Warum „außer Kontrolle geratene“ Exploit-Ketten gefährlich sind

Eine „Exploit-Chain“ ist ein Cyberangriff, der ein Ziel verletzt, indem er mehrere Schwachstellen verknüpft, auch „Schwachstellenkette“ genannt. Ein Cyber-Angreifer kann bei einem Exploit-Chain-Angriff einen größeren Einfluss auf das Ziel haben als wenn er sich auf einen einzelnen Angriffspunkt konzentriert und die Wahrscheinlichkeit eines erfolgreichen Angriffs erhöhen kann.
Getty Images Bank

Laut Forrester-Analyst Steve Turner besteht der Zweck eines Exploit-Chain-Angriffs darin, Zugriff auf Kernel-/Root-/Systemebene zu erlangen, um den Angriff auszuführen. Die Exploit-Kette hilft Angreifern, in die interne Umgebung eines Unternehmens einzudringen, indem sie Schwachstellen in normalen Systemprozessen ausnutzt, sodass sie Berechtigungen unter Umgehung mehrerer Abwehrmechanismen ausweiten können. Exploit-Chain-Angriffe erfordern in der Regel mehr Zeit und Aufwand als andere Cyberangriffe und erfordern ein höheres Maß an Fachwissen. Durch die Bündelung mehrerer Exploits ist es jedoch möglich, einen Angriff durchzuführen, der je nach Alter und Komplexität der Schwachstelle nur schwer wiederhergestellt werden kann.


Risiken der Exploit-Kette

Exploit-Chain-Angriffe schreiten relativ schnell voran, und nur wenige Unternehmen verfügen über die Taktiken, Verfahren oder Tools, um Bedrohungen abzuwehren oder einzudämmen, um angemessen zu reagieren. Daher stellt die Exploit-Kette ein enormes Risiko für das Unternehmen dar.

„IT-Sicherheitsteams stehen unter großem Druck durch Exploit-Kettenangriffe und die Tatsache, dass fast alle Cyberangriffe bekannte, aber nicht abgeschwächte Schwachstellen ausnutzen“, sagte Ortal Kidsman, Forschungsteamleiter beim Cybersicherheitsunternehmen Vulcan Cyber. Das Schwachstellenmanagement ist heute ein „Maulwurfspiel“ für IT-Sicherheitsteams. „Mehr als 56 % der Unternehmen sind nicht in der Lage, Schwachstellen mit der Geschwindigkeit und dem Niveau zu beheben, die ihr Unternehmen schützen.“

Laut Kidsman beziehen sich die meisten Cybersicherheitsführer auf die Liste der von NIST offengelegten Schwachstellen und nutzen Schwachstellen aus, die von CISA identifiziert wurden. Es ist eine unbequeme Tatsache, aber es bedeutet, dass wir die Risikolage eines Unternehmens nicht genau verstehen. „Wenn Sie Risiken nicht einschätzen können, können Sie sie nicht mindern“, sagt Kidsman. „Selbst das Setzen von Risikoprioritäten ist sinnlos, wenn es nicht der Risikotoleranz jedes Unternehmens oder jeder Geschäftseinheit entspricht.“


Kettenfälle und Szenarien ausnutzen

Lassen Sie uns anhand von realen Beispielen und Szenarien von Exploit-Kettenangriffen lernen, die aufgetreten sind oder sehr wahrscheinlich auftreten werden.

1. SolarWinds-Angriff
Laut Kidsman ist der SolarWinds-Hack ein typisches Beispiel für einen Exploit-Kettenangriff. Es war ein Angriff, der nicht durch das Patchen einer einzelnen Schwachstelle oder das Erstellen einer sicheren Hintertür für die Lieferkette abgewehrt werden konnte. „Hacker haben Schwachstellen in proprietärem und Open-Source-Code ausgenutzt“, sagte Kidsman. Zuerst haben wir eine Schwachstelle in der Software-Lieferkette auf einer Schlüsselschicht angegriffen und eine Advanced Persistent Threat (APT) entwickelt, die Remotezugriffsberechtigungen und Berechtigungen in privaten Netzwerken erhöht.“

Nachdem die Backdoor der SolarWinds-Softwarelieferkette aufgedeckt wurde, nutzten Angreifer einen „Proof of Concept“-Exploit, um ein Kernsystem mit einer Reihe bekannter Schwachstellen zu kompromittieren, die aus verschiedenen Gründen noch nicht behoben wurden.

2. Exploit-Ketten, die auf Mobilgeräte abzielen
John Bambnec, Chief Threat Analyst beim Sicherheitsunternehmen Netenrich, ist der Ansicht, dass Exploit-Chain-Angriffe am ehesten auf mobile Geräte abzielen. Bambneck erklärte: „Aufgrund der Beschaffenheit der Smartphone-Architektur muss mobile Malware Root-Zugriff erhalten, indem sie mehrere Schwachstellen ausnutzt, um richtig zu funktionieren.“

Ein Beispiel dafür findet sich in einem Bericht des Sicherheitsunternehmens Lookout. Dies ist ein Fall, in dem in China seit mehreren Jahren Android-Überwachungstools für Uiguren verwendet werden. „Exploit-Ketten zielen auf herkömmliche Computergeräte ab, bei denen es Lücken im menschlichen Verhalten und der Art und Weise gibt, wie das Gerät verwendet wird“, erklärt Backbnec. Viele Ransomware-Angreifer bewegen sich beispielsweise seitlich oder verwenden PowerShell, nachdem sie in den Umkreis des Zielgeräts eingebrochen sind, was eine Rechteerweiterung durch andere Exploits erfordert.

3. Exploit-Ketten, die auf Browser abzielen
Laut Tyler Reguli, einem Schwachstellen-Forschungsteam der Sicherheitsfirma Tripwire, verleiten Cyber-Angreifer Benutzer dazu, Webseiten mit Phishing-E-Mails zu besuchen und Browser-Schwachstellen mit „Drive by Download“ auszunutzen. Schließen Sie danach die zweite Schwachstelle, um der Sandbox zu entkommen und erhöhte Berechtigungen zu erlangen.

Ein Angreifer, der erhöhte Rechte erlangt, infiltriert verschiedene Teile des Netzwerks und versucht, Schwachstellen auszunutzen, um in ein bestimmtes System einzudringen. Reguli sagte: „Wenn ich an die Exploit-Kette denke, die Szene in der Sitcom Friends, in der Ross wiederholt ‚Pivot!’ kommt in den Sinn. Angreifer verwenden die Exploit-Kette, um einen Pivot zu erstellen und dann durch das System und das Netzwerk zu wandern. Angreifer wollen, dass mehrere Exploits im Browser des Opfers besser zusammenarbeiten. Abhängig von den Abwehrmaßnahmen des Unternehmens kann es sein, dass es nicht systematisch zusammenarbeitet und erfolgreich sein kann.”


Exploit-Toolkit, das von Ransomware-Angreifern verwendet wird

Exploit-Ketten werden zunehmend in kommerziellen Exploit-Toolkits verwendet, die von Ransomware-Angriffsgruppen oder Hackern verwendet werden. „Zwei Beispiele sind typisch“, sagte Turner. Es gibt eine „Null-Klick-Exploit-Kette“, die ausgeführt werden kann, ohne dass ein Angreifer etwas unternehmen muss, und „ProxyLogon“ ist ein „ProxyLogon“, das sich Administratorzugriff verschaffen kann, indem es verschiedene Schwachstellen angreift, um die gewünschte Aktion eines Angreifers auszuführen. “ erklärt.

Die beiden Methoden werden häufig von Ransomware-Angriffsgruppen verwendet, um Daten zu verlieren und schnell Fuß für Ransomware-Angriffe zu gewinnen. “Wir gehen davon aus, dass viele Angreifer in Zukunft bekannte RCE-Schwachstellen wie die Log4j-Schwachstelle ausnutzen werden”, sagte Turner. Konkret werden wir ein Exploit-Toolkit erstellen, das verschiedene Schwachstellen kombiniert, um schnell den gewünschten Zugriff auf System-/Kernel-Ebene zu erhalten.“


So verhindern Sie Exploit-Chain-Angriffe

Um das Risiko eines Exploit-Chain-Angriffs zu mindern, ist zu beachten, dass es möglich ist, alle Glieder in der Kette zu unterbrechen. „Selbst wenn bereits ein Schaden aufgetreten ist, kann das Unterbrechen der Verbindung weitere Schäden verhindern“, erklärt Reguli. Mit anderen Worten, mit einem robusten und ausgereiften Cybersicherheitsprogramm können Sie alle Angriffe so gut wie möglich abwehren und abwehren, wenn Sie über die Techniken, Technologien und das Personal verfügen, die alle Glieder in der Kette durchbrechen können.

„Wenn ein Unternehmen diese Methode nicht anwenden kann, ist es am besten, darüber nachzudenken, wo der Angriff in Bezug auf die Cyber-Kill-Kette gestoppt werden kann“, fügte Reguli hinzu. Bambneck stimmt dem zu und rät: “Der Exploit-Ketten-Angriff mag konzeptionell erschreckend erscheinen, aber wenn etwas entdeckt werden kann, sei es die Exploit-Kette oder das Verhalten des Angreifers, dann kann das Problem identifiziert und behandelt werden.”

Um auf die Exploit-Kette zu reagieren, ist vor allem eine Kooperation zwischen der Open-Source-Community und proprietären Softwarefirmen erforderlich. „Open Source war und wird eine große Hilfe bei der Softwareentwicklung sein“, sagte Kidsman. Jetzt ist es an der Zeit, dass die Entwickler-Community kommerzieller und Open-Source-Software zusammenarbeitet.“

Darüber hinaus sollten CISOs eine ganzheitliche, risikobasierte Cyber-Hygiene praktizieren, anstatt Schwachstellen blindlings anzugehen, sobald sie auftreten. „Unternehmen müssen eine Strategie entwickeln, um auf ausgenutzte Kettenangriffe zu reagieren, bevor es zu spät ist, und diese entsprechend den Anforderungen ihres spezifischen Unternehmens priorisieren“, betont Kiesman. [email protected]


Source: ITWorld Korea by www.itworld.co.kr.

*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!