Warnung AA20296A

Inhaltsverzeichnis

Was ist Warnung AA20296A?

Warnung (AA20296A) – Staatlich geförderte russische APT Hacker kompromittieren US Regierungsziele.

Zusammenfassung

Dieser Cybersicherheitsratgeber, der vom FBI und der CISA verfasst worden ist, stellt Informationen über die staatlich geförderten russischen APT Hacker bereit, die aktiv verschiedene Netzwerke innerhalb des US Regierungssektors und des US Luftfahrtsektors bedrohen. Dieser Ratgeber ist ein Update des ebenfalls von der CISA und FBI geschriebenen Cybersicherheitsratgeber AA20-283A.

Wie nun bekannt geworden ist, haben die bereits angesprochenen russischen Hacker (auch bekannt als Berserk Bear, Energetik Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti und Koala) mindestens seit September 2020 eine Kampagne gegen verschiedene Ziele in der USA durchgeführt. Die Hacker haben eine Vielzahl von Zielen innenhalb des US Regierungssektors und der Luftfahrtbehörde angegriffen, haben versucht in verschiedene SLTT Organisationen einzudringen, haben erfolgreich Netzwerkinfrastruktur kompromittiert und, wie am
1. Oktober 2020 begannt geworden ist von mindestens zwei Servern Daten abgerufen.

Dabei haben die Hacker User und Admin Credentials erhalten, mit deren Hilfe sie einen Erstzugang einrichten könnten, sich innerhalb des Netzwerkes bewegen könnten und hochwertige Zile lokalisieren könnten. Bei mindestens einem Angriff auf ein Netzwerk erhielten Sie dabei Zugang zu Dokumenten, die sich auf folgende Bereiche beziehen:

  • Sensitive Netzwerk Konfigurationen und Passwörter
  • Standart operating procedures (SOP), wie z.B. Informationen über die Mehr-Faktor-Authentifizierung
  • IT Anweisungen, wie z.B Anweisungen zum Zurücksetzen des Passwortes
  • Verkäufer- und Kauf-informationen
  • Dem Drucken von Sicherheitsausweisen

Bis heute (22. Oktober 2020) haben das FBI und CISA keine Informationen darüber, dass die Angreifer gezielt Luftfahrt, Bildungs, Wahl oder Staatliche Operationen angegriffen haben. Allerdings kann es sein, das die Angreifer versuchen Zugang zu erhalten um in Zukunft solche Operationen, wie z.B. die Politik und das Handeln der USA zu beeinflussen oder um Regierungsstellen der SLTT zu sabotieren.

Die letzten Aktivitäten auf das SLTT Netzwerk gezielt, weswegen davon ausgegangen werden kann, dass auch Wahlunterlagen, die im Netzwerk des SLTT liegen betroffen sein könnten. Allerdings haben sowohl das FBI, we auch die CISA keine Beweise dafür, das die Integrität der Wahldaten kompromittiert wurde. Auf Grund der erhöhten Gewissenhaftigkeit im Umgang mit allem, das die Wahl betrifft und den Angriffen auf das SLTT Netzwerk, sind FBI und CISA in höchster Alarmbereitschaft und werden weiterhin alle Aktivitäten beobachten

 

Du hast einen Sicherheitsvorfall?
Vertraue bei Auffälligkeiten unseren zertifizierten IT Forensikern.
Jetzt Anfragen

Technische Details

Beobachtungen des FBIs und der CISA zufolge haben die ATP Angreifer SLTT Netzwerke und die Luftfahrtsektoren kompromittiert. Die APTs nutzen für ihren Angriff türkische IP Adressen
213.74.101[.]65, 213.74.139[.]196, und 212.252.30[.]170 um sich auf die Webserver der Opfer zu verbinden. (Exploit Public Facing Application [T1190]).

Die Angreifer benutzen 213.74.101[.]65, 213.74.139[.]196 um Beute Force Logins durchzuführen, und auch in vielen Fällen um SQL-Injection auf den Opferseiten auszuführen (Brute Force [T1110]; Exploit Public Facing Application [T1190]). Des weiteren wurden Domänen gehostet, die u.a. den Luftfahrsektor zum Ziel haben columbusairports.microsoftonline[.]host, die die IP 108.177.235[.]92 auflöst und [cityname].westus2.cloudapp.azure.com; Diese Domänen sind in der USA registriert und wahrscheinlich Ziele bei einem Angriff auf den SLTT Sektor (Drive-By Compromise [T1189]).

Die Angreifer scannen für Schwachstellen in Citrix und Microsoft Exchange Service und haben anfällige Systeme identifiziert, wahrscheinlich um diese in zukünftigen Angriffen zu kompromittieren. Die Angreifer nutzen dabei eine Schwachstelle eines Citrix Directory (CVE-2019-19781) und einen Microsoft Exchange remote code execution Bug (CVE-2020-0688).

Die APTs wurden dabei beobachtet, wie sie via Cisco AnyConnect SSL VPN Verbindungen hergestellt haben, um in mindestens einem Netzwerk Remote Logins einzuschalten, wahrscheinlich durch das Ausnutzen einer SMTP Schwachstelle (CVE 2019-10149) (External Remote Services [T1133]). Erst vor kurzem haben die Angreifer eine Schwachstelle bei Fortinet VPN ausgenutzt (CVE-2018-13379) um Erstzugang zu erhalten [TA0001] und eine Windows Netlog Schwachstelle (CVE-2020-1472) um Zugang zu Windows AD Server zu erhalten, um dort Privilege-Escalation [TA0004] innerhalb des Netzwerkes (Valid Accounts [T1078]) auszuführen. Diese Schwachstellen können auch genutzt werden, um andere Geräte im Netzwerk zu kompromittieren (Lateral Movement [TA0008]) und Persistent zu bleiben [TA0003]).

Zwischen Anfang Februar und Mitte September benutzten die Angreifer die IPs 213.74.101[.]65, 212.252.30[.]170, 5.196.167[.]184, 37.139.7[.]16, 149.56.20[.]55, 91.227.68[.]97, und 5.45.119[.]124 um US Regierungs Netzwerke zu attackieren. Erfolgreiche Authentifizierungen – u.a. auf Microsoft Office 365 (O365) Accounts – wurden in mindestems einem Netzwerk registriert (Valid Accounts [T1078]).

Eindämmung und Entschärfung Indikatoren einer Kompromittierung

Die Angreifer haben folgende IP Adressen und Domänen für ihre Angriffe verwendet:

  • 213.74.101[.]65
  • 213.74.139[.]196
  • 212.252.30[.]170
  • 5.196.167[.]184
  • 37.139.7[.]16
  • 149.56.20[.]55
  • 91.227.68[.]97
  • 138.201.186[.]43
  • 5.45.119[.]124
  • 193.37.212[.]43
  • 146.0.77[.]60
  • 51.159.28[.]101
  • columbusairports.microsoft online[.]host
  • microsoftonline[.]host
  • email.microsoftonline[.]services
  • microsoftonline[.]services
  • cityname[.]westus2. cloudapp.azure.com

Die IP-Adresse 51.159.28[.]101 scheint darauf konfiguriert zu sein, gestohlene
Anmeldedaten von Windows NTLM zu erhalten. FBI und CISA raten daher Firmen und
Organisationen Maßnahmen einzuleiten um das Risiko eines Lecks der NTLM
Anmeldedaten zu verhindern. Daher wird geraten denn NTLM Service zu deaktivieren,
oder ausgehende NTLM Daten einzuschränken. Auch sollte darüber nachgedacht werden die IP-Adresse 51.159.28[.]101 zu blockieren (dies ist allerdings keine hundertprozentige Lösung, da davon ausgegangen wird, das die Angreifer weitere Einstiegspunkte einrichten werden, oder dies bereits getan haben. Des weiteren sollte ebenfalls SMB oder WebDAV Aktivitäten beobachtet werden, die das Netzwerk zu anderen IP-Adressen verlassen.

Siehe dazu AA20-296A.stix für einen Download von IOCs.

Netzwerk Defense-in-Depth

Richtige Network Defense-in-Depth und Einhaltung von Informationssicherheits Richtlinien hilft dabei das Risiko zu verhindern. Die folgende Anleitung soll dabei helfen Netzwerke sicherer vor solchen Angriffen zu gestalten.

  • Es ist geraten alle Anwendungen auf dem neusten Stand zu halten, und dabei ein besonderes Augenmerk auf Frontend Anwendungen, sowie Fernzugriffs-Anwendungen, um CVE-2019-19781, CVE-2020-0688, CVE 2019-10149, CVE-2018-13379, and CVE-2020-1472 entgegenzuwirken. In Tabelle 1 finden sie Patch-Infomationen zu diesen CVEs

 

SchwachstelleGefährdete ProduktePatch informationen
CVE-2019-19781
  • Citrix Application Delivery Controller
  • Citrix Gateway
  • Citrix SDWAN WANOP
CVE-2020-0688
  • Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
  • Microsoft Exchange Server 2013 Cumulative Update 23
  • Microsoft Exchange Server 2016 Cumulative Update 14
  • Microsoft Exchange Server 2016 Cumulative Update 15
  • Microsoft Exchange Server 2019 Cumulative Update 3
  • Microsoft Exchange Server 2019 Cumulative Update 4
CVE-2019-10149
  • Exim versions 4.87–4.91
CVE-2018-13379
  • FortiOS 6.0: 6.0.0 to 6.0.4
  • FortiOS 5.6: 5.6.3 to 5.6.7
  • FortiOS 5.4: 5.4.6 to 5.4.12
CVE-2020-1472
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)
  • Folgen Sie Microsofts Richtlinien zum Thema Überwachung von Aktivitäten, die im Zusammenhang mit der Netlogon Schwachstelle stehen (CVE-2020-1472)
  • Soweit möglich ist es ratsam, alle externen Kommunikationen die über SMB (oder vergleichbaren Protokollen) laufen zu verhindern, indem TCP Ports 139 und 445 und UDP Port 137 blockiert werden. Mehr Informationen im CISA Guide SMB Security Best Practices
  • Umsetzung der Präventions-, Erkennungs- und Eindämmungsstrategien die im folgenden genauer beschrieben werden:
    • CISA Warnung TA15-314A – Compromised Web Servers and Web Shells – Threat Awareness and Guidance
    • Das Informationsblatt zur Cybersicherheit der NSA U/OO/134094-20 – Detect and Prevent Web Shells Malware.
  • Isolieren Sie nach außen gerichtete Dienste in einer DMZ, da sie Angriffen stärker ausgesetzt sind; ermöglichen sie eine Protokollierung und überwachen sie die Protokolle auf Anzeichen von Angriffen
  • Einrichtung eines Schulungsmechanismus, um Endbenutzer über die ordnungsgemäße E-Mail- und Web-Nutzung zu informieren, aktuelle Informationen und Analysen hervorzuheben und gemeinsame Indikatoren für Phishing zu erkennen. Endbenutzer sollen klare Anweisungen bekommen, wie sie ungewöhnliche oder verdächtige E-Mails melden können.
  • Implementieren Sie Anwendungskontrollen, um die Ausführung nur von bestimmten Anwendungsverzeichnissen aus zuzulassen. Systemadministratoren können dies über die Microsoft Software Restriktion Policy, AppLocker oder ähnliche Software implementieren. Sichere Standardeinstellungen erlauben die Ausführung von Anwendungen aus Ordnern PROGRAMFILES, PROGRAMFILES(X86) und WINDOWS. Alle anderen Speicherorte sollten nicht zugelassen werden.
  • Blockieren sie RDP-Verbindungen, die von nicht vertrauenswürdigen externen Adressen ausgehen.

Umfassende Konto-Resets

Für Accounts, bei denen NTLM Hashes oder Kerberos Tickets möglicherweise schon kompromittiert wurden (z.B. durch CVE-2020-1472), ist ein zweifacher Passwort Reset möglicherweise nötig, damit weiter Zugriff verhindert wird. Für Domäne Admin Anmeldedaten ist möglicherweise ein Zurücksetzten der KRB-TGT „Golden Tickets“ von Nöten. Microsoft hat auch hierfür bereits einen Guide zur verfügung gestellt. Ein solcher Reset muss mit größter Vorsicht getätigt werden.

Wenn eine Kompromittierung der Netlogon Aktivitäten (CVE-2020-1472) oder andere Indikatoren für einen Missbrauch von Anmeldedaten vorliegt, dann muss davon ausgegangen werden, dass ATP die die AD Admin Accounts kompromittiert hat.
In einem solchen Fall darf dem AD Forest nicht komplett vertraut werden, und deswegen muss ein neuer Forest verwendet werden. Bereits existierende Hosts des alten, kompromittierten Forest können nicht migriert werden, ohne auf der neuen Domäne neu eingebunden zu werden. Dabei muss durch „Creative Destruction“, die Endpunkte im alten Forest stillgelegt werden, und neue können im neuen Forest angelegt werden. Dies muss sowohl vor Ort als auch in den von Azure gehosteten AD-Instanzen getan werden.

