Barracuda full logo

Bekannter Trojaner lernt neuen Trick: Er stiehlt Active Directory-Daten

Themen:
8. Apr.. 2025
|
Tony Burgess

Den Trojaner TrickBot gibt es schon länger. Erstmals entdeckt wurde er 2016. Sobald er in ein Zielsystem eingedrungen ist, kann er verschiedene Module nachladen, die es ihm ermöglichen, seine Funktionen auszubauen. Ein Security-Forscher hat kürzlich entdeckt, dass ein neues TrickBot-Modul namens „ADll“ es dem Trojaner ermöglicht, Active Directory-Datenbanken, die auf Windows-Domaincontrollern gespeichert sind, zu finden, darauf zuzugreifen und sie zu exfiltrieren. 

Dies fügt eine heimtückische Fähigkeit mit erhöhten Risiken zu einer bereits hochentwickelten Cyberbedrohung hinzu.

Multifunktionale Malware

TrickBot (auch TrickLoader, Trickster genannt) ist das Produkt einer über zehn Jahre andauernden Bedrohungsentwicklung. Ursprünglich wurde TrickBot entwickelt, um Online-Banking-Daten zu stehlen, mit einer ständig wechselnden Liste von Online-Banking-Websites, die angegriffen werden sollten. .Doch mit seiner Evolution hat seine modulare Natur ihm eine wachsende Liste von Fähigkeiten verliehen, und er wird verwendet, um Opfer in verschiedenen Branchen ins Visier zu nehmen. TrickBot wird häufig zum Einschleusen der Ryuk-Ransomware verwendet, aber das ist bei weitem nicht alles, was er kann.

Wie ein umfassender technischer Bericht der US-Cybersecurity- und Infrastruktur-Sicherheitsbehörde (CISA) feststellt: 

„Die Betreiber von TrickBot verfügen über ein Werkzeugset, das das gesamte MITRE ATT&CK-Framework abdecken kann, von der aktiven oder passiven Informationssammlung, die zur Unterstützung der Zielauswahl verwendet werden kann (Reconnaissance [TA0043]), bis hin zu dem Versuch, Systeme und Daten zu manipulieren, zu unterbrechen oder zu zerstören (Impact [TA0040]).“

Nur einige seiner zahlreichen Funktionen:

  • Diebstahl von E-Mail- und Browser-Daten

  • Diebstahl von Kryptowährungen bei coinbase.com 

  • EternalBlue-Exploit für laterale Bewegung

  • Echtzeit-Konfiguration über einen Command and Control Server (C2) 

  • Deaktivierung von Security-Kontrollen

  • Verschlüsselung von Daten (Ryuk-Malware) 

Minimieren von Risiken im Zusammenhang mit Active Directory-Daten

Die Verwendung des ADll-Moduls zur Identifizierung und Exfiltration und/oder Zerstörung von Active Directory-Daten birgt mehrere spezifische Risiken. 

Erstens gibt es Angreifern dadurch die Möglichkeit, gestohlene Zugangsdaten zu verwenden, um den Zugriff viel schneller auszuweiten und Ziele in Ihrem Netzwerk zu entdecken. Dies bedeutet, dass Sie viel weniger Zeit haben, diese Aktivität zu erkennen und zu blockieren, bevor eine Payload wie Ransomware aktiv wird.

Darüber hinaus ermöglicht es Identitätsmissbrauch, Business Email Compromise, Conversation Hijacking: und andere Arten von Angriffen, die zu kostspieligem Betrug und Datenverlust führen können. 

Falls Active Directory-Daten vernichtet (und möglicherweise auch gestohlen) werden, wäre die Störung der Betriebsfähigkeit Ihres Unternehmens schwerwiegend und kostspielig — und es würde wahrscheinlich Tage oder Wochen dauern, bis sie vollständig behoben ist.

Und schließlich trägt es zu dem bereits wachsenden Untergrundmarkt für gestohlene Netzwerkzugangsdaten und andere Identifikationsdaten bei. Wie ich bereits in diesem Zusammenhang erwähnt habe, sprechen wir manchmal von der „Post-Breach“-Ära, aufgrund der unglaublich großen Anzahl gestohlener Datensätze (einschließlich „Fullz“), die bereits im Umlauf sind und dem Höchstbietenden zur Verfügung stehen. 

Der beste Weg, diese Risiken zu mindern, ist eine mehrschichtige, umfassende Sicherheitslösung, die Folgendes kombiniert:

  • Eine Zero-Trust-Architektur zur Reduzierung des Risikos eines unbefugten Netzwerkzugriffs mit gestohlenen Zugangsdaten. Dies ist deutlich effektiver als die Multifaktor-Authentifizierung (MFA).

  • Fortschrittliches Monitoring des Daten- und Kommunikationsverkehrs innerhalb des Netzwerks, das die Leistungsfähigkeit von maschinellem Lernen und künstlicher Intelligenz nutzt, um Anomalien und potenzielle Bedrohungen zu erkennen.  

  • Moderne, cloud-basierte Backups, die Active Directory-Daten schützt und eine schnelle, zuverlässige Datenwiederherstellung ermöglichen.

Schauen Sie sich Barracuda Email Protection an und erfahren Sie, wie Sie diese und weitere Funktionen auf einer einzigen, integrierten und benutzerfreundlichen Plattform erhalten.

 

Barracuda Email Protection kennenlernen

 

 

Tony Burgess

Der Veteran Tony Burgess ist seit zwanzig Jahren in der IT-Sicherheitsbranche tätig und Senior Copywriter von Barracuda für Content und Customer Marketing. In dieser Funktion beschäftigt er sich mit komplexen technischen Themen und fasst seine Erkenntnisse in verständlicher, nützlicher und von Menschen lesbarer Prosa zusammen.

Hier können Sie sich auf LinkedIn mit Tony vernetzen.

Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.