Wer zehntausende Nutzer auf den eigenen Systemen hat, kann mit Sicherheit davon ausgehen, dass einige kompromittiert sind. Bei einer so großen Menge von Personen kann nicht verhindert werden, dass ein kleiner Teil unachtsam ist und auf Phishing hereinfällt, ein Rechner von Malware befallen ist oder die Zugangsdaten auch bei anderen Diensten verwendet werden. Eine starke Abschottung gegenüber dem Internet, wie es große Firmen in der Regel tun, ist für die IT-Abteilungen großer Wissenschaftseinrichtungen aber oftmals nicht im gleichen Ausmaße möglich, weil dieses für Forschung und Studium zu hinderlich wäre.
Fallen Anmeldeinformationen in falsche Hände, so kann es zu verschiedenen Formen von Missbrauch kommen, der den Betrieb der eigenen Systeme gefährden, aber auch zu Ansehensverlust führen kann. Um Schaden von der eigenen Einrichtung abzuwenden, ist es daher wünschenswert, den Missbrauch kompromittierter Accounts möglichst frühzeitig zu entdecken und abzustellen.
Im Folgenden wird beschrieben, wie auf E-Mail-Servern und anhand der Auswertung von Login-Informationen eine möglichst frühzeitige Erkennung einer bösartigen Fremdnutzung gelingen kann. An der Freien Universität Berlin setzen wir die beschriebenen Verfahren seit Jahren ein und es ist uns gelungen, damit zahlreiche fremdgenutzte Nutzerkonten frühzeitig aufzuspüren. Eine schnelle Sperrung macht die Zugangsdaten für den Angreifer unbrauchbar und die Einrichtung für weitere Angriffe unattraktiver.
Erkennung auf Mailservern
Der Versand von E-Mail über fremde Server ist für Angreifer von besonders großem Interesse und daher weit verbreitet. Sei es Spam, betrügerische E-Mail oder Phishing, um an die Zugangsdaten weiterer Nutzer heranzukommen: Sehr oft werden erbeutete Accounts sofort für den Versand weiterer Spam-, Phishing- und Viren-E-Mails durch die Angreifer eingesetzt, und damit unmittelbar “verbrannt”. Man mag sich einerseits darüber freuen, dass hier die Möglichkeit, tiefer in die eigenen Systeme einzudringen, nicht voll ausgenutzt wurde, aber andererseits verschlechtert der Spamversand die Reputation der eigenen Systeme im Internet und kann dazu führen, dass Provider die Annahme von E-Mail aufgrund der unerwünschten Mailflut verweigern, so dass die Kommunikation der gesamten eigenen Einrichtung mit der Außenwelt (vorübergehend) gestört ist.
Ratelimiting
Eine unverzichtbare Maßnahme, um Missbrauch Grenzen zu setzen, ist die Einschränkung der Mailmenge, die von einem Account innerhalb einer bestimmten Zeitspanne verschickt werden darf. Es ist wichtig, diese Begrenzung so zu setzen, dass die überwiegende Anzahl von Nutzern im Tagesgeschäft nicht behindert werden, aber ein Angreifer auch nicht zu viel Schaden anrichten kann. Allgemeingültige Werte lassen sich dafür nicht nennen, aber wir haben mit der Begrenzung auf 1.000 Zieladressen innerhalb von 24 Stunden gute Erfahrungen gemacht. Für eine kleine Zahl von Personen und automatischen Prozessen, die aus dienstlichen Gründen eine größere Anzahl von Nachrichten in kurzer Zeit verschicken müssen, gibt es gesonderte Berechtigungen auf einem speziellen Mailserver.
