Haftungsausschluss: Dieser Beitrag dient ausschließlich Bildungs- und Informationszwecken. Die hier gezeigten Informationen und Angriffe dürfen niemals für illegale Zwecke oder auf Systemen, für die keine explizite Erlaubnis eingeräumt wurde, verwendet werden. Solche Handlungen können gegen geltende Gesetze verstoßen und schwerwiegende rechtliche Konsequenzen nach sich ziehen.

Zusammenfassung

In diesem SecCore Essential geht es um die Erstellung, Speicherung und Handhabung von sensiblen Backups. Es wird als implementiert betrachtet, wenn die folgenden Maßnahmen ergriffen wurden:

  • Backups werden zumindest zu einem externen Standort repliziert
  • Wichtige Dateifreigaben werden regelmäßig gesichert oder es werden Snapshots erstellt (mindestens einmal täglich).
  • Backup-Server sind von der Produktivumgebung getrennt:
    • Nicht mit der Active Directory-Domäne verbunden und verwaltet
    • Mittels Netzwerksegmentierung abgeschottet
    • Nicht auf einem VM-Hypervisor, der auch für produktive VMs verwendet wird
  • Unterschiedliche administrative Accounts werden zur Verwaltung der Backups verwendet
  • Regelmäßige Restore-Tests werden zur Prüfung der Integrität der Daten durchgeführt

Einleitung

Backups und Snapshots sind wichtige Mechanismen für die Notfallwiederherstellung. Schadsoftware, Stromausfälle oder Softwarefehler können dazu führen, dass Daten gelöscht werden oder nicht mehr abrufbar sind. Eine robuste Backup- und Wiederherstellungsstrategie hilft dabei, die Folgen eines solchen Vorfalls abzuschwächen. Eine gute Regel für Backups ist die 3-2-1 Strategie:

  • Drei Kopien der Daten
  • Zwei verschiedene Arten von Speichermedien
  • Eine Sicherung, die sich außerhalb des Standorts befindet (oder in der Cloud)

Bei der Umsetzung einer Backup-Strategie müssen jedoch noch weitere Punkte berücksichtigt werden. Beispielsweise sollte selbst im Falle eines erfolgreichen Angriffs auf das Unternehmen niemals Zugriff auf Backup-Daten möglich sein.

Häufige Angriffsvektoren

Dieser Abschnitt beschreibt häufige Angriffsvektoren auf Backups und Backup-Infrastruktur.

Ransomware

Ransomware bezeichnet eine Art von Malware, die in erster Linie dazu dient, Daten zu verschlüsseln und Geld zu erpressen. Der Schlüssel zur Wiederherstellung der Daten wird dabei nur gegen einen hohen Preis verkauft. Je mehr Daten verschlüsselt und nicht wiederherstellbar sind, desto höher ist die Wahrscheinlichkeit, dass das betroffene Unternehmen das Lösegeld zahlt. Die einzige wirksame Methode, um mit einem bereits eingetretenen Ransomware-Vorfall umzugehen, besteht darin, Backups zur Verfügung zu haben. Dies funktioniert jedoch nur, wenn nicht bereits die Backup-Infrastruktur kompromittiert und dort Dateien gelöscht wurden.

Backup Kompromittierung

Da Backups die letzte Verteidigung gegen Ransomware-Angriffe darstellen, sind sie ein besonders häufiges Ziel in solchen Angriffen. Backups enthalten auch meist sensible Informationen, die für Lateral Movement oder Exploits verwendet werden können (zum Beispiel Passwörter, Maschinenkonto-Hashes etc.). Dies macht sie auch noch vor der finalen Verschlüsselung interessant für einen Angriff. In diesem Zusammenhang bedeutet Kompromittierung in der Regel die Änderung von Backup-Richtlinien. Dazu gehören das unbemerkte Löschen alter Backups, die Deaktivierung der Backup-Erstellung und die Beschädigung bestehender Daten.

Daher ist die Trennung der Backup-Infrastruktur von der Produktivumgebung enorm wichtig, um die Sicherheit während eines Angriffs zu gewährleisten. Das bedeutet konkret, dass alle Backup-Server strikt von der produktiven Active Directory Domäne abgekoppelt sein müssen. Sie sind daher auch nicht im Active Directory Tiering Modell enthalten. Zusätzlich muss mithilfe von Netzwerksegmentierung sichergestellt werden, dass kein Zugriff auf die Backup-Server aus Office- und Server-VLANs heraus möglich ist. Außerdem müssen zur Administration unterschiedliche Accounts mit eindeutigen Passwörtern verwendet werden.

Angriffsszenario

In diesem Abschnitt wird dargestellt, welche Folgen es haben kann, wenn die Backup-Infrastruktur nicht ordnungsgemäß gesichert ist. Das Angriffsszenario ist wie folgt aufgebaut:

  • Eine Netzwerksegmentierung ist nicht implementiert
  • Es wurde bereits ein Domain-Administrator Account kompromittiert
  • Es wurde keine Rücksicht auf OPSEC genommen, der direkteste Ansatz wurde gewählt

Nachdem bereits ein hoch privilegierter Account kompromittiert wurde, können sämtliche Accounts und Computer in der Domäne einfach ausgelesen werden. Zunächst wird nach Systemen gesucht, die mit hoher Wahrscheinlichkeit für Backups verwendet werden. Hier sticht der Account backupUser@lab.local besonders ins Auge: Backup Account Zusätzlich kann ein System mit dem Namen openmediavault.lab.local als Domänen-Computer gefunden werden: Backup Server OpenMediaVault ist ein beliebtes Open-Source NAS-System, das häufig für Backups verwendet wird. Bei der Auflistung der Dateifreigaben auf diesem Computer kann eine BackupShare Freigabe ausgelesen werden: Backup Share Da vermutlich nur der dazugehörige Backup-Account backupUser@lab.local Zugriff auf diesen Share hat, muss zunächst das Passwort dieses Accounts geändert werden, um diesen zur Anmeldung zu verwenden. Dies kann einfach mit PowerShell durchgeführt werden: Password Reset Nachdem das Passwort geändert wurde, kann auf die Backup-Freigabe zugegriffen und alle Dateien darauf gelöscht werden. Im Anschluss wird jedes System mit Ransomware verschlüsselt. Backup Files

Gegenmaßnahmen

Wurden die in der Zusammenfassung beschriebenen Sicherheitsmaßnahmen implementiert, wäre dieser Angriff auf mehrere Arten nicht möglich gewesen:

  • Der Backup-Server hätte nicht so einfach gefunden werden können, da dieser sich nicht in der Domäne befindet.
  • Selbst wenn der Backup-Server gefunden worden wäre, wäre der Zugriff auf die Backup-Freigaben durch Netzwerksegmentierung und ACLs nicht möglich gewesen.
  • Der Backup-Administrator Account hätte nicht durch das Zurücksetzen eines Passworts kompromittiert werden können, da es sich dabei um einen separaten und keinen Domänen-Account gehandelt hätte.
  • Backup-Dateien hätten nicht einfach gelöscht werden können, da Aufbewahrungsrichtlinien korrekt implementiert worden wären.
  • Eine vollständige Verschlüsselung des Unternehmens hätte nicht effektiv durchgeführt werden können, da weiterhin Backups zur Wiederherstellung verfügbar gewesen wären.