Aufgespürt Fabian Murer, Gregor Wegberg - AD-Sicherheit: Angriffsspuren analysieren - OneConsult
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Praxis | IT-FORENSIK
men, die eine proaktive und fortlaufende
Suche nach Angriffen anstreben, werden
solche und andere Angriffsmuster mit Such-
abfragen beschreiben und als Alarm im
SIEM einrichten. Findet das SIEM wäh-
rend der Verarbeitung von Protokolldaten
eine Übereinstimmung, löst es Alarm aus.
Wenn Unternehmen ein SIEM neu ein-
führen, stellen sie schnell fest, dass sie das
Rad immer wieder neu erfinden: Die meis-
ten Organisationen betreiben ähnliche IT-
Systeme und die Angreifer setzen immer
wieder die gleichen Angriffstechniken er-
folgreich ein. Jedes Unternehmen betreibt
einen zentralen Authentisierungsdienst,
beispielsweise ein Active Directory. Dieser
wird früher oder später einem Angriff auf
die Benutzerpasswörter ausgesetzt sein,
da schwache Passwörter nach wie vor weit
verbreitet sind. (Wie man sie vermeidet,
beschreibt der Artikel „Schwierige Wahl“
ab Seite 116.)
AD-Sicherheit: Angriffsspuren analysieren
Ressourcen sparen durch
Aufgespürt
Wissensaustausch
Angriffstechniken wie Brute Force oder
Password Spraying erzielen daher immer
noch ihre Erfolge. Das MITRE ATT&CK-
Fabian Murer, Gregor Wegberg Framework listet die gängigsten auf (siehe
ix.de/zybc). Organisationen könnten ihre
Ressourcen besser einsetzen, wenn solche
Das Windows-Ereignisprotokoll spielt eine zentrale Rolle beim Suchabfragen nach speziellen Angriffen
einfach zu tauschen und universell einsetz-
Detektieren und Analysieren von Angriffen. Wie das Aufspüren bar wären. Ein öffentlicher Grundstock an
typischer Angriffsmuster in Logs mithilfe frei verfügbarer Regeln Abfragen, der häufige Angriffsmuster für
geht, zeigt dieser Artikel am Beispiel einer Windows-Domäne. oft eingesetzte IT-Systeme bereitstellt,
wäre eine weitere Effizienzsteigerung. Die
durch das Vermeiden doppelter Arbeit frei-
gewordenen Ressourcen lassen sich für die
F
ür das Erkennen von Angriffen ist der meldeversuchen mit unterschiedlichen Entwicklung neuer oder unternehmens-
sicherheitsrelevante Teil des Windows- Nutzerkonten sein, die alle vom selben Ge- spezifischer Suchabfragen investieren und
Ereignisprotokolls, das Windows- rät stammen. Das weist auf ein potenziell damit lässt sich das Sicherheitsniveau wei-
Sicherheitsereignisprotokoll der Windows infiziertes Gerät hin, das dazu genutzt wird, ter ausbauen.
Domain Controller (DC), eine reichhaltige sich unerlaubten Zugang zu Nutzerkonten Diesen Wissensaustausch behindern
Informationsquelle. In ihm hält jeder Do- zu verschaffen, zum Beispiel mit einem die produktspezifischen Abfragesprachen.
mänencontroller unter anderem erfolgrei- Password-Spraying-Angriff [2]. Unterneh- Eine Suchabfrage in einem SIEM-Produkt
che und fehlgeschlagene Anmeldeversu-
che fest. Große Unternehmen leiten solche
Protokollereignisse an ein SIEM-System 1-TRACT
(Security Information and Event Manage-
⚫ Um Angriffe zu entdecken und nachzuvollziehen, durchsuchen Sicherheitsexper-
ment) weiter [1]. Es sammelt sicherheits-
ten zahlreiche Logs, darunter die Windows-Ereignisprotokolle. Hilfreich sind da-
relevante Protokolle zentral, schützt sie vor
bei Sigma und Chainsaw.
unautorisierten Änderungen und erlaubt
die effiziente Suche in den Ereignissen so- ⚫ Sigma ist ein generisches Format zur Beschreibung von Angriffen, die in Proto-
wie deren Auswertung. Mit gezielten Ab- kollen entdeckt werden können. Zahlreiche frei verfügbare Sigma-Regeln der
fragen wird in den gesammelten Daten Open-Source-Community können in Suchabfragen für unterschiedliche SIEM
nach unerwünschtem Verhalten gesucht. konvertiert werden.
