Wie findet man die grundlegenden Probleme bei Attacken?

Nur weniger Angreifer geben sich heutzutage mit schnellen Raubzügen zufrieden. Selbst wenn das ihre erste Motivation war, werden sie sich in Netzwerken festsetzen, wenn sie erst einmal einen Eingang gefunden haben.

Verfasser: F-Secure Business Security Insider
Datum: 11. Januar 2017
Lesedauer: 8 Minuten

Wie schon öfters angesprochen, dauert es oft Monate oder sogar Jahre bis Angriffe und Lücken gefunden werden. Es gibt durchaus einige Möglichkeiten, diese Einbrüche aufzudecken, aber dafür ist es wichtig, keine Angst davor zu haben, einen Angriff zu erkennen und zu bekämpfen.

Das alles stellt uns vor ein neues Problem: Was machen wir denn, wenn wir einen Einbruch gefunden haben? Was tun wir gegen Angreifer, die vielleicht schon seit Monaten oder Jahren im System sind?

Die Antwort liegt darin zu verstehen, was Angreifer machen und warum sie es tun.

Die meisten Angreifer sind Opportunisten…

Ein typischer opportunistischer Angreifer  („ein gewöhnlicher Krimineller“) nimmt alle Daten, die er finden kann sofort aus einem System mit, wenn er ins System geschafft hat. Passwörter, interessante Dateien und Informationen über das kompromittierte System werden zusammengefasst und auf einen Cache-Server irgendwo im Internet transferiert. In den meisten Fällen hätte ein gut konfiguriertes System, das ständig auf dem neuesten Stand ist, mit der richtigen Endpoint-Software den Angriff erkannt und normalerweise vereitelt.

Mit „irgendwo im Internet“ meine ich natürlich, dass die Kriminellen darauf bedacht sind, dass die Server, die sie nutzen, einer anderen Jurisdiktion unterstehen und damit für Sie und Ihre helfenden Ermittlungsbehörden nicht angreifbar sind. Die Kriminellen sind sehr erfindungsreich, wenn es darum geht, das Fehlen von Grenzen im Internet für ihre Zwecke zu nutzen. So bleiben sie vielleicht nicht unentdeckt, aber sind vor Zugriffen der Ermittler geschützt, wenn sie entdeckt werden. Diese Opportunisten versuchen nicht so sehr sich zu verstecken, sondern es ist ihnen wichtiger, außerhalb der Reichweite des Gesetzes zu bleiben.

Das alles führt dazu, dass entdeckt werden für opportunistische Angreifer nicht besonders interessant ist. Das sind normale Kosten in dem Geschäft. Für einen gewöhnlichen Kriminellen sind das Auffliegen und gestoppt werden lediglich ein kurzer Gewinneinbruch und der Verlust von Assets. Das können diese Kriminellen dadurch kompensieren, dass sie einfach woanders hingehen oder zu einem späteren Zeitpunkt zu Ihren Systemen zurückkehren. Außerdem ist es doch eher so selten, dass normale Unternehmen überhaupt merken, wenn sie angegriffen werden, dass die Kriminellen sich im Normalfall kaum Sorgen darüber machen müssen.

…aber auch Opportunisten haben manchmal Glück

Direkt nach dem Ende der ersten erfolgreichen Phase beginnen die Angreifer damit, sich in den Systemen langfristig einzurichten. Das ist durchaus logisch, denn wenn die Angreifer es schaffen, in ein System einzubrechen ohne Alarm auszulösen, warum sollten sie nicht schauen, ob sich noch mehr interessante Daten finden?

Der Zugriff auf die Zielrechner ermöglicht zusätzlich noch viel tiefgreifendere Betrugsmöglichkeiten, wie zum Beispiel das Umgehen von Zwei-Faktor-Authenifikation, eine Maßnahme die oft bei Online Banking und bei Shops mit Kreditkartenzahlung verwendet wird. Beharrlichkeit der Angreifer gibt ihnen Zugang zu ganzen Sessions und nicht nur schlichten Daten, womit die Betrüger ausgefeiltere Angriffspläne umsetzen können. Kriminelle nutzen heutzutage gern Exploits, um den Datenverkehr zwischen Banken zu knacken und so Millionen Euro zu entwenden, anstatt sich mit den paar tausend Euro zufrieden zu geben, die sie durch normale Extraktion von Daten generieren können.

In den letzten Jahren hat Crypto-Ransomware bei Kriminellen an Popularität gewonnen. Dabei ist es nicht so, dass Kriminelle auf einmal Spaß an Verschlüsselung gefunden haben. Es ist vielmehr so, dass das Darkweb und unregulierte Crypto-Währungen neue Möglichkeiten zur Erpressung geschaffen haben. Die Kriminellen werden vielleicht sogar argumentieren, dass sie nicht stehlen, sondern mit ihren Opfern ein Geschäft in gegenseitigem Interesse tätigen.

Was man zusammenfassen kann, ist dass nur weil ein Angriff opportunistisch ist, er nicht ungefährlicher ist und nicht genauso eine Gefahr für Ihr Geschäft darstellt wie andere Attacken. Wenn Sie es nicht schaffen, einen Angriff schnell zu entdecken und Beweise sofort zu sichern, sind die Chancen groß, dass man im Nachhinein unmöglich vollständig ergründen kann, welche Informationen „angefasst“ wurden und wie sich das auf Ihr Geschäft und Ihre Kunden auswirkt.

Manche Angreifer sind sehr geduldig

Angreifer, die besser vorbereitet sind – diejenigen, die sich genau überlegen, wen sie angreifen – sind mehr darauf bedacht nicht entdeckt zu werden. Sie sind jetzt schon da angekommen, wo sie sein müssen, um ihre Ziele zu erfüllen. Diese Angreifer sind typischerweise Nationen und Hacker, die Industriespionage durchführen. Ein Angreifer dieser Art kann nicht schnell ein gleichwertiges Ziel finden und ist deshalb sehr geduldig, um nicht entdeckt zu werden.

Nachdem Angreifer, denen es um Beharrlichkeit geht, in ein Netzwerk eingedrungen sind, beginnen sie, sich ganz genau mit dem Netzwerk und der Infrastruktur auseinanderzusetzen. Unsere Analysten können aus Erfahrung sagen, dass solche Angreifer ganz genaue Analysen durchführen und dabei so behutsam vorgehen, dass es praktisch unmöglich ist, sie einfach zu erkennen und aus dem System auszuschließen. Selbst wenn ein solcher Angriffsversuch erkannt wird, ist es schwer die Tragweite zu erkennen, da es sich bei einer schnellen Analyse so darstellt, als wäre es nur eine wiederholte opportunistische Attacke. Die Angreifer gehen von vornherein davon aus, dass das System mit Antivirus-Software ausgestattet ist und deshalb vermeiden sie es, klassische Schadsoftware zu nutzen. Außerdem erwarten sie, dass es ein System geben wird, das das Eindringen bemerken könnte, ein so genanntes Intrusion Detection System (IDS). Aber da im Normalfall Regeln und Prozesse solcher Systeme selten auf den neuesten Stand gebracht werden, können sie durch vorsichtiges Vorgehen im Normalfall solchen Fallen entgehen.

Wenn dann die Sicherheitssoftware und die Sicherungsmaßnahmen an den Gateways es nicht schaffen, die Angriffstools abzufangen, haben die Angreifer in den meisten Fällen freie Hand im angegriffenen System. Sie richten dann an strategischen Stellen eigene Sicherheitstools ein, die ihre mehrschichtige Kommandostruktur sichern und es ihnen ermöglicht, all ihre Kommunikation zu verstecken. Damit sichern sie sich davor ab, alles zu verlieren, wenn sie doch entdeckt werden.

Sobald sie im System sind, müssen sich die Angreifer nicht mehr auf Malware oder Exploits verlassen, sie leben „von dem, was das Land ihnen bietet“. Durch das Umfunktionieren von bestehenden Business- und Sysadmin-Tools und durch das Ranhängen an oder das Nachahmen von legitimen Nutzern, werden die Angreifer praktisch unsichtbar für traditionelle Sicherheitsmaßnahmen. Selbst wenn ihre Aktionen geloggt werden, können die Angreifer sicher sein, dass diese Logs sowieso niemand liest.

Ironischerweise ist es zudem so, dass ab dem Moment, in dem die Angreifer „Insider“ werden, all ihre Netzwerkdaten durch die Firewall fließen, ordnungsgemäß verschlüsselt. Das macht Filterung von Daten und Inhalten praktisch wertlos. Die meisten Firewalls akzeptieren „befreundete“ Daten ohne Prüfung und ohne sie zu loggen.

