Hacker stehlen Windows NTLM-Authentifizierungs-Hashes
Microsoft hatte bereits im Herbst vergangenen Jahres angekündigt, dass man plant, die NTLM-Authentifizierung in Windows 11 abzuschaffen. Derweil wird jetzt davor gewarnt, dass NTLM-Hashes gestohlen werden, um sich Zugriff zu fremden Netzwerken zu verschaffen.
Entdeckt wurde dabei eine bösartige E-Mail-Kampagne, die in der Lage ist, Authentifizierungsinformationen abzugreifen, wenn ein Opfer E-Mail-Anhänge für den Zugang zu Windows-Netzwerken öffnet. Gesucht wird dann nach den Authentifizierungsinformationen des Microsoft Windows NT LAN Manager (NTLM).
NTLM ist der Standard-Authentifizierungsmechanismus, der in Windows-Netzwerken verwendet wird, wenn ein Computer versucht, auf Netzwerkressourcen oder -dienste zuzugreifen, zum Beispiel auf Dateifreigaben über das SMB-Protokoll.
"Proofpoint beobachtet in der Regel TA577 bei der Durchführung von Angriffen zur Verbreitung von Malware und hat diesen Bedrohungsakteur noch nie dabei beobachtet, wie er die Angriffskette zum Diebstahl von NTLM-Anmeldedaten demonstrierte, die erstmals am 26. Februar beobachtet wurde", so die Forscher des Sicherheitsunternehmens Proofpoint in einem Bericht über die Angriffe.
TA577 war einer der wichtigsten Partner des Qbot-Botnets, bevor es zerschlagen wurde. Es gab aber auch Verbindungen zu anderer Malware, wie IcedID, SystemBC, SmokeLoader, Ursnif, Cobalt Strike und seit kurzem auch zu Pikabot.
Da die Gruppe den Zugang zu Computern an andere cyberkriminelle Banden verkauft, wurden die von TA577 kompromittierten Systeme mit Ransomware infiziert, insbesondere mit Black Basta, schrieb Proofpoint. Infografik Sicherheit im Netz: Deutsche fürchten sich vor Datenmissbrauch
TA577 hat sich auf eine Technik spezialisiert, die als Thread Hijacking bekannt ist. Dabei werden E-Mails so gestaltet sind, dass sie als Antworten auf zuvor gesendete legitime E-Mails erscheinen. Die jüngsten Kampagnen, die Proofpoint beobachtete, verwendeten dementsprechend Nachrichten, in denen die Empfänger gefragt wurden, ob sie Zeit hätten, sich ein zuvor gesendetes Dokument anzusehen.
Die E-Mails enthielten ein .zip-Archiv und ein Passwort, das zum Entpacken benötigt wurde. Das Archiv wiederum enthält ein harmlos aussehendes HTML-Dokument, das für jedes Opfer individuell angepasst wird. Wenn das HTML-Dokument geöffnet wird, löst es automatisch einen Verbindungsversuch zu einem entfernten SMB-Server aus.
Proofpoint hat keine Auslieferung von Malware beobachtet, erklärten die Forscher. Stattdessen sieht es so aus, dass nur NTLMv2 Challenge/Response-Paare vom SMB-Server abgefangen werden, um NTLM-Hashes zu stehlen. Unternehmen wird empfohlen, ausgehende SMB- und WebDAV-Verbindungen an ihren Netzwerkgrenzen zu blockieren, um solche Schwachstellen zu verhindern, da immer mehr Angreifer diese Technik nutzen.
Siehe auch:
Zugang zu Windows-Netzwerken
Das meldet das Online-Magazin Bleeping Computer. Die Hackergruppe TA577 hat demnach allein Anfang März Tausende von E-Mails an Hunderte von Unternehmen versendet.Entdeckt wurde dabei eine bösartige E-Mail-Kampagne, die in der Lage ist, Authentifizierungsinformationen abzugreifen, wenn ein Opfer E-Mail-Anhänge für den Zugang zu Windows-Netzwerken öffnet. Gesucht wird dann nach den Authentifizierungsinformationen des Microsoft Windows NT LAN Manager (NTLM).
