- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Bekannte Angriffsmethoden


NotPetya-Attacke: Sind Unternehmen wirklich machtlos?
Wie Petya/NotPetya, aber auch andere Angriffe können sehr wohl und machtvoll abgewehrt werden

- Anzeigen -





"Ich höre immer wieder, dass die bestehenden Sicherheitssysteme ausreichend seien und dass man machtlos gegen solche Angriffe wäre – dem ist nicht so", sagt Oliver Keizers, Regional Director DACH des IT-Sicherheitsunternehmens Fidelis Cybersecurity. "Wir haben in der Vergangenheit immer wieder vernommen, dass Unternehmen sich machtlos gegenüber modernen Cyberattacken fühlen. Hier wird leider zu oft mit traditionellen Verteidigungswerkzeugen auf moderne Angriffe reagiert. Wir haben es hier nicht mit simplen, traditionellen Angriffen zu tun, die bekannte Präventionssysteme wie Antiviren-Software oder Firewalls verteidigen können, welche dann keine Gefahr mehr darstellen. Moderne Angriffe verstecken sich vor diesen Verteidigungslinien jedoch erfolgreich und lassen uns vermeintlich machtlos sein, hier bedarf es jedoch vor allem modernen Erkennungssystemen, welche eine weitere Verteidigung in der zweiten Linie ermöglichen. Auch uns und unseren Sicherheitsforschern war der hier vorliegende Schadcode initial unbekannt, das heißt aber nicht, dass wir nichts über die einzelnen Methoden gewusst hätten und diesen somit sehr wohl erkennen und erfolgreich verhindern konnten."

Nicolei Steinhage, Senior Systems Engineer DACH bei Fidelis Cybersecurity, erläutert die technischen Hintergründe dazu:
"Schaut man sich im Nachhinein die Angriffe an, so wird klar, dass die Erstinfektion durch eine DOC/RTF-Datei auf den Exploit CVE-2017-0199 erfolgte, die wiederum zu einer XLS-Datei mit eingebettetem HTA-Skript führte, was dann in der Folge den Malware-Download startete. Der hier verwendete Exploit war bereits bekannt und das hat dafür gesorgt, dass es bei vielen Unternehmen erst gar nicht zu einer Infektion kam – die Sicherheitssysteme am Perimeter konnten bereits vor der Infektion Alarm schlagen. Eine Warnung war hier also durchaus möglich und gegeben.

Diese Malware jedoch hat sich nach der Überwindung des Perimeters und der initialen Infektion sekundenschnell im gesamten Netzwerk ausgebreitet und alle verfügbaren Endpunkte befallen. Dazu nutzten die Angreifer durchaus valide und im System vorhandene Tools wie das Windows Management Interface (WMI) und PSexec, um mithilfe eines Derivates von MimiKatz an Benutzerzugangsdaten zu kommen und die Malware remote auszuführen. Der Transfer durch das Netzwerk zu den einzelnen Endpunkten fand per Server Message Block statt. Genau dieselbe Methode wurde bereits beim Angriff "Shamoon" 2012 verwendet – auch hier schlagen moderne, nicht signatur-basierte Sicherheitssysteme Alarm. Zudem war für moderne Endpunkt-Lösungen das Zusammensammeln der Zugangsdaten und die Nutzung von PSexec auf den betroffenen Systemen sichtbar und zu unterbinden – ebenso sekundenschnell, wie die Malware versuchte sich auszubreiten, indem der Endpunkt, egal ob es sich um einen Computer oder einen Server handelt, sofort vom Netzwerk isoliert und bereinigt wird.

