Fachbeiträge
Neuigkeiten zu IT-Themen und Comp4U
Pacific Rim Tech-DeepDive: Cyber-Taktiken und technische Verteidigungsstrategien im Fokus
Eingesetzte Techniken: T1046 (Network Service Discovery), T1554 (Compromise Host Software Binary)
Chronologie der wichtigsten Angriffe und technisches Verständnis
- Cyberoam-Intrusion (2018):
Der erste Angriff im Pacific Rim-Projekt begann mit einem einfachen Displaycomputer, der Netzwerk-Scans durchführte. Ein SSH-Schlüssel auf diesem Gerät entpuppte sich als Schlüsselkomponente, die Sophos' X-Ops-Analysten half, einen komplexen Angriffsweg zu rekonstruieren. Die Angreifer nutzten diese und andere Techniken, um mit einem neuen SSH-Daemon Zugang zu verschaffen und persistente Malware zu platzieren, die eine kontinuierliche Überwachung ermöglichte. - CVE-2020-12271 – Der Asnarök-Angriff: https://nvd.nist.gov/vuln/detail/cve-2020-12271
Im April 2020 wurde eine SQL-Injection-Schwachstelle in Perimetergeräten entdeckt und umgehend ausgenutzt, um das Asnarök-Trojanische Pferd zu installieren. Der Asnarök-Angriff zeigte die akribische Planung der Angreifer: Die SQL-Injection ermöglichte Root-Zugriff und die Installation des Trojaners, der gezielt Hotfix-Prozesse sabotierte und die automatische Sicherheitsaktualisierung blockierte. Die Möglichkeit, eine solche Attacke unbemerkt auszuführen und die Abwehrmechanismen zu umgehen, zeigt die Komplexität des Angriffs.
Eingesetzte Techniken: T1190 (Exploit Public-Facing Application), T1203 (Exploitation for Client Execution) - CVE-2020-15069 – Pufferüberlauf im Bookmark-Feature: https://nvd.nist.gov/vuln/detail/cve-2020-15069
Nur zwei Monate nach dem Asnarök-Vorfall wurde eine weitere Schwachstelle im Bookmark-Feature entdeckt und von den Angreifern gezielt genutzt. Diese Sicherheitslücke erlaubte das Einschleusen einer Web-Shell und eine langfristige Persistenz im Netzwerk. Die Struktur der Angriffe wies eine hohe Agilität auf: Statt zentralisierter Command-and-Control-Server verwendeten die Angreifer eine gehärtete Web-Shell, die Befehle empfing und dabei Spuren verwischte.
Eingesetzte Techniken: T1059.004 (Unix Shell) - CVE-2022-1040 („Personal Panda“) und CVE-2022-3236 (Covert Channels): https://nvd.nist.gov/vuln/detail/cve-2022-1040, https://nvd.nist.gov/vuln/detail/cve-2022-3236
Mit diesen beiden Schwachstellen nutzten die Angreifer fortgeschrittene Techniken wie verschleierte Java-basierte Backdoors, um einen dauerhaften und verborgenen Zugriff zu gewährleisten. So wurde beispielsweise durch die Backdoor libsophos.so die SSHD in das System integriert, sodass eine Sockes-Proxy-Verbindung hergestellt werden konnte. Die zunehmende Raffinesse in diesen Angriffen zeigt, wie komplex und vielseitig sich die eingesetzten Methoden der Angreifer entwickeln konnten, um die Abwehrmaßnahmen immer wieder zu umgehen.
Eingesetzte Techniken: T1078 (Valid Accounts), T1003.006 (OS Credential Dumping: DCSync) - Rootkits und Bootkits – Fortschrittliche Tarnmechanismen:
Ein Markenzeichen der Angriffe im Rahmen von Pacific Rim war die systematische Nutzung von Rootkits, um den C2-Datenverkehr zu verschleiern und eine Langzeit-Persistenz zu erzielen. Besonders herausragend war das kernelbasierte Rootkit „Cloud Snooper“, das für gezielte Angriffe ausgelegt war. Die Angreifer setzen zudem maßgeschneiderte Rootkits und Bootkits ein, die spezifisch für die manipulierten Geräte erstellt wurden.
Eingesetzte Techniken: T1014 (Rootkit)
Verteidigungsstrategie von Sophos – Aggressiver Schutz durch fortschrittliche Abwehrmaßnahmen
Sophos begegnete der Bedrohung mit einem proaktiven Ansatz, der die kontinuierliche Anpassung und Verbesserung der Telemetrie, die schnelle Bereitstellung von Hotfixes und die Übernahme der Command-and-Control-Domains der Angreifer beinhaltete. Diese Maßnahmen unterbrachen den Datenfluss zwischen Angreifern und betroffenen Geräten und verschafften Sophos wertvolle Einblicke in die Angriffsmuster und -techniken.
Der „Asnarök-Hotfix“ war ein wegweisender Schritt, der sofortige Abhilfe gegen die kompromittierte CVE-2020-12271-Schwachstelle bot und gleichzeitig die Telemetrie verbesserte. Diese reaktive Taktik ermöglichte es Sophos, die Aktivitäten der Angreifer weiter zu überwachen, während parallel Maßnahmen entwickelt wurden, um die betroffenen Geräte umfassend zu schützen. Die Verteidigungsstrategie umfasste auch die Weiterentwicklung der XDR-Funktionalität, die nun eine übergreifende Abwehr gegen multivektorielle Angriffe ermöglicht.
Lessons Learned – Die Bedeutung eines robusten Sicherheitsansatzes
Die Untersuchung von Pacific Rim zeigt die Dringlichkeit, dass Unternehmen ihre IT-Sicherheit als mehrschichtige Struktur betrachten müssen. Von der kontinuierlichen Überwachung über die Kontrolle und Verwaltung aller Systeme hinweg bis zur gezielten Verteidigung und Anpassung an neue Bedrohungslagen – das Konzept „Pacific Rim“ zeigt, wie wichtig es ist, jeden Endpunkt, unabhängig vom Standort, umfassend zu schützen und alle Geräte proaktiv zu überwachen.
Mit den Verteidigungsstrategien von Sophos und dem durchgehend einsatzbereiten X-Ops-Team wurde das Netzwerk erfolgreich von den Angreifern isoliert, dokumentiert und abgesichert. Der gesamte Prozess zeigt, dass Sophos auch in höchstkomplexen Bedrohungslagen zuverlässig und mit innovativer Technik reagiert, was das Vertrauen in die Lösungen des Unternehmens nachhaltig stärkt.
Call-to-Action und Kontaktmöglichkeiten
Erfahren Sie mehr über diese umfangreiche Bedrohungsabwehrstrategie und wie auch Ihr Netzwerk von einem präventiven Sicherheitsansatz profitieren kann. Schützen Sie sich vor komplexen Angriffen wie Pacific Rim und erfahren Sie, wie Sie Schwachstellen proaktiv erkennen und abwehren können.
Lassen Sie sich von uns beraten und sichern Sie Ihr Unternehmen umfassend: Sophos Pacific Rim-Seite | Kontaktieren Sie uns unter 06103 9707-500.