Diese Suchabfragen sind vergleichbar
⚫ Mit dem freien Werkzeug Chainsaw oder einem SIEM können Sigma-Regeln zum
mit einem SQL SELECT für die Abfrage
Aufspüren typischer und bekannter Angriffsmuster direkt in Windows-Ereignis-
von Daten aus einer relationalen Daten-
protokollen genutzt werden.
bank. Eine solche Abfrage kann beispiels-
weise die Suche nach erfolglosen An
124 iX 1/2022
Einbrüche erkennen mithilfe von Microsoft-Werkzeugen
Microsofts Advanced Threat Analytics (ATA; siehe ix.de/zybc) kann in Tracing for Windows ein. Defender wertet die Daten jedoch nicht lo-
Active-Directory-Umgebungen unmittelbare Angriffe auf Konten und kal aus, sondern leitet sie in die Azure-Cloud weiter. Durch die Azure-
darüber hinaus verdächtige Aktivitäten erkennen. Dazu wird in der Re- Anbindung ist die Verzahnung mit anderen Cloud-Diensten wie Micro
gel auf Domänencontrollern ein Agent eingerichtet, der Daten an das soft 365 Defender größer und das Entwicklungstempo höher: MDI
ATA Center weiterleitet, das auf einem Windows-Server installiert wird. erkennt mehr verdächtiges Verhalten als ATA und neu bekannt gewor-
Sofort nach Inbetriebnahme erkennt ATA eindeutige Attacken wie dene Schwachstellen, beispielsweise AS-REP Roasting [1] oder Petit-
Golden Ticket [5] oder DCSync – und nach einer dreiwöchigen Lern- Potam [6].
phase zudem Aktivitäten, die für die überwachte Umgebung ungewöhn-
lich sind. Seit Januar 2021 wird ATA nicht mehr weiterentwickelt, kann aber von
Kunden, die nicht in die Cloud wollen, noch eingerichtet werden. Sup-
Beim jüngeren Produkt Microsoft Defender for Identity (MDI, siehe port und Sicherheitsupdates bietet Microsoft bis Januar 2026. Installa-
ix.de/zybc), zuvor Azure Advanced Threat Protection (Azure ATP), wer- tionen von ATA können nach Defender for Identity migriert werden (siehe
den ebenfalls leichtgewichtige Agenten auf jedem Domänencontroller ix.de/zybc). ATA wie auch Defender erfordern in der Regel eine teure
im AD installiert, zusätzlich bindet es weitere Datenquellen wie Event E5-Lizenz, Defender kann auch einzeln lizenziert werden.
ist nicht ohne Weiteres in einem anderen Inhalten in Logs zu beschreiben. Ist sie de- Security-Analysten eine einfache und
zu verwenden. So werden immer wieder finiert, lassen sich Muster tauschen und strukturierte Form für die Definition ei-
die gleichen oder ähnliche Angriffsmuster ein Grundstock aufbauen. Hier kommt das nes Erkennungsmusters für Protokolle be-
in SIEM-Abfragen gegossen. Zwar steu- Sigma-Projekt ins Spiel (siehe ix.de/zybc). reitzustellen, die geteilt und auf verschie-
ern die SIEM-Hersteller und Drittanbie- Das Sigma-Projekt besteht aus drei dene Zielplattformen angewendet werden
ter durch eigene Marktplätze, Standardbi- zentralen, auf GitHub frei verfügbaren kann.
