Das Muster scheint stets gleich: Erst werden einzelne Mitarbeiter eines Unternehmens per Spear-Phishing ihrer Login-Daten für Dienste im Unternehmensnetz beraubt. Anschließend werden mittels dieser Daten dann Arbeitsstationen und vor allem Rechner infiziert. Selbst für letzteres ist nicht immer Malware nötig, wie das Führungsteam der IT-Sicherheitsberater von Crowdstrike in einem Vortrag erläuterte: Nach dem Datenklau hangeln sich die Angreifer beispielsweise mittels gängiger Windows-Tools durch das Netzwerk. Der Vorteil: Der Aufruf dieser auf den attackierten Maschinen vorinstallierten Werkzeuge lässt die Antivirensoftware kalt. In einem von Crowdstrike beobachteten Angriff nutzten die Kriminellen beispielsweise unter anderem die Windows Powershell, wmic, vssadmin oder netdom, um sich nach und nach Zugang zu diversen Servern zu beschaffen. Dieses Treiben bleibt dann unter dem Radar der Sicherheitssysteme.
Foto: Crowdstrike
Alex Cox, leitender Mitarbeiter der Threat-Watch-Abteilung beim Verschlüsselungsspezialisten RSA, bestätigt, dass für den Einstieg ins Netzwerk zumeist Social Engineering verwendet wird. Neben dem Spear Phishing hat er auch verstärkt sogenannte Waterhole-Attacken gesehen. Dabei werden Webseiten infiziert, die die Mitarbeiter des zu attackierenden Unternehmens sehr wahrscheinlich frequentieren. Ein Besuch der Seite und ein nicht vollständig gepatchter Rechnern genügen, um die Maschine zu infizieren.
- 1. Exploit-Bekämpfung reduziert die Einfallstore für Kriminelle.
Cyberkriminelle hatten in den vergangenen Jahren mehr oder weniger leichtes Spiel mit Microsoft Windows. Glücklicherweise hat der Konzern Exploits in letzter Zeit gezielt bekämpft, so dass Attacken immer schwieriger werden. Allerdings gibt es eine Kehrseite der Medaille, da viele Malwareentwickler sich nun wieder den Social-Engineering-Techniken zuwenden oder auf Nicht-Microsoft-Plattformen abzielen. - 2. Internet-of-Things-Attacken haben sich von Machbarkeitsstudien zu Mainstream-Risiken entwickelt.
2014 mussten wir immer häufiger feststellen, dass Hersteller von Internet-of-Things-Geräten es oftmals verschlafen haben, grundlegende Sicherheitsstandards zu implementieren. Entsprechend sind Attacken auf diese Geräte absehbar und werden zudem umfassende Folgen haben. Die IT-Sicherheitsindustrie muss sich weiterentwickeln, um für dieses neue Thema Antworten zu finden. - 3. Verschlüsselung ist mittlerweile Standard, aber darüber sind nicht alle glücklich.
Dank häufig auftauchender Schlagzeilen in Sachen Spionagesoftware und Datenbankeinbrüchen hat sich die Verschlüsselung aller Daten schon fast zum Standard entwickelt. Das geht allerdings gerade großen Organisationen wie Strafverfolgungsbehörden oder Geheimdiensten gegen den Strich, da sie befürchten, dass diese „Heimlichtuerei“ die allgemeine Sicherheit gefährdet. - 4. Sicherheitsrelevante Programmierfehler in weit verbreiteter Software blieben jahrelang unter dem Radar.
„Heartbleed“ und „Shellshock” machen deutlich, dass weit mehr unsichere Code-Zeilen im Umlauf sind, als gedacht und sie werden seit vielen Jahren unbemerkt von einer großen Anzahl Computersystemen genutzt,. Entsprechend hat sich auch das Augenmerk der Hacker auf diese eher unauffälligen Programme gerichtet und 2015 sind vermehrt Attacken in diesem Bereich zu erwarten. - 5. Gesetzliche Neuregelungen bringen mehr Verantwortung bei der Offenlegung von Daten und Haftung mit sich – vor allem in Europa.
Die Mühlen der Gesetze mahlen im Vergleich zur Technologieentwicklung sehr langsam, aber dennoch treten 2015 einige gesetzliche Neuerungen in Kraft, die lange auf sich warten ließen. Es ist wahrscheinlich, dass diese Änderungen auch in anderen Bereichen mit einer progressiveren Datenschutzregulierung einhergehen. - 6. Kriminelle schießen sich auf mobile Zahlungssysteme ein, halten aber gleichzeitig noch eine Weile an traditionellen Finanzbetrügereien fest.
Nach der Ankündigung von Apple Pay waren mobile Zahlungssysteme eines der Topthemen der vergangenen Monate. Wie immer, wenn neue Systeme an den Start gehen, werden die Cyberkriminellen nach Lücken Ausschau halten. Da das aber aufgrund einiger sehr positiver Absicherungen nicht ganz einfach sein wird, dürfen wir davon ausgehen, dass die klassischen Onlinegaunereien mit Kreditkarten noch eine Weile weitergehen. Sie sind das bei weitem einfacherer für Betrug zu nutzen. - 7. Die Lücke zwischen Sicherheitsaufgaben und geschultem Personal klafft immer weiter auseinander.
Im gleichen Rahmen, wie Technologie immer mehr in unser tägliches Leben Einzug hält und einer der Stützpfeiler für die globale Wirtschaft wird, kommt das fehlende Know-how in Sachen Cybersicherheit zum Vorschein. Diese bedenkliche Entwicklung wird sowohl von Regierungen, als auch der Industrie konstatiert. Das Besetzen der nötigen Stellen kann Jahre dauern und ist somit ein echter Sicherheitsfaktor. - 8. Breite “Serviceoffensive” für Attacken und Exploit-Kits, um mobile Plattformen anzugreifen.
In den letzten Jahren hat sich ein neuer Trend bei den Cyberkriminellen durchgesetzt: das zur Verfügung stellen von Malwarepaketen, die keinerlei technisches Wissen voraussetzen und per Klick aktiviert werden können. Der rasante Anstieg bei mobilen Plattformen und der damit verbundene Austausch sensitiver Daten werden dazu führen, dass wir 2015 viele dieser Kits für Smartphone-Angriffe sehen werden. Gleiches gilt für Plattformen, die sich mit dem Internet of Things beschäftigen. - 9. Die Lücke zwischen ICS/SCADA und Sicherheit in der realen Welt wächst weiter.
Systeme wie Industrial Control Systems (ICS) und Supervisory Control and Data Acquisition (SCADA) hinken in Sachen Sicherheit üblicherweise zehn oder mehr Jahre hinter dem Mainstream her. Wir gehen davon aus, dass innerhalb der nächsten Jahre einige besorgniserregende Lücken aufgedeckt werden, die von Hackern auf breiter Front ausgenutzt werden. - 10. Flexiblere Rootkit- und Bot-Fähigkeiten eröffnen neue Angriffsvektoren.
Die Technologiesparte befindet sich zurzeit in einem grundlegenden Veränderungsprozess, in dessen Rahmen nun Plattformen und Protokolle abgeändert werden, die jahrelang als Standard dienten. Allein die Menge solcher Veränderungen der althergebrachten Technologiestandards wird viele alte Wunden aufreißen und neue Sicherheitslücken schaffen.
Die dabei installierte Malware ist zum Absaugen der Daten nötig. Beispielsweise, um die Daten verschlüsselt per FTP nach außen zu transferieren. Per se ist das auch nichts Neues - aber es scheint immer noch zu funktionieren. Cox hat beobachtet, dass sowohl fertige Malware wie Poison Ivy oder Ghost zum Einsatz kommen. Aber auch eigens für den Angriff fabrizierte Schädlinge finden sich in der Praxis. Wenngleich diese im Vergleich zu ausgefuchster Online-Banking-Malware wie ZeuS oder Citadel vergleichsweise simpel gehalten ist und oft auch auf Verschleierungsmaßnahmen wie Packing verzichtet. Offenbar genügt eine so simple Malware, um die Aufgabe zu erledigen.
Foto: GlebStock - shutterstock.com
Social Engineering maßgeschneidert
Zwar sehen Fachleute wie Alex Cox nach wie vor bekannte Mechanismen zum Einbruch in die Netze: Vermeintlich von Unternehmen wie Amazon, Apple (iTunes) oder Google (Google Mail) stammende E-Mails mit Password-Reset-Links oder Links zu gefälschten Login-Seiten. Die hierzu verwendeten E-Mails seien inzwischen weitgehend frei von Rechtschreibfehlern und die infizierten Seiten beim Waterholing Hand verlesen. Bevor auch nur eine einzige Phishing-Nachricht versandt würde, hätten die Angreifer zuvor meist E-Mail- oder Chat-Konversationen im Unternehmen mitverfolgt, um überzeugendere Nachrichten formulieren zu können. Dem Verizon Data Breach Report zufolge liegt die Erfolgsrate beim Spear-Phishing bei gut elf Prozent. Jede zehnte Nachricht führt also zum Erfolg.
James Lyne, Chef-Malwareforscher bei Sophos, sagt für die kommenden Jahre sogar noch eine weitere Professionalisierung der Social-Engineering-Angriffe voraus. Der Grund: Immer höhere Codequalität in Anwendungen und Betriebssystemen sowie Schutzmechanismen wie der seit Windows 8.1 Update 3 verfügbare Control Flow Guard. Sie machen das Finden und Missbrauchen von Schwachstellen in Software schwieriger, so dass sich Angreifer laut Lyne auf das weichere Ziel "Mensch" konzentrieren.
Der Antiviren-Experte berichtet von einer Social-Engineering-Attacke, die selbst ihn beinahe hinters Licht führte: Ihn erreichte vor einer tatsächlich stattfindenden Geschäftsreise eine E-Mail, die vermeintlich von einem Kollegen stammte. Der Inhalt der Nachricht schlug ein Treffen vor Ort vor. Im Anhang: Eine Word-Datei mit der Beschreibung der Reiseroute des Kollegen und ein Vorschlag zum Treffpunkt. Das Word-Dokument hätte beim Öffnen mittels Makro die eigentliche Schadsoftware heruntergeladen, die dann - ganz ohne Exploit oder Admin-Rechte - die Maschine des Opfers übernommen hätte. Die Angreifer machten sich vor dem Versand der Spear-Phishing-Nachricht offensichtlich kundig, wo Lyne demnächst sein würde und mit wem er eventuell zusammenarbeitet.
Malware nicht zu verachten
Auch wenn bei Attacken auf Unternehmen die Social-Engineering-Komponenten eine wichtige Rolle spielen: Letztendlich muss auch immer Schadsoftware mit ins Spiel. Fachleute wie Lyne und Cox sagen zwar, dass die Qualität der Schädlinge oft nicht mit der von Banking-Malware mithalten kann. Aber sie sehen dennoch ausgefuchste Mechanismen. So weiß James Lyne von diversen Schädlingen, die über dynamisch verschlüsselte Kanäle (Command & Control) Kontakt halten zu ihrem "Mutterschiff". Hiermit hätten so gut wie alle Intrusion-Detection-Systeme in Unternehmen immense Probleme.
Und auch die Antiviren-Softwarehersteller hätten ihre liebe Mühe, da Analysen solcher Malware sehr aufwändig seien. Zum einen machen es die verschlüsselten Kanäle schwer. Zum anderen schützt sich die Malware selbst auch gegen die gängigen Analysemethoden der Malware-Forscher. Selbst absolute Profis könnten bei manchen Infektionen zwar den Befall feststellen - jedoch nicht, welche Daten abgeflossen sind.