• Die fünf Phasen der Kompromittierung

Der zeitliche Ablauf eines erfolgreichen Cyber-Angriffs

blog-thumb

Der IT-Wachdienst bietet - genau wie ein Wachdienst in der realen Welt - einen Service an, der Ihre “Internet-Liegenschaften” im Blick behält und verhindert, dass Einbrecher leichtes Spiel haben. Angriffe auf IT-Infrastruktur sind im Internet an der Tagesordnung. Dieser Artikel beschreibt den zeitlichen Ablauf eines erfolgreichen Cyber-Angriffs in fünf Phasen und geht auf mögliche Gegenmaßnahmen, die helfen können die Widerstandskraft bzw. Cyber-Resilienz einer Organisation zu erhöhen, ein.

Cyber-Angriffe

Diverse Studien zum Thema Cyber-Kriminalität zeigen: die Durchführung von Cyber-Angriffen auf Organisationen ist zu 70% finanziell motiviert; ein stetig wachsender Anteil der Cyber-Angriffen ist Wirtschaftsspionagetätigkeiten zuzuordnen. 45% der Angriffe zielen auf Server-Infrastruktur ab. Bei großen Organisationen finden 75% der Angriffe von außen statt, während 25% von innen kommen (z.B. von verärgerten Mitarbeitern).

Angriffsziele

Für Cyber-Kriminelle lohnt sich der Angriff auf jedes Ziel. Selbst wenn das Ziel selbst keine verwertbaren Daten hält, können Zugangsdaten zu kompromittierten Systemen als Remote Access Kits auf Marktplätzen im Dark-Web zu Geld gemacht werden. Dort kaufen andere Kriminelle die Zugangsdaten, um die gekaperten Systeme dann z.B. für Phishing-Kampagnen, DDoS-Angriffe oder andere unschöne Dinge zu missbrauchen. Wenn verwertbare Daten auf gekaperten Systemen existieren, so werden diese oft vorab gesichert und ebenfalls zu Geld gemacht.

Gezielte Angriffe auf Organisationen sind seltener. Werden Angriffe beauftragt, so sichert dies Angreifern meist ein hohes Budget für den Erwerb spezieller Angriffswerkzeuge, die die Erfolgschance eines Angriffs erhöhen. Speziell wenn mit einem Angriff Staatsinteressen verfolgt werden, so ist den finanziellen Mitteln für den Erwerb von sogenannten 0-Days (noch unbekannten Schwachstellen) keine Grenze gesetzt.

Phase 1: Informationsbeschaffung - Reconaissance

Nachdem Angreifer sich für ein Ziel entschieden haben, werden in dieser Phase verwertbare Informationen über die Ziel-Organisation recherchiert. Das können zum einen technische Informationen über die in einer Organisation eingesetzten Software-Produkte sein, zum anderen aber auch nicht-technische Informationen über Mitarbeiter oder Lieferanten einer Organisation, die bei der Durchführung eines Cyber-Angriffs hilfreich sein können.

Bei der Informationsbeschaffung ist es Angreifern wichtig, sich nicht durch die direkte Interaktion mit dem Ziel bzw. mit einer Zielperson als Angreifer bloßzustellen. Indirekte Recherche wird deshalb oft mittels sogenannter Open-Source Intelligence (OSINT) Quellen durchgeführt. Zu diesen Quellen zählen Portale wie Wikipedia, soziale Netzwerke und spezialisierte Suchmaschinen, in denen mit technischen Spezifikationen nach Server-Infrastruktur gesucht werden kann.

Es kann vorkommen, dass Angreifer mittels direkt durchgeführter Scans bzw. mittels Social Engineering Methoden direkt mit Komponenten und Personen der Ziel-Organisation interagieren. Das Risiko, durch diese Vorgehensweise eventuelle Gegenmaßnahmen in einer Organisation auszulösen, gehen Angreifer in der Regel nur dann ein, wenn eine bestimmte Organisation gezielt angegriffen wird und wenn in öffentlichen Quellen nur unzureichend Information über das Angriffsziel gefunden werden kann.

Mögliche Gegenmaßnahmen

Viele Organisationen begegnen dieser Bedrohung durch häufige und spezielle Schulungen der Mitarbeiter, die helfen sollen, Social Engineering Angriffe via Telefon und E-Mail zu verhindern. Die Verminderung der Angriffsoberfläche durch Abschaltung nicht benötigter Systeme und das regelmäßige Update aller Systemkomponenten auf einen aktuellen Versionsstand sind wichtige Maßnahmen, um nicht auf dem Radar von Angreifern zu landen. Die regelmäßige Durchführung von Schwachstellen-Scans ist zum Auspüren veralteter Software auf Server- und Arbeitsplatzsystemen unverzichtbar.

Phase 2: Zielidentifikation

Nach der Evaluation der gefundenen Information, entwickeln Angreifer jetzt erfolgversprechende Angriffsstrategien. Besonders Server mit bekannten Schwachstellen sind, in 90% der erfolgreichen Angriffe auf Organisationen, der erste Ansatzpunkt für Angreifer. Durch die Kenntnis etwaiger Organisations-Interna können Angriffsstrategien weiter verbessert werden. Um bestimmte Annahmen über die Zielumgebung zu bestätigen, werden in dieser vorsichtige Scans auf identifizierte Zielsysteme durchgeführt.

Mögliche Gegenmaßnahmen

Um eine Organisation in dieser Phase vor Angreifern bestmöglich zu schützen, ist die Duchführung von Härtungsmaßnahmen auf Arbeitsplatz- und Serversystemen ratsam. Auf Basis der Ergebnisse von regelmäßig durchgeführten Schwachstellen-Scans können besonders exponierte Dienste für Härtungsmaßnahmen identifiziert werden. Der Einsatz von individuell entwickelter Software birgt in vielen Fällen ein zusätzliches Risiko für Schwachstellen, die mittels einer Sicherheits-Überprüfung der jeweiligen Applikationen ermittelt werden können. Der Einsatz von Intrusion Detection Systemen (IDS) und Intrusion Prevention Systemen (IPS) schafft Transparenz bei etwaigen Scans von organisationskritischen Systemkomponenten.

Phase 3: Durchführung des Angriffs

Nach der Ausarbeitung einer erfolgversprechenden Angriffs-Strategie ist es jetzt Angreifern bei der Durchführung des eigentlichen Angriffs besonders wichtig, nicht bemerkt zu werden. Angreifer sind in dieser Phase besonders sichtbar, deshalb werden hier besonders auffällige Strategien vermieden oder nur sehr langsam durchgeführt, damit Warn-Systeme der Ziel-Organisation nicht sofort anschlagen. Je nach ausgenutzter Schwachstelle sind unter Umständen mehrere Schritte notwendig (Stichwort: Privilegien-Eskalation), bis die Angreifer das Angriffsziel erreichen.

Wenn ein System kompromittiert ist, versuchen Angreifer durch sogenanntes lateral movement andere Systeme in der Zielumgebung zu detektieren, welche in der ersten Angriffs-Phase unter Umständen noch nicht gefunden werden konnten. Werden weitere Systeme identifiziert, werden die oben beschriebenen Phasen 1 und 2 für diese Ziele erneut durchlaufen.

Mögliche Gegenmaßnahmen

In den meisten Fällen erfolgt der Angriff auf das erste Ziel-System von außen. Das bedeutet, dass am Netzwerk-Perimeter gesetzte Maßnahmen wie eine Firewall mit Intrusion Detection System bzw. Intrusion Prevention System (IDS/IPS) den Angriff auf jeden Fall schon einmal erschweren. Viele dieser Angriffserkennungssysteme arbeiten auf Basis von Mustern, die im Netzwerkverkehr gefunden werden können. Oftmals detektieren diese Systeme mit Hilfe der Muster nur die Paket-Signatur, die bei der Verwendung bestimmter Angriffs-Tools entsteht, nicht jedoch die Paket-Signatur, die bei unkonventionell durchgeführten Angriffen entsteht.

Auch das Platzieren von absichtlich leicht angreifbaren Systemen (sogenannter Honeypots) im Unternehmensnetzwerk kann eine wirksame Methode für das Aufspüren ungebetener Gäste im Netztwerk sein. Diese sollte aber mit Vorsicht eingesetzt werden. Außerdem sollte sichergestellt werden, dass die eigesetzten Honeypot-Systeme nicht zum Werkzeug von Angreifern gemacht werden können.

