IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Trojaner SecurityBei Kryptotrojanern oder auch Ransomware handelt es sich um Schadprogramme, welche das Ziel verfolgen das Unternehmen und den einzelnen Benutzer am Zugriff seiner Daten zu hindern. Auf infizierten Rechnern und seit Kurzem auch Webseiten, über Sicherheitslücken in der weitverbreiteten Software „Wordpress“, werden dabei bestimmte Dateien verschlüsselt.

Digitale Geiselhaft mit Lösegeldforderung

Eine zusätzliche Gefahr besteht darin, dass auch Netzlaufwerke verschlüsselt und damit unbrauchbar werden. Dabei spielt es keine Rolle ob die Netzlaufwerke aktuell mit dem infizierten Computer verbunden sind, oder in der Vergangenheit verbunden waren und der Zugriff über gespeicherte UNC Pfade (\\Servername\Freigabe) erfolgt. Problematisch ist die Tatsache, dass der Benutzer Schreibberechtigungen auf die Netzwerkfreigabe besitzt.

Ziel der Verschlüsselung ist es den Nutzer zu erpressen, um für das, zur Entschlüsselung notwendige, Werkzeug ein Lösegeld, typischerweise ca. 500 Euro, in der anonymen Währung Bitcoin zu bezahlen. Aktuelle Beispiele, wie der erfolgreiche Angriff auf das „Hollywood Presbyterian Medical Center“ in Los Angeles zeigen, dass durchaus auch sehr gut geschützte Organisationen betroffen sind und teilweise erheblich höhere Lösegelder, im genannten Beispiel ca. 3 Mio Euro, gefordert werden.

So holt man sich den Geiselnehmer ins Haus

Die Infektion mit der Randsomware läuft dabei häufig wie folgt ab: Der Nutzer erhält eine E-Mail von einem durchaus plausiblen Absender. Im Anhang befindet sich häufig ein Dokument mit scheinbar wichtigen Informationen, z.B. eine Rechnung, Zustellinformationen von Paketdiensten, eingescannte Dokumente eines Scanners/Kopierers. Ganz aktuell werden z.B. gezielt Personalabteilungen mit gefälschten Bewerbungen attackiert.

Die Dokumente enthalten meist ein Microsoft Word oder Excel Dokument mit einem eingebetteten Makro. Unter einem Makro versteht man aufgezeichnete Befehlsfolgen und Bedienungsschritte, die zur Automatisierung von Office Produkten verwendet werden. Häufig sind Makros in Microsoft Visual Basic for Applications entwickelt. Wird nun das Dokument geöffnet, wird automatisch das Makro gestartet und führt gefährliche Aktionen aus. Die nachfolgenden Schritte beschreiben beispielhaft die Arbeit des Trojaners.

  • Download des eigentlichen Kryptotrojaners von sogenannten „Einweg-URLs“.
  • War der Download erfolgreich wird der Trojaner ausgeführt.
  • Der Trojaner kontaktiert über ebenfalls scheinbar zufällig gewählte Adressen im Internet den zugehörigen Command & Control Server, um dort Informationen über den infizierten Rechner abzulegen und einen individuell generierten öffentlichen Schlüssel herunter zu laden.
  • Der öffentliche Schlüssel wird nun dazu verwendet, bestimmte Dateitypen (z.B. Office Dokumente, PDFs, CA Zeichnungen, HTML, XML, Grafik- und Bilddateien) zu verschlüsseln.
  • Parallel wird versucht die im Windows Betriebssystem abgelegten Schattenkopien zu löschen, um über diesen Weg eine Wiederherstellung zu verhindern.
  • Abschließend werden dem Benutzer eine oder mehrere Nachrichten hinterlassen, wie das Lösegeld bezahlt werden kann, um den zugehörigen privaten Schlüssel zur Entschlüsselung der Daten zu erhalten.
  • Gelegentlich werden zufällige Dateien mit einem anderen öffentlichen Schlüssel verschlüsselt, um dem Geschädigten den Entschlüsselungsvorgang zu demonstrieren. Hiermit soll zusätzliches Vertrauen in den Angreifer und damit die Bereitschaft zur Bezahlung des Lösegeldes erzeugt werden.
  • Neuere Versionen der Ransomware bieten zudem eine Chatfunktion, um mit dem Angreifer zu kommunizieren und den Bezahlvorgang mit Bitcoins zu vereinfachen und zu beschleunigen.

Der hier dargestellte Ablauf ist nur ein Beispiel einer möglichen Infektion. Andere Kryptotrojaner verteilen sich über Drive-by-Downloads (unbeabsichtigtes Herunterladen von Software durch den Aufruf einer präparierten Webseite) oder Dateiaustauschfunktionen im Fernwartungstool Teamviewer.

Weshalb sind die Angriffe so erfolgreich?

