Kompromittierung und Gegenmaßnahmen

Den Schaden moderner Ransomware-Angriffe minimieren

Moderne Ransomware-Angriffe sind nur schwer abzuwehren und bleiben oft wochen- oder sogar monatelang unbemerkt. Die Angreifer nutzen die Zeit, um möglichst alle Systeme zu infizieren und um Daten bzw. Intellectual Property abzugreifen. Die Verschlüsselung und damit die Erpressung erfolgt erst nach einiger Zeit.

Genau hier setzt Continuous Compromise Assessment an: Es gilt als zuverlässigste und effizienteste Methode, um kompromittierte Systeme zu erkennen, da es Angriffsspuren entdeckt und damit Gegenmaßnahmen ermöglicht, bevor es zur Verschlüsselung kommt. Mit Continuous Compromise Assessment kann das Maturity Level der IT-Security ergänzt und erhöht werden.

Anzeige

Ransomware-Angriffe der alten Generation erfolgten auf diese Weise: Über einen Link in einem Email-Anhang, durch Phising oder Klicks auf fragwürdige Internetseiten fing sich der User einen Schadcode ein. Der wurde ausgeführt und der Rechner sofort verschlüsselt. Eine Nachricht auf dem Bildschirm informierte den Nutzer mit wenig Zeitverzögerung und forderte zur Zahlung auf, damit der Computer oder das System wieder freigegeben würde, um das System oder den Computer weiter uneingeschränkt nutzen zu können. Gerade Privatanwender gehörten zu den klassischen Opfern, da diese in der Regel über kein Backup verfügten und nur mit der Überweisung des geforderten Geldes wieder Herr über ihren Computer werden konnten.

Für Firmen dagegen stellten diese Art der Ransomware-Angriffe kein zu großes Problem dar, da sie mehr Optionen hatten als nur alles neu aufzusetzen oder zu bezahlen. Unternehmen sind professioneller aufgestellt als der Privatmann und ziehen regelmäßig Backups von ihren Systemen. Mit der Wiederherstellung der Backups waren die Forderungen von Erpressern einfach abzuwehren.

Doch die Zeichen der Zeit haben sich offenbar gewandelt, denn aktuelle Ransomware-Angriffe folgen einem anderen Vorgehen: Sobald der Schadcode auf dem System ist, wird es nicht sofort verschlüsselt. Stattdessen versucht der Schadcode, weitere Systeme und Geräte sowie die Backups zu infizieren und sich auszubreiten. Weiß der Nutzer nicht, dass sein System angegriffen wurde, sind auch neu durchgeführte Backups nutzlos, da ebenfalls kompromittiert. Schadcode kann so über Wochen und Monate unbemerkt ausgeführt werden, sich ausbreiten und Datenströme abfangen bzw. abfließen lassen. Der Angreifer bestimmt den Zeitpunkt der Verschlüsselung – und auch die Backups können betroffenen Unternehmen nicht mehr helfen. Das macht Ransomware 2.0 für Unternehmen gefährlich. Die Erpressung beruht dann auf zwei Grundlagen: Die verschlüsselten Daten zu entschlüsseln und wieder Zugriff auf die Systeme zu erhalten sowie potenziell gestohlene Daten nicht zu veröffentlichen.

Bei klassischen Angriffen war eine Angriffserkennung nicht sinnvoll bzw. möglich, da die Verschlüsselung sofort erfolgte und überhaupt kein Handlungsspielraum bestand. Durch die Verzögerung kann die aktuelle Angriffsmethode jedoch erkannt werden, bevor großer Schaden entsteht.

Mit Compromise Assessment Angriffspuren entdecken 

Die zuverlässigste Form dieser Kompromittierungserkennung ist Compromise Assessment, wie es bspw. der Berliner Cyber Defense Experte SECUINFRA anbietet. Hierbei kommt ein APT (Advanced Persistant Threat)-Scanner zum Einsatz, welchen SECUINFRA auch bei forensischen Untersuchungen einsetzt. Anders als ein klassischer Virenscanner untersucht der APT-Scanner das System nicht nach Schadcodes. Da sich diese permanent ändern, bietet z. B. ein Virenscanner keinen Schutz mehr gegen neue Bedrohungen wie APT. Diese nutzen eigene Tools mit unbekannten Signaturen, die auch von einem Intrusion Prevention System oder Intrusion Detection System nicht erkannt werden. Beim Compromise Assessment werden dagegen in einer forensischen Analyse Angriffsspuren aufgespürt, die jeder Hacker oder Eindringling als Artefakte hinterlässt, die sogenannten Indicators of Compromise (IOC) – zum Beispiel Einträge in der Registry, Log-Einträge, manipulierten Daten, neu angelegte Benutzer oder Berechtigungsänderungen.

