Computernetzwerke haben oftmals versteckte Hintertüren. Wie der versteckte Hausschlüssel unter einer Fußmatte oder einem Blumentopf sind sie ein geheimer Eintrittspunkt, der den Fernzugriff auf das Netzwerk ermöglicht. Diese Hintertüren werden manchmal absichtlich von einem Systemadministrator geschaffen, der sie für den Zugriff während seines Urlaubs oder zu Testzwecken einrichtet. Dies kann in Form eines offenen Ports, einer deaktivierten lokalen System-Firewall oder eines versteckten privilegierten Kontos geschehen, das nur dem Administrator bekannt ist. Sofern nicht Fahrlässigkeit im Spiel ist, sind solche Hintertüren immer noch durch irgendeine Art von Zugriffskontrollmechanismus geschützt. Dennoch bleiben sie ein ungesichertes Einfallstor, das von einem Angreifer ausgenutzt werden kann.
Diese absichtlichen Zugangspunkte werden gemeinhin als konventionelle Hintertüren bezeichnet. Einige Hersteller integrieren solche Hintertüren zu Support- und Wartungszwecken in ihre Soft- oder Hardware. Eine Anwendung kann auch versteckte Dienste oder Befehle enthalten, die den Fernzugriff auf wichtige Softwarefunktionen ermöglichen. Sogar die standardmäßigen administrativen Anmeldeinformationen sind eine Art Hintertür, die Remote-Installateuren bei der Erstinstallation einen einfachen Zugriff erlaubt.
Unbeabsichtigte Hintertüren
Manchmal kann eine Hintertür versehentlich eingerichtet werden. Ein Firewall-Administrator kann eine Firewall-Richtlinie oder eine Routing-Tabelle ändern und so versehentlich eine Angriffsmöglichkeit schaffen. Unbeabsichtigte Hintertüren können manchmal durch Softwarefehler oder Fehlkonfigurationen im System entstehen. Diese stellen ein ernsthaftes Sicherheitsrisiko dar, da das IT-Personal nichts von ihrer Existenz weiß, so dass sie über einen längeren Zeitraum bestehen bleiben können.
Unkonventionelle Hintertüren
Und dann gibt es noch die gefährlichste Hintertür von allen. Man stelle sich vor, ein Krimineller wäre in der Lage, einen Hausschlüssel unbemerkt zu kopieren. Das ist das Äquivalent zu einer unkonventionellen Hintertür ins Netzwerk. Sie werden von Bedrohungsakteuren mit böswilligen Absichten erstellt und entstehen in der Regel, nachdem sie in ein Netzwerk eingedrungen sind und dort Fuß gefasst haben. Beispiele für unkonventionelle Hintertüren sind folgende:
- Bösartiger Code, der in ein System oder eine Anwendung eingeschleust wird.
- Rootkits oder andere bösartige Tools, die zur Schaffung einer Hintertür verwendet werden, indem sie versteckte Konten erstellen, Authentifizierungsmechanismen verändern, den Netzwerkverkehr manipulieren oder Sicherheitssoftware deaktivieren.
- Es werden verdeckte Kommunikationskanäle geschaffen, um Code und Informationen in ein angegriffenes System ein- und auszuschleusen.
- Mit Seitenkanalattacken können Schwachstellen in den physikalischen oder elektrischen Eigenschaften eines Systems ausgenutzt werden, um Wissen über das System zu erlangen und es anschließend zu kompromittieren.
Eine Hintertür kann fast überall erstellt werden. Das berühmteste Beispiel war der Datenschutzverstoß bei Target im Jahr 2014, bei dem sich Angreifer über das HLK-System Zugang zum Netzwerk des Unternehmens verschafften. Ein jüngeres Beispiel ist der Angriff auf Solarwinds, bei dem sich Angreifer Zugang zur Solarwinds-Software verschafften und eine Backdoor in ein Software-Update einfügten. Das Update wurde dann von vielen Solarwinds-Kunden heruntergeladen, wodurch die Angreifer Zugang zu diesen Netzwerken erhielten.
Unbeabsichtigte Hintertüren können sehr schwer zu entdecken sein. Bei einem Ransomware-Vorfall schätzten die Ermittler, dass die Angreifer eine Hintertür fünf Monate zuvor installiert hatten, bevor sie begannen, sich lateral durch das Netzwerk zu bewegen und dieses auszuspionieren.
Vorbeugende Schritte zum Schließen von Hintertüren
Auch wenn unkonventionelle Hintertüren schwer zu erkennen sind, gibt es einige grundlegende Schritte, um sie zu verhindern.
- Löschen aller Standard-Administratorkonten von allen neu erworbenen Systemen. Wenn diese nicht gelöscht werden können, sollte man zumindest das Standardkennwort ändern. Standardanmeldungen für nahezu jedes Gerät sind im Internet leicht zu finden.
- Durchsetzung strenger Kennwortrichtlinien. Während viele Unternehmen immer noch einen 8-Zeichen-Standard verwenden, empfehlen viele Cybersicherheitsexperten ein 12-Zeichen-Passwort, da fortgeschrittene Computerprozessoren ein Passwort mit nur acht Zeichen verhältnismäßig leicht knacken können. Die Richtlinie sollte auch die Komplexität von Passwörtern vorschreiben und die Verwendung von Städten, Sportmannschaften und anderen Wörtern oder Phrasen verbieten, die leicht erraten werden können.
- Der Schutz von Endgeräten durch eine Zulassungsliste ist zwar nicht unbedingt bequem, aber sehr effektiv, um die Erstellung von Hintertüren zu verhindern. Diese granulare Schutzebene verhindert, dass nicht autorisierter ausführbarer Code oder Software auf den Computern hinterlegt oder installiert wird. Durch den Schutz mit einer Erlaubnisliste wird ein Computer im Wesentlichen zu einem Gerät ohne Schreibzugriff.
- Firewalls helfen dabei, ausgehende DNS-Anfragen zu blockieren. Man sollte darüber hinaus alle angeschlossenen Geräte auf einen internen, autorisierten DNS-Server verweisen, der Anfragen von dort nach außen weiterleitet. Dies vereinfacht die Protokollierung und hindert Malware daran, die konfigurierten DNS-Einstellungen zu umgehen.
- Endpoint-Detection and Response kann dazu beitragen, Hintertüren zu verhindern, indem sie verdächtiges Verhalten, das auf das Vorhandensein einer Hintertür hinweisen könnte, mithilfe von Verhaltensüberwachung oder signaturbasiertem Verhalten erkennen und darauf reagieren. Außerdem bieten sie einen besseren Einblick in diese Geräte und nutzen die neuesten Bedrohungsdaten.
Wie ein SOC helfen kann
Wenn man bedenkt, dass einige der größten Unternehmen Opfer von Hintertüren werden, fragen sich kleine und mittelständische Unternehmen und Organisationen, wie sie sich selbst dagegen absichern können. Viele Unternehmen wenden sich an ein externes Security-Operations-Center (SOC). SOCs sind bei der Sicherung von Unternehmensnetzwerken inzwischen so effektiv, dass sie zu einer der Hauptanforderungen von Cyber-Versicherungsanbietern werden. SOCs verfügen über erfahrenes Personal, das speziell in der Durchführung von prophylaktischen Maßnahmen und forensischen Untersuchungen geschult ist. Sie kennen die Best-Practices um Hintertüren zu identifiziert und schließen, bevor diese in vollem Umfang in Betrieb genommen werden können.
Ein Beispiel aus der Praxis: Ein Cyrebro-Team hatte eine ausgehende Datenverbindung von einem nordamerikanischen Casino-Kunden identifiziert. Dank ihrer jahrelangen Erfahrung waren die Experten in der Lage, versteckte Indizien für Hintertüren aller Art aufzuspüren und den Angreifern einen Riegel vorzuschieben. SOCs können regelmäßige Schwachstellenbewertungen durchführen und der Behebung von Schwachstellen, die häufig von Hackern ausgenutzt werden, Priorität einräumen.
Fazit
Das Konzept einer Hintertür in ein Netzwerk ist einfach zu verstehen, und wie die meisten Situationen im Bereich der Cybersicherheit ist es nicht einfach, sie zu erkennen oder schließen. Deshalb brauchen Unternehmen die richtigen Leute mit den richtigen Tools, um Backdoor-Angriffe zu vereiteln, bevor Cyberkriminelle eine Chance erhalten, über sie ins System einzudringen.
Von Adi Peer, General Manager bei Cyrebro