Die berüchtigte Hackergruppe Pawn Storm (Fancy Bear) hat eine ausgeklügelte Methode zur Kompromittierung von EdgeOS-Routern entwickelt, um eine Vielzahl von Cyberangriffen durchzuführen, einschließlich Spear-Phishing und dem Ausnutzen kritischer Sicherheitslücken. Die Angriffe beinhalten das Senden von Spear-Phishing-E-Mails, Callbacks für Exploits in Outlook durch die Schwachstelle CVE-2023-23397 und das Stehlen von Anmeldedaten auf Phishing-Websites. Anschliessend nutzen die Threat Actors kompromittierte Edge Router wie die Ubiquiti Router, bei denen kürzlich Schwachstellen bekannt wurden, als Command & Control C&C Steuereinheiten und NTLM Listener für den Abgriff von NTLM Hashes. Durch die oben genannte Outlook Schwachstelle können die Hacker dann bösartige Kalender Einladungen verschicken, die eine NTLMv2 Hash Relay Attacke auslösen.
Die Analyse der kompromittierten EdgeOS-Router hat ergeben, dass diese mit verschiedenen Arten von Schadsoftware infiziert wurden. Dazu zählen Python-basierte Webserver-Schnittstellen wie Waitress und Werkzeug, die auf den Geräten aktiv sind. Zudem ist auf den Routern ein Server Message Block (SMB) Server auf Port 445 eingerichtet, der gezielt zur Ausnutzung der Schwachstelle CVE-2023-23397 dient. Weiterhin ist das Vorhandensein eines offenen SOCKS5-Proxys auf Port 56981 und zusätzlicher Secure Shell (SSH) Server auf nicht-standardisierten, hohen TCP-Ports wie 2222, 58749 und 59417 bemerkenswert. Diese Konfigurationen ermöglichen nicht nur diverse Angriffsarten, sondern bieten den Angreifern auch Möglichkeiten zur Verschleierung ihrer wahren Identität und Standorte.
Es ist derzeit nicht bekannt, ob Pawn Storm selbst diese EdgeOS-Router kompromittiert hat oder ob bereits zuvor kompromittierte Router von einer anderen Partei für die Angriffe verwendet wurden. Dennoch wurden Gemeinsamkeiten bei über hundert EdgeOS-Routern festgestellt, die auf eine Kompromittierung hinweisen. Ein Bericht der NSA weist darauf hin, dass sich die schwachen Initialen Anmeldedaten der Linux basierten Ubiquiti Routern evtl. durch Brute Force Attacken erraten lassen, wenn diese nicht geändert werden. Da diese Router nicht von alleine Updates machen, können die Angreifer anschliessend Schwachstellen wie CVE-2024-27981 ausnutzen, um Ihre Rechte zu erweitern und Root Zugang auf dem System zu erlangen, was für den Betrieb der Werkzeug und Waitress C2 Infrastruktur hilfreich ist.
Mehrere dieser Router wurden auch zur Verbreitung von Spam-Mails, die pharmazeutische Produkte und Dating-Services bewerben, sowie für SSH-Brute-Force-Angriffe und andere Arten von Missbrauch eingesetzt. Eine kleinere Untergruppe dieser Router wurde gleichzeitig für kriminelle Cyberaktivitäten und von Pawn Storm verwendet. Beispielsweise wurde die IP-Adresse 202.175.177[.]238, die regelmäßig für pharmazeutischen Spam genutzt wurde, im März 2023 mit einem Werkzeug-Implantat auf Port 8080 identifiziert, das für das Stehlen von Anmeldedaten durch Pawn Storm genutzt wurde.
Maßnahmen zur Abwehr von NTLM-Relay-Angriffen
Obwohl es für die meisten Organisationen nicht möglich ist, NTLM (NT LAN Manager) vollständig zu deaktivieren, da andere Technologien in ihren Umgebungen davon abhängig sind, gibt es effektive Strategien, um das Risiko von NTLM-Relay-Angriffen zu minimieren. Eine vollständige Beseitigung des Risikos ist zwar nicht möglich, doch können folgende Maßnahmen dazu beitragen, die Sicherheit signifikant zu erhöhen:
- Erzwingen der SMB-Signierung: Durch das Aktivieren der SMB-Signierung auf allen Servern und Clients kann verhindert werden, dass unbefugte Akteure manipulierte SMB-Sitzungen etablieren. Dies ist besonders wichtig, da SMB (Server Message Block) häufig als Angriffsvektor bei NTLM-Relay-Angriffen genutzt wird.
- Deaktivierung der NTLM-Authentifizierung an HTTP-Endpunkten: Um sich gegen Angriffe zu schützen, die spezifisch den ESC8-Schwachpunkt ausnutzen, sollte die NTLM-Authentifizierung für HTTP-basierte Dienste deaktiviert werden.
