Get best of the week

Ein Wolf im Schafspelz: Wie man einen Hacker fängt, der sich sorgfältig als gewöhnlicher Benutzer verkleidet



Bild: Unsplash

Mit zunehmender Hackeraktivität erscheinen Produkte und Methoden, mit denen Sie die tatsächlichen Methoden zum Hacken, Reparieren und Verbreiten identifizieren können. Daher versuchen Hacker, einen Schritt voraus zu sein und so unauffällig wie möglich zu bleiben.

Heute werden wir über Taktiken sprechen, um die Spuren unserer Handlungen, die Cyberkriminelle anwenden, zu verbergen, und darüber, wie wir sie herausfinden können.


Bei der Untersuchung der Aktivitäten von APT-Gruppen haben wir in diesem Jahr einen Anstieg der Anzahl von APT-Angriffen in verschiedenen Branchen festgestellt. Wenn letztes Jahr 12 APT-Gruppen in unsere Sicht kamen, dann wurden dieses Jahr 27 Gruppen Gegenstand der Forschung. Dieser Trend korreliert auch mit dem stetigen Anstieg der Anzahl eindeutiger Cyber-Vorfälle von Quartal zu Quartal (nach unseren Daten wurden im dritten Quartal 2019 6% mehr eindeutige Vorfälle registriert als im zweiten). Diese Schlussfolgerungen werden durch die Daten der Generalstaatsanwaltschaft bestätigt: Im vergangenen Jahr hat sich die Zahl der IT-Straftaten im Vergleich zu 2018 fast verdoppelt und erreichte zum Jahresende nur 270.000 registrierte Fälle, d. H. 14% der Gesamtzahl aller registrierten Straftaten in Russland. Wie erwartet haben sich gezielte Angriffe deutlich durchgesetztüber massiv. Im Jahr 2019 beobachteten wir einen Anstieg der gezielten Angriffe: Im dritten Quartal betrug ihr Anteil 65% (gegenüber 59% im zweiten Quartal und 47% im ersten Quartal).

Hinter einem Hackerangriff steht fast immer finanzielle Motivation. Am häufigsten stehlen Angreifer Geld direkt von Unternehmenskonten. In anderen Fällen stehlen sie vertrauliche Daten und Dokumente zur Erpressung oder brechen in die Infrastruktur von Unternehmen ein und verkaufen den Zugang zu ihnen auf dem Schwarzmarkt. Außerdem können Sie keine gewöhnliche Spionage abschreiben, bei der Angreifer nicht an Geld, sondern an Informationen interessiert sind. Die Motivation für diese Art von Angriff ist meistens der Wettbewerb: Hacker können Geschäftsgeheimnisse auf Befehl stehlen, die Arbeit eines anderen Unternehmens stören und in einen Skandal verwickeln. Im Rahmen unserer StudieWir haben 10 APT-Gruppen identifiziert, die in den letzten zwei Jahren staatliche Unternehmen in Russland angegriffen haben, und festgestellt, dass ihr Hauptmotiv Spionage war. Darüber hinaus haben wir eine Umfrage unter IT- und Informationssicherheitsexperten durchgeführt, um die Bereitschaft ihrer Unternehmen zu ermitteln, APT-Angriffen zu widerstehen. Jeder zweite Befragte aus dem öffentlichen Sektor (45%) antwortete, dass sein Unternehmen nicht für APT bereit sei, und 68% gaben an, dass seine Spezialisten für Informationssicherheit nicht ausreichend qualifiziert seien, um mit solch komplexen Bedrohungen umzugehen.

Unsere Projekte zur retrospektiven Analyse und Untersuchung von Vorfällen zeigen, dass viele Unternehmen, die auf die Erkennung von Cyber-Vorfällen umgestellt haben, Spuren von Hacking finden, die vor einigen Monaten oder sogar einigen Jahren aufgetreten sind ( TaskMasters wurde letztes Jahr identifiziert, die sich mindestens acht Jahre lang in der Infrastruktur eines der Opfer befand). Dies bedeutet, dass Kriminelle seit langem viele Organisationen kontrolliert haben, aber die Organisationen selbst bemerken ihre Anwesenheit nicht und denken, dass sie tatsächlich geschützt sind. Darüber hinaus stellt sich häufig heraus, dass nicht nur eine, sondern mehrere Gruppen in der Infrastruktur solcher Unternehmen „leben“.

Nach unseren Schätzungen kann eine Reihe von Instrumenten zur Durchführung eines Angriffs, der darauf abzielt, Geld von einer Bank zu stehlen, 55.000 US-Dollar kosten. Eine Cyberspionagekampagne ist viel teurer, ihr Mindestbudget beträgt 500.000 US-Dollar.

Es scheint, dass der Markt viele Anti-Hacking-Produkte anbietet. Aber wie dringen Eindringlinge in ein Netzwerk von Organisationen ein? Wir werden dieses Problem im heutigen Artikel behandeln.

Soziale Entwicklung


Social Engineering ist eine der häufigsten Methoden, um in die Infrastruktur einzudringen. Große Unternehmen beschäftigen viele Mitarbeiter. Ihr Bewusstsein für die Regeln der Informationssicherheit kann unterschiedlich sein. Aus diesem Grund werden einige Mitarbeiter eher mit Social-Engineering-Methoden und Phishing angegriffen. Um eine Liste für Phishing-Mailing zu erstellen, reicht es aus, eine Suche nach Open Source (OSINT) durchzuführen.

Viele von uns haben Konten in sozialen Netzwerken, einige veröffentlichen Informationen über ihren Arbeitsplatz. In den meisten Fällen handelt es sich bei der E-Mail eines Mitarbeiters um eine Kombination aus „dem ersten Buchstaben des Vornamens und dem Nachnamen auf Englisch“ mit geringfügigen Abweichungen. Daher reicht es für den Hacker aus, das Format der elektronischen Adresse des Unternehmens und den vollständigen Namen des Mitarbeiters zu kennen, um seine E-Mail-Adresse mit einer Wahrscheinlichkeit von 90% zu erhalten. Sie können Daten auch in Schattenforen oder in den entsprechenden Kanälen beliebter Instant Messenger kaufen und im nächsten "Abfluss" von Datenbanken finden.

Sicherheitslücken in der Internetzugangsinfrastruktur


Bloody Enterprise besteht nicht nur aus einer großen Anzahl von Personen, sondern auch aus einer großen Anzahl von Diensten: Fernzugriffsdienste, Datenbanken, Verwaltungsbereiche, Websites. Und je mehr von ihnen, desto schwieriger ist es, sie zu kontrollieren. Daher gibt es Situationen, in denen der Dienst aufgrund von Konfigurationsfehlern von außen zugänglich wird. Wenn ein Hacker ständig den Umkreis des Unternehmens überwacht, wird er fast sofort ein solches „Loch“ in der Infrastruktur bemerken. Das Timing hängt nur davon ab, wie oft er den Umkreis scannt - von ein paar Minuten bis zu einem Tag.

Im schlimmsten Fall weist ein "nackter" Dienst eine bekannte Sicherheitsanfälligkeit auf, die es einem Angreifer ermöglicht, den Exploit sofort zu nutzen und in das Netzwerk zu gelangen. Und wenn das Standardkennwort bei der Konfiguration des Dienstes nicht geändert wurde, findet der Hacker durch Auswahl der Standardverbindung von Login und Kennwort mehrmals schneller Zugriff auf die Daten.

Warum Angriffe immer schwerer zu erkennen sind




Der Wendepunkt bei der Komplizierung von Hackerangriffen war das Auftreten des Stuxnet-Wurms im Jahr 2010, den viele als erste Cyberwaffe bezeichnen. Lange Zeit blieb er im Netzwerk des iranischen Atomprogramms unbemerkt, kontrollierte die Geschwindigkeit der Zentrifugen zur Urananreicherung und behindertengerechten Ausrüstung. Im Laufe der Jahre wurde er bereits in anderen Computernetzwerken gefunden. Durch die Verwendung von Zero-Day-Schwachstellen, digitalen Signaturen, die Verteilung über USB-Geräte und gemeinsam genutzte Drucker blieb der Wurm lange Zeit unentdeckt.

Hacker begannen sich in Gruppen zu vereinen. Wenn wir in der Null mehr einzelne Hacker beobachteten, dann begann in den 2010er Jahren ein aktives Wachstum der organisierten Cyberkriminalität. Die Zahl der Verbrechen nahm jedoch rapide zu. Gleichzeitig haben die Geschäftsinhaber zu Beginn des Jahrzehnts nicht viel über die Informationssicherheit ihrer Organisation nachgedacht, was es Hackern ermöglichte, Millionen von Dollar fast ungehindert zu stehlen. In der ersten Hälfte des Jahrzehnts waren Finanzinstitute nicht bereit für die Entstehung komplexer Malware wie Carberp und Carbanak . Durch Angriffe mit ihnen wurde ein Schaden von ca. 1 Milliarde US-Dollar verursacht.

Heute gibt es Lösungen zum Erkennen von Hacks und zum Erkennen der Aktivität von Angreifern in der Infrastruktur. Als Reaktion darauf entwickeln Hacker Problemumgehungen, um so lange wie möglich unentdeckt zu bleiben. Zum Beispiel verwenden sie Techniken wie das Leben außerhalb des Landes . Bei solchen Angriffen werden für die Remote-Ausführung von Befehlen auf Knoten in das Betriebssystem integrierte Mechanismen und vertrauenswürdige Programme verwendet. In der Windows-Infrastruktur können dies PowerShell-, WMI- und Dienstprogramme aus der Sysinternals-Suite sein. Beispielsweise hat sich das Dienstprogramm PsExec sowohl bei IT-Administratoren als auch bei Cyberkriminellen bewährt.

Angreifer verwenden auch die Wasserlochtechnik - sie hacken sich in eine Branchen-Site oder -Anwendung, die Mitarbeiter des Unternehmens häufig besuchen, verwenden und schädlichen Code in sie einfügen. Nachdem der Benutzer die Anwendung gestartet oder sich auf der Site angemeldet hat, wird Malware auf sein Gerät heruntergeladen, über das der Angreifer in die Infrastruktur gelangt. Diese Methode wurde von APT-Gruppen wie Turla , Winnti übernommen .

Einige Hacker-Gruppen, z. B. Cobalt, Silence, TaskMasters, verwenden die Supply-Chain-Angriffsmethode. Angreifer hacken im Voraus die Server eines Partners der Zielorganisation und führen bereits Phishing-Mailings aus seinen Postfächern aus. Hacker beschränken sich nicht nur auf das Versenden von Briefen, sondern greifen auch Softwareentwickler an, die von interessierenden Organisationen verwendet werden, und binden beispielsweise im nächsten Update bösartigen Code ein. Alle Benutzer, die dieses Update installieren, infizieren ihre Computer. Daher wurde der Schadcode des NotPetya-Ransomware-Virus in nur eines der Updates des Buchhaltungsprogramms integriert.

Mit allen Vorteilen einer Angreifer- Malware kann ein Virenschutzprogramm oder eine Sandbox jedoch erkennenwenn es per Mail verschickt wurde. In dieser Hinsicht erfinden Angreifer immer ausgefeiltere Code-Verschleierungstechniken - zum Beispiel durch Virtualisierung -, führen dateifreie Angriffe durch und fügen Anti-VM- und Antisandbox-Methoden in den Code ein.

Es kann nicht ausgeschlossen werden, dass ein Angreifer überhaupt auf Malware im Netzwerk verzichten kann und sich auf die Tools beschränkt, die in den Sicherheitsrichtlinien zulässig sind.

So fangen Sie einen Hacker in der Infrastruktur: Best Practices und schwerwiegende Fehler




Der einfachste Weg, um zu verhindern, dass ein ungebetener Gast in Ihrer Infrastruktur erscheint, besteht darin, die richtige Verteidigungslinie aufzubauen. Hierbei sind drei Hauptkomponenten zu unterscheiden:

  • zuverlässiger Umfang;
  • sachkundige Benutzer;
  • Rollen- und Kennwortrichtlinien.

Es gibt eine ausgezeichnete Aussage aus Sun Tsus Buch "The Art of War": "Gehen Sie vorwärts, wo Sie nicht warten, greifen Sie an, wo Sie nicht vorbereitet sind." Die Gewährleistung der Cybersicherheit sollte nicht auf den Umfang und die traditionellen Schutzmaßnahmen beschränkt sein. Wie die Ergebnisse unserer Studie zeigten , werden 92% der Bedrohungen identifiziert, wenn sich der Feind bereits im Inneren befindet.

Cybergroups haben erfolgreich gelernt, die Verteidigung am Rande der für sie interessanten Organisationen zu überwinden, und dies zeigt sich in dem Trend, den Anteil erfolgreicher gezielter Angriffe zu erhöhen . Dies ist eine Gelegenheit, den Fokus der Aufmerksamkeit von der Verhinderung von Angriffen auf den Perimeter auf die rechtzeitige Erkennung von Kompromissen und Reaktionen innerhalb des Netzwerks zu verlagern.

Wenn der Vorfall immer noch passiert ist, müssen Sie die gesamte Kette von Ereignissen erstellen, die der Hacker auf dem Weg zu seinem Ziel - der Zeitachse - erstellt hat. Wenn ein Vorfall erkannt wird, wissen viele nicht, wie sie richtig reagieren, in Panik geraten und bereits in den frühen Stadien Fehler machen sollen. Die hektische Beseitigung der Folgen des Vorfalls beginnt, was zur Löschung seiner Artefakte führt. Allerdings denken nur wenige Menschen sofort über die Gründe für das Auftreten nach, und bis die Notwendigkeit, die Ursache zu finden, offensichtlich wird, sind die meisten Spuren bereits zerstört - Sie müssen das Bild von den verbleibenden wiederherstellen.

Es kommt vor, dass der Hacker im Verlauf eines Vorfalls immer noch online bleibt und das Opfer versucht, ihn mit allen verfügbaren Mitteln „auszuschalten“, ohne zu verstehen, welchen Teil der Infrastruktur und Dienste der Angreifer kontrolliert. In diesem Fall kann der Hacker die Tür lautstark zuschlagen, indem er beispielsweise die kontrollierten Knoten verschlüsselt.

Einen Hacker in der Infrastruktur eines Hackers zu finden, ist nicht immer eine triviale Aufgabe. Mit einem kompetenten Ansatz kann er lange in der Infrastruktur bleiben. So wurde zum Beispiel die Vögte Gruppe , die entdecktExperten des PT Expert Security Center im Jahr 2018 versteckten in einigen Organisationen jahrelang ihre Präsenz. Gleichzeitig kehrten Hacker mehrmals in die gehackte Infrastruktur zurück, um ein weiteres Datenelement zu entladen. Anschließend füllten sie ein gegrabenes Loch und ließen mehrere Zugriffspunkte auf das interne Netzwerk. Und jedes Mal blieben sie unbemerkt. In solchen Fällen könnten Hacker durch abnormale Netzwerkaktivität (die hauptsächlich nachts auftrat) durch eine große Menge an Verkehr zu externen Knoten oder nicht standardmäßige horizontale Bewegungen innerhalb berechnet werden.

Aber was ist, wenn wir nicht wissen, ob es einen Hacker im Netzwerk gibt, und uns schützen möchten, indem wir das Fehlen von Hacking überprüfen? Dazu benötigen Sie eine große Wissensbasis darüber, wie ein Hacker handeln kann: wie man eindringt, wie man Fuß fasst, wie man sich bewegt. Glücklicherweise existiert eine solche Wissensbasis mit dem Namen ATT & CK , die von der MITRE Corporation basierend auf der Analyse realer APT-Angriffe entwickelt und unterstützt wird. Die Basis ist eine visuelle Tabelle mit Taktiken, auf die ein Hacker zurückgreifen kann, um sein Ziel erfolgreich zu erreichen. Es strukturierte das Wissen über gezielte Angriffe und kategorisierte die Aktionen von Angreifern. Die Datenbank wird ständig von Forschern aus aller Welt aktualisiert, sodass Experten für Informationssicherheit aus allen Ländern dieselbe Sprache sprechen können. Darüber hinaus können Sie mit taktischen Kenntnissen Anzeichen von Hacking erfolgreich erkennen und sich im Voraus vorbereiten - um Schwächen zu stärken, eine bessere Kontrolle über sie zu erlangen und schnell auf das Auftreten eines Angreifers zu reagieren.

Darüber hinaus hinterlassen Cracker Spuren im Netzwerkverkehr, was bedeutet, dass die Aufgabe eines Cybersicherheitsspezialisten darin besteht, diese Spuren zu erkennen. Ergebnisse Unsere Pilotprojekte haben gezeigt, dass Lösungen der NTA-Klasse Bedrohungen mit unterschiedlichem Risiko effektiv identifizieren können - von Verstößen gegen IS-Vorschriften bis hin zu komplexen gezielten Angriffen.

Technische Details zum Fangen eines Hackers im Netzwerkverkehr (ein detailliertes Handbuch mit Screenshots) finden Sie in unserem Anti-Malware-Artikel .

Was Sie in Zukunft erwartet: Trends im Bereich Cybersicherheit


Nachrichten über Datenlecks in den letzten Jahren sind besonders laut geworden, auch weil Angreifer es schaffen, Lecks der letzten Jahre zu nutzen. Dadurch erhalten sie vollständigere digitale Dateien einer großen Anzahl von Benutzern. Wird voraussichtlich diesen Trend fortsetzen.

Im Jahr 2019 verzeichneten wir mehr als eineinhalb Tausend Hackerangriffe. Dies sind 19% mehr als 2018. Bei 81% der Cyber-Angriffe waren die Opfer juristische Personen. Zu den fünf am häufigsten angegriffenen Sektoren gehörten Ende des Jahres staatliche Institutionen, Industrie, Medizin, Wissenschaft und Bildung sowie der Finanzsektor. Der Branchenfokus wird auch in Zukunft fortgesetzt.

Der Anteil gezielter Angriffe wächst: In jedem Quartal beobachteten wir gezieltere Angriffe als im vorherigen. Im ersten Quartal 2019 war weniger als die Hälfte der Angriffe (47%) zielgerichtet, und zum Jahresende betrug ihr Anteil bereits 67%. Erwarten Sie ein weiteres Wachstum der APT-Angriffe .

Um auf neue Bedrohungen reagieren zu können, müssen auch Schutztechnologien aktiv entwickelt werden. Es wird jedoch nicht möglich sein, ein hohes Sicherheitsniveau nur mit Hilfe von Tools für Gegenmaßnahmen und Angriffserkennung zu erreichen. Wir empfehlen Unternehmen, im Rahmen des Red Teaming regelmäßig Penetrationstests und Schulungen für IS-Mitarbeiter durchzuführen. Auf diese Weise können potenzielle Angriffsmethoden für kritische Ressourcen erkannt und rechtzeitig beseitigt sowie IS- und IT-Service-Interaktionen im Falle eines Cyberangriffs debuggt werden.

Unser Unternehmen hat ein Anti-APT- Netzwerkschutzsystem für das Unternehmen entwickelt , mit dem gezielte Angriffe erkannt und verhindert werden sollen. Sie können schnell die Anwesenheit eines Angreifers im Netzwerk erkennen und das vollständige Bild des Angriffs für eine detaillierte Untersuchung erstellen. Das Erkennen abnormaler Aktivitäten im Netzwerk, die retrospektive Analyse von Dateien und eine erweiterte Sandbox können die Reaktionszeit auf einen Vorfall verkürzen oder ganz verhindern.

Gepostet von Denis Kuvshinov, führender Spezialist, Positive Technologies Cyber ​​Threat Research Team

More articles:


All Articles