Das Erreichen des Ratelimits führt aber nicht nur dazu, dass der Mailserver keine weiteren E-Mails des betroffenen Nutzers mehr annimmt, sondern löst bei uns auch einen Alarm aus, der eine Meldung mit den wichtigsten Informationen (Account- und Servername) direkt in unseren dienstlichen Chat-Kanal einfügt. Auf diese Weise sind mehrere Beschäftigte sofort informiert und es kann kurzfristig eine Prüfung erfolgen, deren Ergebnis dann ebenfalls im Chat bekanntgegeben werden kann. Handelt es sich um einen Fehlalarm, so kann eine Information zur dienstlichen Versendung von Massenmails an den Auslöser verschickt werden. Bestätigt sich hingegen die unberechtigte Fremdnutzung, so wird der Account mit einem Zufallspasswort versehen und eine “Abuse”-Markierung zur Information des First-Level-Support-Teams gesetzt. Erst nach einer (zumeist persönlichen) Identitätsprüfung des Accountinhabers und ggf. einer Belehrung ist eine erneute Nutzung möglich.
Ähnlichkeiten prüfen
Auf das Ratelimiting kann als Notbremse keinesfalls verzichtet werden, aber dieses greift sehr spät – zu diesem Zeitpunkt sind ja schon einige bösartige E-Mails in Umlauf gelangt. Das Ziel sollte es sein, einen derartigen Missbrauch bereits vorher zu erkennen.
Wird das Ratelimiting durch einen Angreifer ausgelöst, so kann der Vorfall genutzt werden, um weitere betroffene Zugangsdaten zu ermitteln: Von welchen IP-Adressen wurden die E-Mails verschickt und gab es Zugriffe von diesen Adressen auf andere Accounts? Welche Absenderadressen und welche Betreffzeilen wurden verwendet? Wurden E-Mails über andere Zugangsberechtigungen mit den gleichen Merkmalen verschickt? Es ist nicht selten, dass es auf diese Weise gelingt, weitere vom Angreifer missbrauchte Zugänge zu entdecken, die dann ebenfalls gesperrt werden.
Untersuchungen automatisieren
Auf diese Weise gelingt es aber nicht, zukünftigen Missbrauch frühzeitig zu erkennen. Um auch dieses zu erreichen, kann man die Logfiles der Mailserver ständig durch ein geeignetes Programm untersuchen lassen und bestimmte Muster hinterlegen, die zu einer Alarmauslösung (bei uns ebenfalls im Gruppen-Chat) führen. Wir nutzen zur Analyse der Logfiles die Software swatchdog, die ohne nennenswerte Belastung die Logfiles aller Mailserver untersucht und uns im Bruchteil einer Sekunde informiert, wenn Auffälligkeiten gefunden werden.
Analysiert werden z.B. die genutzten Absenderadressen (im Header und im Envelope) und die Anzeigenamen – denn dass die “Bank of Guam” über unseren Server tatsächlich E-Mails verschickt, dürfte sehr unwahrscheinlich sein. Angreifer haben aber z.B. - im Abstand von mehreren Wochen - immer wieder versucht, Nachrichten mit dieser Absenderbezeichnung in die Welt zu verschicken. Geprüft werden auch die Betreffzeilen, denn bei Phishing werden die aufmerksamkeitserhaschenden Begriffe und die generischen Bezeichnungen oft wiederholt genutzt.
Und weil die Angreifer die erbeuteten Accounts in der Regel vorher ausprobieren, können auch SMTP-Test-E-Mails ein guter Indikator sein. Noch nützlicher ist aber eine Sammlung von Zieladressen aus bekannten Vorfällen, denn wir haben festgestellt, dass die Zieladressen der Testmails für einige Zeit - manchmal sogar für viele Monate - erneut verwendet werden. Daher werden auch die angeschriebenen Zieladressen untersucht und gegen eine Liste geprüft, die Adressen von Vorfällen in der Vergangenheit enthält.
