Exchange-Hack: secion deckt aggressive Ausbreitungslogik in estonine-Schadsoftware auf

Das BSI hat den aktuellen Microsoft Exchange-Hack für Unternehmen als “IT-Bedrohungslage: 4/Rot” eingestuft. Die festgestellten Sicherheitslücken werden aktiv ausgenutzt und ermöglichen einen Vollzugriff auf den betroffenen Exchange-Server.

Clemens Rambow, Offensive Security Consultant von secion, hat Schadcode einer der Angreifergruppen im Deep Dive unter die Lupe genommen. Dabei hat er neue Erkenntnisse hinsichtlich der automatisierten Ausbreitung gewonnen, die in den Medien noch nicht kommuniziert wurden.

So beinhaltet beispielsweise “update.png” folgende Funktionalitäten, die komplett automatisiert eingesetzt werden:

  • Auslesen von Passwörtern und Passworthashes via Mimikatz;
  • Nachladen weiterer PowerShell-Skripte;
  • Netzwerkscans, um weitere Angriffsziele zu ermitteln;
  • Ausbreitung via SMB, Pass-the-Hash und EternalBlue;
  • Mechanismen, um sich dauerhaft auf infizierten Systemen einzunisten.

Genaue Informationen zur Vorgehensweise des Threat Hunter sowie detaillierte Einblicke in die Charakteristik der Schadsoftware finden Sie hier:

Wie die Betrachtung der estonine-Schadsoftware zeigt, reichen Patchen und Bereinigen des betroffenen Exchange-Systems nicht aus. Sobald automatische Ausbreitungsroutinen oder auch manuelle Ausbreitungsaktivitäten ins Spiel kommen, kann unmittelbar davon ausgegangen werden, dass weitere Systeme betroffen sind.

Daher gibt secion im aktuellen Blogbeitrag auch Handlungsempfehlungen für Unternehmen, wie sie die Ausbreitung nachverfolgen und C2-Kommunikation erkennen können.

Gegründet im Jahr 2004, hat sich die secion GmbH als führender Spezialist für IT-Sicherheit in Deutschland etabliert. Das Unternehmen mit Sitz in Hamburg ist als IT-Security Division Teil der international agierenden Unternehmensgruppe Allgeier. Das Leistungsspektrum von secion umfasst die Bereiche Cyber Strategy, Cyber Resilience und Cyber Defense. Mit Penetrationstests, Cyber Security Workshops sowie Lösungen im Bereich Cybererkennung und -abwehr gewährleisten die secion-Consultants die 24/7-IT-Sicherheit für vernetzte Informationsinfrastrukturen – und erreichen damit ein Höchstmaß an Unternehmenssicherheit für ihre Kunden.

Um ihre Erfahrungen mit den deutschen Unternehmen zu teilen, ist die secion GmbH Partner der Allianz für Cyber-Sicherheit, einer Initiative des Bundesamts für Sicherheit in der Informationstechnik (BSI). Weiterführende Informationen unter www.secion.de