Ransomware-Attacken wie WannaCry weisen einige gängige Verhaltensmuster auf, durch die sie relativ schnell erkannt werden können. [...]
Entscheidend ist: Bevor die Ransomware irgendwelche Dateien verschlüsseln kann, muss sie erst File Shares im Netzwerk finden – die Internal Reconnaissance Phase ist eine Phase der sogenannten Kill Chain. Vectra ist in der Lage, das Verhalten der Malware beim Durchforsten des Netzwerks zu erkennen und alle Verhaltensweisen, die mit infizierten Hosts assoziiert werden, zu kategorisieren. Hosts, die bereits mit Ransomware infiziert sind, stellen eine sehr große Gefahr dar, und sie erhalten deshalb höchste Priorität.
- Command-and-Control-Kommunikation über das TOR-Netzwerk
- Analyse (Sweeping) des internen Netzwerks und des Internets auf Port 445 zur Erfassung von Computern mit der Sicherheitslücke MS17-010
- Automatisierte Replikation von Malware, sobald ein Computer mit der Sicherheitslücke MS17-010 gefunden wurde
- Verschlüsselung von Dateien auf lokalen und gemappten Files Shares
Vectra Networks empfiehlt die Konfiguration von E-Mail-Alerts, wenn das System Verhalten entdeckt, das WannaCry und seinen Varianten entspricht. Vectra sieht in diesem Fall eine hohe Priorität für Aktivitäten auf Port 445, um frühe Indikatoren für einen Angriff zu erkennen:
- Interner und externer Port Sweep
- Interner Darknet-Scan
- Automatisierte Replikation
- Ransomware-verdächtige Aktivitäten
- Auflistung von File Shares
Ein System, das auf künstliche Intelligenz setzt, liefert dem Sicherheitsverantwortlichen alle Informationen, um eine fundierte Entscheidung zu treffen. Wenn eine oder mehrere dieser verdächtigen Verhaltensweisen auf einem Host erkannt wird, kann der Benutzer eine von mehreren Aktionen automatisieren, abhängig von der Bedrohungsstufe und internen Richtlinien:
- Der Host muss aus dem Netzwerk entfernt oder in Quarantäne gesetzt werden. WannaCry hat virale oder wurmähnliche Ausbreitungstendenzen gezeigt. Die Trennung eines Hosts vom Netzwerk ist der schnellste Weg, um seine Verbreitung zu stoppen.
- Quarantäne aller Hosts, die als Ziel-IP-Adressen bei der Erkennung einer automatisierten Replikation aufgelistet sind, wenn sie von einem Host kontaktiert wurden, bei dem alles auf eine WannaCry-Infektion hindeutet.
- Re-Imaging der infizierten Hosts und Wiederherstellung von Dateien aus einem Offline-Backup, um eine Neuinfektion zu vermeiden.
- Im Falle der Erkennung einer Ransomware-Datei-Aktivität sollten verschlüsselte Dateien auf den Dateifreigaben aus einer Offline-Sicherung wiederhergestellt werden.
Dies war nur einer von vielen weiteren Angriffen, die kommen werden, warnt Vectra. Diese Angriffe haben unterschiedliche Namen und verwenden unterschiedliche Exploits. Was sich aber nicht ändert, ist die Art der Angriffe und ihr Verhalten. „Während wir nicht wissen, was genau der nächste große Angriff sein wird und wann er stattfinden wird, wissen wir, dass wir bereit sein müssen. Unternehmen benötigen hierfür Unterstützung. Fortschritte in der künstlichen Intelligenz ermöglichen es, mittels neuer Technologie die Fähigkeiten der Sicherheitsteams zu erweitern. Die Sicherheitsbranche muss sich dahingehend orientieren, künftig das Verhalten des Angreifers in Echtzeit zu identifizieren“, erklärte Gérard Bauer, Vice President EMEA bei Vectra Networks.
Be the first to comment