Abwehr im Zeitalter von Advanced Persistent Threats (Teil 3)

Professionelle Hacker-Angriffe schnell erkennen und analysieren

11.09.2015 von Frank von Stetten

Im zweiten Teil unserer Serie zum Thema Advanced Persistent Threats (APTs) bin ich auf den Faktor Mensch im Zusammenhang mit Cyber-Angriffen eingegangen. Im dritten Teil fokussiere ich nun verstärkt die technischen Möglichkeiten, Cyber-Angriffe zu erschweren, zu erkennen und zu analysieren.

Häufiger als vermutet kommen auch Cyber-Angreifer ganz gewöhnlich durch die Eingangstür ins Firmengebäude. Sie mischen sich beispielsweise einfach unter die Mitarbeiter, geben sich als Besucher aus oder heuern gar als Praktikant an. Sind sie erst einmal im Unternehmen, können sie sich über hausinterne IT-Systeme bequem Zugang zum Firmennetz verschaffen oder vertrauliche Unterlagen kopieren. Zur Vorbeugung brauchen Unternehmen ein schlüssiges Sicherheitskonzept und sensibilisierte Mitarbeiter. Ausweistragepflicht und das Einhalten von Besuchsprozessen sollten dabei selbstverständlich sein.

Irgendwann schafft es ein Angreifer ins Netz. Je schneller er entdeckt wird, desto geringer ist der finanzielle Verlust.
Foto: HvS-Consulting

Bauliche Maßnahmen im Netz

Ähnlich den verschiedenen Sicherheitszonen auf einem Firmengelände sollte auch das Netzwerk in Zonen eingeteilt werden. In vielen Unternehmen existiert ein sehr "flaches" Netzdesign. So sind Produktions- und Büronetze oftmals nicht voneinander getrennt. Und selbst von entfernten Außenstellen ist ein ungehinderter Zugriff in die Unternehmenszentrale möglich. Da die moderne Sicherheitsstrategie davon ausgeht, dass sich immer mindestens ein Angreifer bereits im Unternehmensnetz befindet, ist ein solches Netzdesign fatal für die Unternehmenssicherheit. Denn professionelle Angreifer können sich darin fast ungehindert ausbreiten und erlangen sehr schnell Zugriff auf die wertvollsten Unternehmensdaten, die sogenannten Kronjuwelen.

Die Segmentierung in verschiedene, durch Firewalls getrennte Netze ist daher ein wichtiger Baustein. Das Netz wird dabei in Abschnitte unterteilt wie Schotten in einem Schiff. Der Vorteil: Läuft ein Schott voll, sind die anderen Segmente nicht zwangsläufig betroffen. Allerdings erfordert diese Maßnahme ein fundiertes Re-Design des Unternehmensnetzes.

Für Cyber-Angreifer geschlossen: Advanced Threat Prevention

Auch die Klassiker wie AV-Systeme und Firewalls spielen nach wie vor eine wichtige Rolle bei der Abwehr von Cyber-Angriffen. Sogenannte Firewalls mit United-Threat-Management-Funktionalitäten (UTM-Firewalls) zum Beispiel leisten deutlich mehr als das Blockieren von externen Anfragen an das Unternehmensnetz. UTM-Firewalls können festlegen, welcher Benutzer mit welchem Gerät von welchem Ort auf welche Anwendung zugreifen darf.

Eine zusätzliche technische Hürde stellen Threat-Prevention-Systeme dar. Diese Security-Systeme untersuchen und analysieren den ein- und ausgehenden elektronischen Verkehr. Wird beispielsweise eine externe E-Mail mit Anhang an den E-Mail Server geschickt, filtert das Threat-Prevention-System diese E-Mail zunächst. Es öffnet den Anhang in einem gesicherten Bereich und analysiert sein Verhalten. Geht von dem Anhang kein Sicherheitsrisiko aus, wird die komplette E- Mail zugestellt.

Solche Systeme können viele Angriffe erkennen und unterbinden, sind aber in der Regel vergleichsweise hochpreisig. Zudem entsteht durch die Prüfung ein Verzögerungseffekt wie beim Security Check am Flughafen, und das kann mitunter erheblich die Performance des Netzverkehrs beeinflussen.

Angreifer im Netz erkennen

"Vorsorge ist gut, Erkennung ist ein Muss" - das ist eine wichtige These moderner Security-Strategien. Auch wenn Unternehmen noch so viele Security-Technologien einsetzen und ihre Mitarbeiter sensibilisieren - hundertprozentige Sicherheit wird es nie geben. Einer der Angreifer wird es immer ins Netz schaffen. Wird er rechtzeitig erkannt, kann er aber in der Regel wenig Schaden anrichten. Hier hilft ein Security-Information-and-Event-Management, kurz SIEM, weiter. Ein SIEM sammelt Log-Daten aus Netzwerkkomponenten, Servern und Applikationen, bringt diese in eine auswertbare Form und leitet sie an eine zentrale Stelle weiter. Dort werden die einzelnen Events analysiert und auf Muster untersucht, die vom Normalzustand abweichen. Wird ein bestimmter Schwellwert überschritten, schlägt das System Alarm.

SIEM-Systeme leisten einen wichtigen Beitrag zur Cyber-Abwehr. Ihr Wirkungsgrad ist aber abhängig vom Feintuning. Ein SIEM kann nur das melden, was vorher definiert wurde.

Denken wie ein Forensik-Profi: APT-Scanner

Antivirus, Firewall, Threat Prevention System oder SIEM - alle diese Technologien achten auf Anomalien. Professionelle Angreifer nutzen aber auch Wege, die keine Anomalien erzeugen. Ein Webshell-Administratoren-Tool zum Beispiel löst bei Virenscannern keinen Alarm aus. Mehrere Anmeldeversuche eines Accounts auf einem bestimmten System liegen in der Regel unter dem Schwellenwert eines SIEM. Und ein fehlender Patch auf einem Server ist zwar eine Schwachstelle, bedeutet aber noch keinen Angriff.
Korreliert man aber diese Ereignisse (ein Webshell-Tool auf einem ungepachten Server, dazu mehrere erfolglose Anmeldeversuche), dann erhärtet sich der Verdacht, dass ein Angreifer die Schwachstelle ausgenutzt, ein Administratoren-Tool installiert hat und nun versucht, weiter ins Netz vorzudringen.

Ein APT-Scanner sucht wie ein Spezialist der Spurensicherung exakt nach diesen "Indicators of Attack" (IoA): im Dateisystem, im Arbeitsspeicher, in Logfiles, selbst in gelöschten Artefakten. APT-Scanner werden oft von unternehmenseigenen Security-Spezialisten im CERT (Computer Emergency Response Team) eingesetzt, um schnell zu beurteilen, ob ein verdächtiges System tiefer analysiert werden sollte.

Auch im Falle eines erfolgten Angriffes leisten APT-Scanner wertvolle Hilfe. Mittelständische und große Unternehmen haben mitunter Tausende von IT-Systemen. Wird ein Angriff entdeckt, stellen sich weitere Fragen:

Über welche Wege kam der Angreifer?
Welche Systeme hat er bereits kompromittiert?
Hat er Hintertüren (Backdoors) installiert? Auf welchen Systemen?

Ein APT-Scanner verschafft den Spezialisten einen Überblick. Sie können schnell die Systeme identifizieren, die einer umfassenderen IT-forensischen Analyse unterzogen werden sollten.

Lebenszyklus einer Cyber-Attacke -

Lebenszyklus einer Cyberattacke
Die IT-Security-Spezialisten von Palo Alto Networks haben den Lebenszyklus eines Hackerangriffs analysiert. In jeder der sechs Phasen einer Cyberattacke kann ein Unternehmen jedoch gezielt gegensteuern. Welche Maßnahmen und Werkzeuge dazu nötig sind, erfahren Sie hier.

1. Ausspionieren
Hacker verwenden oft Phishing-Taktiken oder extrahieren öffentliche Informationen aus dem Social-Media-Profil eines Mitarbeiters oder von Unternehmenswebsites. Diese Informationen verwenden die Cyberkriminellen, um gezielte, scheinbar legitime Anfragen zu versenden, die den Mitarbeiter auf bösartige Links locken oder dazu verleiten sollen einen infizierten Anhang zu öffnen. Die anschließend heruntergeladene Malware verwenden Cyberkriminelle um nach ausnutzbaren Schwachstellen zu suchen. Um den Lebenszyklus zu durchbrechen, können Unternehmen URL-Filter verwenden. Damit werden Angreifer daran gehindert, Social-Media- und Website-Informationen zu manipulieren. Zudem sollten Unternehmen den Netzwerkverkehrsfluss mithilfe von Intrusion-Prevention-Technologien kontrollieren, um Bedrohungen zu erkennen und Port-Scans und Host-Sweeps zu verhindern.

2. Vorbereitung & Auslieferung
Angreifer verwenden verschiedene Methoden wie die Einbettung von Intruder-Code in Dateien und E-Mails oder gezielt auf die Interessen des Einzelnen zugeschnittene Nachrichten. Hier können Unternehmen den Zyklus mit einer Firewall durchbrechen. Diese gewähren Einblick in den gesamten Datenverkehr und blockieren alle Hochrisiko-Anwendungen. Kombinierte Maßnahmen zur Bedrohungsabwehr wie IPS, Anti-Malware, Anti-CnC, DNS-Überwachung und Sink Holing sowie Datei- und Content-Blockierung können bekannte Exploits, Malware und eingehende Command-and-control-Kommunikation abwehren. Ergänzt werden können diese Maßnahmen durch eine cloudbasierte Malware-Analyse im Netzwerk.

3. Ausbeutung
Angreifer, die Zugriff auf das Netzwerk erlangt haben, könnten den Angriffscode aktivieren und die Zielmaschine unter ihre Kontrolle bringen. Endpunktschutz-Technologien können bekannte wie auch unbekannte Schwachstellen-Exploits blockieren. Sandboxing-Technologie stellt automatisch eine globale Bedrohungserkennung bereit, um Folgeangriffe auf andere Unternehmen zu verhindern. Auch an dieser Stelle kann sich der Zugriff auf eine dynamische Malware-Analyse-Cloud lohnen.

4. Installation
Angreifer etablieren privilegierte Operationen und Rootkits, führen Privileg-Eskalation durch und nisten sich dauerhaft ein im Netzwerk des Unternehmens. Unternehmen können Endpunktschutz-Technologien verwenden, um lokale Exploits zu verhindern, die zu Privileg-Eskalation und Passwortdiebstahl führen. Mit einer modernen Firewall lassen sich sichere Zonen mit strikter Benutzerzugriffskontrolle und fortlaufender Überwachung des Datenverkehrs zwischen den Zonen einrichten.

5. Command & control
Angreifer richten einen Rückkanal zum Server ein. Auf diese Weise können Daten zwischen infizierten Geräten und dem Server ausgetauscht werden. Es gibt verschiedene Möglichkeiten, um den Angriffszyklus an diesem Punkt zu durchbrechen. Unternehmen können ausgehende Command-and-control-Kommunikation durch Anti-CnC-Signaturen blockieren. URL-Filterung kann die Kommunikation mit bekannten bösartigen URLs verhindern. Outbound-Kommunikation kann zu internen Honey Pots umgeleitet werden, um kompromittierte Hosts zu erkennen und zu blockieren.

6. Aktivitäten am Angriffsziel
Angreifer manipulieren das Netzwerk für ihre eigenen Zwecke. Es gibt viele Motive für Cyberangriffe, wie etwa Datenextraktion, Zerstörung von kritischen Infrastrukturen oder Erpressung. Unternehmen mit feingliedriger Anwendungs- und Benutzerüberwachung können Dateiübertragungs-Richtlinien durchsetzen, um bekannte Archivierungs- und Übertragungstaktiken von Hackern zu verhindern. Dies begrenzt die Freiheit der Angreifer, sich mit Tools und Skripten seitlich im Netzwerk zu bewegen.

Ohne Prozesse wird es nichts

Die besten Technologien helfen nichts, wenn sie falsch eingesetzt werden. Auch ein Alarm in einem SIEM bringt nichts, wenn keiner die Alarmmeldungen entgegennimmt und entsprechende Maßnahmen einleitet. Daher sind sauber definierte Prozesse im Incident-Management, in der Administration und in der Softwareentwicklung unabdingbar. Dazu erfahren Sie mehr im nächsten Teil der Serie.