectra AI