bliotheken und ähnliche Vorhaben gegen. Elementen. Das erste Element ist Sigma, Hier kommt der zweite Baustein des
Die fehlende gemeinsame SIEM-übergrei- ein offenes und generisches Format zur Projekts ins Spiel, die Konsolenapplika-
fende Sprache bleibt trotz allem ein Hin- Beschreibung von Angriffs- und Erken- tion Sigmac (siehe ix.de/zybc). Sie kann
dernis für eine effiziente Zusammenarbeit nungsmustern, die normalerweise als pro- Sigma-Regeln in eine Vielzahl von SIEM-
über Unternehmens- oder Produktgrenzen prietäre Suchabfragen in einem SIEM ge- Abfragesprachen konvertieren. Damit
hinweg. schrieben werden. Listing 1 zeigt eine wird Sigma zu einer allgemeingültigen
Vor dem gleichen Problem stehen auch solche Sigma-Regel zur Entdeckung von Sprache für den Austausch von Suchab
Organisationen ohne SIEM. Spätestens Computern, mit denen das SIEM mehr als fragen, unabhängig vom eingesetzten
wenn sie angegriffen werden, werden sie drei fehlgeschlagene Anmeldeversuche SIEM-Produkt. Die Applikation unter-
die Protokolle analysieren wollen. Andere unterschiedlicher Nutzerkonten assozi- stützt nahezu jedes auf dem Markt rele-
Unternehmen wiederum möchten auch iert. Das Hauptziel des Projektes ist es, vante SIEM.
ohne konkreten Hinweis ihre zentralen
Dienste auf Spuren eines Angriffs prüfen.
In all diesen Situationen stehen die Unter- Listing 1: Sigma-Regel zum Aufspüren verdächtiger Geräte mit mehreren fehlgeschlagenen
nehmen vor der Herausforderung, dass sie Anmeldeversuchen
unterschiedliche Protokollformate und title: Failed Logins with Different Accounts from Single Source System
Log-Management-Systeme durchsuchen id: e98374a6-e2d9-4076-9b5c-11bdb2569995
und nicht für jedes einzelne die gleichen description: Detects suspicious failed logins with different user accounts from a single source
Abfragen entwickeln möchten. system
Sicherheitsforscher wiederum entde-
author: Florian Roth
date: 2017/01/10
cken regelmäßig neue Angriffsmuster, modified: 2021/09/21
Schadsoftware und Sicherheitslücken. tags:
Dieses Wissen wollen sie möglichst breit
- attack.persistence
- attack.privilege_escalation
streuen und der Gesellschaft dabei helfen, - attack.t1078
sich zu schützen. Ohne eine allgemeine logsource:
Sprache können sie jedoch keine einfach product: windows
service: security
nutzbaren Suchabfragen bereitstellen. Es detection:
bleibt wieder an jedem Unternehmen, Res- selection1:
sourcen zu investieren und die in Worten EventID:
- 529
beschriebenen Abläufe und Hinweise auf - 4625
einen Angriff (Indicators of Compromise, TargetUserName: '*'
IOC) in Suchabfragen zu übersetzen. WorkstationName: '*'
condition: selection1 | count(TargetUserName) by WorkstationName > 3
falsepositives:
Gesucht: Lingua Franca
- Terminal servers
- Jump servers
für Angriffsmuster - Other multiuser systems like Citrix server farms
- Workstations with frequently changing users
level: medium
Es besteht also Bedarf für eine universelle
Sprache, um die Suche nach verdächtigen
iX 1/2022 125Praxis | IT-FORENSIK
Beispielkonfiguration für das Sammeln der Windows-Ereignisprotokolle (Abb. 1)
Der dritte Baustein des Projekts ist das chende Suchabfragen umgewandelt wer- auf Windows-Ereignisprotokolle anwen-
Sigma GitHub Repository, eine öffentliche den. Nutzt das eigene Unternehmen jedoch den lassen. Mit dem ebenfalls auf GitHub
und zentrale Sammlung qualitativ hoch- kein SIEM, wird es schwierig, die Proto- veröffentlichten Chainsaw (siehe ix.de/
wertiger Sigma-Regeln (siehe ix.de/zybc). kolle mal eben schnell auf mögliche An- zybc) und den Sigma-Regeln lassen sich
Die in Listing 1 gezeigte Sigma-Regel griffe zu untersuchen. mit wenig Aufwand bekannte Bedrohun-
stammt daraus. Interessierte Unternehmen Für diesen Zweck hat Countercept, die gen in den Protokolldaten entdecken. Zu-
können diese Regeln mit der Sigmac-Ap- Incident-Response-Abteilung der Sicher- sätzlich verfügt Chainsaw über weitere
plikation für ihr SIEM konvertieren und heitsfirma F-Secure, eine Software entwi- Funktionen zur Erkennung verdächtiger
frei verwenden. ckelt, mit der sich Sigma-Regeln direkt Aktivitäten:
Eine Kettensäge zur
Verteidigung
Sigma-Regeln lassen sich nicht direkt auf
das proprietäre Format der Windows-Er-
eignisprotokolle anwenden. Dazu müss-
ten die Ereignisprotokolle erst in ein SIEM
eingelesen und die Regeln in entspre-
Chainsaw Brute Force mit eingebauter
Logik, die (zu) viele fehlgeschlagene
Anmeldeversuche erkennt (Abb. 2)
126 iX 1/2022• Extraktion und Analyse von Windows-
Defender-, F-Secure-, Sophos- und Kas
Standard-Mapping-Datei
persky-Antimalware-Protokollen; Ereignis Ereignisprotokoll Event-ID
• Erkennung, ob wichtige Ereignisproto- Erstellung eines neuen Prozesses Microsoft-Windows-Sysmon/Operational 1
kolle gelöscht wurden oder der Ereig- neue Netzwerkverbindung Microsoft-Windows-Sysmon/Operational 3
nisprotokolldienst gestoppt wurde; Laden eines Moduls in einen Prozess Microsoft-Windows-Sysmon/Operational 7
• Benutzer neu erstellen oder zu sensiblen Erstellung einer Datei Microsoft-Windows-Sysmon/Operational 11
Benutzergruppen (zum Beispiel adminis Ereignisse in der Windows-Registry Microsoft-Windows-Sysmon/Operational 13
trativen Gruppen) hinzufügen; PowerShell-Skriptblöcke Microsoft-Windows-PowerShell/Operational 4104
• Brute-Force-Angriffe auf lokale Nutzer- neuer Prozess wurde erstellt Security 4688
konten und geplante Aufgabe wurde erstellt Security 4698
• Hinweise auf RDP-Anmeldungen. Erstellung eines neuen Dienstes System 7045
Chainsaw ist ein Kommandozeilentool
und kann auf allen gängigen Betriebssys-
temen (Windows, Linux und macOS) in- können getrennt voneinander stattfinden klickt „Use Target options“ an, setzt „Tar-
stalliert und ausgeführt werden. Um es auf und sind durch Targets und Modules ab- get source“ auf die Systempartition des zu
einem System zu installieren, genügt es, gebildet. Nachfolgend werden ausschließ- untersuchenden Systems – also sehr wahr-
die neuste Version herunterzuladen (siehe lich die Windows-Ereignisprotokolle mit scheinlich C: –, trägt bei „Target destina-
ix.de/zybc). Zusätzlich zur Software ent- KAPE gesichert. Die Auswertung wird an- tion“ einen Platzhalter ein und wählt das
hält das Paket bereits eine Auswahl an schließend mit Chainsaw durchgeführt. Target EventLogs aus (siehe Abbildung 1).
Sigma-Regeln. Bei Bedarf können weitere Vor der Ausführung von KAPE ist die Den Kommandozeilenbefehl unter „Cur-
Regeln aus dem Sigma-Projekt nachge Software und der zur Datensammlung be- rent command line“ speichert man für die
laden werden, sodass gleich der aktuelle nötigte Kommandozeilenbefehl auf einem Ausführung auf dem zu untersuchenden
Regelgrundstock genutzt wird. Drittsystem vorzubereiten. Dieses System System und schließt KAPE.
Das Werkzeug kann sowohl Livedaten, dient später als Analysesystem für die Aus- Nun schließt man das externe Lauf-
also Ereignisprotokolle aus dem laufen- wertung der gesammelten Logdaten und werk an das zu untersuchende System an,
den Betrieb, als auch Offlinedaten aus ei- ist nicht in den zu untersuchenden Vorfall startet eine administrative Konsole wie
ner Datensicherung interpretieren. Da man involviert. PowerShell und wechselt damit in den
es bei der Vorfallsbewältigung (Incident Zuerst lädt man KAPE von der offizi- KAPE-Ordner auf dem externen Daten-
Response) meistens mit Protokollen aus ellen Webseite herunter und entpackt es träger. Danach fügt man den vorbereite-
zuvor gesicherten forensischen Artefakten auf einem externen Datenträger. Danach ten Befehl in die Kommandozeile ein und
zu tun hat, wird Chainsaw in den folgen- wird es auf den neuesten Stand gebracht: ersetzt den Platzhalter für die „Target des-
den Beispielen Offlinedaten überprüfen. Mit dem Skript Get-KAPEUpdate.ps1 wird die tination“. Im vorliegenden Beispiel wurde
neueste Version automatisch heruntergela- der externen Festplatte der Laufwerks-
den und entpackt. Im Anschluss werden die buchstabe E zugeordnet. Entsprechend
Windows-Ereignisprotokolle Targets und Module mit kape.exe --sync ak- wird der Platzhalter durch einen gültigen
sammeln tualisiert. Damit ist das Werkzeug auf dem Ordnerpfad für die zu sammelnden Da-
neuesten Stand und zum Einsatz bereit. teien ersetzt:
Von einer direkten Untersuchung auf ei- Als Nächstes ist der KAPE-Kommando
nem laufenden System ist grundsätzlich zeilenaufruf vorzubereiten. Hierzu startet
.\kape.exe --tsource C: --tdest E:\—
TargetDestination\ --tflush --target —
abzuraten. Während des Betriebs generie- man die grafische Oberfläche (gkape.exe), EventLogs --gui
ren Applikationen neue Protokolleinträge,
die aufgrund von Ressourcenbegrenzun-
gen oder Systemkonfigurationen zum
Löschen alter Ereignisse führen können.
Damit besteht die Gefahr, während der
Untersuchung wertvolle Hinweise zu ver-
lieren. Forensikexperten raten daher, Win-
dows-Ereignisprotokolle erst zu sichern
und dann zu analysieren. Bei der Bewäl-
tigung von Vorfällen und in der IT-Fo
rensik eignet sich dafür der Kroll Artifact
Parser and Extractor, kurz KAPE (siehe
ix.de/zybc; wie man mit KAPE arbeitet,
zeigt ein in iX erschienenes vierteiliges
Tutorial [3]).
Bei der Untersuchung eines Computers
übernimmt KAPE zwei Aufgaben: Das
Werkzeug sammelt für die Analyse rele-
vante Dateien („Triage“) und verarbeitet
sie mit Drittsoftware, die daraus die IT-fo-
rensisch bedeutenden Informationen ex-
trahiert und zur Analyse und Bewertung Die Chainsaw-Ausgabe weist auf einen versuchten Angriff auf die Passworthashes
aufbereitet. Die beiden Arbeitsschritte der angemeldeten Benutzer hin (Abb. 3).
iX 1/2022 127Praxis | IT-FORENSIK
Das search-Modul von Chainsaw
ermöglicht weitere Suchoptionen
in den Windows-Ereignisprotokollen
(Abb. 4).
Resultate in eine CSV-Datei exportieren.
Hierzu ist lediglich der Parameter --csv
anzugeben.
Will man nun die Analyse mit Sigma-
Regeln anreichern und weitere, ausgefeil-
tere Angriffstechniken identifizieren, muss
man Chainsaw nur ein Verzeichnis mit
Sigma-Regeln als Parameter übergeben.
Der Befehl einer Suche mit Sigma-Regeln
hat dann folgendes Format:
.\chainsaw.exe hunt --rules SIGMA_REGELN —
--mapping .\mapping_files\sigma_mapping.yml E:\—
TargetDestination\C\Windows\System32\winevt\logs
Aber aufgepasst, Chainsaw nutzt standard-
mäßig nur eine limitierte Auswahl an Er-
eignisprotokollen, auf die die Sigma-Re-
geln angewendet werden. Diese decken
jedoch den größten Teil aller Angriffstech-
niken ab. Die für die Auswertung betrach-
teten Ereignisprotokolle werden dabei in
Nach Absetzen des Befehls beginnt das dächtige Aktivitäten zu analysieren, kann einer Mapping-Datei beschrieben. Stan
Sammeln der Daten. Anschließend finden dessen hunt-Modul verwendet werden. Die dardmäßig sind das die in der Tabelle
sich im Zielordner (E:\TargetDestination\) Standardauswertung der mit KAPE ge- „Standard-Mapping-Datei“ aufgeführten.
