Anzeige

Cyberangriff

Antivirus-Programme werden als wichtiger Schutzschild gegen Cyber-Bedrohungen gesehen, sind aber mittlerweile selbst zu besonders interessanten Einstiegstoren für Cyber-Kriminelle geworden, denn eine gekaperte Antivirus-Lösung kann Cyberangriffe nicht verhindern.

Im Gegenteil: Erst über die Schutz-Lösung wird häufig der Angriff ermöglicht. Diese neue Vorgehensweise sagt viel über die Entwicklung von Cyberattacken und die notwendigen Antworten darauf aus.

Warum kommt es zum Angriff auf Antivirus-Programme?

Es mag unlogisch erscheinen: Gehen Cyber-Kriminelle nicht das Risiko ein, Alarm auszulösen, wenn sie ein Antivirenprogramm angreifen? Angreifer versuchen stets, mittels verschleierter Codes, Schadprogramme vor Sicherheits-Lösungen zu verstecken. Durch die ständige Entwicklung der Antivirus-Software wird dies zunehmend schwieriger. Daher legen sie jetzt lieber die Antivirus-Lösung still, bevor sie den tatsächlichen Angriff starten. Oder sie verschaffen sich mit Hilfe des Antivirus-Programms höhere Berechtigungen auf dem Rechner: Die Erbeutung von Nutzungsprivilegien bleibt der Heilige Gral der Cyber-Kriminellen.
 

„Viele Angriffe starten mit dem Versuch, die Kontrolle über einen ungeschützten Dienst mit einer niedrigen Berechtigungsstufe zu übernehmen“, erklärt Sébastien Viou, Cyber-Evangelist bei Stormshield.

 

Durch weitere Schwachstellen kann man die Kontrolle über einen übergeordneten Prozess übernehmen, wodurch man Befehle ausführen kann. Ab diesem Zeitpunkt kann man den Aktionsradius erweitern. Laut Viou ist dieser Ansatz recht einfach. Schwieriger und zeitintensiver ist es, nutzbare Schwachstellen zu ermitteln, doch letzten Endes finden Angreifer immer, wonach sie suchen, selbst bei den Antivirus-Lösungen. Wenn es gelingt, den Virenschutz zu manipulieren, können sich Cyber-Kriminelle Administratorrechte auf einem Computer, gar als Domain-Administrator, zu eigen machen.

Ausweitung der Angriffsfläche

Ein Antiviren-Schutz ist eine Software. Und Software bedeutet Codezeilen und mögliche Bugs, die sich zu Schwachstellen entwickeln können. „Bei der Programmierung kommt im Durchschnitt auf 1000 Zeilen Code etwa ein Bug. Und in einer Software sind mehrere Tausend Zeilen Code enthalten. Fügt man Software zu einem Gerät hinzu, vergrößert sich dessen Angriffsfläche“, sagt Sébastien Viou. Hier besteht immer ein großes Risiko.

Die drei Etappen eines Angriffes

Ein Beispiel für eine weit verbreitete Schwachstelle zur Kaperung eines Antivirus sind symbolische Verknüpfungen von Dateien. Der Zweck ist es, die Aufmerksamkeit des Antivirus-Programms auf eine andere Datei als die, die die Malware enthält, zu lenken.

Der zweite Schritt besteht darin, Zugriffsrechte zu erbeuten. Die Sicherheitslösungen haben die höchsten Zugriffsrechte auf der Workstation, damit im Bedarfsfall Anwendungen oder Prozesse aufgehalten werden können. Wenn man als Administrator ins Systemmanagement eindringt, erlangt man alle Rechte. „Und da die Antiviren-Software in der Regel auf allen Computern des Unternehmens installiert ist, bedeutet das Auffinden einer Schwachstelle auf einem Computer, dass diese auch auf dem Rest der Geräte ausgenutzt werden kann“, warnt Viou.

Die dritte Stufe des Angriffs richtet dann den meisten Schaden an: „Die Angreifer versuchen, in den ersten Phasen diskret vorzugehen, um möglichst viele Rechner zu infizieren, bevor sie zum tatsächlichen Datendiebstahl, zur Blockierung von Arbeitsplätzen oder Produktionsunterbrechungen übergehen. Das ist in der Regel der Zeitpunkt, an dem man den Angriff bemerkt: Man hat plötzlich keinen Zugriff mehr auf Anwendungen und Daten. Ab hier darf man in Panik geraten, weil es bereits zu spät ist“, erklärt Viou.

Die Rolle der Software-Architektur

Cyber-Security-Lösungen werden vor Markteinführung auf Abwesenheit von Bugs und strukturelle Fehler geprüft. Trotz dieser Vorkehrungen kann keine Sicherheitslösung die absolute Fehlerfreiheit bieten. Um dadurch entstehende Risiken zu minimieren, sollte man deshalb auf robustere und sicherere Architekturen setzen. So bietet zum Beispiel die Wahl einer auf Micro-Services basierten Software-Architektur eine größere Ausfallsicherheit als eine monolithische Lösung. Diese besteht aus der Segmentierung von Rechten und der Isolierung des Workflows jedes Dienstes, wodurch die Angriffsfläche auf ein Minimum reduziert und die Ausbreitung von Malware begrenzt wird. Wenn man sich darüber hinaus für vertrauenswürdige, den europäischen Richtlinien entsprechenden Technologien entscheidet, werden auch Risiken durch mögliche Hintertüren verringert.

Sébastien Viou, Cyber Evangelist
Sébastien Viou
Cyber Evangelist, Stormshield

Artikel zu diesem Thema

Whitepaper Survival Kit für Cyberangriffe
Mär 08, 2021

Survival Kit für Cyberangriffe - Ransomware? Recoverware

Vorbei sind die Zeiten, in denen Sie Lösegeld zahlen und verlorene Daten neu erarbeiten…
Jan 20, 2021

Datenschutzverletzungen 2020: Über 22 Milliarden offengelegte Datensätze

Das Security Response Team (SRT) von Tenable hat Datensicherheitsverletzungen analysiert…
Cyber Security
Jan 09, 2021

Wie tickt der Mittelstand in Sachen IT-Sicherheit?

Mit der rapide ansteigenden Digitalisierung in Unternehmen, entstehen für die…

Weitere Artikel

Hacker

Wie sich Hacker in der Pandemie Sozialleistungen erschleichen

Im Zuge von COVID-19 stellt der Staat zahlreiche finanzielle Hilfen für Unternehmen, Selbstständige und Familien bereit. Doch diese locken auch Betrüger und Cyberkriminelle an. In Deutschland fehlt häufig die nötige Infrastruktur zur Betrugsbekämpfung – auch…
CyberCrime

Die Pandemie des Internets: Rekordhoch des Bot-Traffics in 2020

Imperva, Inc., ein Unternehmen im Bereich Cybersecurity, mit dem Ziel, Daten und alle Zugriffswege auf diese zu schützen, verzeichnete im Jahr 2020 den höchsten Bad Bot-Traffic (25,6 %) seit der Einführung des Imperva Bad Bot Reports im Jahr 2014. Die…
Hackerangriff

Erkenntnisse aus Hunderten unterschiedlicher Hackerangriffe

FireEye, das Intelligence-basierte Sicherheitsunternehmen, hat den FireEye Mandiant M-Trends-Bericht 2021 veröffentlicht.
Facebook Datenleak

Facebook Datenleak: Das steckt hinter dem Angriff

Die persönlichen Daten von insgesamt 533 Millionen Facebook-Usern stehen derzeit auf diversen cyberkriminellen Foren im Dark Web zum kostenlosen Download. Wie konnte es zu dem Datenleak kommen? Wer steckt hinter dem Angriff? Und wie hoch ist das Risiko für…
Exploit

Bisher unbekannter Zero-Day-Exploit in Desktop Window Manager

Im Zuge der Analyse des bekannten Exploits CVE-2021-1732 der APT-Gruppe BITTER entdeckten die Experten von Kaspersky einen weiteren Zero-Day-Exploit im Desktop Window Manager. Bisher kann dieser nicht mit einem bekannten Bedrohungsakteur in Verbindung…
Malware

Malware-Angriffe: 648 neue Bedrohungen pro Minute

Für die April-Ausgabe des Quarterly Threats Reports untersuchten die McAfee Labs die Malware-Aktivitäten von Cyber-Kriminellen sowie die Entwicklung von Cyber-Bedrohungen im dritten und vierten Quartal 2020. Durchschnittlich registrierten die Forscher von…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.