Emotet – mit Red Teaming gut vorbereitet

Emotet – mit Red Teaming gut vorbereitet

Die Fach-, aber auch die Massenmedien berichten derzeit viel über Emotet: eine perfide Schadsoftware, die sich global in Unternehmensnetzwerken verbreitet und zum Teil existenzbedrohenden Schaden anrichtet. Angriffswellen, Kryptotrojaner und andere Schreckgespenster sind für die IT-Sicherheit nichts Ungewöhnliches. Emotet aber ist ungewöhnlich, vor allem in der Art der Verbreitung.

Emotet: Was ist das?

Die initiale Infektion durch Emotet findet ganz klassisch statt: Es werden Mails mit angehängten Office-Makros verschickt, die beim Empfänger zur Ausführung einer Schadsoftware führen. Einer der Tricks bei Emotet ist, dass dieser (bzw. die nachgeladene Schadsoftware) Zugriff auf E-Mails auf infizierten Systemen nimmt. Diese E-Mails werden dann verwendet, um maßgeschneiderte Angriffe gegen weitere Opfer ausführen zu können. Anstelle von "Rechnung anbei" o.ä. erhält der Empfänger eine Antwort auf eine aktuelle Korrespondenz, an die ein Office-Dokument mit ergänzenden Informationen angehängt ist. Ton und Namen im Schreiben sind dabei häufig korrekt getroffen, der Absender sieht (auf den ersten Blick) bekannt und korrekt aus – die üblichen Awareness-Maßnahmen greifen also nicht mehr und Mitarbeiter sind schnell dabei, den Anhang zu öffnen. Nach einer Infektion geht es dann ganz gewöhnlich weiter: Das infizierte Netzwerk wird nach verwundbaren neuen Opfersystemen gescannt, der Trojaner breitet sich über verschiedene Schwachstellen im Netzwerk aus. Gleichzeitig wird auf infizierten Systemen nach Möglichkeiten einer Rechteausweitung gesucht - und das häufig nicht nur automatisch, sondern auch manuell. Am Ende wird ein Domain Controller übernommen und alle Systeme der Domäne infiziert. Auch Unternehmen mit einem hohen IT-Sicherheitsniveau sollten Emotet daher sehr ernst nehmen.

Incident Response: Was hilft?

Die Incident Responder der SySS haben bereits zahlreiche Emotet-Vorfälle bei Kunden untersucht. Aktuell findet die Infektion nach unserer Erfahrung vor allem über Microsoft Office statt. Die Deaktivierung von Makros und DDE (Dynamic Data Exchange)-Auto sowie regelmäßige Patches der wichtigsten Office-Pakete (und PDF-Viewer) helfen hier bereits bedeutend weiter. Auch sollten Mailserver eingehende E-Mails plausibilisieren (Stimmen FROM-Zeile und Absender überein? Wurden korrekte Mailserver verwendet? etc.). Nach einer etwaigen Erstinfektion kann die Verbreitung aber eingeschränkt werden. Die wichtigsten Maßnahmen sind:

  • aktuelle Patches aller Systeme eine gute und konsequente Netzwerkseparierung; zusätzlich sollten Clients nicht untereinander kommunizieren können (soweit dies umsetzbar ist)
  • Blockieren von Powershell / CMD / sonstigen Shell-Ausführungen per GPP
  • Mails von extern mit dickem rotem Warnhinweis "Achtung: Mail von extern!" oder ähnlich versehen
  • HTML in Mails deaktivieren bei Anzeige UND Versand
  • Deaktivieren von Admin-Shares

Wenn Sie dennoch von einem Trojaner betroffen sein sollten, ist schnelles Handeln gefragt, um den Schaden so gering wie möglich zu halten. Insbesondere wenn Sie noch keine Erfahrung im Incident Handling haben und vielleicht Ihr Netzwerk extern betreuen lassen, sollten Sie sich dringend darum bemühen, die nötigen Voraussetzungen für eine erfolgreiche Incident Response zu schaffen. Die SySS GmbH bietet beispielsweise Schulungen und Workshops  zu diesem Thema an. Bei ausgelagerter IT ist es oft schwierig, eine koordinierte Incident Response umzusetzen. Hier sollte beispielsweise darauf geachtet werden, ein entsprechendes Service Level Agreement mit 24/7-Erreichbarkeiten abzuschließen und die Dienstleister in die entsprechenden Krisenübungen mit einzubeziehen. Wie überall gilt auch bei Outsourcing: „wer billig kauft, kauft zweimal“ – im Zweifelsfall stellt die zweite Rechnung dann eben der Incident Responder.

Offen bleibt dabei aber die Frage, ob die eigenen Maßnahmen ausreichen. Mindestens ebenso wichtig ist die Frage, ob ein Emotet-Angriff rechtzeitig bemerkt wird, sodass im Notfall noch frühzeitig reagiert werden kann.

Red Teaming: Wie vorbeugen?

Diese Fragen kann Ihnen ein gezielter Red Teaming-Angriff beantworten: Unsere Experten besprechen dabei mit Ihnen den Scope, Ihr Netzwerk und wie ein entsprechender Angriff aussehen könnte. Und danach greifen wir Sie mit Methoden an, wie sie auch bei Emotet und vergleichbaren Szenarien zum Einsatz kommen. Wie weit wir dabei gehen – ob wir bspw. versuchen einen Domaincontroller zu übernehmen oder nach einer initialen Rechteausweitung bereits aufhören, welche Arten von Social Engineering zum Einsatz kommen oder ob wir SE-freie Alternativen nutzen, wird im Einzelfall mit dem Kunden gemeinsam festgelegt.

Als Ergebnis erhalten Sie Klarheit:

  • Greifen Ihre Schutzmechanismen gegen diese Art von Angriffen oder wo sind Sie verwundbar?
  • Hätten Sie den Angriff bemerkt?
  • Und was können Sie tun, um schneller auf Angriffe reagieren zu können?

Am effektivsten wird diese Art von Tests, wenn unsere Incident Responder im Nachgang zum Red Teaming-Angriff mit Ihnen ihre Erkennungsmechanismen und Logs durchgehen.

  • Wo hätten Sie den Angriff früher feststellen können?
  • Welche zusätzlichen Erkennungsmaßnahmen bräuchten Sie? Oder stehen Sie gut da?
  • Funktionieren ihre IT-Sicherheitsprozesse? Ihre Melde- und Eskalationsketten? Wenn Informationsflüsse im Unternehmen nicht klar sind, gehen schnell wertvolle Stunden verloren.
  • Ist Ihr Netzwerk grundsätzlich verteidigungsfähig? Häufig stellen wir fest, dass bspw. Netzwerkseperierungen und Übergangskontrollen unzureichend sind, mit geringem Aufwand aber viele Erkennungsmöglichkeiten geöffnet werden können.

Gezielte Emotet-Simulationen lassen sich dabei mit weniger Aufwand - für Sie und uns - umsetzen als klassische Red Teaming-Angriffe und geben Ihnen Informationen, die ein klassischer Penetrationstest nicht aufzeigt. Durch die Kombination aus Red Team und Blue Team können wir Ihnen dann nicht nur Schwachstellen aufzeigen, sondern auch gleich Methoden zur Verbesserung mit Ihnen und spezifisch für Ihr Netzwerk entwickeln.

 

 

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer