Bots, die Zugangsdatensammeln, greifen Sie gerade an

Das wertvollste Tool eines Bedrohungsakteurs ist ein funktionierender Satz von Zugangsdaten für ein anvisiertes System. Ein Großteil der globalen Cyberkriminalität lässt sich als illegale Verfolgung des Benutzernamens und Passworts einer Personen zusammenfassen. Social-Engineering-Angriffe steigen in Anzahl und Häufigkeit an und Bedrohungsakteure verbessern ihre Tools und Fähigkeiten. Während Kriminelle immer besser darin werden, Passwörter zu stehlen, wird die Öffentlichkeit langsam müde, von Passwortsicherheit zu hören.  

Eine Studie von AT&T aus dem Jahr 2022 zeigt, dass 42 % der Befragten dasselbe Passwort auf mehreren Websites wiederverwenden und 31 % ihr Geburtsdatum als Passwort verwenden. Die Studie ergab auch, dass bis zu 38 % der Befragten eine Website zum Streamen oder Herunterladen von Videos, Spielen und Musik nutzen, selbst wenn sie den Verdacht haben, dass die Website bösartig ist. Leider sind diese Personen unsere Freunde, Familienmitglieder und Kollegen, und ihr mangelhaftes Cybersecurity-Verhalten ist der Grund, warum wir keine schönen Dinge haben können. Wir kommen später auf sie zurück.

Beginnen wir zunächst mit denjenigen von uns, die proaktiv mit der Passwortsicherheit umgehen. Wir teilen unsere Passwörter nicht oder verwenden sie nicht wieder und wir haben Passwortmanager oder ein anderes System, das uns hilft, den Überblick über unsere (durchschnittlich) 70 bis 100  Zugangsdaten zu behalten. Wir wissen es besser, also erstellen wir kein Konto auf einer verdächtigen Website, um einen Gutschein zu erhalten oder ein Video zu streamen. Aber wir haben immer noch nicht die vollständige Kontrolle über unsere Passwortsicherheit.

Sammeln von Zugangsdaten (Credential Harvesting)

Das Problem, das wir alle haben, ist, dass wir die Security der von uns genutzten Online-Services genauso wenig kontrollieren können wie das Security-System der örtlichen Bank. Wir verlassen uns darauf, dass unsere Serviceanbieter ihr Bestes tun, um unsere Daten zu schützen, doch jedes Unternehmen kann Opfer eines fortgeschrittenen Angriffs oder einer kompromittierten Lieferkette werden. Angreifer dringen über Zero-Day-Angriffe und nicht-gepatchte Schwachstellen in Systeme ein, oder sie manipulieren einen Mitarbeiter mit Social Engineering, ihnen Zugriff zu erteilen. Wenn sie sich Zugang verschafft haben, suchen sie nach Benutzerkonto-Zugangsdaten und anderen Informationen, die ihnen helfen, weitere Angriffe zu starten. Diese Informationen werden so schnell wie möglich gesammelt. Wenn Ihre Daten im System sind, haben die Angreifer Sie erwischt.

Das Stehlen und Anhäufen von Zugangsdaten wird als Credential Harvesting oder Password Harvesting bezeichnet. Es gibt verschiedene Taktiken, die beim Sammeln von Zugangsdaten angewendet werden und viele Angriffe verwenden mehr als eine. Phishing-E-Mails, Phishing-Websites, Remote Desktop Protocol (RDP)-Angriffe und Man-in-the-Middle (MitM)-Angriffe können alle verwendet werden, um Zugangsdaten zu stehlen und sie können gestapelt werden, um jeweils ein paar Informationen zu erfassen.

Ein modernes Beispiel hierfür ist das Angriffsverhalten der nordkoreanischen Gruppe APT38, die mehrere Arten von Phishing-E-Mails verwendet, um Empfänger zu täuschen. Sie nutzt ebenfalls gefälschte Social-Media-Konten, Phishing-Websites und Post-Exploitation-Tools, um das Beste aus jedem Ziel herauszuholen. Die Hacker News berichten, dass diese „ausufernde“ Aktivität zum Sammeln von Zugangsdaten für diese Gruppe neu und für eine staatlich geförderte Gruppe ungewöhnlich ist. Dies deutet darauf hin, dass Nordkorea seinen Fokus verstärkt auf Zugangsdaten und das flächendeckende Sammeln von Informationen legt.

Infostealer

Eine der häufigsten Arten von Harvesting-Angriffen ist eine Phishing-E-Mail, die einen Malware-Anhang enthält. Es ist üblich, dass Kriminelle Malware verwenden, die als Infostealer bekannt ist, um Benutzerdaten von einem System zu sammeln. Diese Malware sammelt Benutzernamen und Passwörter von Webbrowsern, E-Mail-Anwendungen und anderer Software. Die meisten sammeln auch andere Daten wie Kreditkarteninformationen und Messaging-Chat-Protokolle. Infostealer sind leicht zu beschaffen, da Angreifer, die keinen eigenen Infostealer zu entwickeln können, ein Abonnement über Malware-as-a-Service (MaaS)-Anbieter kaufen können. 

Die verdächtigen Websites, die wir bereits erwähnt haben, können außerdem alle von Ihnen bereitgestellten Kontoinformationen sammeln und weitergeben. Websites, die Coupons, kostenlose Filme oder große Preise anbieten, sind häufig nur Phishing-Angriffe, die darauf abzielen, die von Ihnen bereitgestellten Informationen zu sammeln. Diese Seiten nutzen auch Schwachstellen auf dem Computer eines Besuchers aus, um ohne Wissen des Benutzers einen Infostealer zu installieren. Der Umfang des Schadens, der hier angerichtet wird, hängt davon ab, ob der Computer vernetzt ist oder vertrauliche Informationen auf dem Laufwerk speichert.

Einige Infostealer werden von einem Kriminellen direkt in das Netzwerk eines Opfers gebracht. Wie bei den meisten Angriffe wird dies in der Regel durch den Fehler einer Person ermöglicht. Falsch konfigurierte, nicht gepatchte oder nicht verwaltete Geräte können Security-Lücken hinterlassen, die Botnets identifizieren und einem Exploit zuordnen können. Bedrohungsakteure nutzen diese Lücken, um die nächste Angriffsphase einzuleiten.

Der GoAnywhere-Vorfall ist ein Beispiel für Harvesting, bei dem das Eindringen in ein System und das Dumping von Zugangsdaten eingesetzt wurden. Die Clop-Ransomware-Bande nutzte einen Zero-Day-Exploit (CVE-2023-0669), um ein RDP-Konto mit Zugriff auf den Managed File Transfer (MFT)-Server von GoAnywhere zu erstellen. Sobald sie Zugriff hatten, nutzten sie einen LKASSE-Zugangsdaten-Dump, um Kontoinformationen zu stehlen und Zugriff auf die Unternehmen zu erhalten, die den Service von GoAnywhere nutzen. Der Angriff hat über 1.000.000 Personen kompromittiert, von denen die Services dieser GoAnywhere-Kunden genutzt werden. IBM hat diesen Angriff hier ausführlich beschrieben.

Credential-Stuffing

Warum sind Kriminelle so sehr daran interessiert, die Zugangsdaten von allen zu horten? Das Fazit ist, dass Zugangsinformationen größere und profitablere Angriffe ermöglichen.

Große Sammlungen von Benutzernamen und Passwörtern macht Zugangsdaten-Stuffing möglich. Diese automatisierten Angriffe verwenden Botnets, um gestohlene Sätze von Zugangsdaten an mehreren Zielen zu testen. OWASP beschreibt Zugangsdaten-Stuffing hier:

Listen mit Authentifizierung-Zugangsdaten, die an anderer Stelle gestohlen wurden, werden mit den Authentifizierungsmechanismen der Anwendung abgeglichen, um festzustellen, ob Benutzer dieselben Zugangsdaten wiederverwendet haben. Die gestohlenen Benutzernamen (häufig E-Mail-Adressen) und Passwortpaare könnten vom Angreifer direkt aus einer anderen Anwendung bezogen, auf einem kriminellen Marktplatz gekauft oder aus öffentlich zugänglichen Dumps von Datenverstößen erhalten worden sein.

Im Gegensatz zum OAT-007 Zugangsdaten- Cracking beinhaltet Zugangsdaten-Stuffing keine Brute-Force-Methoden oder Erraten von Werten. Stattdessen werden Zugangsdaten, die in anderen Anwendungen verwendet werden, auf ihre Gültigkeit getestet.

Durch Angriffe mit Zugangsdaten-Stuffing kann ein Bedrohungsakteur eine einzige gültige Anmeldung finden, die das gesamte Netzwerk für Infostealer und andere Malware öffnen könnte. Und das ist der Grund, warum unsere Freunde, Familienmitglieder und Kollegen so viel Ärger verursachen. Indem sie ihr Unternehmenspasswort bei PayPal oder einer Fast-Food-Kette wiederverwenden, setzen sie uns alle versehentlich einem Risiko aus.

Zugangsdaten-Stuffing ist nicht der einzige automatisierte Angriff, bei dem große Mengen an Zugangsdaten verwendet werden. Unser Blogbeitrag hier erklärt, wie Passwort-Spraying und Brute-Force-Angriffe Wortlisten und Regelsätze verwenden können, um Zugriff auf ein System zu erhalten. Mit diesen automatisierten Tools können sogar veraltete Zugangsdaten für Cyberkriminelle nützlich sein. Für weitere Informationen zur Funktionsweise dieser Angriffe sehen Sie sich bitte die automatisierten OWASP-Bedrohungen an.

Was können Sie tun?

Es ist sehr wichtig, für jedes Konto eindeutige Passwort zu erstellen.  Tun Sie dies so schnell wie möglich und sagen Sie Ihren Freunden, Familienmitgliedern und Kollegen, dass sie dasselbe tun sollen, denn 42 % von ihnen müssen geschult oder daran erinnert werden. Sie können die Passwortsicherheit erhöhen, indem Sie nach Möglichkeit Passphrasen, komplexe Passwörter und Multi-Faktor-Authentifizierung verwenden. Wenn Sie einen Passwort-Manager nutzen und Datenverstöße zu Ihrer Information überwachen, können Sie das eindeutige Passwort, das offengelegt wurde, leicht ändern.

Denken Sie daran, dass nur ein Satz von Zugangsdaten erforderlich ist, um eine enorme Datenverletzung zu ermöglichen. Ein gültiger Satz von Zugangsdaten öffnet nicht nur die Tür zu einem System.  Er öffnet diese Tür leise und im Dunkeln. Ein Angreifer, der sich mit gültigen Zugangsdaten anmeldet, hat meistens mehr Zeit in einem Netzwerk als einer, der die Tür aufbricht. Das ist mehr Zeit, um das Netzwerk zu erkunden, Daten zu finden und zu stehlen, Daten-Backups zu zerstören, das Benutzerverhalten kennenzulernen und weitere Angriffe zu starten, wenn er bereit ist. Administratoren können diese Bedrohung mit Zugangsdatenzugriff-Warnungen reduzieren, die nach lateralen Bewegungen und anderen ungewöhnlichen Verhaltensweisen Ausschau halten.

Websites und Web-Applikationen sollten durch eine Web Application Firewall geschützt werden, die Ihre Anmeldeformulare vor Angriffen auf Zugangsdaten schützt. Application Firewalls schützen Ihre Websites ebenfalls vor Scans, die nach nicht gepatchten Schwachstellen und anderen Security-Lücken suchen.

Barracuda Anwendungsschutz

Barracuda bietet leistungsstarke Anwendungssicherheit, die Ihre Anwendungen und APIs vor DDoS- und fortschrittlichen Bot-Angriffen schützt. Barracuda WAF-as-a-Service kann mit unserem einfachen Bereitstellungsassistenten innerhalb von wenigen Minuten konfiguriert werden. Barracuda Application Protection begegnet automatisierten Angriffen mit einer starken Verteidigung, die Angreifer stoppt, bevor sie Ihre Website erreichen können. Sie können es jetzt direkt in Ihrer Umgebung testen, kostenlos 30 Tage lang.