Die neueste Waffe im Arsenal der Cyberspione hinter der Operation "Shrouded Crossbow" befällt jetzt nicht nur Windows, sondern auch Unix- und Unix-ähnliche Systeme. [...]
Haben Sicherheitsexperten in Behörden und Unternehmen den Verdacht, Opfer eines gezielten Angriffs zu sein, müssen sie schnell reagieren. Die folgenden, ebenfalls von Trend Mirco zusammengestellten „Sieben Punkte für die Suche nach Anzeichen eines gezielten Angriffs“ können dabei helfen, erste Gegenmaßnahmen einzuleiten:
Suche nach eingefügten DNS Records
Angreifer manipuliren häufig DNS Records, um sicherzustellen, dass die Verbindungen zu ihren C&C-Servern nicht blockiert werden. Administratoren sollten nach folgenden Anzeichen für eingefügte DNS Records suchen:
- Unbekannte Domänen, die in IPs wie 127.0.0.1, 127.0.0.2, 255.255.255.254, 255.255.255.255, 0.0.0.0 und 1.1.1.1 „geparkt“ sind. Diese IPs werden typischerweise von Angreifern als Platzhalter für noch nicht genutzte C&Cs eingesetzt.
- Unbekannte Domänen, die erst kürzlich, etwa vor drei Tagen, registriert wurden. Lässt sich mit whois prüfen.
- Domänen, die aus zufälligen Zeichen zu bestehen scheinen (z.B. aeeqvsfmtstjztqwlrqknoffmozu.com oder zxcmpfwqwgqnbldzhdqsrqt.com)
- Domänen, die bekannte Sites zu imitieren scheinen (z.B. microsoft-dot .com oder goooogle.com)
Audit-Konten für fehlgeschlagene/irreguläre Anmeldungen
Sobald ein Angreifer sich in einem Netzwerk festgesetzt hat und die Kommunikation mit seinem C&C steht, beginnt er in vielen Fällen mit lateralen Bewegungen durchs Netz. Er sucht das Active Directory, den Mail- oder Dateiserver und greift über einen Exploit und eine Server-Sicherheitslücke darauf zu. Wenn Administratoren ihre wichtigen Server gegen Sicherheitslücken gepatcht und gesichert haben, so versucht der Kriminelle, Admin-Konten mit Gewalt zu knacken. Deshalb ist der Login Record die beste Referenz für jeden diesbezüglichen Versuch. Die Suche nach fehlgeschlagenen aber auch erfolgreichen Logins zu verdächtigen Zeiten zeigt die Versuche eines Angreifers, sich innerhalb des Netzes lateral zu bewegen.
Warnungen aus den Sicherheitslösungen
Manchmal kennzeichnen Sicherheitslösungen scheinbar harmlose Tools als verdächtig. Nutzer ignorieren die Warnungen, denn die Datei ist entweder bekannt oder scheint harmlos. Doch immer wieder kommt es vor, dass die Warnungen tatsächlich auf einen Angreifer im Netzwerk hinweisen. Die Kriminellen könnten entweder schlecht aufgesetzte Hacker-Tools verwenden oder manchmal solche wie PsExec und andere aus der Sysinternals Suite, um damit Diagnosen im System oder Netzwerk durchzuführen. Manche Sicherheitslösungen kennzeichnen diese Tools als verdächtig, wenn sie nicht auf dem Computer des Nutzers vorinstalliert sind. Der IT-Admin muss nachfragen, warum der Nutzer das entsprechende Tool einsetzt. Falls kein guter Grund vorliegt, könnte es ein Angreifer sein.
Suche nach merkwürdigen großen Dateien
Admins müssen unbekannte große Dateien in einem System prüfen, da sie Daten enthalten können, die aus dem Netzwerk gestohlen wurden. Angreifer speichern diese Dateien vor der Exfiltrierung häufig in den Systemen ihrer Opfer und verstecken sie hinter normal aussehenden Dateinamen und Dateitypen.
Audit von Netzwerk-Logs auf von der Norm abweichende Verbindungen
Es ist wichtig, die Netzwerk-Monitoring-Logs zu auditieren, um Abweichungen in den Verbindungen zu entdecken. Dafür müssten Admins das Netzwerk und die Aktivitäten darin zu jeder Zeit genau kennen. Nur wenn der Normalzustand des Netzwerks bekannt ist, lassen sich Abweichungen davon erkennen.
Abweichende Protokolle
Im Zusammenhang mit abweichenden Verbindungen sollten auch die dabei genutzten Protokolle geprüft werden, vor allem diejenigen, die von innen nach draußen gehen. Häufig nutzen die Angreifer ein Protokoll, das in dem entsprechenden Netzwerk erlaubt ist. Das heißt, Verbindungen müssen auch dann inspiziert werden, wenn sie normale Protokolle nutzen.
Beispielsweise haben Angreifer https (port 443) für die Verbindung nach draußen genutzt, doch bei der Prüfung des Inhalts wurde festgestellt, dass nur http-Datena darin enthalten waren. Admins denken nicht daran, https-Verbindungen zu prüfen, da sie davon ausgehen, dass diese immer verschlüsselt sind.
Erhöhte E-Mail-Aktivität
IT-Admins können Mail-Logs prüfen, um zu sehen, ob es merkwürdige Spitzen für einzelne Nutzer gab. Diese müssen weiter erforscht werden, weil der Nutzer sich unter Umständen in einem gezielten Spear-Phishing-Angriff befindet. Ein Angreifer, der seine Hausaufgaben gemacht hat, könnte darüber Bescheid wissen, dass ein Mitarbeiter ein wichtiges Meeting haben wird und ihm bereits drei Monate vorher Spear-Phishing-Mails schicken. (pi/rnf)
Be the first to comment