die zusammenkopierten Windows-Ereig- sammelten Windows-Ereignisprotokoll- Die Mapping-Datei lässt sich jedoch nach
nisprotokolldateien sowie drei Protokoll- dateien geschieht wie folgt: Belieben konfigurieren und ergänzen.
dateien. .\chainsaw.exe hunt E:\TargetDestination\C\—
Wie im Beispiel in Abbildung 3 zu se-
Für die nun anstehende Verarbeitung Windows\System32\winevt\logs hen, werden die angegebenen Sigma-Re-
und Untersuchung der gesammelten Da- geln so konvertiert, dass sie durch Chain-
teien wird der externe Datenträger wieder Auf diese Weise werden die eingebauten saw interpretiert und im Anschluss auf die
an das Analysesystem angeschlossen. Regeln angewendet, worauf Chainsaw in geladenen Ereignisprotokolle angewendet
seiner Ausgabe noch einmal warnend ver- werden können. Analog zur Standardaus-
weist. Mit deren Hilfe lassen sich jedoch führung werden auch hier die Resultate
Verdächtiges in den bereits verdächtige Aktivitäten wie Brute- basierend auf der Regel in Tabellen aus-
Protokollen finden Force-Angriffe entdecken. Abbildung 2 gegeben. Im gezeigten Beispiel ist zu se-
zeigt die Ausgabe von Chainsaw in ver- hen, dass gleich mehrere Sigma-Regeln
Um die von KAPE gesicherten Ereignis- schiedenen Tabellen auf der Kommando- angeschlagen haben. Die Spalte detection_
protokolle mithilfe von Chainsaw auf ver- zeile. Zur besseren Analyse lassen sich die rules führt sie auf.
Die konvertierte Sigma-Regel funktioniert nach der Umwandlung ebenso zuverlässig bei der Entdeckung sicherheitsrelevanter
Ereignisse (Abb. 5).
128 iX 1/2022Daraus ist ersichtlich, dass auf dem zu In diesem Beispiel scheint Chainsaw sammelt, sondern zwecks optimierter Aus-
analysierenden System mit großer Wahr- mittels Sigma-Regeln jedoch keine Indi- wertung und Überwachung an ein SIEM
scheinlichkeit mittels der Software Proc- zien für das Ausführen von Mimikatz ent- geschickt werden. In diesem Fall ist Chain-
Dump von Sysinternals (siehe ix.de/zybc) deckt zu haben. Für eine erweiterte Su- saw nicht mehr effizient, da die Protokolle
der Arbeitsspeicher des lsass-Prozesses che bietet sich ein weiteres Modul von je nach Aufbau und Typ des Logservers
gesichert wurde. Das ist ein bekanntes Chainsaw an, das search-Modul. Es er- nicht im Originalformat verfügbar sind.
Verfahren von Angreifern, um an die laubt nicht nur die einfache Suche nach Doch genau hier zeigt sich die Stärke von
Passworthashes aller angemeldeten Be- Strings, sondern auch nach expliziten Sigma-Regeln. Mithilfe des erwähnten
nutzer zu gelangen (siehe ix.de/zybc). In Event-IDs oder Regular Expressions. Die Konvertierungsprogramms Sigmac lassen
diesem Fall zeigt die Spalte command_ Grundanwendung lässt sich dabei wie sie sich in für verschiedene SIEMs pas-
line sogar den tatsächlich ausgeführten folgt beschreiben: sende Suchabfragen umwandeln.