Ab diesem Zeitpunkt werden sich die Angreifer normalerweise ruhig verhalten. Angreifer dieses Kalibers würden niemals riskieren, die Daten eines Unternehmens in einem Rutsch zu transferieren und so durch das Ansteigen des Netzwerk-Traffics aufzufallen. Stattdessen schauen diese Angreifer zu, sie identifizieren Menschen, Maschinen und Systeme nach ihrer Relevanz. Sie wissen zu diesem Zeitpunkt bereits,  wie die Schutzmechanismen und Sysadmins arbeiten und jetzt kommt es nur noch darauf an, wie gut es die Angreifer schaffen, sich vor einem Entdecken zu schützen.

Manche Angreifer platzieren Hinweise auf einfache Attacken überall im System, damit die Sysadmins abgelenkt sind oder senden die Ermittler auf falsche Fährten, die ins Nichts führen. Sie installieren zudem Backdoors, die es ihnen ermöglichen, das System nach ihrem Belieben zu betreten und zu verlassen. Wichtig ist dabei, dass die Daten der Angreifer immer von internen Quellen zu kommen scheinen und alle Schichten des Schutzes durchlaufen, die Daten sind unauffällig.

Dann setzen die Angreifer ihren Plan um, den Plan, weshalb sie das System überhaupt infiltriert haben. Wenn sie nett sind, suchen sie unauffällig nach Informationen und stehlen sie. Wenn sie nur ein wenig fies sind, werden sie zu einem Zeitpunkt, den sie selbst wählen, dafür sorgen, dass Sie nicht mehr an Ihre eigenen Daten kommen und werden Sie es wissen lassen. Am schlimmsten ist es natürlich, wenn die Angreifer Daten so verändern, dass sie Sabotage begehen und Ihre Infrastruktur später komplett lahmlegen können. Sie können natürlich auch all das machen, wenn es ihnen gefällt und ihrer Mission und ihrem Ziel hilft.

Zusammenfassend: Die meisten Unternehmen werden einen Angriff durch einen solch gewieften Angreifer erst bemerken, wenn der Angreifer selbst entscheidet, dass die Zeit der Heimlichtuerei vorbei ist.

Das Ignorieren von Warnzeichen

Wir alle haben schon persönlich erleben müssen, dass Sysadmins Beweise von Angriffen zerstören, indem sie Computer schlicht komplett gelöscht haben. Das ist wenig zielführend. Jeder Beweis für bekannte Malware ist oftmals genug, dass Sysadmins ein Häkchen bei „opportunistische Attacke“ machen und dann nicht weiter forschen, um dem Angriff auf den Grund zu gehen. Es ist merkwürdig, dass anscheinend nicht jeder Spaß daran hat, Cyber-Spione und ausländische Nationen zu verfolgen. Die meisten wollen einfach mit dem normalen Tagesgeschäft zu normalen Geschäftszeiten weitermachen!

Unsere eigenen Analysten haben Geschichten erzählt, in denen sie digitale Post-Its auf die Bildschirme von Sysadmins projezieren mussten, um endlich klarzustellen, dass Angreifer im System waren und Schaden anrichteten. Das bestärkt die Annahme dieser Angreifer, dass man eigentlich alles tun kann, was man will, sobald man es ins System geschafft hat.

Das ist keine gute Situation, in der wir arbeiten und leben wollen.

Noch schlimmer wird es dadurch, dass solche Angreifer mit normalen Internetkriminellen zusammenarbeiten. Es gibt einen Markt für Zugangsdaten zu Servern und Computern in Unternehmens- und Regierungsnetzwerken, die von normalen Kriminellen mal gehackt wurden. Wenn nun ein zielgerichteter Angreifer die eigenen Taten verschleiern will, gibt es nichts besseres, als sich einfach an die Taten von einfachen Kriminellen zu hängen.

Sie sind beharrlich, wir sind unerbittlich

Das mag alles ein wenig überwältigend klingen. Aber glücklicherweise gibt es Big Data Analytics und Threat Intelligence, die man zum eigenen Vorteil nutzen kann. Bei effektiver Nutzung können diese Maßnahmen dabei helfen, Anomalien zu markieren und dafür sorgen, dass keine falschen Positivmeldungen kommen. Beides sind Kernpunkte von effektiven Managed Detection & Response (MDR) Services. Unsere eigenen Angebote für MDR bieten den Vorteil, dass ein Team von Experten 24/7 beim Monitoring hilft. Viele Unternehmen haben nicht die Ressourcen, um ein extra Team für diese Aufgabe abzustellen. Das macht diese Servicekomponente zu einem echten Bonus für überarbeitete IT-Administratoren.


One thought on “Wie findet man die grundlegenden Probleme bei Attacken?


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s