Verborgene Informationen in der Windows-Registrierung

Nur auf Englisch verfügbar

10 Juli 2020, von Guus Beckers, Sicherheitsspezialist bei Bureau Veritas Cybersecurity
Xpbliss

Unsere Ermittler stoßen bei Red Teaming-Einsätzen auf alle möglichen sensiblen Informationen. Obwohl diese Informationen in der Regel für die forensische Datensammlung durch die Strafverfolgungsbehörden reserviert sind, sind sie auch für Angreifer, die versuchen, in Computernetzwerke einzudringen, von großem Wert.


Das Sammeln von Informationen zur Erhöhung der Privilegien auf wichtigen Systemen innerhalb eines Unternehmens ist ein wesentlicher Bestandteil der Red Teaming-Kill-Chain, insbesondere der Phasen "Discovery" und "Privilege Escalation". Es werden Informationen gesammelt, die wiederum dazu verwendet werden, zwischen Systemen innerhalb der größeren Netzwerkinfrastruktur zu wechseln.

In diesem Blog wird Guus Beckers beschreiben, wie die Windows-Registrierung Informationen verbirgt, die für potenzielle Angreifer von großem Wert sind.


1. Einführung

"Jeder Kontakt hinterlässt eine Spur", dieses Prinzip wurde von Dr. Edmond Locard im zwanzigsten Jahrhundert geprägt. Seitdem ist es zu einem Eckpfeiler der forensischen Wissenschaften geworden. Dr. Locard bezog sich dabei auf Spuren in der physischen Welt, unter anderem auf Blutspuren, Stofffasern und Haarsträhnen. Dies gilt jedoch auch für Computergeräte und Computernetzwerke. Die Namen von Dokumenten, Netzwerkstandorten und Systembefehlen sind nur einige Beispiele dafür. All diese Informationen werden unbedacht eingegeben und vom Betriebssystem aus Bequemlichkeitsgründen gespeichert. Wenn Computersysteme von Mitarbeitern kompromittiert werden, können diese Informationsspuren von Angreifern genutzt werden, um ein besseres Verständnis des betroffenen Mitarbeiters, Computersystems oder Computernetzwerks zu erlangen. Eine der wichtigsten Quellen im Windows-Betriebssystem ist die Registry, eine Datenbank, in der die meisten Systemeinstellungen gespeichert werden.

Sie speichert eine Vielzahl von Informationen wie z.B.:

  • Informationen zu angeschlossenen Netzwerken;
  • Name und detaillierte Netzwerkinformationen zu jedem (zuvor verbundenen) drahtlosen Netzwerk;
  • Inhalte von Öffnen/Speichern-Dialogfeldern (um einen Überblick über vorhandene Dateien zu erhalten);
  • Wie oft ein Programm gestartet wurde, den Speicherort des Programms, auch wenn es gelöscht oder deinstalliert wurde;
  • Software, die beim Hochfahren des Computers gestartet wird;
  • Zeitzone;
  • Angeschlossene Geräte;
  • Angeschlossene USB-Speichergeräte.

Mit dem richtigen Fachwissen können Sie dieses Wissen finden und wiederverwenden.

Adobestock 69955791

2. Sammeln von sensiblen Informationen

Stellen Sie sich folgendes Szenario vor: Ein leitender Angestellter benutzt seinen Laptop und einem Hacker ist es gelungen, sich Zugang zu diesem Laptop zu verschaffen. Eine der wertvollsten Informationsquellen ist die Windows-Registrierung, sie ist das Herzstück des Windows-Betriebssystems. Sie fungiert als Konfigurationsdatenbank und behält den Überblick über wichtige Systemdateien, installierte Anwendungen, Benutzereinstellungen und viele andere Arten von Daten. Als solche enthält sie eine Fülle von Informationen. Obwohl sie gut geschützt ist, muss jedes einzelne Benutzerkonto Zugriff auf die Registrierung haben, um wichtige Teile des Betriebssystems zu laden. Daher hat jedes Benutzerkonto Zugriff auf die Registrierung und kann Daten aus ihr lesen. Die in der Registrierung verfügbaren Daten können für eine Vielzahl von Zwecken verwendet werden.

Mit einigen wenigen Systembefehlen ist der Angreifer in der Lage, die Liste der zuvor verbundenen drahtlosen Zugangspunkte einzusehen. Als praktische Funktion speichert Windows den Standort von zuvor verbundenen Netzwerken, um sicherzustellen, dass sie auch bei zukünftigen Besuchen funktionieren. Der Hacker kann sehen, dass der Manager einige Hotels sowie mehrere Büros seiner eigenen Firma in den Vereinigten Staaten besucht hat. Die aus der Registrierung gewonnenen Zeitzoneninformationen stimmen mit einem der Büros überein, so dass es wahrscheinlich ist, dass sich die Führungskraft an diesem Ort befindet. Ein tieferer Blick in die Registrierung offenbart die von diesem Benutzer am häufigsten verwendeten Computeranwendungen, darunter eine ältere Version von Microsoft Office mit einigen vielversprechenden Sicherheitslücken. Es ist wahrscheinlich, dass viele Geräte innerhalb des Unternehmens die gleiche Version verwenden. Der Angreifer hat nun eine ziemlich gute Vorstellung davon, was er als Nächstes tun muss, und kann dieselben Techniken (und andere Stellen in der Registrierung) verwenden, um wertvolle Informationen über andere Geräte zu sammeln.

Der nächste Schritt besteht darin, das System nach weiteren Informationen über die Person selbst zu durchsuchen. Eine ideale Informationsquelle ist der Verlauf des Webbrowsers. Er informiert den Angreifer über die jüngsten Aktivitäten des Benutzers, einschließlich der besuchten Websites und der Anzahl der Besuche auf den jeweiligen Seiten. Diese Informationen können in Verbindung mit anderen Zeitstempel-Informationen einem Angreifer Aufschluss über die Hobbys, die Arbeit, die Familie und eine Vielzahl anderer Interessen der Zielperson geben. Webbrowser enthalten sensible Daten über Einzelpersonen. Anhand der gesammelten Daten sowie des gemeinsamen Verlaufs (der heruntergeladene Dateien und Suchmaschineninformationen enthält) kann ein Angreifer ohne ethische Bedenken ein Gefühl für die Wünsche und Zweifel der Person bekommen. Die gewonnenen Informationen können wiederum für (Spear-)Phishing-Kampagnen verwendet werden. Natürlich sind auch andere Dateien auf dem Gerät ein attraktives Ziel für Hacker, die möglicherweise noch mehr interessante Informationen preisgeben.

Person behind computer

3. Prävention

Das oben beschriebene Szenario ist zwar fiktiv, kann aber in einer realen Situation durchgeführt werden. Alle in dem Szenario beschriebenen Daten können recht einfach erlangt werden, sobald das Konto eines Mitarbeiters kompromittiert wird und der Angreifer mit Benutzerrechten angemeldet ist. Die erlangten Informationen können als Sprungbrett genutzt werden, um das Unternehmen weiter zu infiltrieren. Die Regeln der Vorbeugung gelten nach wie vor: Schützen Sie Ihre Benutzerkonten mit einem sicheren Passwort, halten Sie Ihr Sicherheitsbewusstsein aufrecht und wenden Sie bewährte Praktiken im Bereich der Informationssicherheit an, um Ihr Unternehmen zu schützen.

Wenn Sie Fragen zu Ihrer Informationssicherheit haben, kontaktieren Sie uns bitte unter cybersecurity@bureauveritas.com.