Neue Wege der Cyber-Kriminellen

Die Gefahr aus dem Netz schläft nicht und sucht sich immer neue Schleichwege, um in möglichst viele Systeme einzudringen. Die Angriffsmethoden werden immer ausgefeilter und reichen von „maßgeschneiderter“ Ransomware bis hin zu „Living-off-the-Land“ (LotL) oder geteilten Infrastrukturen. Einen Überblick über aktuelle Erkenntnisse aus der IT-Security liefert der vierteljährliche „Global Threat Landscape Report“ von Fortinet, ein Anbieter von Cyber-Security-Lösungen.

Nutzung von Traffic

Um möglichst gute Erfolgschancen zu haben, nutzen Cyber-Kriminelle Pre- und Post-Traffic. Werden Webfiltervolumen zweier Cyber Kill Chains an Wochentagen und Wochenenden miteinander verglichen, zeigt sich, dass während der Arbeitszeit eine dreimal höherer Wahrscheinlichkeit für gefährdende Aktivitäten besteht als am Wochenende. Beim Post-Gefährdungs-Traffic ist kein Unterschied der Zeiten bemerkbar. Dies liegt vor allem daran, dass Exploits oft eine Aktion erfordern, bei der Nutzer beispielsweise auf Inhalte einer Phishing-E-Mail klicken. Command-and-Control-Aktivitäten (C2) haben diese Anforderung hingegen nicht. Daher folgen Cyber-Angriffe auch am ehesten zu Zeiten, an denen der Traffic am stärksten ist.

Nutzung gemeinsamer Infrastrukturen

Ein Ergebnis des Reports zeigt, dass fast 60 Prozent der Bedrohungen sich mindestens eine Domäne teilen. Schlussfolgernd operieren mehrere Botnets innerhalb einer etablierten Infrastruktur. Ein Beispiel dafür sind IcedIDs. Bedrohungen innerhalb einer Infrastruktur agieren auch oft auf der selben Stufe in der Kill Chain. Dies deutete darauf hin, dass Infrastrukturen für die Planung eines Cyber-Angriffs eine wichtige Rolle spielen. Verstehen Unternehmen, welche Bedrohungen sich Infrastrukturen teilen und an welchen Stellen der Angriffskette sie agieren, können sie die Entwicklung von Malware und Botnets besser vorhersagen.

Blick aufs Content-Management

Eine neue Angriffsoberfläche bilden, so der Report, Web-Plattformen, mit denen Verbraucher und Unternehmen in wenigen Klicks eigene Web-Präsenzen erstellen können. Laut Fortinet sind diese sowie die darin enthalten Plugins von Drittanbietern ein beliebtes Angriffsziel. Daher ist es wichtig, dass Unternehmen ein Verständnis für Exploits entwickeln und Sicherheits-Patches sofort installieren.

Dauerbrenner Ransomware

Die Gefahr von Ransomware ist ebenfalls noch ein Thema, gleichwohl gezieltere Angriffsmethoden überwiegen. Ein Beispiel für eine spezialisierte Ransomware, die in einem mehrstufigen Angriff eingesetzt wurde, ist LockerGoga. Im Gegensatz zu anderer Ransomware kamen bei LockerGoga kaum Verschleierung-Methoden zum Einsatz. Vielmehr vertrauten die Angreifer darauf, dass Malware nicht leicht erkennbar ist.

„Living-off-the-Land“ als Taktik

Um in fremde Systeme einzudringen, entwickeln Hacker ihre Angriffsmethoden oft nach dem ersten erfolgreichen Angriff weiter und nutzen so genannte Dual-Use-Tools oder Tools, die bereits auf den Zielsystemen vorinstalliert sind. Mit dieser „Living off the Land“ (LotL)-Taktik können Cyber-Kriminelle ihre Aktivitäten innerhalb einer Vielzahl von autorisierten Prozessen verbergen. Dadurch werden sie schwer erkannt und können schlecht zugeordnet werden. Daher sollten spezielle Verteidigungsmaßnahmen entwickelt werden, um den Zugriff auf autorisierte Management-Tools einzuschränken.

Aufklärung ist alles

Um sich gegen aktuelle IT-Bedrohungen vorzubereiten und zu schützen, müssen Unternehmen die potenziellen Gefahren aus den Netz und ihr Variantenreichtum kennen und alle Beteiligen darüber aufzuklären.

Dieses Wissen hilft dabei, die Entwicklung von Attacken gegen die eigenen virtuellen Angriffsflächen nachzuvollziehen und die eigenen Schutzmaßnahmen entsprechend zu priorisieren. Darüber hinaus bildet eine gute IT-Infrastruktur, die in Echtzeit auf die gelieferten Analysen reagieren kann, eine Grundlage.

Autor: Ann-Marie Struck

(c)2019
Vogel Communications Group