Weekend Special

Immer neue Tarnmethoden

Tarnmethoden

Cyberbedrohungen sind wie eine Art Versteckspiel, leider nur eine der gefährlichen Art. In diesem Artikel zeigen wir einige Aspekte von Tarnmethoden, die es Verbrechern ermöglichen, die Verteidigung klassischer Cybersicherheitslösungen zu durchdringen und nahezu ohne forensische Indizien verheerende Schäden anzurichten.

Darüber hinaus stellen wir einige leistungsstarke (und einfache) Möglichkeiten vor, wie Sie Ihr Unternehmen effektiv vor schwer auffindbaren Angriffen schützen können – ganz ohne Zusatzaufwand für Ihr Team und trotz des anhaltenden Mangels an Cybersicherheitsressourcen.

Anzeige

Die Anatomie zielgerichteter Angriffe

Gezielte Attacken sind das Präzisionswerkzeug unter modernen getarnten Bedrohungen: Angreifer suchen sich ihre Opfer genau aus und passen ihre Methoden im Detail an, um unzureichend geschützte Systeme (oder unachtsame Nutzer) auszunutzen und Unternehmen so in die Knie zu zwingen. Eingesetzte Methoden und Charakteristiken umfassen:

  • Cyberkriminelle untersuchen das Endpoint-Schutzsystem des Opfers, bevor sie einen Angriff starten, um einen passenden Mechanismus zu entwickeln, der das System automatisch umgeht.
  • Zero-Day-Schwachstellen und unkompromittierte Nutzerkonten, über die unzureichend geschützte Unternehmen aus dem Nichts angegriffen werden
  • Maßgeschneiderte Schadsoftware, die nur zur Schädigung eines bestimmten Unternehmens entwickelt wurde
  • Kompromittierte Konten, die normal scheinen, und Umgehung unzureichender Endpoint-Schutzlösungen beziehungsweise Ausnutzung fehlender Endpoint Detection and Response
  • Multi-Vektor-Angriffe, bei denen gleichzeitig so viele Endpoints wie möglich angegriffen werden
  • Ausgeklügeltes Social Engineering und Angriffe, die auf spezifischen und persönlichen Insiderdaten basieren und oft auf die Führungsebene abzielen

Dateilose Bedrohungen

Cyberkriminelle nutzen vermehrt dateilose Angriffe. Das stellt vor allem Unternehmen, die sich in der Vergangenheit ausschließlich auf klassische Endpoint-Schutzlösungen verlassen haben, vor neue Herausforderungen. Das Beispiel des NotPetya-Angriffs zeigt wie sie sich schützen kann. Beispielsweise mittels der Programmkontrolle von Kaspersky Endpoint Security for Business, dass die Ausführung der Datei perfc.dat zu unterbinden. Für dateilose Angriffe ist eine solche Anweisung hingegen nicht möglich.

Hier braucht es einen neuen Ansatz, den wir weiter unten vorstellen. Bei dateilosen Attacken kommen unter anderem folgende Methoden zum Einsatz:

Anzeige
  • Schädliche Skripte, die in WMI-Konten gespeichert werden
  • Schädliche Skripte, die direkt als Befehlszeilenparameter an PowerShell übergeben werden
  • Schädliche Skripte, die in der Registrierung und/oder im Taskplaner des Betriebssystems gespeichert werden
  • Schädliche Programmdateien, die direkt in den Arbeitsspeicher extrahiert und dort ausgeführt werden, ohne zuvor auf der Festplatte gespeichert zu werden – mittels Reflexion in .Net

Aufgrund ihrer Unauffälligkeit sind dateilose Angriffe zehnmal häufiger erfolgreich als dateibasierte.

Wenn es keine verdächtige Datei gibt, die gefunden werden kann, lassen sich Angriffe nur über die Erkennung verdächtigen Verhaltens ermitteln. Dateilose Angriffe ohne eine solche Verhaltensüberwachung verhindern zu wollen, ist ein absolut hoffnungsloses Unterfangen. Die neuesten Technologien zur Verhaltenserkennung nutzen laufend proaktive Machine Learning-Prozesse, unterstützt durch die umfangreiche Threat Intelligence, die die Hersteller mittels Data Science-Verarbeitung und Analyse globaler Echtzeitstatistiken gewinnen.

Neueste Exploit Prevention-Technologien blockieren einen Großteil der Malware, die versucht, Software-Schwachstellen auszunutzen. Gleichzeitig kann die Adaptive Anomaly Control Aktionen blockieren, die vom aufgezeichneten Muster abweichen (etwa um den Start von PowerShell zu verhindern).

Eine wichtige Bedeutung kommt dabei der Sandbox-Technologie zu. Sie ist die Schnittstelle zwischen IT und Sicherheitsanalyse. Dieser Ansatz blockiert automatisch komplexe Bedrohungen auf Workstation- und Serverebene.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

APTs

Im modernen Zeitalter unauffälliger Bedrohungen haben sich nicht nur die Ziele, sondern auch die Methoden von Cyberkriminellen verlagert. Die horizontale Infiltrierung von Malware ist ein wichtiger Faktor für die Hartnäckigkeit von Advanced Persistent Threats (APTs). Anstatt einzudringen und sich sofort wieder zurückzuziehen, nutzen Cyberkriminelle verschiedenste Tools, um sich im angegriffenen System auszubreiten, indem sie von Gerät zu Gerät springen. Solche Angriffe können eine dauerhafte Kompromittierung verursachen, bei der Opfer scheinbar endlosen schädlichen Vorfällen ausgesetzt sind.

Umgekehrt erfolgt die Abwehr von APTs mit Transparenz, Analysen und Einblicken in die Arbeitsweisen. Um die Hartnäckigkeit von APTs zu beseitigen und horizontale Infiltrierung zu verhindern, sind sehr spezifische EDR-Funktionen (Endpoint Detection and Response) erforderlich, die sich in zwei Kategorien unterteilen lassen: Transparenz und Analyse.

Transparenz

  • Die Fähigkeit, über eine zentrale Oberfläche alle Endpoints gleichzeitig in Echtzeit zu visualisieren und zu überwachen
  • Kontextinformationen zur individuellen Endpoint-Aktivität sowie Prozesse, Zeitverläufe und Korrelationen zwischen Endpoints im gesamten Unternehmen
  • Erfassung kostbarer Sicherheitsinformationen zur weiteren Untersuchung und Reaktion durch einen IT-Sicherheitsexperten

Analyse

  • Integrierte Zuordnung und Korrelation verschiedener Ergebnisse aus unterschiedlichen Erkennungsmechanismen, die in einem einheitlichen Vorfall zusammengeführt werden, um Taktik, Prozesse und Methoden der Bedrohung zu verstehen
  • Rückblickende Analyse zur horizontalen Infiltrierung
  • Analyse von Ereignissen, die in der „Grauzone“ zwischen vertrauenswürdigen/legitimen Objekten und Prozessen stattfinden, sowie von Ereignissen, die eindeutig schädlich sind, darunter:
    • Zero-Day-Schwachstellen
    • Eindeutige Schadsoftware (bisher noch nicht aufgetreten)
    • Neue/unbekannte Malware
    • Kompromittierte legitime Software/Prozesse

Man sieht: es tut sich viel. Das Hase-Igel-Spiel geht in immer neuen Runden.

www.kaspersky.de

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.