Awareness, Awareness, Awareness
Vorzüge einer aktiven Gefahrenabwehr – nicht nur bei Ransomware-Angriffen
Maximaler Malware-Schutz, bestmögliche Segmentierung und Awareness, Awareness, Awareness – so lautet der Ratschlag zur Ransomware-Eindämmung
Von Jochen Rummel, Illusive
Wenn das Security Operations Center (SOC) Ransomware meldet, ist es sowieso längst zu spät: Die Meinung, dass sich bereits angelaufene Verschlüsselungsattacken mit gängigen Angriffserkennungs- und Gegenwehr-Maßnahmen nicht aufhalten lassen, ist in der Security weit verbreitet. Dabei stehen die Abwehr-Chancen gar nicht so schlecht. Voraussetzung sind gute Vorbereitung und ein Fine-Tuning der Sensorik auf "Active Defense".
Beim Thema Ransomware neigen auch praxisgestählte CISOs zu einem gewissen Fatalismus. Zu oft hat sich gezeigt, dass beim ersten SOC-Alarm wichtige IT-Ressourcen bereits verschlüsselt sind und die weitere Verbreitung der Malware so rasant voranschreitet, dass die in anderen Fällen durchaus wirkungsvollen Response-Maßnahmen dem Geschehen hoffnungslos hinterherlaufen.
Auch Response funktioniert
Maximaler Malware-Schutz, bestmögliche Segmentierung und Awareness, Awareness, Awareness – so lautet vor diesem Hintergrund der Ratschlag zur Ransomware-Eindämmung. Man zieht sich also weithin auf Prävention zurück. Tatsächlich ist diese Maßnahmen-Trias gegen rein opportunistische Ransomware-Attacken auf Phishing-Basis wohl wirklich das Mittel der Wahl. Aber ausgerechnet gegen die weit ausgefeiltere Variante, bei denen die Verbreitung der Ransomware im Netz des Opfers akribisch von den Angreifern gesteuert wird, haben SOC-Teams sehr wohl eine Chance. Sie benötigen dazu eine auf Ransomware zugeschnittene Ergänzung ihrer sensorischen Werkzeuge und eine gute Vorbereitung auf den Fall der Fälle.
Was die Angriffserkennung und -Abwehr bei Ransomware so schwierig macht, ist nicht zuletzt der "Tipping Point", der den Erfolg der Attacke besiegelt. Bei einem Angriff beispielsweise, der auf den Diebstahl von Informationen zielt, haben die SOC-Teams nicht nur bei der Vorbereitung des Zugriffs durch die Cyber-Kriminellen diverse Möglichkeiten, das Unheil noch unter Kontrolle zu bekommen, sondern auch bei der Durchführung. So schleichen sich die Angreifer mittels "Lateral Movement" von System zu System im Netz an ihr Ziel heran, müssen die Daten dann aber auch noch sammeln und wieder aus der Umgebung der attackierten Organisation heraus schleusen (Exfiltration). Diese Phase entfällt bei Ransomware: Ist das Zielsystem erst einmal erreicht, wird die Verschlüsselung gestartet und legt das Asset sofort lahm. Die Information über das weitere Prozedere – die Lösegeldzahlung – wird auf dem Bildschirm des betroffenen Systems angezeigt, erfordert also aus Sicht der Angreifer keine aufwändige interne Kommunikation mehr. Eine komfortable Situation für die Bösen, ein echter Nachteil für die Betroffenen.
Lateral Movement im Fokus
Somit reduziert sich der Zeitraum, in dem ein Security-Operations-Team gegen eine angelaufene, gezielte und ferngesteuerte Ransomware-Attacke vorgehen kann, auf die Phase der Vorbereitung, also die des "Lateral Movements". Es gilt, Indikatoren für entsprechende Aktionen der Angreifer besser sichtbar zu machen. Dafür gibt es einen interessanten Ansatz, der unter der Überschrift "Active Defense" läuft: Es geht dabei darum, aktiv in die Vorbereitungen möglicher Bedrohungs-Akteure einzugreifen – und zwar, indem die unvermeidlichen Schritte der Ransomware-Strategen in vorhersehbar und besser kontrollierbare Bahnen geleitet werden.
Um dieses Modell zu erklären, lohnt sich zunächst ein Blick auf die typischen Komponenten des Lateral Movements und der Reconnaissance bei einem gesteuerten Verschlüsselungs-Angriff. Die Akteure benötigen zunächst einen Brückenkopf im Unternehmen. Um die entsprechenden Komponenten einzuschleusen – ein Executable, eine DLL oder Ähnliches - , setzen sie eventuell auf Phishing, nutzen zunehmend aber auch aggressivere Vorgehensweisen bis hin zu Versuchen, unzufriedene Mitarbeiter in der Zielorganisation gegen Erfolgsbeteiligung zur Mithilfe zu bewegen.
Je nach gewähltem Weg ins Netz befassen sich die Cyber-Kriminellen im Anschluss an den ersten Schritt in die Umgebung damit, eventuell vorhandene Endpoint-Detection-and-Response-Systeme (EDR) ausfindig zu machen und zu umgehen. Dazu nutzen sie ähnliche Tools, wie sie auch bei Red-Team-Assessments zum Einsatz kommen, und müssen gegebenenfalls Werkzeuge zum Ausschalten der Sicherheitsfunktionen nachladen. Was danach folgt, sind Schritte zum Auffinden von Konten mit interessanten Privilegien, die Ausweitung der eigenen Rechte im System, und immer neue Analysen der Umgebung und der erreichbaren Computersysteme – unter Umständen bereits mit einem konkreten Ziel, das zu den "Kronjuwelen" im Netz des Opfers gehört. Ist die laterale Fortbewegung im Netz erfolgreich, sind Angreifer zudem in der Lage Daten abzuziehen, bevor sie verschlüsselt werden oder auch parallel dazu.
Ein Unternehmen, das einschätzen möchte, wie gut oder schlecht seine Assets geschützt sind, kann sich einfach an den Ergebnissen eines "Red-Team"-Tests orientieren: Da die Security-Spezialisten und die realen Angreifer bei Lateral Movement und Reconnaissance auf die gleichen Werkzeugkästen setzen, darf ein desaströses Red-Teaming-Ergebnis als recht zuverlässiger Hinweis auf ein hohes Risiko in Sachen erfolgreiche Ransomware-Angriffe gelten.
Angreifer auf dem Holzweg
So weit, so gut – wo aber liegen die Stellschrauben, mit denen sich das Risiko senken lässt? Tatsächlich ist die erste noch wenig spektakulär. Sie reduziert die Komplexität der Angriffsfläche und besteht in durchaus bekannten Hygiene-Maßnahmen. Nämlich die Zahl unnötiger privilegierter Konten und allzu leicht zugänglicher Systeme zu senken. Im Zusammenhang mit Ransomware kommt diesem fundamentalen Schritt hin zu mehr Sicherheit zusätzlich die Aufgabe zu, auch die Zahl der zu überwachenden Systeme zu senken und das Monitoring auf wirklich kritische Punkte zu fokussieren. Entsprechende Maßnahmen stehen in vielen Organisationen zwar längst auf der Agenda, werden allerdings gern auf die lange Bank geschoben. Deshalb hat Illusive Funktionen zur Erkennung und Ausmerzung entsprechender Schwachstellen integriert, die danach einen deutlichen Schritt in Richtung "Active Defense" gehen sollen. Bei den erwähnten Bereinigungs-Funktionen hat der Hersteller Wert darauf gelegt, beispielsweise die mit einem Konto verbundenen Rechte anschaulich grafisch aufzubereiten. So können die mit der Bereinigung betrauten Mitarbeiter die Risiken hinter den jeweiligen Credentials schnell einschätzen und die richtigen Maßnahmen ergreifen.
Ungehinderte Analyse
Der kreative nächste Schritt besteht darin, die Zahl von interessanten Assets für mögliche Angreifer wieder auszudehnen – allerdings mit besonders akribisch beobachteten Fake-Systemen und -Credentials. Der Wert dieses Vorgehens lässt sich einschätzen, wenn man sich in die Lage der Angreifer versetzt: Auch sie müssen sich der nicht zwangsläufig kurzweiligen Aufgabe der Analyse vorgefundener Systeme und vor allen der Konten mit deren Rechten unterziehen. Diese Reconnaissance-Phase kostet viel Zeit und hat schon ohne gezielte Schutzmaßnahmen das Potenzial, Cyber-Kriminelle auf Irr- und Umwege zu schicken. Man stelle sich nun vor, dass im Ziel-Netzwerk die Zahl der tatsächlich nutzbaren Assets sinkt, die Zahl besonders gut überwachter gefälschter Systeme und Konten aber steigt. Bei diesen Fake-Assets müssen sich die Security-Teams ja keinerlei Datenschutz- oder Compliance-bedingten Beschränkungen unterwerfen, sie können den Systemen und Schein-Mitarbeitern also bis ins Detail auf den Zahn fühlen und jeden verdächtigen Schritt mit forensischen Methoden und gezielter Triage analysieren und dokumentieren.
Damit schwindet der bei Ransomware-Attacken so extrem ausgeprägte Angreifer-Vorteil: Cyberkriminelle müssen sich weitaus länger als in einem weniger gut geschützten Netz mit Zielen abgeben, die sie ins Nichts führen, und die Sicherheitsfachleute haben mehr Zeit und schärfer ausgerichtete Werkzeuge für die Erkennung.
Beides zusammen eröffnet durchaus die Chance, laufende Attacken noch rechtzeitig zu entdecken und abzuwehren. Bestimmte Toolsets eröffnen zusätzlich die Chance, mögliche Angreifer zur Wiederholung des Kommunikationsaufbaus zu zwingen.
Bei der "Active Defense" geht es um die granulare, weitflächige Verteilung von reinen Sensor-Assets im Netz, die nur der genaueren Beobachtung bösartiger Aktivitäten dienen, und um die Integration dieser Sensorik in moderne Detektions- und Response-Umgebungen. Agenten sind dazu nicht nötig, und die Auswertung der Resultate passiert über hoch entwickelte Forensik- und Angriffserkennungs-Methoden.
Ransomware ist ein wichtiger Anlass, über eine entsprechende Ergänzung der Sensorik fürs SOC oder anderes Security-Monitoring nachzudenken. Aber der Ansatz birgt auch für jede andere Form der Cyber-Gefahrenabwehr etliches an Potenzial, um Kosten und Belastung auf die Angreifer abzuwälzen. Etwa bei Living-off-the Land-Angriffsmethoden und Taktiken. Bedenkenswert immerhin, dass bei 70 Prozent der gegenwärtigen Attacken keine Malware eingesetzt wird, weil es sehr viel einfacher und praktikabler für einen Hacker oder Insider ist, sich gespeicherter oder im Cache befindlicher Anmeldinformationen zu bedienen – oder andere Formen unzureichender Cyber-Hygiene auszunutzen. (Illusive: ra)
eingetragen: 26.10.21
Newsletterlauf: 17.01.22
Illusive: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.