Zugetragen hat sich folgendes: Bei einer Organisation wurde das Postfach eines Nutzers kurzfristig mit über 2’000 E-Mails aus den unterschiedlichsten Quellen überflutet. Ein Cyberangreifer hatte die betroffene Person bei Hunderten von Newslettern angemeldet und dadurch das Postfach im Handumdrehen lahmgelegt. Ein Fall für das Computer Security Incident Response Team (CSIRT) von InfoGuard. Doch der Reihe nach.
In dieser angespannten Situation kontaktierte ein unbekannter Anrufer den Nutzer über Microsoft Teams und gab sich als Support-Mitarbeitender aus. Mit detailreichen Kenntnissen zum Problem und professionellem Auftreten gewann der Anrufer im Handumdrehen das Vertrauen des Betroffenen.
Sich in sicheren Händen wähnend, erwartete der Nutzer eine rasche Lösung seines Problems. In der Not liess er sich dazu verleiten, ein Remote-Access-Tool (RAT) zu öffnen, ohne zu ahnen, dass er damit einem Cyberkriminellen die Kontrolle über seinen Rechner ermöglichte.
Der Angreifer versuchte anschliessend, eine als Spamfilter getarnte, permanente Hintertür auf dem System zu installieren. Doch glücklicherweise vereitelten die eingeschränkten Nutzerrechte dieses Vorhaben.
Als dem Nutzer auffiel, dass der vermeintliche Supporter trotz mehrmaliger Versuche keine Software installieren konnte, wurde er misstrauisch. Er legte auf und wandte sich an die interne IT-Abteilung, die umgehend die nötigen Massnahmen zur Eindämmung einleitete.
Aufgrund dieses Vorfalls wurden die CSIRT-Expert*innen von InfoGuard beauftragt, nach weiteren Spuren einer Kompromittierung zu suchen und eine professionelle, tiefgreifende Analyse des Vorfalls durchzuführen.
Eine der Sofortmassnahmen des CSIRT bestand darin, die UAL-Protokolle im Microsoft-365-Tenant des Kunden auszulesen und auszuwerten. UAL-Protokolle sind die zentrale Quelle für Benutzeraktivitäten in der Microsoft-Umgebung und bilden häufig den ersten Anlaufpunkt bei forensischen Untersuchungen.
Besonders problematisch: Obwohl der Standardwert für Microsoft-365-UAL-Protokolle bei neuen Tenants seit Jahren auf «Enabled» steht, findet das InfoGuard-CSIRT immer wieder Tenants, bei welchen diese Protokolle trotzdem nicht aktiviert sind – und das, obwohl deren Aktivierung keinen Mehraufwand verursachen würde. Ohne aktivierte Logs gestaltet sich die Untersuchung von Vorfällen in Microsoft 365 schwierig, da meist nur die «Entra Audit»- und Anmeldeprotokolle verfügbar sind und diese die meisten Aktivitäten von Angreifenden nach einer Kontoübernahme enthalten.
Der erste Schritt der forensischen Analyse bestand darin, den Startzeitpunkt der Teams-Chat-Aktivität festzustellen, da dies die erste vom Angreifer erkannte Aktion im Kundennetzwerk war. Dies gelang durch die Analyse des UAL-Protokollverlaufs im zeitlichen Zusammenhang mit der Operation «ChatCreated».
Wie Abbildung 1 zeigt, dokumentiert das UAL einen extern gestarteten Chat mit mehreren aufschlussreichen Details, wie der «ChatThreatId», welche die Herkunft des Chats eindeutig belegt. Die «ChatThreatId» ist in Abschnitte wie «19:user-1-id_user-2-id:@unq.gbl.spaces» aufgeteilt. Das bedeutet, «user-1-id» gehört zur ID des Angreifers im von ihm kontrollierten Microsoft Tenant (in Abbildung 1 rot hervorgehoben). Die «user-2-id» entspricht der ID des Nutzers im Tenant des Kunden, der den Chat empfängt.
Mit dieser User-ID des Angreifers liess sich der verwendete Tenant leicht ausfindig machen. Dieser kann über Abfragen der Azure- und Office-365-APIs oder einfach mit dem Open Source Intelligence (OSINT) Tool von Dr. Nestori Syynimaa (@DrAzureAD) ermittelt werden – siehe Abbildung 2.
Abbildung 2: Screenshot von AADInternals zum Microsoft Tenant des Angreifers.
Noch effizienter erwies sich die gezielte Analyse der UAL-Auditdaten, in welchen die Chat-Teilnehmenden aufgeführt sind (inklusive UPN, Domain-Namen und Anzeigenamen des Angreifers (rot markiert)).
Abbildung 3: Mitgliederbereich der UAL-Auditdaten (Daten des Angreifers rot markiert).
In Abbildung 3 fällt auf, dass der Angreifer den Anzeigenamen «Help Desk Manager» wählte, wodurch es für den Nutzer schwierig war, den Anruf als extern zu erkennen und zu identifizieren.
Nachdem das CSIRT von InfoGuard in der Microsoft-365-UAL maliziöse Teams-Aktivitäten bestätigte, verlagerte sich die Untersuchung auf die Analyse des Endgeräts, das der Angreifer mit einem RAT kompromittiert hatte.
Da das genaue Timing des Teams-Chats nun bekannt war, liess sich der Startpunkt der forensischen Untersuchung am Endpunkt exakt bestimmen. Der Nutzer berichtete, dass der Angreifer während des Teams-Calls die Kontrolle übernommen hatte, woraufhin die Spezialist*innen von InfoGuard mit der forensischen Analyse von Artefakten begannen. Das Ziel: Hinweise auf den Einsatz bekannter RAT-Tools zu finden.
«UserAssist» ist eine Funktion in Microsoft Windows, die erfasst, welche Programme Nutzer*innen über die Windows-Benutzeroberfläche starten. Diese Funktion wurde mit Windows 2000 eingeführt und existiert bis heute in Windows 10/11. Die so gesammelten Daten werden in der Windows-Registry gespeichert und dienen Windows dazu, das Nutzererlebnis zu optimieren, z. B. für die Anzeige «Häufig verwendete Programme» im Startmenü. Ausserdem geben sie Auskunft u. a. über den Anwendungspfad, die Anzahl der Starts und den Zeitpunkt der letzten Ausführung – was zur Rekonstruktion des Nutzerverhaltens wertvoll ist.
In Abbildung 4 sind die UserAssist-Daten vom Endgerät des Kunden dargestellt. Sie zeigen, dass das integrierte Microsoft-RAT-Tool «Quick Assist» rund drei Minuten nach Beginn des Anrufs gestartet wurde. Auffällig ist zudem, dass das Quick Assist nur einmal ausgeführt wurde, was bedeutet, dass es sonst auf diesem Gerät nicht zum Anwendungsalltag gehörte.
Abbildung 4: UserAssist vom Endgerät des Kunden.
Der Kunde hatte auch einen Proxy im Einsatz, der den gesamten Web-Traffic filterte und sämtliche Verbindungen blockierte, die als Remote-Access-Tools kategorisiert waren. Da Quick Assist jedoch zur Microsoft Suite gehört, läuft die Anwendung über den zentralen Server «remoteassistance[.]support[.]services[.]microsoft[.]com» und wurde von einer generellen Regel erfasst, die sämtlichen Traffic zu Microsoft-Diensten erlaubt – dies war aufgrund der Microsoft-365-Einstellung beim Kunden erforderlich.
Abbildung 5 zeigt, dass die Verbindung zum Backend von Microsoft Quick Assist durch den Proxy erlaubt wurde. Danach öffnete der Angreifer einen Browser, gab eine Bit.ly-Short-URL ein und lud eine als Spamfilter getarnte «Backdoor» herunter. Die Bit.ly-URL leitete zu einer SharePoint-Seite einer indonesischen Schule weiter, wo vermutlich ein Nutzerkonto eines Schülers kompromittiert und missbraucht wurde. Auch wenn das Proxy-Log nicht die komplette SharePoint-URL sichtbar machte, liessen sich über Artefakte im Browser des Endgeräts die vollständige Adresse rekonstruieren.
Abbildung 6 verdeutlicht, dass sich die vollständige URL der vom Angreifer kontrollierten SharePoint-Seite durch die Auswertung des Favicon-Caches im Browser rekonstruieren liess. Im rot markierten Bereich ist zu sehen, dass die Bit.ly-URL auf eine ZIP-Datei mit Namen «spamfilter.zip» verwies. Zum Zeitpunkt der Analyse war die Datei weder auf dem Endgerät noch auf SharePoint vorhanden.