Kurz gesagt, auch wenn der Schadcode noch unbekannt war, die Angriffsmethoden waren es nicht. Und moderne Sicherheitssysteme können anhand von Codeverhalten Angriffe finden und dagegen vorgehen. Typische Aktionen wie zum Beispiel Prozessausführung über "cmd.exe / c start", die Ausführung von Code aus dem TEMP Verzeichnis oder auch die Löschung von Volume Shadow Kopien sind immer verdächtig, müssen jedoch am Endpunkt zur Laufzeit erkannt werden können. Dabei braucht es dann nicht einmal mehr menschliche Hilfe: die Systeme gehen hier – beispielsweise bei der Isolation des befallenen Endpunkts und der folgenden Bereinigung – automatisiert vor und lösen das Problem, bevor es entsteht. Durch die Analyse von Metadaten rund um den Angriff ist es für das System dann des Weiteren möglich, selbständig zu lernen und zu überprüfen, ob ähnliche Angriffe bereits in der Vergangenheit auf dieses oder andere Systeme verübt worden sind.

Und auch wenn in diesem besonderen Fall der Sicherheitsforscher Amit Serper sehr schnell eine Möglichkeit gefunden hatte, sein System zu "impfen", rührt die gefühlte Machtlosigkeit der Unternehmen daher, dass sie nicht wissen, wie sie dies auf allen Endpunkten, die in die Tausende gehen können, so schnell wie möglich durchführen sollen. Mit einem entsprechenden zentralen Management-Tool für die Endpunkte wäre dieses Problem sehr schnell über einfachste Skripte (manchmal so einfach, dass es nicht mehr als zwei Zeilen Code brauchte!) erledigt."

Oliver Keizers kommt deshalb zu dem Schluss, dass das Gefühl der Machtlosigkeit woanders herrührt:
"Die "Machtlosigkeit", die viele Unternehmen also spüren und die noch häufig von reaktiven, signaturbasierten Systemen gepredigt wird, existiert also absolut nicht. Es ist nur, gerade für globale Unternehmen, schwer, immer auf der Höhe der Zeit zu bleiben – Innovationszyklen bei Angriffen und Verteidigung sind schnell, Implementationszyklen aber langsam. Budgettöpfe werden lange im Voraus geplant und moderne Verteidigungslösungen finden darin nur stark verspätet eine Position.

Es bedarf also eines umfassenden modernen Systems zur Erkennung und Verteidigung von Angriffen, einer besseren Analyse auch des internen Verkehrs auf Inhaltsebene und vor allem einer Lösung auf dem Endpunkt, die all die oben geforderten Schritte und Fähigkeiten aus einer Hand bietet.

Das soll übrigens nicht heißen, dass Unternehmen ihre alten Systeme einfach rausschmeißen sollten, oder dass man unbedingt mehr Geld in die Hand nehmen muss. Sicherheitslösungen sollten sich ergänzen, es kommt aber auch durch ganzheitlichere Ansätze zu einer Konsolidierung der Produkte und Services.

Zahlreiche Unternehmen haben in den vergangenen Jahren traditionelle Security-Maßnahmen implementiert – und ruhen sich nun darauf aus. Gefühlte Sicherheit ist also trügerisch, bis zum nächsten Angriff."
(Fidelis Cybersecurity: ra)

eingetragen: 10.07.17
Home & Newsletterlauf: 09.08.17


Fidelis Cybersecurity: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Florierendes Geschäft mit BEC-as-a-Service

    Digital Shadows entlarvt in einem neuem Report "Pst! Cybercriminals on the Outlook for Your Emails" die unterschiedlichen Methoden bei BEC (Business Email Compromise)-Angriffen. Neben Phising-Angriffen profitieren Cyberkriminellen demnach auch von der großen Menge an öffentlich zugänglichen E-Mail-Posteingängen und Archivdateien. Digital Shadows entdeckte eine Vielzahl an ungeschützten E-Mail-Postfächer von Unternehmen im Netz, darunter 12,5 Millionen E-Mail-Archivdateien (.eml, .msg, .pst, .ost, .mbox), die über falsch konfigurierte rsync-, FTP-, SMB-, S3-Buckets und NAS-Laufwerke öffentlich zugänglich sind. Durch die unsachgemäße Sicherung der Archive legen Mitarbeiter und Auftragnehmer unwissentlich sensible, persönliche und finanzielle Informationen offen. So fanden die Analysten beispielsweise 27.000 Rechnungen, 7.000 Auftragsbestellungen und 21.000 Zahlungsbelege. Cyberkriminelle nutzen diese Informationen, um über gefälschte E-Mails Kunden und Mitarbeiter dazu zu bewegen, Zahlungen zu tätigen. In anderen Fällen übernehmen die Hacker die Identität des Kontoinhabers und führen von dort ihre Betrugsmaschen aus. Laut FBI beläuft sich der weltweite Schaden von BEC-Angriffe allein in den letzten fünf Jahren auf über 12 Milliarden US-Dollar.

