Was passiert bei einem Cyberangriff? Wie sich Cyberkriminelle in IT-Netzwerken einnisten.

Es gibt zwei wesentliche Formen der Ausweitung von Rechten, die in diesem Kontext von Bedeutung sind:

1. Vertikale Privilege Escalation: Die Cyberkriminellen steigen in der Hierarchie auf – von einem einfachen Benutzerkonto hin zu einem Administrator. So können sie sicherheitskritische Einstellungen ändern oder neue Benutzer anlegen.
   
2. Horizontale Privilege Escalation: Dabei bleiben die Cyberkriminellen auf der gleichen Ebene wie ihre ursprünglich infiltrierten Benutzerkontos, aber sie übernehmen das Benutzerkonto einer anderen Person. So können sie auf verschiedene Ressourcen zugreifen und nach Informationen suchen, ohne dass ihr Verhalten sofort auffällt.

Insbesondere für den Ransomware-Fall sind Cyberkriminelle erpicht darauf, eine vertikale Privilege Escalation zu erzielen. Sobald Cyberkriminelle über Administratorrechte verfügen, haben sie nahezu unbegrenzte Möglichkeiten: Sie können u. a. Sicherheitsmechanismen deaktivieren, neue Benutzerkonten anlegen und mit den Daten beliebige Aktionen durchführen.

Typische technische Methoden von Cyberkriminellen, um an höhere Rechte zu gelangen:

Credential Dumping

Damit ein Rechner überprüfen kann, ob das durch Benutzer:innen eingegebene Passwort korrekt ist, muss das Passwort auch irgendwo am Rechner gespeichert sein. Cyberkriminelle nutzen diesen Umstand und extrahieren Passwort-Hashes aus dem Speicher eines Rechners, um sich als anderer Benutzer mit potenziell höheren Rechten auszugeben.

Hashes

Hashes spielen eine zentrale Rolle in der digitalen Welt. Dabei lässt sich das Prinzip ganz einfach erklären – stellen Sie sich einen Mixer in der Küche vor. Wenn Sie eine Banane, Milch und Honig hineingeben und auf den Knopf drücken, entsteht ein Smoothie. Dabei gibt es drei wesentliche Eigenschaften:

• Wenn Sie genau dieselben Zutaten in derselben Menge verwenden, erhalten Sie immer denselben Smoothie.
• Verändert sich jedoch auch nur eine Kleinigkeit, etwa ein Teelöffel Zucker, schmeckt das Ergebnis völlig anders.
• Und egal, wie sehr Sie sich bemühen, Sie können den Smoothie nicht mehr in seine ursprünglichen Zutaten zurückverwandeln.

Genau so funktioniert ein Hash. Eine beliebige Eingabe – beispielsweise ein Passwort, eine Textdatei oder eine E-Mail – wird durch eine spezielle Berechnungsformel in eine einzigartige Zeichenkette umgewandelt. Solange die Eingabe unverändert bleibt, bleibt auch der Hash-Wert identisch. Doch selbst die kleinste Veränderung führt zu einem völlig neuen Hash. Und ähnlich wie beim Smoothie ist es praktisch unmöglich, aus dem Hash wieder auf die ursprüngliche Eingabe zurückzuschließen.

Diese Eigenschaft macht Hashes extrem nützlich, insbesondere in der IT-Sicherheit. Ein wichtiges Anwendungsgebiet ist die Passwortspeicherung. Passwörter werden anstelle von Klartext nur als Hash-Wert gespeichert. Sobald Benutzer:innen das Passwort eingeben, wird geprüft, ob das eingegebene Passwort denselben Passwort-Hash ergibt. Dadurch kann niemand – nicht einmal die Besitzer:innen oder Administrator:innen – das eigentliche Passwort auslesen.

Ein Beispiel dafür, wie der bekannte MD5-Hash-Algorithmus das Passwort „Passwort123“ umwandelt:

• MD5: fe6fa98138ffab6339e4adeee157538c

Als Vergleich wandeln wir auch das ähnliche Passwort „Passwort124“ in den MD5-Hash um. Das Ergebnis ist trotz einer nur kleinen Änderung komplett unterschiedlich:

• MD5: 80b6b0a5a0147793856696ae92d4de79

Kerberoasting

Hierbei nutzen Cyberkriminelle das Windows-Authentifizierungssystem aus, indem sie gezielt verschlüsselte Daten vom Kerberos-Dienst – jenem Teil von Windows, der für das Authentifizierungsmanagement zuständig ist – anfordern und anschließend versuchen, die enthaltenen Passwörter offline zu entschlüsseln. Besonders gefährlich ist dieses Vorgehen, wenn schwache Passwörter verwendet werden, da diese oft schnell geknackt werden können. Dies ist mit ein Grund, warum IT-Abteilungen auf lange und komplexe Passwörter bestehen.

Schwachstellen in Software

Sicherheitslücken in Betriebssystemen oder Anwendungen können von Cyberkriminellen ausgenutzt werden, um sich erweiterte Rechte zu verschaffen. Oft entstehen solche Lücken durch fehlerhafte Programmierung oder veraltete Software-Versionen. Daher sind regelmäßige Updates essenziell, um solche Angriffe zu verhindern.

Fehlkonfigurierte Benutzerrechte

Wenn ein System nicht korrekt eingerichtet ist, kann es passieren, dass normale Benutzer unbeabsichtigt Zugriff auf administrative Funktionen erhalten. Dies kann durch falsch gesetzte Berechtigungen oder versehentlich freigegebene Administratorrechte geschehen. Cyberkriminelle können solche Fehlkonfigurationen gezielt ausnutzen, um ihre Kontrolle über das System auszuweiten.

