Anzeige

Botnet

Eine neue, erhaltensbasierte Erkennungssoftware erkennt selbst geringe Abweichungen im Nutzerverhalten. Hintergrund: Der Diebstahl von Account-Informationen stellt eines der größten Risiken für Unternehmen dar. Häufig vertrauen sie statischen Sicherheitsregeln, der Begrenzung von Durchgangsraten und grundlegendem Botschutz.

Diese Methoden eignen sich zwar gut für die Abwehr von technischen Angriffen wie SQL-Injections oder Cross-Site-Scripting. Diese klassischen Schutzmechanismen lassen sich jedoch mit fortschrittlichen Tools relativ leicht austricksen und sind weniger effektiv gegen Angriffe wie so genannte Account Takeover (ATO), welche es auf die Logik von Benutzeranmeldungen abzielen. 

ATO-Angriffe sind schwer zu erkennen

Untersuchungen von Imperva haben ergeben, dass im Schnitt jede Webseite stündlich mit zwei Anmeldeversuchen von einer Botnet-gesteuerten IP-Adresse zu rechnen hat. Dies ist zwar eine sehr geringe Anzahl für einen Cyberangriff, doch laufen diese „low and slow“-Attacken meist unter dem Radar der Sicherheitsverantwortlichen. Viele Angriffe sind also durch die Verteilung der Angriffe auf einen längeren Zeitraum und verschiedene IP-Adressen maskiert und werden von traditionellen Sicherheitskontrollen als normaler Traffic registriert. Der Angriff wird so nicht als Bedrohung an IT-Administratoren gemeldet. Imperva hat die Anmeldeverfahren und daraus hervorgehenden Angriffsdaten untersucht und konnte mehrere solcher ATO-Botnets aufdecken, deren einziger Zweck darin besteht, Accounts per „low and slow“-Attacken zu übernehmen.

Verhaltensbasierte Erkennungssoftware gegen Botnet-Angriffe nutzen

Angreifer verwenden fortschrittliche Tools und eine breite Infrastruktur an Bots, die es ihnen ermöglichen, Angriffe durchzuführen und über einen langen Zeitraum unentdeckt zu bleiben. Doch fortschrittliche Sicherheitslösungen wie verhaltensbasierte Erkennungssoftware bieten einen effektiven Weg, auch Anomalien in Form wechselnder, unbekannter IP-Adressen aufzuspüren. Es gibt viele potenzielle Variablen, die verwendet werden, um das normale Verhalten von Nutzern zu definieren: zum Beispiel das Verhältnis von erfolgreichen versus fehlgeschlagenen Anmeldeversuchen, von schwachen versus starken Passwörtern, von Standard- versus Nicht-Standard-Benutzern. KI-gesteuerte Analyse-Tools können anhand dieser Informationen herausfinden, ob geleakte Anmeldeinformationen verwendet werden oder nicht-registrierte Benutzer auf Unternehmens-Seiten zugreifen wollen.

Die Sicherheitslösung muss also erkennen, ob es sich im gegebenen Kontext tatsächlich um einen Anmeldeversuch handelt, welcher Nutzer und welches Passwort verwendet wird und was das Ergebnis des Anmeldeversuches ist. Vorgängig muss die Lösung darauf trainiert werden, welche Standard-Benutzer es gibt, was schwache Passwörter sind, welche leaked Benutzerinformationen bekannt sind und auf welche Art und Weise die Anwender- und Passwortlisten aktualisiert werden können. Erst dann kann die Software lernen, was das normale Verhalten der Nutzer ist und Verhaltensanomalien erkennen, die auf ATOs hinweisen können. Die Lernphase und die Genauigkeit des erlernten Verhaltens werden durch die Datenmenge bestimmt, die für den Lernvorgang der Software zur Verfügung steht. Liegt für den maschinellen Lernprozess der Software bereits eine große Datenmenge für das Anmeldeverhalten eines Nutzers vor, welche entsprechend aggregiert werden kann, entwickelt das Programm ein zuverlässiges Erkennungsmodell für das Login-Verhalten der einzelnen Nutzer. So kann die Software erkennen ob geringe Abweichungen im Nutzerverhalten bei der Anmeldung vorliegen und beispielsweise oben beschriebene „low and slow“-Attacken an die IT-Abteilung als möglichen Cyberangriff melden.

www.imperva.com

Nadav Avital, Threat Analytics Manager
Nadav Avital
Threat Analytics Manager, Imperva
Als Manager in der Threat Research Group von Imperva und Experte für Web Application Security leitet Nadav Avital die Bemühungen zur Erfassung und Analyse von Hacking-Aktivitäten, zur Entwicklung neuer Sicherheitslösungen und zur Erforschung neuer Bedrohungen und Technologien und hat mehr als 10 Jahre Branchenerfahrung in der Codierung, der Erfindung von Sicherheitslösungen und der Entdeckung neuerSicherheitsbedrohungen. Er besitzt einen B. Sc. in Informatik vom Technion Institute of Technology.

Weitere Artikel

Bundestagswahl

So angreifbar ist die Bundestagswahl

Aufgrund des analogen Wahl- und Auszählverfahrens gilt die Bundestagswahl als relativ sicher gegen direkte Manipulationsversuche durch Hacker. Doch auch wenn es für Cyber-Kriminelle kaum möglich sein dürfte, die Wahl direkt zu beeinflussen, gibt es im Vorfeld…
Cyberangriff

Cyberbedrohungen 2021: Phishing und Identitätsdiebstahl am wichtigsten

Das SANS Institute, Anbieter von Cybersecurity-Trainings und -Zertifizierungen, stellt die Ergebnisse seines SANS 2021 Top New Attacks and Threat Reports vor.
Cyberangriff

Cring-Ransomware nutzt uralte Version von Adobe ColdFusion aus

Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software auf einem Server für sich ausnutzte.
Hacker

Hacker zielen verstärkt auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Da diese Strukturen hochsensibel sind, stellen sie für Cyberkriminelle ein ganz besonderes Ziel dar und sie unternehmen große…
Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…
Facebook Hacker

Spionagekampagne gegen Kurden durch hinterhältige Facebook-Posts

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.