Um die laterale Bewegung der Angreifer im Unternehmensnetz einzudämmen, sollten die Systeme im internen Netz ebenfalls eine Härtung aufweisen, die mit Hilfe von Schwachstellen-Scans erreicht werden kann. Ein zentrales Logging-System für sämtliche Events der Infrastruktur in Verbindung mit einem SIEM (Security Incident and Event Management) ist geeignet, um die Aktivitäten der Angreifer im Netzwerk sichtbar zu machen. Der Einsatz von Firewalls und Netzwerksegmentierung, die die Kommunikation mit anderen Systemen im Netzwerk auf das Notwendige beschränken, ist in diesem Kontext ebenfalls sinnvoll.

Um das Abfließen von Dokumenten und anderen sensiblen Daten aus dem Unternehmensnetzwerk zu vermeiden bzw. zu detektieren ist der Einsatz von Data Leak Prevention (DLP) Lösungen denkbar.

Phase 4: Stabilisierung des Zugangsvektors

In dieser Phase sorgen Angreifer durch die Installation zusätzlicher Software (Rootkits) bzw. durch die Anpassung der Konfiguration bestehender Software dafür, dass auch noch nach einer Systemwartung bzw. der Installation von Updates durch den Systembetreiber, Zugriff auf das System möglich bleibt. Aus diesem Grund sollten Systeme, die während eines Angriffs instrumentalisiert wurden, in jedem Fall neu aufgesetzt bzw. auf Werkszustand zurückgesetzt werden.

Es gibt auch Berichte darüber, dass Schwachstellen, die zur Kompromittierung von Systemen geführt haben, von Angreifern gepatcht wurden um zu verhindern, dass auch andere Angreifer Kontrolle über diese Systeme erlangen. Diese Verhaltensweise von Angreifern deutet auf langfristiges Interesse der Angreifer auf ein Zielsystem hin und ist vergleichsweise selten.

Mögliche Gegenmaßnahmen

Um Angriffe in dieser Phase zu erkennen, ist es sinnvoll auf Systemen regelmäßig nach sogenannten Indicators of Compromise (IOCs) zu suchen. Diese versuchen mittels der Suche nach Anngriffsartefakten zu belegen, dass ein bestimmtes System zum Ziel eines Angriffs wurde. Ein einfaches Beispiel für ein IOC könnte die Veränderung von Konfigurationsdateien sein. Auch die Suche und die Entfernung nach installierten Root-Kits, Angriffs-Tools, Skripten oder sonstiger Malware die zur Stabilisierung des Angriffsvektors verwendet wurde ist in diesem Kontext eine sinnvolle Gegenmaßnahme.

Phase 5: Spuren verwischen

Nicht nur vor und während des Angriffs ist es Angreifern wichtig, möglichst unbemerkt zu bleiben. Damit ein Angriff lange unerkannt bleibt, versuchen Angreifer ihre Spuren nach dem Angriff möglichst gut zu entfernen. Je nach Zugriffslevel, welches Angreifer auf dem Zielsystem erreicht haben, ist es unter Umständen möglich die Log-Dateien zu manipulieren und verdächtige Eintragungen zu entfernen.

Mögliche Gegenmaßnahmen

Um die Logdaten vor möglicher Manipulation durch Angreifer zu schützen, empfiehlt sich das Sammeln von Lod-Daten an einer zentralen (gut geschützten) Stelle. Lösungen für die Konsolidierung von Log-Daten bieten oftmals auch SIEM-Funktionalität an und helfen dabei die verschiedenen Vorkommnisse in Log-Daten miteinander zu korrellieren.

Fazit

Die Umsetzung präventiver Maßnahmen wie Mitarbeiter-Schulung, Schwachstellenmanagement und gezielter Applikations-Überprüfungen verringern die Wahrscheinlichkeit eines Cyber-Angriffs beträchtlich. Reaktive Maßnahmen wie z.B. IDS-fähige Firewalls sind eine gute Ergänzung, greifen aber meist erst dann, wenn ein Angriff bereits stattfindet.

Unternehmen mit eigener IT-Infrastruktur müssen sich der eigenen Gefährdung durch Cyber-Angriffe bewusst sein und sollten Maßnahmen durchführen, die das Risiko für Angriffe verringert. Gerne sind wir Ihnen dabei behilflich. Melden Sie sich!

Ist auch Ihr Unternehmen von Schwachstellen betroffen?

Jetzt kostenlose OSINT-Analyse anfordern!

Mehr erfahren