Durch erneute Auswertung von UserAssist (Abbildung 4) konnten die Expert*innen von InfoGuard feststellen, dass «spamfilter.zip» mindestens zwei Binaries namens «SecureSensor.exe» und «ScreenConnect.ClientSetup.exe» enthielt, die der Angreifer auszuführen versucht hatte.
Über die «AmCache» des Endgeräts liess sich der SHA1-Hash des Files «SecureSensor.exe» nachvollziehen, worüber bekannt wurde, dass es sich dabei um einen Keylogger handelte. Das File «ScreenConnect.ClientSetup» dient als Installer des bekannten RAT ScreenConnect, der dem Angreifer persistenten Zugriff verschafft hätte, sofern er installiert worden wäre. Glücklicherweise waren aber die Userrechte im Netzwerk so gesetzt, dass normale Nutzer keine Software installieren konnten.
Da der Angreifer also keinen dauerhaften Zugriff auf das Opfergerät herstellen konnte, begann er damit, Informationen zum VPN-Zugang des Nutzers zu sammeln. Er lud die VPN-Profil-XML-Datei vom Endgerät, um die vollständige Konfiguration zu erhalten und speicherte die Datei als «verification.zip», vermutlich um nach dem Scheitern der ScreenConnect-Installation doch noch Zugang zum internen Netz zu erhalten.
Nachdem der Angreifer das VPN-Profil gesammelt hatte, initiierte er die Exfiltration der ZIP-Datei über verschiedene Filesharing-Seiten. Da das Opfergerät jedoch durch eine Proxy-Lösung geschützt war, wurden sämtliche Filesharing-Seiten blockiert. Dies zeigte sich auch im Proxy-Log, wo mehrere Anfragen an verschiedene Seiten registriert wurden.
Nach mehreren Versuchen, Daten zu exfiltrieren, wurde das Opfer misstrauisch, beendete das Gespräch mit dem Angreifer und die Sitzung. Anschliessend kontaktierte es das interne IT-Team, das sofort das Passwort änderte und das Gerät isolierte.
Der Anruf dauerte etwa 40 Minuten. Direkt nach Gesprächsende begann der Angreifer, das Office-365-Konto des Opfers mit Brute-Force-Attacken anzugreifen.
Microsoft Teams ist standardmässig so eingestellt, dass alle externen Tenants Nutzer kontaktieren können. Unsere Erfahrung zeigt jedoch, dass dies für Unternehmen keine sichere Lösung ist.
Um solchen Angriffen vorzubeugen, empfehlen wir vier wirkungsvolle Massnahmen:
Letztlich entscheidet das Sicherheitsniveau einer Organisation, ob ein Angriff erfolgreich vereitelt oder zum Ernstfall wird.
Komplexe Betrugsketten, wie sie in diesem Beispiel sichtbar wurden, lassen sich durch ganzheitliche Verteidigungsstrategien zuverlässig abwehren. Mit einem proaktiv gemanagten SOC- und Incident-Response-Service (CSIRT) bewahren sich Organisationen auch im Angesicht komplexer Angriffswellen einen kühlen Kopf.
Das ISO-27001-zertifizierte Cyber Defence Center vereint kontinuierliche Expertenüberwachung, modernste Angriffserkennung und klare Eskalationswege – rund um die Uhr.
So stoppen Sie in Ihrer Verantwortung für die Cybersicherheit Ihres Unternehmens jede Cyberbedrohung wirkungsvoll, bevor daraus ein sicherheitskritischer Vorfall entsteht. Darüber hinaus schaffen Sie dauerhafte Resilienz für Ihr Unternehmen.
Handeln Sie heute, bevor Cyberkriminelle es tun! Mit proaktiven Managed SOC- und Incident-Response-Services sind Sie Cyberkriminellen mit Ihrer Organisation einen Schritt voraus. Unser Experten-Team berät Sie gerne und begleitet Sie partnerschaftlich und mit erprobter Expertise bei der Evaluation und Umsetzung der für Ihr Unternehmen sichersten und passendsten Lösung.
Bildlegende: mit KI generiertes Bild