  • Betrugsfälle durch Emoji-Tastaturen

    Es wird geschätzt, dass täglich mehr als 5 Milliarden Emojis allein über den Facebook Messenger ausgetauscht werden. Da Emojis immer beliebter werden, nutzen Betrüger, Hacker und verschiedene dubiose digitale Unternehmen die Vorteile daraus. Wenn du von Emojis besessen bist, könntest du schnell in die Falle tappen und Deine privaten Daten offenlegen. "Es gibt eine wichtige Regel im Zusammenhang mit der Cybersicherheit - niemals Links öffnen, auf Anzeigen klicken oder Apps oder Add-Ons herunterladen, wenn Du nicht sicher bist, woher sie stammen. In der heutigen Zeit muss man zweimal hinschauen, auch wenn es um eine lustige Sache wie Emojis geht", erklärt Daniel Markuson, Digital Privacy Expert bei NordVPN. "Einer der wachsenden Trends sind Betrugsfälle durch herunterladbare Emoji-Tastaturen. Sei besonders vorsichtig bei kostenlosen Emoji-Tastaturen, da nichts wirklich kostenlos ist".

  • Zunehmend Unternehmen im Fokus

    Fast drei Viertel des Jahres 2018 liegt bereits hinter uns und das Gros der Vorhersagen zur Cybersicherheit, die wir Ende 2017 machten, haben sich leider bereits erfüllt. Von Cryptojackern, die zu einer echten Bedrohung für Unternehmen werden, anstatt nur ein Ärgernis für Privatanwender zu sein, über Hardware-Schwachstellen, bis hin zu IoT-Bedrohungen, die an Komplexität zugenommen haben, hatte das Jahr 2018 bislang einiges zu bieten. Es lohnt sich abzugleichen, wie präzise der Blick in die Kristallkugel war.

  • Komplette Surfprofile beim US-Konzern

    Bereits seit Jahren ist bekannt, dass sich DNS-Anfragen leicht auslesen und manipulieren lassen: "Kriminelle können beispielsweise nicht nur sehen, welche Internet-Dienste ihr Opfer nutzt, sondern sind auch in der Lage, dessen Internet-Zugriffe auf eine Phishing-Seite umzuleiten, um persönliche Daten auszulesen", verdeutlicht Christian Heutger, Geschäftsführer der PSW Group, die Problematik. Immerhin: Mit dem DoT und dem DoH-Ansatz stehen bereits zwei Möglichen bereit, die dem DNS mehr Sicherheit spendieren könnten. Die IETF, eine Organisation, die sich mit der technischen Weiterentwicklung des Internets befasst, präferiert die DoH-Spezifikation und möchte sie endlich standardisieren. Damit sollen die Browser-Entwickler und Content Delivery-Netze DNS künftig einpacken und absichern.

  • Das vernetzte Auto: Chancen und Risiken

    Menschen lieben ihre Autos, gerade die Deutschen. Ist es an der Zeit den langjährigen Gefährten gegen "einen Neuen" einzutauschen, kann der Abschied schwer fallen. Inzwischen erleichtern eine Vielzahl cooler Gadgets und Ausstattungs-Features von der beheizten Armlehne bis hin zu Instant Messaging und Augmented Reality das Umsteigen. Selbstfahrende Autos sind der nächste Schritt innerhalb dieser Entwicklung. Obwohl man sich durchaus eine gesunde Portion Skepsis bewahren darf, nicht nur angesichts dieser Episode aus der Serie Silicon Valley in der einer der Hauptcharaktere dank eines selbstfahrenden Autos in einem versiegelten Container unwillentlich nach Asien verschifft wird.