Beachte, dass ein kompletter Reset der AD Forests sehr schwer und komplex ist, am besten sollte diese Aufgabe unter Aufsicht von Fachpersonal durchgeführt werden, das bereits Erfahrung hat.

Es ist wichtig, das ein kompletter Passwort Reset bei allen Benutzern und Computer Accounts im AD Forest durchgeführt wird. Die folgenden Punkte dienen als Anhaltspunkte

  • Erstelle ein temporäres Adminkonto, und benutze diesen Account ausschließlich für Administrative Zwecke.
  • Setzen sie das Kerberos Ticket Granting Ticket (krbtgt) zurück. [1] Dies muss getan werden, bevor weitere Schritte unternommen werden.
  • Warten sie bis der krbtgt Reset an allen Domöncontrollern angekommen ist. (Die Zeit kann dabei variieren)
  • Setzen sie alle Account Passwörter zurück (Die Passwörter sollten mindestens 15 Zeichen oder mehr beinhalten):
    • Benutzerkonten (Erzwungen, ohne Wiederverwendung von Altpasswörtern)
    • Lokale Konten auf Hosts (einschließlich lokaler Konten, die nicht von der LASP abgedeckt werden
    • Dienstliche Konten
    • Konto im Wiederherstellungsmodus für Verzeichnisdienste (DSRM)
    • Domain-Controll-System
    • Anwendungspasswörter
  • Setzen sie das krbtgt Passwort erneut zurück
  • Warten sie bis der krbtgt Reset an allen Domöncontrollern angekommen ist. (Die Zeit kann dabei variieren)
  • Starten Sie die Domaine Controller neu
  • Starten sie alle Endpoints neu

Die folgenden Accounts sollten zurückgesetzt werden:

  • AD Kerberos Authenticator Master (2x)
  • Alle Active Directory Accounts
  • Alle AD Admin accounts
  • Alle AD Servie Accounts
  • Alle AD Benutzer Accounts
  • DSRM Account des Domain Controller
  • Non-AD Privileged Accounts
  • Non-AD Unprivileged Anwendungs Accounts
  • Non-Windows Privileged Accounts
  • Non-Windows Benutzer Accounts
  • Windows Computer Accounts
  • Windows Lokaler Admin

VPN Schwachstellen

Setzen sie die folgenden Empfehlungen zur Sicherheit der VPNs um:

  • Aktualisieren sie VPNs, Netzwerkinfrastrukturgeräte und Geräte, die für den Fernzugriff auf Arbeitsumgebungen verwendet werden, mit den neusten Software Patches und Sicherheitskonfigurationen. Siehe hierzu den CISA Tip Understanding Patches and Software Updates und Securing Network Infrastructure Devices. Wenn es möglich ist, aktivieren sie automatische Updates.
  • Implementieren sie MFA auf allen VPN-Verbindungen, um die Sicherheit zu erhöhen. Physische Sicherheitstoken sind die sicherste Form der MFA, gefolgt von MFA auf der Basis von Authenisierungsanwendungen. SMS- und E-Mail-basierte MFA sollte nur verwendet werden, wenn keine anderen Formen zur Verfügung stehen. Wenn MFA nicht implementiert ist, verlangen Sie von betroffenen Mitarbeitern starke Passwörter.

Schalten Sie unbenutzt VPN-Server aus. Reduzieren Sie die Angriffsfläche Ihrer Organisation, indem Sie unbenutzte VP-Server, die als Einstiegspunkt für Angreifer dienen können, ausschalten. Schützen sie Ihr Unternehmen vor VPN-Schwachstellen:

  • Audit-Konfigurations und Patch-Verwaltungsprogramme
  • Überwachen Sie den Netzwerkverkehr auf unerwartete und nicht genehmigte Protokolle, insbesondere auf ausgehende Protokolle ins Internet (z.B. SSH, SMB, RDP). MFA implementieren, insbesondere für privilegierte Konten.
  • Verwendung getrennter Verwaltungskonten auf getrennten Verwaltungs-Workstations
  • Software auf dem neusten Stand halten. Aktivieren Sie wenn möglich Automatische Updates.