  • Es existiert kein oder nur ein mangelhaftes Backupkonzept. Der Backup-Prozess wird nicht regelmäßig validiert. Backups sind veraltet, nicht offline verfügbar und an einem anderen physikalischen Standort gelagert.
  • Sicherheitsupdates für Applikationen und Betriebssysteme werden nicht zeitnah eingespielt. Die Verteilung und Installation der Updates wird nur mangelhaft überprüft.
  • Mangelhaftes Berechtigungskonzept. Die tägliche Arbeit erfolgt mit privilegierten Berechtigungen. Kein „Least Privilege“ Ansatz und automatisierte Verwaltung. Anwender sind berechtigt auf Netzlaufwerke, welche für ihre tägliche Arbeit nicht notwendig sind, zuzugreifen.
  • Unzureichende Schulung und Information der Benutzer.
  • Unwissenheit der Administratoren im Bereich der IT-Sicherheit (Ausführbare Dateien werden im E-Mailprogramm blockiert, nicht jedoch Office-Makros oder andere aktive Inhalte, wie z.B. Java-Script oder andere Script Sprachen.)
  • Office Makros werden generell ausgeführt. Code-Signing wird im Unternehmen nicht oder nur sehr rudimentär betrieben.
  • Sicherheitssysteme (z.B. Virenscanner, Firewalls, Intrusion-Prevention-System, Email-Filter) sind nicht vorhanden oder falsch konfiguriert. Verfügbare Tools zur Erkennung von Schadsoftware innerhalb von Anwendungen, wie beispielsweise Microsoft EMET werden nicht eingesetzt.

Mit dem richtigen Sicherheitskonzept und konsequent umgesetzten, angepassten Maßnahmen sowie modernen Tools kann jede moderne IT der allgemeinen Behauptung „Sicherheit stört die Benutzer nur und ist aufwändig umzusetzen“ entgegenstehen und unternehmenskritische Daten schützen.

Welche Maßnahmen sollten zwingend getroffen werden?

  • Backups offline/offsite

    - Ein zuverlässiges Backup-Konzept muss gewährleisten, dass nicht nur der Ausfall von Software und Hardware abgesichert sein sollte, sondern auch der Online-Zugriff auf Sicherungen (ggf. Backup2Disk) beispielsweise durch Verschlüsselungstrojaner auf Admin-Rechnern nicht möglich ist.
    - Eine Offsite-Lagerung von Backups schützt zusätzlich vor Umweltschäden (z.B. durch Brand und Löschmittel)
     
  • Keine administrativen Berechtigungen oder Berechtigungen, die nicht benötigt werden.

    - Die tägliche Arbeit sollte immer mit den geringsten Berechtigungen erfolgen, welche zur Erfüllung der Aufgaben notwendig sind. Kein Domänenadministrator muss beispielsweise dauerhaft Mitglied der „Domain Admin“ Gruppe sein. Privileged Access Management Tools unterstützen bei der Verwaltung der Berechtigungen und der zugehörigen Prozesse.
    - Standardbenutzer benötigen nur in sehr wenigen Ausnahmefällen administrative Rechte zur Ausführung ihrer Geschäftsanwendung. Lokale, administrative Berechtigungen auf Clients oder Servern lassen sich bei Bedarf durch eine zentrale Passwortverwaltung gezielt vergeben.
     
  • Patches und Updates installieren

    - Betriebssysteme oder Anwendungen ohne aktuelle Updates sind nach wie vor das primäre Ziel von Angreifern.
    - Ein zentrales Updatemanagement muss für die zeitnahe Installation der Updates sorgen. Eine manuelle Installation oder ein „Verschieben“ der Updates darf dem Benutzer nicht überlassen werden.
     
  • Deaktivierung von Office-Makros

    - In einer Active Directory Domäne können Office-Makros zentral durch Gruppenrichtlinien deaktivieren werden.
    - Optimierung des E-Mail-Gateways
    - E-Mails mit Office-Dokumenten oder ZIP-Dateien im Anhang werden dem Benutzer nicht zugestellt, sondern landen in Quarantäne. Der Empfänger erhält lediglich eine Information über die gefilterte E-Mail und kann sich persönlich beim Absender über den korrekten Inhalt informieren.
     
  • Schärfen des Bewusstseins der Mitarbeiter

    - Technische Maßnahmen sind nicht ausreichend, wenn die Mitarbeiter sich nicht der potenziellen Gefahren bewusst sind.
    - Wie erkenne ich Phishing und andere gefährliche E-Mails?
    - Wie verhalte ich mich, wenn ich eine E-Mail mit unbekanntem Anhang oder von einem unbekannten Absender erhalten habe?
    - Welche sicheren Wege des Datenaustausches mit Geschäftspartnern gibt es in meinem Unternehmen?
    - Berechtigungen sind nicht nur Recht sondern auch Pflicht. (Niemand ist gerne der „Buhmann“ bei den Kollegen.)

Ein hundertprozentiger Schutz existiert leider nicht. Haben sie jedoch alle diese Maßnahmen umgesetzt, so wird es für potenzielle Angreifer schwer ihre IT-Infrastruktur und damit ihr Unternehmen zu schädigen.

Christian Lechner, Senior Consultant Cybersecurity & Enterprise Mobility bei Fritz & Macziol

www.fum.de

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet