Partner-Post Dossier kompakt in Kooperation mit G Data

Das Toolset der Cyberkriminellen

Uhr
von Stefan Karpenstein, Public Relations Manager, G Data Cyberdefense

Für Angriffe nutzen Cyberkriminelle verschiedene "Werkzeuge". Viele davon dürften auch IT-Administratoren sehr ­vertraut sein. Denn immer wieder missbrauchen Angreifer legitime Tools für ihre Zwecke. Sie verwischen damit ihre Spuren oder löschen Daten unwiederbringlich.

Stefan Karpenstein, Public Relations Manager, G Data Cyberdefense. (Source: zVg)
Stefan Karpenstein, Public Relations Manager, G Data Cyberdefense. (Source: zVg)

Brecheisen, Dietrich oder Schneidbrenner – das Standardwerkzeug der Einbrecher und Diebe. Aber welche Werkzeuge nutzen eigentlich Diebe in der digitalen Welt? Die Antwort ist so einfach wie überraschend. Sie setzen etwa Hacking-Tools ein, die legitime Hacker bei Penetrationstests verwenden, wie etwa Cobalt Strike, Defender Control, PowerSploit oder MimiKatz. Dies ist aber nur ein Teil ihres kriminellen Werkzeug-Sets.

Mit guten Sachen Schlechtes tun

Wer tiefer in die Welt der Cyberkriminellen eindringt, stellt fest, dass diese meist auf Anwendungen zurückgreifen, die im Netzwerk selbst verfügbar sind. Standard-Windows-Utilities gehören zu den von Angreifern häufig genutzten Tools, um Sicherheitslücken auszunutzen oder ihren Angriff zu tarnen, wie die folgenden Beispiele zeigen:

  • BCDEdit: Das Befehlszeilentool dient der Verwaltung von Bootkonfigurationsdatenspeichern. Bei Ransomware-Attacken­ deaktivieren die Angreifer damit die Wiederherstellungsfunktionen.

  • Vssadmin: Zeigt aktuelle Schattenkopie-Backups und alle installierten Schattenkopie-Schreiber und -Anbieter an. Bei einer Ransomware-Attacke löschen Angreifer mit dieser Funktion Schattenkopien, um jegliche Wiederherstellungsoption zu verhindern.

  • PowerShell: Mit diesem Skript-Tool lassen sich Befehle ausführen, um Nutzerdaten herunterzuladen, kompromittierte Netzwerke zu durchdringen und Aufklärungsarbeit zu leisten. Administratoren nutzen Powershell unter anderem, um bestimmte Abläufe zu automatisieren.

Angreifer, die bereits vorhandene Tools verwenden, müssen keine neuen Werkzeuge entwickeln und testen. Sie müssen sich keine Gedanken über Kompatibilität oder Abhängigkeiten machen. Es ist auch billiger und schneller, das zu verwenden, was bereits vorhanden ist. Aus der Sicht des Angreifers macht die Verwendung vorhandener Tools die Arbeit des Verteidigers deutlich schwieriger. Da der Angreifer Tools verwendet, die bereits im Netz vorhanden sind und auch legitim genutzt werden, hebt sich eine bösartige Aktivität kaum von den normalen Aktivitäten ab.

Angriffe stoppen

Der Unterschied zwischen dem Missbrauch integrierter Tools und dem autorisierten Einsatz durch den Systemadministrator ist alles andere als trivial. Es ist also hilfreich, zunächst einmal eine Basis zu etablieren, die als "Normalaktivität" herhält. Für alles, was über diese normale Aktivität hinausgeht, ist es sinnvoll, Regeln zu erstellen und Meldewege zu etablieren. Wichtig ist dabei, die missbräuchliche Verwendung einer bestimmten Technik oder eines Werkzeugs zu unterbinden und gleichzeitig so abzustimmen, dass Netzwerkbenutzer nicht in ihrer täglichen Arbeit eingeschränkt sind. Eine weitere Schutzmassnahme: Die Interaktion der Registrierungsschlüssel im Auge zu behalten, da Angreifer die Systemdatenbank von Windows auf vielfältige Weise missbrauchen. Plötzliche und massenhafte Veränderungen auf einem System können ein Indikator sein, der auf einen Angriff hindeutet. Es ist nicht immer einfach, einen legitimen Prozess zu finden, der bösartigen Code im jeweiligen Netzwerk ausführt.

Der beste Schutz ist jedoch, die Bedrohung zu stoppen, bevor sie das Netzwerk erreicht. Denn Angreifer müssen die Anwenderinnen und Anwender dazu bringen, etwas auszuführen oder auf einen falschen Link zu klicken, wenn sie keine bestehende Sicherheitslücke ausnutzen. Ein Grossteil der Angriffsversuche lässt sich durch Mitarbeitende stoppen, die ein gutes Sicherheitsbewusstsein haben. Hier helfen Awareness Trainings, dieses Bewusstsein zu steigern.

----------

Wer weiss, welche Aktivitäten im ­Netzwerk erlaubt sind, erkennt auch ­Angriffsversuche schneller 

Nutzen Cyberkriminelle immer massgeschneiderte Malware, um Firmen zu attackieren? Nein, in der Regel greifen sie dabei oft auf legitime Tools zurück. Wie sich Unternehmen davor schützen und wie Reseller dabei helfen können, sagt Cornelia Lehle, Head of Sales DACH bei G Data Cyberdefense. Interview: Coen Kaat

Erstellen Cyberkriminelle gar keine eigenen Tools für ihre ­Attacken?

Cornelia Lehle: Grundsätzlich arbeiten Cyberkriminelle profit­orientiert. Sie nutzen also gerne Tools, die automatisiert und in der Masse funktionieren und mit denen sie schnell an ihr Ziel gelangen: an Daten und an Lösegeld. Massgeschneiderte Angriffstools, die speziell auf ein Ziel zugeschnitten sind, lassen sich in der Regel immer nur sehr begrenzt einsetzen. Aber natürlich kommen bei einem Angriff auch eigenentwickelte Tools wie Information Stealer, Trojaner oder Keylogger zum Einsatz. Aber auch dabei agieren Cyberkriminelle arbeitsteilig. Die einen programmieren Schadsoftware, die nächsten infiltrieren ein Unternehmen und eine dritte Gruppe kopiert und verschlüsselt die Daten.

Können die Anbieter legitimer Tools verhindern, dass ihre ­Lösungen für kriminelle Zwecke missbraucht werden?

Klare Antwort: Nein. Denken Sie nur an einen Hammer, den man im Baumarkt kaufen kann. Damit kann man einen Nagel in die Wand einschlagen und ein Bild daran befestigen. Man kann damit aber auch eine Scheibe zertrümmern und in ein Haus einbrechen. Baumärkte nehmen deswegen aber keine Hämmer aus ihrem Sortiment oder fordern die Hinterlegung von Ausweisdokumenten. Gleiches gilt für legitime Anwendungen. So haben in der Ver­gangenheit ­Cyberkriminelle etwa Pentesting-Tools genutzt, um Schwachstellen von Unternehmen zu finden, um dann in das Netzwerk einzu­dringen.

Inwiefern ist bei solchen Tools ein System vergleichbar mit den Regeln zur Abgabe kontrollierter Substanzen sinnvoll oder ­realistisch?

Cyberkriminelle nehmen auf solche Regeln leider keine Rücksicht. Daher halte ich eine derartige Regulierung nicht für zielführend und durchsetzbar. Denn grundsätzlich dienen legitime Tools ja einem bestimmten Zweck wie beispielsweise Anwendungen bei Penetrationstests. Hier ist der Kontext entscheidend.

Wie kann man missbräuchliche Aktivitäten legitimer oder ­integrierter Tools erkennen und sich davor schützen? Komplett­ blockieren kann man diese Tools ja nicht.

Das hängt natürlich von den Tools beziehungsweise auch von den Tätern ab. Denken Sie nur an einen Netzwerkscanner und seinen legitimen Zweck. Der beste Schutz vor missbräuchlichen Aktivitäten ist es, die eigenen Aktivitäten im Netz vorab zu definieren und eine Baseline festzulegen. Wenn die IT-Verantwortlichen wissen, welche Aktivitäten legitim sind, dann können sie auch schnell illegitimes Verhalten und damit einen potenziellen Angriff erkennen.

Wie können Reseller und Integratoren ihren Kunden ­diesbezüglich mehr Sicherheit bieten?

Sie können ihre Kunden beraten und Hinweise geben, um die unternehmenseigene Baseline zu finden. Denn dafür gibt es keine Blaupause, keine "Universallösung". So braucht es beispielsweise ein klar geregeltes Policy-Management sowie Allow-Listen, welche kritischen Anwendungen überhaupt zum Einsatz kommen dürfen. Ebenso kann man beispielsweise in den Firewall-Einstellung IP Ranges aus dedizierten Ländern sperren. Reseller und Integratoren sollten hier vertrauensvoll mit ihren Kunden zusammenarbeiten. Ein weiterer wichtiger Punkt: Wenn Reseller das Patch-Management verantworten, liegt es auch an ihnen, kritische Updates umgehend einzuspielen, um mögliche Sicherheits­lücken direkt zu schliessen.

Webcode
DPF8_248329