Die folgende Auflistung zeigt eine Auswahl an Tools, die in der Praxis von Cyberkriminellen eingesetzt werden:

• Mimikatz: Ein Programm, mit dem Cyberkriminelle unter anderem Passwörter und andere Zugangsdaten aus dem Arbeitsspeicher eines Rechners stehlen können.
• Cobalt Strike: Eine Plattform, mit der Cyberkriminelle ihre Attacken besser planen und durchführen können, indem sie verschiedene Methoden miteinander kombinieren.
• Metasploit: Ein weiteres Programm, das eine Sammlung von Angriffstechniken und Sicherheitslücken bietet, die Cyberkriminelle nutzen können.
• Empire: Ein Tool, das auf PowerShell basiert und Cyberkriminellen hilft, ihre Attacken durchzuführen.
• BloodHound: Ein Tool, das zeigt, wie verschiedene Rechner und Benutzerkonten in einem Netzwerk miteinander verbunden sind und welche Berechtigungen sie haben.
• Netzwerkscanner: Diese Tools durchsuchen Netzwerke nach Schwachstellen und offenen Verbindungen, um herauszufinden, wo potenzielle Angriffe stattfinden könnten.

Persistenz: Wie sich Cyberkriminelle im IT-Netzwerk einnisten

Nachdem sich die Cyberkriminellen Administratorrechte verschafft haben, besteht das nächste Ziel darin, sicherzustellen, dass sie selbst dann noch Zugriff haben, wenn ihr ursprünglicher Zugang entdeckt und gesperrt wird.

Was bedeutet Persistenz?

Stellen Sie sich vor, jemand schleicht sich heimlich auf eine private Feier, indem er vorgibt, ein eingeladener Gast zu sein. Als die Gastgeber:innen jedoch misstrauisch werden und ihn auffordern, die Veranstaltung zu verlassen, hat der Eindringling bereits vorgesorgt – er hat die Balkontür geöffnet und angelehnt, um sich später wieder unauffällig hineinschmuggeln zu können.

Auf eine vergleichbare Art und Weise gehen Cyberkriminelle vor, um sich in einem IT-Netzwerk festzusetzen. Anstelle der sinnbildlichen Balkontür schaffen sich die Cyberkriminellen aber alternative technische Zugangsmöglichkeiten. Selbst wenn das Unternehmen also Maßnahmen gegen den initialen Eintrittsvektor trifft, bleiben die Cyberkriminellen durch den zusätzlich geschaffenen Zugang oft unbemerkt im IT-Netzwerk.

Folgende typische Methoden werden zur Schaffung von Persistenz eingesetzt: 

• Backdoors (Hintertüren) sind versteckte und für die Opfer unbekannte Zugänge, die es den Cyberkriminellen ermöglichen, auch dann wieder ins System zu gelangen, wenn der initiale Eintrittsvektor geschlossen wurde, beispielsweise durch Software-Updates oder das Zurücksetzen von Passwörtern. Solche Hintertüren bleiben oft unbemerkt und bieten den Cyberkriminellen einen ungehinderten Zugang zum System.

• Neue Benutzerkonten: Die Cyberkriminellen legen neue, möglichst unauffällige Benutzerkonten an, oft mit administrativen Berechtigungen, um sich auch dann noch Zugang zum System zu verschaffen, wenn sie vom ursprünglichen Benutzerkonto ausgesperrt wurden. Solche neuen Benutzerkonten fungieren wie zusätzliche Schlüssel, mit denen die Angreifer:innen das System weiter unter ihrer Kontrolle halten.

• Installation von Remote-Zugriffstools: Die Cyberkriminellen installieren Remote-Zugriffstools wie TeamViewer oder AnyDesk, um sich auch weiterhin mit befallenen Systemen zu verbinden. Hierbei handelt es sich um valide Tools, welche zumeist auch nicht von Antiviren-Programmen als Schadsoftware erkannt werden.

• Manipulation von Systemprozessen: Die Cyberkriminellen integrieren Schadsoftware in notwendige Kernprozesse des Systems, sodass diese auch nach einem Systemneustart aktiv bleibt.

• Trojaner (versteckte Schadsoftware) tarnen sich als harmlose Software, sodass sie von Antiviren-Programmen nicht erkannt werden. Auf diese Weise können sie unbemerkt im Hintergrund arbeiten und Schaden anrichten, ohne sofort aufzufallen.

Die Kombination aus Privilege Escalation und Persistenz ermöglicht es Cyberkriminellen, langfristig in einem IT-Netzwerk eines Unternehmens aktiv zu bleiben. Dadurch erhalten sie die Möglichkeit, sensible Unternehmensdaten, wie etwa Kundendaten, Bankinformationen oder geistiges Eigentum, über einen längeren Zeitraum auszuleiten. Zudem können sie IT-Systeme gezielt manipulieren oder lahmlegen, indem sie beispielsweise Dateien löschen oder Prozesse sabotieren.

Fazit

Nach dem ersten Eindringen in ein IT-Netzwerk zielen Cyberkriminelle darauf ab, ihre Zugriffsrechte auszubauen und dauerhaft im System zu verbleiben. Mithilfe von Techniken wie Privilege Escalation und Persistenzmechanismen übernehmen sie zunehmend die Kontrolle – oft unbemerkt. Unternehmen müssen deshalb nicht nur den Erstzugriff verhindern, sondern auch ihre internen Rechtekonzepte, Administratorzugänge und Sicherheitsvorkehrungen kontinuierlich überprüfen. Nur wer seine Systeme vorausschauend schützt, kann verhindern, dass ein einmaliger Vorfall zu einem langfristigen Sicherheitsrisiko wird.

Im nächsten Artikel der Serie erfahren Sie, wie es bei einem Ransomware-Angriff weitergeht, wenn Cyberkriminelle Daten exfiltrieren und verschlüsseln.