profile

Michael Mayer

Die 7 Credential-Todsünden

Published 4 months ago • 3 min read

Cyberkriminelle finden Ransomware cool, aber "allein" ist sie nicht sehr effektiv. Erst mit den passenden Credentials, also Anmeldeinformationen wie Kennwörter und Schlüssel, können sie sich im ganzen Netzwerk ausbreiten und für massiven Schaden sorgen.

Das kann man sich so vorstellen wie bei einem Einbrecher, der nur ein Büro knackt, aber der Hausmeister hat einen Schlüsselbund für den ganzen Bürokomplex. Leider findet man Credentials an allen Ecken und Enden.

Warum Credentials beliebt sind

Angreifer müssen gezwungenermaßen nach den Regeln ihrer Opfer spielen. Sie haben also auch ein gewisses Maß an Zielgruppenverständnis und Kundenorientierung. 😬

Sie verschaffen sich zum Beispiel über eine Phishing-Mail Zugriff auf deinen Rechner. Damit der Schadcode nicht gleich vom Anti-Virus entdeckt wird, bleibt er im Arbeitsspeicher und wird nicht auf die Festplatte geschrieben. Oft nutzt Malware sogar Funktionen des Betriebssystems, die nicht ausreichend gesichert wurden. Diese Programme werden auch "Living off the Land Binaries" genannt. Eine Sammlung davon findest du im LOLBAS Project hier: https://lolbas-project.github.io/

Das Problem dabei ist, dass wenn du den Rechner abdrehst, der Zugriff auch automatisch weg ist. Er müsste wieder von Neuem kompromittiert werden. Wenn Angreifer aber Credentials auf deinem Rechner finden, dann können sie diese verwenden, um auch die anderen Systeme im Netzwerk zu kompromittieren. Server und OT-Geräte sind da sehr beliebt, denn die laufen im Normalfall rund um die Uhr.

Die 7 Credential-Todsünden

Nicht nur in der Bibel gibt es 7 Todsünden, sondern auch bei Credentials in Netzwerken. Cybersecurity ist mir auf alle Fälle heiliger als das alte Buch. 😈

1. Abbild

Nein, damit meine ich nicht die Eitelkeit auf Instagram, sondern Golden Master Images von Clients und Servern. Ein perfektioniertes Abbild, über das alle anderen Endgeräte ausgerollt werden. Wenn ein Angreifer ein Gerät hackt, kann er die Standard-Passwörter auslesen und auf allen anderen Geräten, die gleich sind, wiederverwenden.

2. Wiederholung

Nicht nur du hast dein Lieblingskennwort. Viele IT-Abteilungen haben auch ihre Standard-Passwörter, auf die sie seit Jahrzehnten zurückgreifen. Egal, ob es um das Kennwort des BIOS, die Deinstallation des Antivirus oder den Notfall-Admin geht. Oft sind es die lokalen Accounts, die nicht zentral verwaltet werden. Deshalb bleiben die Kennwörter meistens lange gültig.

3. Verzögerung

Das ist ein echter Klassiker, wenn es um besonders kritische Service-Accounts geht, die eine garantierte Downtime verursachen. Oft sind Kennwörter an unzähligen verschiedenen Stellen in alten Anwendungen hinterlegt, oder müssen auf mehreren Servern gleichzeitig geändert werden. Man sollte sie zumindest jährlich ändern, aber meistens wird es dann doch erst auf den Sankt-Nimmerleins-Tag verschoben. Bei Service-Accounts ist es verdammt schwer, eine Kompromittierung festzustellen. Wenn du das Kennwort aber änderst, sperrst du die Angreifer automatisch aus.

4. Schlampigkeit

Jede Credential-Kette ist nur so stark wie ihr schwächstes Glied. Viele Admins arbeiten mit äußerst sensiblen Credentials direkt von ihrem normalen Rechner. Über den werden E-Mails empfangen, im Internet gesurft und dort sind auch die Standard-Kennwörter gültig. Die gleichen Todsünden gelten natürlich auch für Admins – das Schadensausmaß ist aber umso größer.

5. Geschenk Gottes

Multi-Faktor-Authentisierung (MFA) ist in aller Munde, hilft aber nur vor der Anmeldung, nicht danach. Nachdem du dich per Fingerprint, Push-Nachricht, Face ID etc. authentifiziert hast, bekommst du einen Session-Token und darfst ins System rein. Wenn Angreifer das Endgerät kompromittiert haben, über das du dich anmeldest, warten sie, bis du mit deiner Anmeldungs-Zeremonie fertig bist, und stehlen den Token danach.

6. Hygiene

Es ist nicht nur wichtig, sich regelmäßig die Hände zu waschen, sondern auch, sich um die Hygiene seiner Credentials zu kümmern: Nicht geänderte Standard-Kennwörter vom Hersteller, hardcoded Credentials in Konfigurationsdateien und Scripts, verwaiste Zugänge in Dokumentationen und vieles mehr.

7. Überfluss

Oft haben Service-Accounts mehr Berechtigungen, als sie eigentlich brauchen. Wenn die Anwendung kompromittiert wird, erbt der Angreifer auch dessen Rechte. Oft läuft die Anwendung mit höchsten Privilegien. Wenn sie gehackt wird, ist auch der ganze Server kompromittiert. Wenn es sich sogar um eine zentrale Anwendung handelt, die auf allen Servern läuft, sind unter Umständen alle Server kompromittiert. Bei den IT-Admins ist das ähnlich, wenn sie Admin-Rechte auf allen Servern haben. Wenn ein Server gehackt wird und sich ein Admin darauf anmeldet, sind auch alle anderen Server kompromittiert.

Fazit

Ransomware, Malware & Co sind cool, aber ohne Credentials ist der Wirkungsraum begrenzt. Klar, wenn ein Mitarbeiter Zugriff auf das Abteilungslaufwerk hat, wären dort die Dateien auch verschlüsselt.

Finden Hacker auf den Rechnern aber sonst noch interessante Credentials, wie Service-Accounts, Admin-Accounts und Standard-Kennwörter, dann kann sich die Ransomware schnell wie ein Lauffeuer verbreiten. 👿

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Einbrecher kommen nachts. Hacker? Die kommen um 10 Uhr vormittags, wenn dein Team gerade im Meeting sitzt, die Produktion läuft und der Kaffee noch warm ist. Der Angriff passiert mitten im Alltag und genau das macht ihn so verdammt schwer zu erkennen. Digitale Einbruchsspuren sind fast unsichtbar Bei einem klassischen Einbruch siehst du sofort, dass was nicht stimmt. Zersplittertes Glas, aufgebrochene Türen, durchwühlte Schränke. Alles schreit:"Hier war wer!" Cyberangriffe hinterlassen nur...

about 2 months ago • 2 min read

Jede Firma hat sie, aber keiner spricht drüber. Und alle hoffen, dass sie niemand entdeckt: Die Leichen im Keller der IT. Damit meine ich nicht Friedrich, den Mainframe-Admin aus den 80ern, der einmal im Jahr aufgetaut wird, wenn es wieder mal eine Spezial-Frage gibt. Nein, sondern von den Systemen, Prozesse und Gewohnheiten, die hysterisch … ähm historisch gewachsen sind. Die vergessenen Altlasten Du weißt ganz genau, wovon ich spreche. Jede Firma hat sie und Admins in ihrem Home-Lab...

about 2 months ago • 3 min read

Wenn sich die IT selbst prüft, ist das so, als wenn zwei Wölfe und ein Schaf darüber abstimmen, was es heute zu Mittag gibt. Das klingt zwar wie ein Vorwurf, ist es aber nicht. Wenn wir mal unser Ego beiseite lassen und akzeptieren, dass jeder von uns Fehler macht, dann wird klar, warum es unabhängige Prüfinstitute gibt. Aus demselben Grund sind Penetrationstests, Security-Audits und Hacking-Simulationen (Red Teaming) auch so wichtig. Wo endet die IT? Die IT macht den Betrieb und die Security...

2 months ago • 4 min read