Im APT-Scanner wird ein Regelwerk verwendet, das diese Indicators of Compromise enthält. Es wird auf Artefakte im System wie Dateien und Ordnerstrukturen, laufende Prozesse oder Inhalte des RAM angewendet. Durch die Analyse und das Sammeln von Evidenzen ist es so möglich, IOCs abzuleiten.

„Hinter dem APT-Scanner unseres Compromise Assessment Services steht die internationale Cyber Defense Community, die Cyberangriffe analysiert, neue IOCs ableitet und als Regeln im APT-Scanner hinterlegt,“ erklärt Ramon Weil, Geschäftsführer des Berliner IT-Sicherheitsspezialisten SECUINFRA.  So wird der APT-Scanner immer präziser und die Erkennungsrate steigt.

Die durch den APT-Scanner gelieferten IOC‘s werden von Spezialisten ausgewertet – die Analysten benötigen dafür ein breites Wissen: Zwar geben die Tools und das zugrunde liegende Regelwerk der Scanner die Richtung vor, die Hinweise müssen aber richtig gedeutet werden. Am Ende steht dann die klare Aussage, ob die Systeme kompromittiert wurden oder ob sie sauber sind. Compromise Assessment versetzt Unternehmen damit in die Lage, ihr System noch vor der Verschlüsselung durch Angreifer zu bereinigen.

Die Zeit bis zur Angriffserkennung verkürzen

Studien zufolge dauert es in der Regel zwei bis drei Monate, bis ein Angriff überhaupt entdeckt wird. Die lange Zeitspanne, die bei modernen Attacken zwischen Erstinfektion und Verschlüsselung vergeht, kann für ein Compromise Assessment genutzt werden: Denn idealerweise erfolgt die Durchführung in Intervallen. Scanfenster von einer Woche würden ein befallenes System ohne Weiteres aufdecken bevor größerer Schaden entsteht. „Continuous Compromise Assessment versetzt ein Unternehmen in die Lage, die Zeit bis zur zuverlässigen Erkennung kompromittierter Systeme zu reduzieren – durch eine kontinuierliche, forensische Analyse kritischer IT-Systeme“, fügt Weil hinzu.

Die Erstanalyse ist zwar komplex und nimmt mehrere Tage in Anspruch, da eventuell Millionen forensischer Artefakte untersucht werden müssen. Die Folgescans können dann jedoch auf dieser Baseline arbeiten und suchen nur noch nach Veränderungen. Entsprechend verringert sich der Aufwand nach dem zweiten Scan, während gleichzeitig der Mehrwert steigt, da der Status Quo des Systems immer wieder neu bestimmt werden kann.

Compromise Assessment erlaubt also einen schnellen Überblick, um den Status der Infektion zu erkennen, um herauszufinden, welche Systeme wovon betroffen sind und um Gegenmaßnahmen zu empfehlen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Den IT-Maturity-Reifegrad erhöhen

Viele Unternehmen setzen die klassischen Methoden Vulnerability Management und Penetrationstests ein, um Schwachstellen in ihren Systemen zu erkennen und zu managen. Diese geben aber keine Auskunft darüber, ob ein System bereits kompromittiert wurde. Mit Continuous Compromise Assessment können Cyber-Resilienz und Abwehrfähigkeit weiter gesteigert werden. Weil: „Statt Schwachstellen nur zu managen beantwortet Compromise Assessment die große Frage, ob Schwachstellen bereits ausgenutzt wurden oder nicht.“

Fazit

Continuous Compromise Assessment ist eine der zuverlässigsten und effizientesten Methoden, um den Schaden moderner Ransomware-Angriffe zu minimieren. Es stellt ein optimales Tool dar, um laufende oder vergangene Angriffe zu erkennen, zu bewerten und in Zukunft zu verhindern. Die Methode betrachtet die gesamte Infrastruktur und ermöglicht einen Blick in die Vergangenheit.

Nadja Müller, IT-Journalistin für Wordfinder

www.secuinfra.com/de/services/compromise-assessment/
 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.