- Deaktivierung von LLMNR/NBT-NS und IPv6: LLMNR (Link-Local Multicast Name Resolution) und NBT-NS (NetBIOS Name Service) sind Protokolle, die leicht von Angreifern für Spoofing-Angriffe missbraucht werden können. Durch deren Deaktivierung wird verhindert, dass Angreifer diese Techniken für die Namenauflösung im Netzwerk ausnutzen können. Zusätzlich sollte IPv6 deaktiviert werden, wenn es nicht aktiv benötigt wird, um das Risiko weiter zu reduzieren.
- Aktivierung des erweiterten Schutzes für die Authentifizierung (EPA): Wenn Active Directory-Zertifikatsdienste (AD CS) mit der Zertifikatsautorität-Webregistrierung und/oder dem Zertifikatsregistrierung-Webdienst verwendet werden, muss EPA unbedingt erforderlich gemacht werden. Dieser Schutzmechanismus hilft, die Authentifizierungsprozesse zu sichern und die Sicherheit gegenüber verschiedensten Angriffsvektoren zu erhöhen.
- EPA und SMB-Signierung für Dienste, die NTLM erlauben: Für Dienste, die nach wie vor NTLM-Authentifizierung zulassen, sollte sichergestellt werden, dass sowohl EPA aktiviert ist als auch die SMB-Signierung erforderlich gemacht wird. Dies stellt eine zusätzliche Sicherheitsebene dar und schützt vor dem Ausnutzen der NTLM-Authentifizierung durch nicht autorisierte Zugriffe.
Durch die Implementierung dieser Maßnahmen können Organisationen das Risiko von NTLM-Relay-Angriffen erheblich reduzieren und ihre Netzwerke effektiver vor externen Bedrohungen schützen.
Maßnahmen um Edge Router vor Hackerangriffen zu schützen
Um Ihren Edge-Router effektiv zu sichern und mögliche Sicherheitsrisiken zu minimieren, sollten Sie folgende erweiterte Maßnahmen ergreifen:
- Hardware-Factory-Reset durchführen: Beginnen Sie mit einem kompletten Reset Ihres Routers auf die Werkseinstellungen. Dies entfernt potenziell schädliche Konfigurationen und zurückgebliebene Einstellungen, die von früheren Benutzern oder durch vorangegangene Angriffe eingeführt wurden.
- Aktualisierung auf die neueste Firmware-Version: Überprüfen Sie regelmäßig auf Updates für die Firmware Ihres Routers und installieren Sie diese umgehend. Router-Hersteller veröffentlichen regelmäßig Firmware-Updates, um bekannte Sicherheitslücken zu schließen und die Gerätefunktionalität zu verbessern. Diese Aktualisierungen sind entscheidend, um Schutz vor neuen Bedrohungen zu gewährleisten.
- Ändern von Standard-Benutzernamen und -Passwörtern: Eine der einfachsten und effektivsten Maßnahmen zur Erhöhung der Sicherheit Ihres Routers ist das Ändern der voreingestellten Anmeldedaten. Standard-Benutzernamen und -Passwörter sind oft öffentlich bekannt und bieten Angreifern eine einfache Möglichkeit, Zugang zu erhalten. Erstellen Sie starke, einzigartige Passwörter und ändern Sie die Standard-Benutzernamen, um unbefugten Zugriff zu erschweren.
- Strategische Firewall-Regeln auf den WAN-Seiten-Schnittstellen implementieren: Konfigurieren Sie die Firewall Ihres Routers so, dass nur notwendiger Datenverkehr durchgelassen wird. Blockieren Sie alle unnötigen Ports und stellen Sie sicher, dass nur vertrauenswürdige IP-Adressen Zugriff auf Ihr Netzwerk haben. Diese Maßnahmen verhindern unautorisierte Zugriffe und Datenlecks.
- Verwendung von VPNs für sichere Fernzugriffe: Wenn Sie von außerhalb auf Ihr Netzwerk zugreifen müssen, verwenden Sie VPN-Lösungen (Virtual Private Networks), um eine sichere und verschlüsselte Verbindung herzustellen. Dies schützt Ihre Daten vor Mitlauschen und Interferenzen durch Dritte.
- Regelmäßige Überwachung und Protokollierung: Aktivieren Sie Logging-Funktionen auf Ihrem Router, um alle Zugriffe und Aktivitäten zu protokollieren. Regelmäßige Überprüfungen dieser Protokolle können Ihnen helfen, verdächtige Aktivitäten frühzeitig zu erkennen und entsprechend darauf zu reagieren.
- Netzwerksegmentierung: Teilen Sie Ihr Netzwerk in Segmente auf, um die Ausbreitung von Infektionen zu begrenzen, falls ein Teil Ihres Netzwerks kompromittiert wird. Dies kann durch die Verwendung von VLANs (Virtual Local Area Networks) erreicht werden.
Durch die Umsetzung dieser erweiterten Sicherheitsmaßnahmen können Sie die Sicherheit Ihres Edge-Routers erheblich verbessern und Ihr Netzwerk vor einer Vielzahl von Bedrohungen schützen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: