CrowdStrike 2023 Threat Hunting Report: Identitätsbasierte Angriffe und Hands-on-Keyboard-Aktivitäten sind auf dem Vormarsch, da Angreifer versuchen, Abwehrmaßnahmen zu umgehen

Im Fokus stehen eine Zunahme von 583 Prozent bei Kerberoasting-Identitätsangriffen und eine Verdreifachung der böswilligen Nutzung legitimer RMM-Tools, zudem erreicht die Breakout-Time der Angreifer ein neues Rekordtief

CrowdStrike  veröffentlichte heute den Threat Hunting Report 2023. Der sechste Jahresbericht des Unternehmens erfasst die Angriffstrends und die Vorgehensweise der Angreifer, die von CrowdStrikes Elite-Threat Huntern und Intelligence-Analysten beobachtet wurden. Er verzeichnet einen massiven Anstieg identitätsbasierter Angriffsversuche, eine wachsende Spezialisierung der Angreifer auf die Cloud, einen dreifachen Anstieg der Nutzung legitimer Remote-Monitoring- und Management-Tools (RMM) sowie ein neues Rekordtief der Breakout-Time von Angriffen. Der neue Threat Hunting Report berücksichtigt die Aktivitäten der Angreifer zwischen Juli 2022 und Juni 2023 und ist der erste Bericht, der von CrowdStrikes neuem Counter Adversary Operations Team veröffentlicht wird, das diese Woche auf der Black Hat USA 2023 offiziell vorgestellt wurde.

Zu den Key Findings des Reports gehören unter anderem:

• Die massive Zunahme von Kerberoasting-Angriffen um 583 Prozent verdeutlicht die extreme Zunahme von identitätsbasierten Angriffen: CrowdStrike stellte einen alarmierenden Anstieg von Kerberoasting-Angriffen fest, die sich im Jahresvergleich fast versechsfacht haben. Dabei handelt es sich um eine Technik, mit der sich Angreifer gültige Anmeldeinformationen für Active-Directory-Konten verschaffen können, die ihnen häufig höhere Privilegien verschaffen und es ihnen ermöglichen, in den Umgebungen ihrer Opfer über einen längeren Zeitraum unentdeckt zu bleiben. Insgesamt wurden bei 62 Prozent aller interaktiven Angriffsversuche valide Zugangsdaten missbraucht. Gleichzeitig stieg die Zahl der Versuche, geheime Schlüssel und andere Anmeldeinformationen über Metadaten-APIs von Cloud-Instanzen zu erhalten, um 160 Prozent.
• Die Zahl der Angreifer, die legitime RMM-Tools ausnutzen, ist im Vergleich zum Vorjahr um 312 Prozent gestiegen: Ein weiterer Beleg für die Berichte der CISA ist die Tatsache, dass Angreifer zunehmend legitime und bekannte Remote-IT-Management-Anwendungen nutzen, um nicht entdeckt zu werden. So können sie auf sensible Daten zugreifen, Ransomware einsetzen oder weitere gezielte Folgetaktiken installieren.
• Mit 79 Minuten erreicht die Breakout-Time einen neuen Rekordtiefstand: Die durchschnittliche Zeit, die ein Angreifer benötigt, um von der anfänglichen Kompromittierung zu anderen Hosts in der Opferumgebung lateral überzugehen, sank von dem bisherigen Tiefstwert von 84 Minuten im Jahr 2022 auf den neuen Rekordwert von 79 Minuten in diesem Jahr. Die kürzeste Breakout-Time des Jahres betrug nur 7 Minuten.
• Das Volumen interaktiver Angriffe auf den Finanzsektor ist im Vergleich zum Vorjahr um über 80 Prozent gestiegen. Insgesamt haben die interaktiven Angriffsversuche um 40 Prozent zugenommen und umfassen alle Angriffe, die mithilfe von Hands-on-Keyboard-Aktivitäten erfolgen.
• Die Zahl der im Dark Web geschalteten Inserate von Access-Brokern ist um 147 Prozent gestiegen: Dank des einfachen Zugriffs auf gültige Konten, die zum Kauf angeboten werden, sinkt die Einstiegshürde für eCrime-Akteure, die kriminelle Operationen durchführen wollen, und ermöglicht es etablierten Gegnern, ihr Handwerk nach der Exploitation zu verfeinern, um ihre Ziele mit größerer Effizienz zu erreichen.
• Die Nutzung von Linux-Tools zur Privilegien-Eskalation durch Angreifer zur Ausnutzung von Cloud-Umgebungen hat sich verdreifacht: Falcon OverWatch, CrowdStrikes führender 24/7/365 Service für Bedrohungsjagd, verzeichnete einen dreifachen Anstieg des Linux-Tools linPEAS. Angreifer nutzen dieses Tool, um Zugriff auf Metadaten der Cloud-Umgebung, Netzwerkattribute und verschiedene Anmeldeinformationen zu erhalten, die sie dann ausnutzen können.

„Wir haben im vergangenen Jahr mehr als 215 Angreifer beobachtet und konnten feststellen, dass die Bedrohungslandschaft zunehmend komplexer und tiefgreifender wird, da sich die Angreifer neue Taktiken und Plattformen zunutze machen, wie z. B. den Missbrauch gültiger Anmeldedaten, um Schwachstellen in der Cloud und in der Software auszunutzen“, erklärt Adam Meyers, Head of Counter Adversary Operations bei CrowdStrike. „Wenn wir über die Verhinderung von Sicherheitsverletzungen sprechen, können wir die unbestreitbare Tatsache nicht ignorieren, dass die Angreifer immer schneller werden und Taktiken anwenden, die absichtlich entwickelt wurden, um herkömmliche Erkennungsmethoden zu umgehen. Sicherheitsverantwortliche müssen daher prüfen, ob ihre Teams über die notwendigen Lösungen verfügen, um laterale Bewegungen eines Angreifers innerhalb von sieben Minuten zu stoppen.“

Weitere Informationen:

• Erfahren Sie in diesem Blog mehr über die Counter Adversary Operations von CrowdStrike.
• Eine Kopie des CrowdStrike Threat Hunting Report 2023 finden Sie hier.
• Hören Sie sich den neuesten Adversary Universe-Podcast an. Alle zwei Wochen donnerstags erscheint eine neue Episode.
• Hier erfahren Sie mehr über CrowdStrike Falcon OverWatch Elite.
• Oder melden Sie sich für den Live-CrowdCast des CrowdStrike Counter Adversary Operations-Teams an, der am 24. August für die EMEA-Region stattfindet.