Da wir aber nicht in der Lage sind, rund um die Uhr eventuelle Meldungen auszuwerten und der massenhafte Mailversand ggf. schneller als eine manuelle Untersuchung erfolgen kann, erhalten bei uns Nachrichten, die bezüglich der genannten Kriterien auffällig sind, einen starken Ratelimiting-Malus, der 300 angeschriebenen Adressen entspricht. Mit dem oben erwähnten Limit von 1.000 Zieladressen je 24 Stunden, können damit maximal drei dieser auffälligen E-Mails verschickt werden, bis das Ratelimiting als Begrenzung greift. Mit diesen Einstellungen führt eine sehr kleine Zahl eventueller falsch positiver Mails noch nicht zu einer für unsere Anwender spürbaren Sperre, aber für Angreifer wird der missbrauchte Zugang sehr schnell unattraktiv und nutzlos – rund um die Uhr und ganz ohne unser Eingreifen. Das ausgelöste Ratelimit alarmiert uns trotzdem, so dass wir bei nächster Gelegenheit den entsprechenden Account sperren und die Zugangsdaten “verwürfeln” können.
Darüber hinaus werden auch abgehende E-Mails auf Spam untersucht und erhalten ebenfalls einen Ratelimiting-Malus, der aber deutlich geringer ausfällt, denn es gibt einige Anwender, die meinen, es sei eine gute Idee, erkannten Spam zu beantworten oder an eigene Accounts bei anderen Providern weiterzuleiten. Vermutlich ist es müßig, diesen Personen erklären zu wollen, dass diese Idee doch nicht so gut ist, so dass wir dieses nicht versuchen und stattdessen unsere Einstellungen so angepasst haben, dass es nicht zu häufigen Fehlalarmen kommt.
Erkennung aufgrund von Login-Informationen
Eine wesentliche Information, um Missbrauch rechtzeitig zu erkennen, ist die IP-Adresse, von der der Zugriff erfolgt ist. Dieses betrifft nicht nur die Maileinlieferung, sondern auch alle anderen Dienste, die den Anwendern zur Verfügung gestellt werden. Für eine effektive Analyse ist es daher erforderlich gewesen, dass die Login-Information (Zeitstempel, Benutzername, Source-IP-Adresse, genutzter Dienst) an zentraler Stelle zusammengeführt werden. Bei der Vielzahl von Anwendungen, die von verschiedenen Arbeitsgruppen zur Verfügung gestellt werden, den unterschiedlichen Betriebssystemen und den sehr uneinheitlichen Protokollierungen, war das eine Herausforderung, die einige Zeit und noch mehr Mühe erfordert hat. Hat man es aber erst einmal geschafft, dann fallen SSH-Anmeldungen aus Brasilien und zeitnahe E-Mail-Einlieferungen aus Nigeria auf. Oder die lokale Nutzung von Windows-Arbeitsplätzen, während per VPN aus China auf Bibliotheksressourcen zugegriffen wird.
Alle Logins bei irgendeinem unserer Dienste, die von IP-Adressen stammen, die in der Vergangenheit bereits aufgefallen sind, lösen bei uns eine Warnung aus, damit eine manuelle Untersuchung stattfinden kann. Auf diese Weise werden kompromittierte Zugänge gut gefunden, denn dort erkennt man oft zahlreiche Zugriffe, die von mehreren Kontinenten stammen. Eine automatische Sperre ist an dieser Stelle aufgrund der Nutzung bestimmter VPN-Anbieter, die Verbindungen über die Welt verteilen und von manchen unserer Anwender genutzt werden, leider nicht möglich. Wir pflegen daher eine Liste von Accounts, bei denen wir dieses Verhalten festgestellt haben und die von der Alarmauslösung ausgenommen werden.
Sicherlich gibt es weitere Möglichkeiten, kompromittierte Accounts zu erkennen und die vorgenannten Beispiele können als Anregung für eigene Überlegungen genutzt werden. Außerdem wird man mit diesen Methoden keine zielgerichteten Angriffe auf bestimmte Personen (Spearphishing), staatliche Akteure oder Ransomware-Verschlüsseler erkennen, aber diese sind hoffentlich wesentlich seltener.
Heiko Schlichting, FUB-ART, Freie Universität Berlin