NTLM ist der Standard-Authentifizierungsmechanismus, der in Windows-Netzwerken verwendet wird, wenn ein Computer versucht, auf Netzwerkressourcen oder -dienste zuzugreifen, zum Beispiel auf Dateifreigaben über das SMB-Protokoll.
Entdeckt Ende Februar
NTLM-Anmeldeinformationen werden nicht im Klartext, sondern als kryptografischer Hash gesendet. Da es aber Möglichkeiten gibt, die Passwörter aus solchen Hashes wiederherzustellen, lassen sie sich, sobald sie in die Hände von Unbefugten gelangen, auch nutzen."Proofpoint beobachtet in der Regel TA577 bei der Durchführung von Angriffen zur Verbreitung von Malware und hat diesen Bedrohungsakteur noch nie dabei beobachtet, wie er die Angriffskette zum Diebstahl von NTLM-Anmeldedaten demonstrierte, die erstmals am 26. Februar beobachtet wurde", so die Forscher des Sicherheitsunternehmens Proofpoint in einem Bericht über die Angriffe.
TA577 war einer der wichtigsten Partner des Qbot-Botnets, bevor es zerschlagen wurde. Es gab aber auch Verbindungen zu anderer Malware, wie IcedID, SystemBC, SmokeLoader, Ursnif, Cobalt Strike und seit kurzem auch zu Pikabot.
Da die Gruppe den Zugang zu Computern an andere cyberkriminelle Banden verkauft, wurden die von TA577 kompromittierten Systeme mit Ransomware infiziert, insbesondere mit Black Basta, schrieb Proofpoint. Infografik Sicherheit im Netz: Deutsche fürchten sich vor Datenmissbrauch
TA577 hat sich auf eine Technik spezialisiert, die als Thread Hijacking bekannt ist. Dabei werden E-Mails so gestaltet sind, dass sie als Antworten auf zuvor gesendete legitime E-Mails erscheinen. Die jüngsten Kampagnen, die Proofpoint beobachtete, verwendeten dementsprechend Nachrichten, in denen die Empfänger gefragt wurden, ob sie Zeit hätten, sich ein zuvor gesendetes Dokument anzusehen.
Die E-Mails enthielten ein .zip-Archiv und ein Passwort, das zum Entpacken benötigt wurde. Das Archiv wiederum enthält ein harmlos aussehendes HTML-Dokument, das für jedes Opfer individuell angepasst wird. Wenn das HTML-Dokument geöffnet wird, löst es automatisch einen Verbindungsversuch zu einem entfernten SMB-Server aus.
Proofpoint hat keine Auslieferung von Malware beobachtet, erklärten die Forscher. Stattdessen sieht es so aus, dass nur NTLMv2 Challenge/Response-Paare vom SMB-Server abgefangen werden, um NTLM-Hashes zu stehlen. Unternehmen wird empfohlen, ausgehende SMB- und WebDAV-Verbindungen an ihren Netzwerkgrenzen zu blockieren, um solche Schwachstellen zu verhindern, da immer mehr Angreifer diese Technik nutzen.
Zusammenfassung
- Microsoft plant Abschaffung der NTLM-Authentifizierung in Windows 11
- TA577 verschickt Tausende E-Mails zur NTLM-Hash-Diebstahl
- Bösartige E-Mail-Kampagne greift Windows-Authentifizierungsinformationen ab
- NTLM-Hashes können trotz Verschlüsselung missbraucht werden
- Proofpoint entdeckt erstmaligen NTLM-Datenklau durch TA577
- TA577 verkaufte Zugänge zu Computern für Ransomware-Infektionen
- Proofpoint rät, ausgehende SMB/WebDAV-Verbindungen zu blockieren
Siehe auch:
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen