Was passiert bei einem Cyberangriff? Wie sich Cyberkriminelle in IT-Netzwerken einnisten.

Phishing liefert den ersten Zugang – doch Cyberkriminelle geben sich damit nicht zufrieden. Sie weiten ihre Rechte aus, bleiben unbemerkt im System und sichern sich langfristigen Zugriff.

Überblick

• Cyberkriminelle nutzen „Privilege Escalation“ und Persistenzmechanismen, um ihre Kontrolle im IT-Netzwerk auszuweiten. Sie verschaffen sich höhere Benutzerrechte und versuchen, dauerhaft im IT-Netzwerk zu bleiben.
• Verschiedenste Techniken ermöglichen es Cyberkriminellen, administrative Kontrolle zu übernehmen und sich tief in das IT-Netzwerk des Unternehmens einzunisten.
• Unternehmen können sich u. a. durch das Prinzip der minimalen Rechtevergabe, regelmäßige Überprüfung von Administratorrechten und den Einsatz von Multi-Faktor-Authentifizierung (MFA) schützen.

Cyberangriffe sind für Unternehmen eine der größten Bedrohungen geworden. Je nach Art des Angriffs dienen als Eintrittstore oft gekaufte Zugangsdaten aus dem Darknet oder der Diebstahl von Benutzernamen und Passwörtern von Mitarbeitenden durch Phishing. Doch ein Cyberangriff endet selten mit dem ersten Eindringen in das IT-Netzwerk – oft geht es den Cyberkriminellen darum, sich dauerhaft festzusetzen und ihre Berechtigungen und Möglichkeiten im System auszuweiten. Zwei zentrale Techniken, die Cyberkriminelle dafür nutzen, sind die sogenannte „Privilege Escalation“ – also die Ausweitung von Benutzerrechten, etwa um auf vertrauliche Dateien zuzugreifen, Systemeinstellungen zu ändern oder Schadsoftware auszuführen – und Persistenzmechanismen.

Privilege Escalation: Wie sich Cyberkriminelle mehr Befugnisse im IT-Netzwerk ergattern

Stellen Sie sich vor, ein:e neue:r Mitarbeitende:r im Unternehmen bekommt eine Zugangskarte, mit der er:sie das Erdgeschoss und den Aufenthaltsraum betreten kann. Nach ein paar Tagen bemerkt der:die neue Mitarbeitende, dass die Zugangskarte der Haustechnik neben dem Erdgeschoss und Aufenthaltsraum auch den Zugang zum Serverraum gewährt. In einem unachtsamen Moment des:der Haustechnik-Mitarbeitenden entwendet der:die neue Mitarbeitende die Haustechnik-Zugangskarte. Der:die neue Mitarbeitende kopiert heimlich die Haustechnik-Zugangskarte und kann sich nun in Bereiche bewegen, die für neue Mitarbeitende eigentlich nicht zugänglich sein sollten.

Im digitalen Raum bzw. in IT-Netzwerken passiert Ähnliches: Cyberkriminelle erschleichen sich initialen Zugriff auf ein IT-System und damit auf ein Benutzerkonto mit begrenzten Berechtigungen (entsprechend der Zutrittskarte für neue Mitarbeitende). Durch die Ausnutzung weiterer technischer Schwachstellen und die Anwendung unterschiedlicher technischer Methoden versuchen die Cyberkriminellen, ihre Berechtigungen zu erweitern und ein Benutzerkonto mit Administratorrechten zu erlangen (entspricht der Zutrittskarte der Haustechnik) – genau das bedeutet Privilege Escalation.

Das Pendant zum klassischen Administratorkonto auf einem Endgerät ist im IT-Netzwerk der sogenannte Domain-Administrator . Die Erlangung von diesen höchst privilegierten Rechten bedeutet für Cyberkriminelle, dass sie das IT-Netzwerk vollständig übernommen haben und die Schadsoftware im ganzen IT-Netzwerk ausrollen und damit maximalen Schaden anrichten können. In Cyberangriffen sehen wir daher häufig, dass Cyberkriminelle danach trachten, das Domain-Administrator-Konto zu übernehmen, um die vollständige Kontrolle über das IT-Netzwerk des Unternehmens zu erlangen.

Es gibt zwei wesentliche Formen der Ausweitung von Rechten, die in diesem Kontext von Bedeutung sind.

1. Vertikale Privilege Escalation: Die Cyberkriminellen steigen in der Hierarchie auf – von einem einfachen Benutzerkonto hin zu einem Administrator. So können sie sicherheitskritische Einstellungen ändern oder neue Benutzer anlegen.
   
2. Horizontale Privilege Escalation: Dabei bleiben die Cyberkriminellen auf der gleichen Ebene wie ihre ursprünglich infiltrierten Benutzerkontos, aber sie übernehmen das Benutzerkonto einer anderen Person. So können sie auf verschiedene Ressourcen zugreifen und nach Informationen suchen, ohne dass ihr Verhalten sofort auffällt.

Insbesondere für den Ransomware-Fall sind Cyberkriminelle erpicht darauf, eine vertikale Privilege Escalation zu erzielen. Sobald Cyberkriminelle über Administratorrechte verfügen, haben sie nahezu unbegrenzte Möglichkeiten: Sie können u. a. Sicherheitsmechanismen deaktivieren, neue Benutzerkonten anlegen und mit den Daten beliebige Aktionen durchführen.

Typische technische Methoden von Cyberkriminellen, um an höhere Rechte zu gelangen:

Credential Dumping

Damit ein Rechner überprüfen kann, ob das durch Benutzer:innen eingegebene Passwort korrekt ist, muss das Passwort auch irgendwo am Rechner gespeichert sein. Cyberkriminelle nutzen diesen Umstand und extrahieren Passwort-Hashes aus dem Speicher eines Rechners, um sich als anderer Benutzer mit potenziell höheren Rechten auszugeben.

Hashes

Hashes spielen eine zentrale Rolle in der digitalen Welt. Dabei lässt sich das Prinzip ganz einfach erklären – stellen Sie sich einen Mixer in der Küche vor. Wenn Sie eine Banane, Milch und Honig hineingeben und auf den Knopf drücken, entsteht ein Smoothie. Dabei gibt es drei wesentliche Eigenschaften:

• Wenn Sie genau dieselben Zutaten in derselben Menge verwenden, erhalten Sie immer denselben Smoothie.
• Verändert sich jedoch auch nur eine Kleinigkeit, etwa ein Teelöffel Zucker, schmeckt das Ergebnis völlig anders.
• Und egal, wie sehr Sie sich bemühen, Sie können den Smoothie nicht mehr in seine ursprünglichen Zutaten zurückverwandeln.

Genau so funktioniert ein Hash. Eine beliebige Eingabe – beispielsweise ein Passwort, eine Textdatei oder eine E-Mail – wird durch eine spezielle Berechnungsformel in eine einzigartige Zeichenkette umgewandelt. Solange die Eingabe unverändert bleibt, bleibt auch der Hash-Wert identisch. Doch selbst die kleinste Veränderung führt zu einem völlig neuen Hash. Und ähnlich wie beim Smoothie ist es praktisch unmöglich, aus dem Hash wieder auf die ursprüngliche Eingabe zurückzuschließen.

Diese Eigenschaft macht Hashes extrem nützlich, insbesondere in der IT-Sicherheit. Ein wichtiges Anwendungsgebiet ist die Passwortspeicherung. Passwörter werden anstelle von Klartext nur als Hash-Wert gespeichert. Sobald Benutzer:innen das Passwort eingeben, wird geprüft, ob das eingegebene Passwort denselben Passwort-Hash ergibt. Dadurch kann niemand – nicht einmal die Besitzer:innen oder Administrator:innen – das eigentliche Passwort auslesen.

Ein Beispiel dafür, wie der bekannte MD5-Hash-Algorithmus das Passwort „Passwort123“ umwandelt:

• MD5: fe6fa98138ffab6339e4adeee157538c

Als Vergleich wandeln wir auch das ähnliche Passwort „Passwort124“ in den MD5-Hash um. Das Ergebnis ist trotz einer nur kleinen Änderung komplett unterschiedlich:

• MD5: 80b6b0a5a0147793856696ae92d4de79

Kerberoasting

Hierbei nutzen Cyberkriminelle das Windows-Authentifizierungssystem aus, indem sie gezielt verschlüsselte Daten vom Kerberos-Dienst – jenem Teil von Windows, der für das Authentifizierungsmanagement zuständig ist – anfordern und anschließend versuchen, die enthaltenen Passwörter offline zu entschlüsseln. Besonders gefährlich ist dieses Vorgehen, wenn schwache Passwörter verwendet werden, da diese oft schnell geknackt werden können. Dies ist mit ein Grund, warum IT-Abteilungen auf lange und komplexe Passwörter bestehen.

Schwachstellen in Software

Sicherheitslücken in Betriebssystemen oder Anwendungen können von Cyberkriminellen ausgenutzt werden, um sich erweiterte Rechte zu verschaffen. Oft entstehen solche Lücken durch fehlerhafte Programmierung oder veraltete Software-Versionen. Daher sind regelmäßige Updates essenziell, um solche Angriffe zu verhindern.

Fehlkonfigurierte Benutzerrechte

Wenn ein System nicht korrekt eingerichtet ist, kann es passieren, dass normale Benutzer unbeabsichtigt Zugriff auf administrative Funktionen erhalten. Dies kann durch falsch gesetzte Berechtigungen oder versehentlich freigegebene Administratorrechte geschehen. Cyberkriminelle können solche Fehlkonfigurationen gezielt ausnutzen, um ihre Kontrolle über das System auszuweiten.

Die folgende Auflistung zeigt eine Auswahl an Tools, die in der Praxis von Cyberkriminellen eingesetzt werden:

• Mimikatz: Ein Programm, mit dem Cyberkriminelle unter anderem Passwörter und andere Zugangsdaten aus dem Arbeitsspeicher eines Rechners stehlen können.
• Cobalt Strike: Eine Plattform, mit der Cyberkriminelle ihre Attacken besser planen und durchführen können, indem sie verschiedene Methoden miteinander kombinieren.
• Metasploit: Ein weiteres Programm, das eine Sammlung von Angriffstechniken und Sicherheitslücken bietet, die Cyberkriminelle nutzen können.
• Empire: Ein Tool, das auf PowerShell basiert und Cyberkriminellen hilft, ihre Attacken durchzuführen.
• BloodHound: Ein Tool, das zeigt, wie verschiedene Rechner und Benutzerkonten in einem Netzwerk miteinander verbunden sind und welche Berechtigungen sie haben.
• Netzwerkscanner: Diese Tools durchsuchen Netzwerke nach Schwachstellen und offenen Verbindungen, um herauszufinden, wo potenzielle Angriffe stattfinden könnten.

Folgende typische Methoden werden zur Schaffung von Persistenz eingesetzt: 

• Backdoors (Hintertüren) sind versteckte und für die Opfer unbekannte Zugänge, die es den Cyberkriminellen ermöglichen, auch dann wieder ins System zu gelangen, wenn der initiale Eintrittsvektor geschlossen wurde, beispielsweise durch Software-Updates oder das Zurücksetzen von Passwörtern. Solche Hintertüren bleiben oft unbemerkt und bieten den Cyberkriminellen einen ungehinderten Zugang zum System.

• Neue Benutzerkonten: Die Cyberkriminellen legen neue, möglichst unauffällige Benutzerkonten an, oft mit administrativen Berechtigungen, um sich auch dann noch Zugang zum System zu verschaffen, wenn sie vom ursprünglichen Benutzerkonto ausgesperrt wurden. Solche neuen Benutzerkonten fungieren wie zusätzliche Schlüssel, mit denen die Angreifer:innen das System weiter unter ihrer Kontrolle halten.

• Installation von Remote-Zugriffstools: Die Cyberkriminellen installieren Remote-Zugriffstools wie TeamViewer oder AnyDesk, um sich auch weiterhin mit befallenen Systemen zu verbinden. Hierbei handelt es sich um valide Tools, welche zumeist auch nicht von Antiviren-Programmen als Schadsoftware erkannt werden.

• Manipulation von Systemprozessen: Die Cyberkriminellen integrieren Schadsoftware in notwendige Kernprozesse des Systems, sodass diese auch nach einem Systemneustart aktiv bleibt.

• Trojaner (versteckte Schadsoftware) tarnen sich als harmlose Software, sodass sie von Antiviren-Programmen nicht erkannt werden. Auf diese Weise können sie unbemerkt im Hintergrund arbeiten und Schaden anrichten, ohne sofort aufzufallen.

Die Kombination aus Privilege Escalation und Persistenz ermöglicht es Cyberkriminellen, langfristig in einem IT-Netzwerk eines Unternehmens aktiv zu bleiben. Dadurch erhalten sie die Möglichkeit, sensible Unternehmensdaten, wie etwa Kundendaten, Bankinformationen oder geistiges Eigentum, über einen längeren Zeitraum auszuleiten. Zudem können sie IT-Systeme gezielt manipulieren oder lahmlegen, indem sie beispielsweise Dateien löschen oder Prozesse sabotieren.

Glossar