newsletter
contact us
LinkedIn

Wir sind für Sie da!

Kontaktieren Sie uns.

salutation
Wir werden uns so schnell wie möglich bei Ihnen melden.

Exeon Analytics AG

Grubenstrasse 12
CH-8045 Zürich
Schweiz

Telefon: +41 44 500 77 21

Wie ExeonTrace helfen kann, den Microsoft
Exchange-Hack zu entdecken

Mehr als hunderttausend Microsoft Exchange Server sind weltweit gehackt worden, wobei die DACH-Region besonders stark betroffen zu sein scheint. Dieser Artikel erklärt, wie ExeonTrace helfen kann, kompromittierte Server durch automatisierte und manuelle Netzwerkanalysen zu erkennen.

Ein Überblick über den Microsoft Exchange-Hack

Microsoft meldete in den letzten Tagen einen massiven Angriff auf die Exchange Server. Angreifern ist es gelungen, über vier Sicherheitslücken in die Microsoft Exchange Server Versionen 2013 bis 2019 einzudringen. Obwohl das ganze Ausmass des Angriffs noch nicht bekannt ist, dürfte er Hunderttausende von Organisationen weltweit betreffen. Damit handelt es sich um einen der bisher weitreichendsten Hackerangriffe. Laut den IT-Sicherheitsexperten von Kaspersky gehören Deutschland und die Schweiz dabei zu den am stärksten betroffenen Ländern. 

Den Hackern ist es gelungen, in die betroffenen Systeme einzudringen und sogenannte Web-Shells zu installieren. Über diese können sie auch nach den Sicherheitspatches auf die Exchange-Server und Mails zugreifen. Gefährlich ist, dass die Angreifer die Web-Shells nutzen können, um weitere Malware-Tools wie PowerShell-Skripte, Mimikatz oder Cobalt Strike im Firmennetzwerk zu verteilen. Dadurch sind die Opfer der Gefahr ausgesetzt, dass sich die Angreifer im gesamten Netzwerk ausbreiten, Daten kompromittieren, stehlen und gegen Lösegeld verschlüsseln (Ransomware-Angriff). 

Das Ausmass des Angriffs ist beispiellos. Renommierte IT Security Medien berichten, dass selbst wenn am Tag der Ankündigung gepatcht wurde, die Web-Shells mit hoher Wahrscheinlichkeit auf Servern installiert wurde. Diejenigen, die noch nicht gepatcht haben, sind mit noch höherer Wahrscheinlichkeit vom Angriff betroffen. 

Angesichts dieser kritischen Situation hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) eine Notfallverordnung erlassen: Alle zivilen und von der Regierung betriebenen Microsoft Exchange-Server sollten sofort aktualisiert oder, falls erforderlich, von den Systemen getrennt werden. 

Wie ExeonTrace helfen kann, kompromittierte Server zu erkennen

Obwohl die Angreifer sehr raffiniert vorgingen, kann ExeonTrace helfen, den Hack zu erkennen. Die Erkennung basiert auf zwei Funktionalitäten von ExeonTrace:

Automatisierte Analyse des Netzwerkverkehrs

ExeonTrace verfügt über mehrere Modelle zur Erkennung von unregelmässigen Datenflüssen und Mustern, die auftreten, wenn Angreifer versuchen, sich innerhalb eines Netzwerks auszubreiten (Internal Reconnaissance, Lateral Movement und Data Exfiltration). Wir empfehlen, die von ExeonTrace ausgelösten Alarme für On-Premise Microsoft Exchange Server mit höchster Priorität zu behandeln. Typische Anomalien sind:

  • Vertical scanning (flow)
  • Horizontal scanning (flow)
  • New internal services and new incoming
    connections (flow)
  • Outgoing connections to new port/server/
    service (flow)
  • Bytes to external endpoint (flow)
  • Command and control (proxy)
  • DNS volume (proxy & DNS)
  • Domain Generation Algorithm (proxy & DNS)

Je nach Anwendungen, die auf den Exchange-Servern laufen, können einige dieser Kommunikationsmuster für die automatische Erkennung unbemerkt bleiben. Daher empfehlen wir dringend, zusätzlich zur automatischen Erkennung eine manuelle Analyse durch ExeonTrace durchzuführen.

Untersuchung der Kommunikationsmuster von Microsoft Exchange-Servern

Die Flussvisualisierung "Client server pairs" ist für diese Untersuchung besonders leistungsfähig. Dort kann nach den Exchange-Servern gefiltert werden, indem deren IPs in die Suchleiste oben auf der Seite eingegeben werden. Wir empfehlen, die drei Verbindungsmatrix-Visualisierungen (interner Verkehr/ausgehender Verkehr/eingehender Verkehr) hinsichtlich der folgenden Aspekte zu überprüfen:

  • Client server pairs - Internal:
    • Gib es Anzeichen für Seitwärtsbewegungen? Kommuniziert der Server beispielsweise mit anderen internen Geräten neu über SSH (port 22/TCP), RPC (port 135/TCP), SMB (port 445/TCP), WinRm (port 5985/TCP and 5986/TCP), können dies solche Anzeichen sein. 
    • Gibt es eine erhöhte Kerberos- (port 88) or LDAP-Aktivität?
  • Client server pairs – Ausgehend: 
    • Baut der Server als Client Verbindungen auf, die nicht erklärbar sind?  
  • Client server pairs – Eingehend: 
    • Gibt es Verbindungen mit grossen Mengen an abfliessenden Daten? 
    • Gibt es Verbindungen von Clients aus unerwarteten geografischen Regionen? 
    • Gibt es Verbindungen über Fernsteuerungs-/Administrationswerkzeuge? 
      Zum Beispiel Remote Desktop Protocol (RDP) auf port 3389. 

Zusammenfassend lässt sich sagen: Sofern es nicht bereits vor dem Angriff Anwendungen auf dem Exchange-Server gab, die ähnliche Datenströme erzeugt haben, erkennt ExeonTrace die Anomalien mit hoher Wahrscheinlichkeit automatisch. Die zusätzliche manuelle Analyse des Exchange-Servers durch die Flussvisualisierung von ExeonTrace gibt Ihnen die zusätzliche Sicherheit.