Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

Hacker Tunnel

Ein kürzlich veröffentlichter Bericht von Vectra zeigt, dass Finanzdienstleister weltweit immer mehr Cyberangriffen durch raffiniert vorgehende Hacker ausgesetzt sind. Diese nutzen versteckte Tunnel, um sich in Unternehmensnetzwerken einzunisten und wertvolle Daten aus der Ferne abzuschöpfen.

Vectras Spotlight Report 2018 mit dem Titel “Could an Equifax-sized data breach happen again?” zeigt einen Anstieg der Sicherheitsverletzungen in allen Branchen, einschließlich der Finanzdienstleistungen, auf – und das trotz der Tatsache, dass Unternehmen viel Geld für die Cybersicherheit ausgeben.

Sechs Monate lang sammelte die Cyberangriffserkennungsplattform Vectra Cognito Metadaten von Millionen von Einzelgeräten sowie Cloud-Workloads in Rechenzentren und Unternehmensumgebungen. Die Vectra-Studie zeigt, dass Hacker weiterhin nach Schwachstellen Ausschau halten, wie sie im vergangenen Jahr zum spektakulären Datenraub bei Equifax geführt haben.

„Finanzdienstleister hatten ein deutlich höheres Risiko, mit versteckten Command-and-Control-Tunneln konfrontiert zu werden als alle anderen Branchen zusammen. So fanden wir mehr als doppelt so viele versteckte Tunnel zur Datenexfiltration als in anderen Branchen“, berichtet Gérard Bauer, VP EMEA bei Vectra. „Pro 10.000 Geräte in einem Finanzdienstleistungsunternehmen fand Vectra 23 Tunnel, die als verschlüsselter Webverkehr getarnt waren.“

Warum gibt es bei Finanzdienstleistern deutlich mehr versteckte Tunnel als in anderen Branchen?

Tunnel werden verwendet, um eine Netzwerkverbindung zwischen einem internen System und einem externen Host herzustellen. Sie kommen zum Einsatz, wenn die Netzwerkkonnektivität durch Firewalls, die erforderliche Übersetzung von Netzwerkadressen und eine strenge Zugriffskontrolle eingeschränkt ist. Dies alles sind Technologien, die innerhalb von Finanzinstituten eingesetzt werden, um eine strenge Kontrolle über die Bewegung von Datenanwendungen innerhalb und außerhalb des Unternehmens durchsetzen. Tunnel bieten eine Methode, mit der diese Anwendungen kommunizieren und Daten in den kontrollierten Umgebungen ungehindert übertragen werden können.

Tunnelling kann auch die Kommunikation über ein Protokoll ermöglichen, das normalerweise im eingeschränkten Netzwerk nicht unterstützt wird. Versteckte Tunnel sind schwer zu erkennen, da die Kommunikation in mehreren Verbindungen verborgen ist, die normale, allgemein erlaubte Protokolle verwenden. Beispielsweise kann die Kommunikation als Text in HTTP-GET-Requests sowie in Header, Cookies und andere Felder eingebettet werden. Die Requests (Anfragen) und Antworten sind dann innerhalb des erlaubten Protokolls unter den Nachrichten versteckt.

Warum gibt es verdächtige HTTP-Command-and-Control-Kommunikation seltener in der Finanzbranche?

„Verdächtige http-Vorgänge treten auf, wenn Software auf einem internen Host eine oder mehrere nicht genehmigte Webanfragen an eine bösartige Webdomain initiiert“, erläutert Gérard Bauer. „Dabei wird ein Muster gebildet, das typischerweise bei der Command-and-Control-Kommunikation mit einem bösartigen Akteur beobachtet wird.“

Finanzdienstleister verfügen im Allgemeinen über starke Sicherheitszugangskontrollen und Funktionen zur Überwachung des Netzwerkrands. Diese können verdächtige HTTP-Kommunikation erkennen. Dies erfolgt mittels Firewalls mit IP-Reputationslisten bekannter bösartiger Websites sowie mit Perimeter-Sandbox-Technologie. Dabei wird auf der Grundlage zuvor gesehener Malware nach eingehender und ausgehender bösartiger Kommunikation gesucht. Der größte Teil dieser verdächtigen Kommunikation wird am Perimeter blockiert. Solche Technologien werden nicht jede verdächtige Verbindung abfangen, aber sie reduzieren das Gesamtvolumen bösartiger Verbindungen erheblich.

Als Lehrbeispiel erscheint der Equifax-Vorfall wie ein „Geschenk“ für die Cybersicherheitsprofis. Was war die größte Lektion?

Die größte Lektion ist, dass trotz aller Bemühungen, Angriffe zu verhindern, Angreifer immer noch in der Lage sind, Netzwerke erfolgreich zu infiltrieren. Es ist wichtig, Angriffe zu erkennen und darauf zu reagieren, bevor sie Schaden anrichten. Die Erkennung von Angriffen, sobald sie auftreten, erfordert die Fähigkeit, den gesamten Lebenszyklus eines Angriffs nach der Erstinfektion zu überwachen, einschließlich Command-and-Control, Auskundschaftung, Seitwärtsbewegung und des Verhaltens von Angreifern bei der Datenexfiltration.

Versteckte Tunnel sind bei allen Kunden der Finanzbranche vorhanden, die wir getestet haben, da diese versteckten Tunnel von legitimen Anwendungen im täglichen Geschäft verwendet werden. Diese Anwendungen müssen von den Unternehmen gut verstanden und ausgearbeitet werden. Wenn legitime Anwendungen in der Lage sind, Unternehmens-Firewalls zu umgehen, dann ist es für einen Angreifer sehr einfach, dasselbe zu tun“, erklärt Gérard Bauer abschließend. „So lässt sich ein Angriff im normalen Datenverkehr verstecken, um eine Erkennung zu vermeiden. Finanzinstitute sollten die Nutzung von Anwendungen und deren Funktionsweise festlegen. Sie sollten zudem ihren verschlüsselten Verkehr sowie unverschlüsselten Verkehr überwachen, um den Missbrauch durch böswillige Akteure und das Vorhandensein von versteckten Tunneln zu erkennen.“

vectra.ai/dach
 

GRID LIST
Tb W190 H80 Crop Int C643b2c4d7af3e5bf9a53fb7d888e4a0

Phishing kann auch kleine Unternehmen treffen

Kürzlich wurde bekannt, dass sich diverse Restaurants sogenanntem „Dynamit-Phishing“…
Tb W190 H80 Crop Int 02a732366428f0b008fcb6021edc948f

Warum sich die Welt bereits im Cyberwar befindet

Obwohl einige Experten wie der Politikwissenschaftler Thomas Rid glauben, dass ein…
Trojaner

Der Trojaner Emotet ist weiterhin nicht zu stoppen

Der gefährliche Trojaner „Emotet“ hält Unternehmen, Behörden und Privatpersonen auf Trab.…
Tb W190 H80 Crop Int 97c30d94fa4781aa0faf0e0519d1928e

TajMahal: Spionageplattform mit 80 schädlichen Modulen

Die Experten von Kaspersky Lab haben ein technisch ausgereiftes Cyberspionage-Framework…
Scam Alert

Scam-Welle - Sex sells?

Cyberkriminelle versuchen derzeit im großen Stil, mit Fake-Mails Geld von ahnungslosen…
Hacker WhatsApp

Trojaner nutzt Android-Schwachstelle und liest bei WhatsApp mit

Die Virenanalysten von Doctor Web haben den gefährlichen Trojaner Android.InfectionAds.1…