Befehl: .\chainsaw.exe search -i -s mimikatz E:\—
Für das Konvertieren benötigt man zu-
"C:\ProgramData\chocolatey\lib\sysinternals\— TargetDestination\C\Windows\System32\— erst ein aktuelles Set an Regeln. Diese
tools\procdump.exe" -accepteula -ma lsass.— winevt\logs können einfach von der GitHub-Seite he-
exe C:\Users\forensics\Desktop\lsass.dmp runtergeladen werden. Damit die Konver-
Das Flag -i bewirkt, dass die Groß- und tierungssoftware weiß, welches Format
Nach dem erfolgreichen Sichern des lsass- Kleinschreibung nicht beachtet wird. Wie benötigt wird, werden die entsprechenden
Prozesses versuchen Eindringlinge häufig in Abbildung 4 zu sehen ist, wurde auch Informationen als Parameter mitgegeben.
die Passworthashes mittels Mimikatz aus- hier Mimikatz auf dem System ausgeführt. • Ziel: Dieser Parameter definiert das
zulesen. Mimikatz ist bei Angreifern ein SIEM, sodass die Konvertierungssoft-
sehr beliebtes Werkzeug, das es unter an- ware weiß, welche Syntax für die Such-
derem erlaubt, Passwörter im Klartext aus Sigma-Regeln im SIEM abfrage verwendet werden muss. Die
dem Arbeitsspeicher zu lesen oder eben anwenden Software unterstützt bereits zahlreiche
die Passworthashes aus dem Abbild des SIEMs, beispielsweise den Elastic Stack,
Speicherbereiches des lsass-Prozesses. In Chainsaw ist ideal für eine spontane Über- Splunk, Qradar und viele mehr. Alle ver-
der Folge kann Mimikatz ebenfalls ver- prüfung lokaler oder gesammelter und ge- fügbaren Ziele können mit sigmac.exe
wendet werden, um einen Pass-the-Hash- sicherter Ereignisprotokolle. Je nach Auf- --list angezeigt werden.
Angriff zu starten [4] und sich so im Ac- bau der Infrastruktur kann es jedoch sein, • Konfiguration: Die Konfiguration wird
tive Directory lateral zu verbreiten. dass die Protokolle nicht mehr lokal ge- benötigt, damit die Konvertierungssoft-
iX 1/2022 129Praxis | IT-FORENSIK
Listing 2: Beispiel für eine selbst festgelegte Alarmierungsregel
es_host: localhost
es_port: 9200
name: LSASS Dumping
type: any
index: winlogbeat-*
description: Detect creation of dump files containing the memory space of lsass.exe, which contains sensitive credentials. Identifies usage of—
Sysinternals procdump.exe to export the memory space of lsass.exe which contains sensitive credentials.
filter:
- query:
query_string:
query: (((winlog.event_data.CommandLine:*lsass* AND winlog.event_data.CommandLine:*.dmp*) AND (NOT (winlog.event_data.Image:*\\—
werfault.exe))) OR (winlog.event_data.Image:*\\procdump* AND winlog.event_data.Image:*.exe AND winlog.event_data.CommandLine:*lsass*))
priority: 2
realert:
minutes: 0
alert:
- "email"
email:
- "alert@example.com"
ware weiß, wie und in welchem Format weise basierend auf Sigma-Regeln eigene können die IT-Sicherheit ein Stück voran-
die Logs an das SIEM gesandt wurden. Dashboards oder sogar automatisierte bringen.(ur@ix.de)
Das ist wichtig, weil je nach SIEM die Alarme erstellen, die bei einem Treffer
indexierten Felder andere Bezeichnun- ausgelöst werden. Die Konvertierungs- Quellen
gen haben. software erlaubt bei ELK-Stack als SIEM
Im folgenden Beispiel wurden die Win- das automatische Übersetzen der Sigma- [1] Fabian Murer; Protokollschätze;
dows-Ereignisprotokolle mithilfe des Regel in eine Alarmierungsregel. Dazu Incident Response und Forensik –
Elastic-Agenten Winlogbeat (siehe ix.de/ muss lediglich der Zielparameter ausge- Angreifer durch Logs enttarnen;
zybc) an Elastic Stack geschickt [1]. Ent- wechselt werden: iX 8/2021, S. 94
sprechend wird in diesem Bespiel für den .\sigmac.exe --target elastalert --config .\—
