jamdesign - stock.adobe.com
Aktive Gefahrenabwehr: Ransomware-Angriffe stoppen
Der Ansatz einer aktiven Gefahrenabwehr kann es erlauben, laufende Attacken zu erkennen und abzuwehren. Dabei muss über ein anderes Security-Monitoring nachgedacht werden.
„Wenn das Security Operations Center (SOC) Ransomware meldet, ist es sowieso längst zu spät“: Die Meinung, dass sich bereits angelaufene Verschlüsselungsattacken mit gängigen Angriffserkennungs- und Gegenwehrmaßnahmen nicht aufhalten lassen, ist in der Security weit verbreitet. Dabei stehen die Abwehrchancen gar nicht so schlecht. Voraussetzung sind gute Vorbereitung und ein Fine-Tuning der Sensorik auf „Active Defense“ – also aktive Gefahrenabwehr.
Beim Thema Ransomware neigen auch praxisgestählte CISO zu einem gewissen Fatalismus. Zu oft hat sich gezeigt, dass beim ersten SOC-Alarm wichtige IT-Ressourcen bereits verschlüsselt sind und die weitere Verbreitung der Malware so rasant voranschreitet, dass die in anderen Fällen durchaus wirkungsvollen Response-Maßnahmen dem Geschehen hoffnungslos hinterherlaufen.
Auch Response funktioniert
Maximaler Malware-Schutz, bestmögliche Segmentierung und Awareness, Awareness, Awareness – so lautet vor diesem Hintergrund der Ratschlag zur Ransomware-Eindämmung. Man zieht sich also weithin auf Prävention zurück. Tatsächlich ist diese Maßnahmen-Trias gegen rein opportunistische Ransomware-Attacken auf Phishing-Basis wohl wirklich das Mittel der Wahl.
Aber ausgerechnet gegen die weit ausgefeiltere Variante, bei denen die Verbreitung der Ransomware im Netz des Opfers akribisch von den Angreifern gesteuert wird, haben SOC-Teams sehr wohl eine Chance. Sie benötigen dazu eine auf Ransomware zugeschnittene Ergänzung ihrer sensorischen Werkzeuge und eine gute Vorbereitung auf den Fall der Fälle.
Was die Angriffserkennung und -Abwehr bei Ransomware so schwierig macht, ist nicht zuletzt der Kipppunkt, der den Erfolg der Attacke besiegelt. Bei einem Angriff beispielsweise, der auf den Diebstahl von Informationen zielt, haben die SOC-Teams nicht nur bei der Vorbereitung des Zugriffs durch die Cyberkriminellen diverse Möglichkeiten, das Unheil noch unter Kontrolle zu bekommen, sondern auch bei der Durchführung.
So schleichen sich die Angreifer mittels Seitwärtsbewegung (Lateral Movement) von System zu System im Netz an ihr Ziel heran, müssen die Daten dann aber auch noch sammeln und wieder aus der Umgebung der attackierten Organisation heraus schleusen (Exfiltration). Diese Phase entfällt bei Ransomware: Ist das Zielsystem erst einmal erreicht, wird die Verschlüsselung gestartet und legt das Asset sofort lahm. Die Information über das weitere Prozedere – die Lösegeldzahlung – wird auf dem Bildschirm des betroffenen Systems angezeigt, erfordert also aus Sicht der Angreifer keine aufwändige interne Kommunikation mehr. Eine komfortable Situation für die Bösen, ein echter Nachteil für die Betroffenen.
Seitwärtsbewegungen im Fokus
Somit reduziert sich der Zeitraum, in dem ein Security-Operations-Team gegen eine angelaufene, gezielte und ferngesteuerte Ransomware-Attacke vorgehen kann, auf die Phase der Vorbereitung, also die des „Lateral Movements“. Es gilt, Indikatoren für entsprechende Aktionen der Angreifer besser sichtbar zu machen. Dafür gibt es einen interessanten Ansatz, der unter der Überschrift „Active Defense“ läuft: Es geht dabei darum, aktiv in die Vorbereitungen möglicher Bedrohungsakteure einzugreifen – und zwar, indem die unvermeidlichen Schritte der Ransomware-Strategen in vorhersehbar und besser kontrollierbare Bahnen geleitet werden.
Um dieses Modell zu erklären, lohnt sich zunächst ein Blick auf die typischen Komponenten des Lateral Movements und der Reconnaissance bei einem gesteuerten Verschlüsselungsangriff. Die Akteure benötigen zunächst einen Brückenkopf im Unternehmen. Um die entsprechenden Komponenten einzuschleusen – ein ausführbare Datei, eine DLL oder Ähnliches – setzen sie eventuell auf Phishing, nutzen zunehmend aber auch aggressivere Vorgehensweisen bis hin zu Versuchen, unzufriedene Mitarbeiter in der Zielorganisation gegen Erfolgsbeteiligung zur Mithilfe zu bewegen.
Je nach gewähltem Weg ins Netz befassen sich die Cyberkriminellen im Anschluss an den ersten Schritt in die Umgebung damit, eventuell vorhandene EDR-Systeme (Endpoint Detection and Response) ausfindig zu machen und zu umgehen. Dazu nutzen sie ähnliche Tools, wie sie auch bei Red-Team-Assessments zum Einsatz kommen, und müssen gegebenenfalls Werkzeuge zum Ausschalten der Sicherheitsfunktionen nachladen.
Was danach folgt, sind Schritte zum Auffinden von Konten mit interessanten Privilegien, die Ausweitung der eigenen Rechte im System, und immer neue Analysen der Umgebung und der erreichbaren Computersysteme – unter Umständen bereits mit einem konkreten Ziel, das zu den „Kronjuwelen“ im Netz des Opfers gehört.
Ein Unternehmen, das einschätzen möchte, wie gut oder schlecht seine Assets geschützt sind, kann sich einfach an den Ergebnissen eines Red-Team-Tests orientieren: Da die Security-Spezialisten und die realen Angreifer bei Seitwärtsbewegung und Reconnaissance auf die gleichen Werkzeugkästen setzen, darf ein desaströses Red-Teaming-Ergebnis als recht zuverlässiger Hinweis auf ein hohes Risiko in Sachen erfolgreiche Ransomware-Angriffe gelten.
Angreifer auf dem Holzweg
So weit, so gut – wo aber liegen die Stellschrauben, mit denen sich das Risiko senken lässt? Tatsächlich ist die erste noch wenig spektakulär. Sie reduziert die Komplexität der Angriffsfläche und besteht in durchaus bekannten Hygienemaßnahmen. Nämlich die Zahl unnötiger privilegierter Konten und allzu leicht zugänglicher Systeme zu senken.
Im Zusammenhang mit Ransomware kommt diesem fundamentalen Schritt hin zu mehr Sicherheit zusätzlich die Aufgabe zu, auch die Zahl der zu überwachenden Systeme zu senken und das Monitoring auf wirklich kritische Punkte zu fokussieren.
Entsprechende Maßnahmen stehen in vielen Organisationen zwar längst auf der Agenda, werden allerdings gern auf die lange Bank geschoben. Es gilt zunächst die entsprechenden Schwachstellen zu erkennen und auszumerzen. So können beispielsweise die mit einem Konto verbundenen Rechte grafisch veranschaulicht werden. Dies erleichtert es den mit der Bereinigung betrauten Mitarbeitern die Risiken hinter den jeweiligen Zugangsdaten einzuschätzen und die entsprechenden Maßnahmen zu ergreifen.
„Ransomware ist ein wichtiger Anlass, über eine entsprechende Ergänzung der Sensorik fürs SOC oder anderes Security-Monitoring nachzudenken.“
Jochen Rummel, Illusive
Ungehinderte Analyse
Der kreative nächste Schritt besteht darin, die Zahl von interessanten Assets für mögliche Angreifer wieder auszudehnen – allerdings mit besonders akribisch beobachteten Fake-Systemen und -Zugangsdaten. Der Wert dieses Vorgehens lässt sich einschätzen, wenn man sich in die Lage der Angreifer versetzt: Auch sie müssen sich der nicht zwangsläufig kurzweiligen Aufgabe der Analyse vorgefundener Systeme und vor allen der Konten mit deren Rechten unterziehen.
Diese Reconnaissance-Phase kostet viel Zeit und hat schon ohne gezielte Schutzmaßnahmen das Potenzial, Cyberkriminelle auf Irr- und Umwege zu schicken. Man stelle sich nun vor, dass im Ziel-Netzwerk die Zahl der tatsächlich nutzbaren Assets sinkt, die Zahl besonders gut überwachter gefälschter Systeme und Konten aber steigt. Bei diesen Fake-Assets müssen sich die Security-Teams ja keinerlei Datenschutz- oder Compliance-bedingten Beschränkungen unterwerfen, sie können den Systemen und Schein-Mitarbeitern also bis ins Detail auf den Zahn fühlen und jeden verdächtigen Schritt mit forensischen Methoden und gezielter Triage analysieren und dokumentieren.
Damit schwindet der bei Ransomware-Attacken so extrem ausgeprägte Vorteil des Angreifers: Cyberkriminelle müssen sich weitaus länger als in einem weniger gut geschützten Netz mit Zielen abgeben, die sie ins Nichts führen, und die Sicherheitsfachleute haben mehr Zeit und schärfer ausgerichtete Werkzeuge für die Erkennung. Beides zusammen eröffnet durchaus die Chance, laufende Attacken noch rechtzeitig zu entdecken und abzuwehren. Bestimmte Tool-Sets eröffnen zusätzlich die Chance, mögliche Angreifer zur Wiederholung des Kommunikationsaufbaus zu zwingen.
Bei der „Active Defense“ geht es um die granulare, weitflächige Verteilung von reinen Sensor-Assets im Netz, die nur der genaueren Beobachtung bösartiger Aktivitäten dienen, und um die Integration dieser Sensorik in moderne Detektions- und Response-Umgebungen. Agenten sind dazu nicht nötig, und die Auswertung der Resultate passiert über hoch entwickelte Forensik- und Angriffserkennungs-Methoden.
Ransomware ist ein wichtiger Anlass, über eine entsprechende Ergänzung der Sensorik fürs SOC oder anderes Security-Monitoring nachzudenken. Aber der Ansatz birgt auch für jede andere Form der Cybergefahrenabwehr etliches an Potenzial, um Kosten und Belastung auf die Angreifer abzuwälzen.
Über den Autor:
Jochen Rummel ist Regional Director DACH bei Illusive.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.