[2] Frank Ully; Nach oben gehangelt;
Ziel-Parameter kibana-ndjson ausgewählt. sigma\tools\config\winlogbeat.yml .\sigma\— Informationsbeschaffung – was jeder
Kibana ist die grafische Oberfläche des rules\windows\process_creation\— Domänenbenutzer alles sieht;
Elastic Stack. Als Konfigurationsparame- iX 10/2020, S. 58
win_lsass_dump.yml
ter wird die Datei winlogbeat.yml verwen- [3] Gregor Wegberg; Tutorial IT-Fo
det, da die Ereignisprotokolle mittels Win- Dieser Befehl erzeugt eine neue Regel, die rensik mit dem Werkzeug KAPE;
logbeat an das SIEM gesendet wurden. ElastAlert (siehe ix.de/zybc) interpretie- 4 Teile ab iX 7/2021, S. 128
Mit diesen beiden Parametern können ren kann. Im Beispiel in Listing 2 wurden [4] Frank Ully; Fette Beute;
nun beliebige Sigma-Regeln in Kibana- die Felder es_host, es_port und email au- Passwörter und Hashes – wie
Suchabfragen umgewandelt werden. Der tomatisch generiert. Lediglich die Felder Angreifer die Domäne kompro
folgende Befehl zeigt, wie die Sigma-Re- zur Identifikation der Elasticsearch-In- mittieren; iX 11/2020, S. 94
gel LSASS Memory Dumping aus Abbil- stanz und die Art und Weise, wie der Alarm [5] Yves Kraft, Frank Ully; Zwischen
dung 3 in eine Suchabfrage konvertiert stattfinden soll, wurden für die ElastAlert- den Wäldern; Inter-Forest und Persis-
wird: Regel ergänzt. Die definierte Regel würde tenz: Wie Angreifer sich über einen
.\sigmac.exe --target kibana-ndjson --config .\—
für jede erfolgreiche Abfrage des Suchbe- AD-Forest hinaus ausbreiten und
sigma\tools\config\winlogbeat.yml .\sigma\— fehls – also mindestens ein Resultat – eine festsetzen; iX 4/2021, S. 102
rules\windows\process_creation\win_lsass_— E-Mail an alert@example.com schicken. [6] Hans-Joachim Knobloch; Und ewig
grüßt das Nilpferd; PetitPotam und
dump.yml > win_lsass_dump.ndjson
weitere Wege, die Kontrolle über das
Dieser Befehl speichert die Suchabfrage Fazit AD zu übernehmen; iX 9/2021, S. 91
im NDJSON-Format in der Datei win_ [7] Alle erwähnten Projekte und Werk-
lsass_dump.ndjson. Die Datei kann nun Als freies und universelles Format erleich- zeuge sind über ix.de/zybc zu finden.
über die Benutzeroberfläche von Kibana tert Sigma den Austausch von Erkennungs-
importiert werden. Das lässt sich über das mustern für Protokolldaten. Damit werden Fabian Murer
Menü „Stack Management / Saved objects / die Kompatibilitätsgrenzen zwischen den ist Senior Digital-Forensics- und Incident-
Import“ bewerkstelligen. Die konvertierte unterschiedlichen SIEM-Produkten über- Response-Spezialist bei der Oneconsult AG.
Suchabfrage wird nun in Kibana als wunden und Sicherheitsfachleute aller Er unterstützt Firmen bei der Bewältigung
„Sigma: LSASS Memory Dumping“ ge- Unternehmen und Organisationen können von Cyberattacken und untersucht als
speichert und ist jederzeit nutzbar. Wie gemeinsam einen Pool an Suchabfragen IT-Forensiker die Methoden der Angreifer
Abbildung 5 zeigt, findet diese Suchab- aufbauen. bis auf den letzten Befehl.
frage ebenfalls das zuvor von Chainsaw Chainsaw macht sich die Stärke und
identifizierte Ereignis. Verfügbarkeit von Sigma-Regeln zu eigen.
Ein großer Vorteil von Sigma-Regeln in Mit ihm lassen sich Windows-Ereignis- Gregor Wegberg
SIEMs ist, dass sie bereits als ein Anwen- protokolle nach besonders häufig auftre- unterstützt mit seinem Team bei der
dungsfall für Alarmierungen verwendet tenden Angriffsmustern mit geringem Oneconsult AG Organisationen bei der
werden können. So lassen sich beispiels- Aufwand durchsuchen. Beide Werkzeuge Bewältigung von Cyberangriffen.
130 iX 1/2022Sie können auch lesen
