< Übersicht
Moderne Ransomware-Angriffe sind nur schwer abzuwehren und bleiben oft wochen- oder sogar monatelang unbemerkt. Die Angreifer nutzen die Zeit, um möglichst alle Systeme zu infizieren und um Daten bzw. Intellectual Property abzugreifen. Die Verschlüsselung und damit die Erpressung erfolgt erst nach einiger Zeit. Genau hier setzt Continuous Compromise Assessment an: Es gilt als zuverlässigste und effizienteste Methode, um kompromittierte Systeme zu erkennen, da es Angriffsspuren entdeckt und damit Gegenmaßnahmen ermöglicht, bevor es zur Verschlüsselung kommt. Mit Continuous Compromise Assessment kann das Maturity Level der IT-Security ergänzt und erhöht werden.

Den Schaden moderner Ransomware-Angriffe minimieren

Kompromittierung und Gegenmaßnahmen

Ransomware-Angriffe der alten Generation erfolgten auf diese Weise: Über einen Link in einem Email-Anhang, durch Phishing oder Klicks auf fragwürdige Internetseiten fing sich der User einen Schadcode ein. Der wurde ausgeführt und der Rechner sofort verschlüsselt. Eine Nachricht auf dem Bildschirm informierte den Nutzer mit wenig Zeitverzögerung und forderte zur Zahlung auf, damit der Computer oder das System wieder freigegeben würde, um das System oder den Computer weiter uneingeschränkt nutzen zu können. Gerade Privatanwender gehörten zu den klassischen Opfern, da diese in der Regel über kein Backup verfügten und nur mit der Überweisung des geforderten Geldes wieder Herr über ihren Computer werden konnten.

Für Firmen dagegen stellten diese Art der Ransomware-Angriffe kein zu großes Problem dar, da sie mehr Optionen hatten als nur alles neu aufzusetzen oder zu bezahlen. Unternehmen sind professioneller aufgestellt als der Privatmann und ziehen regelmäßig Backups von ihren Systemen. Mit der Wiederherstellung der Backups waren die Forderungen von Erpressern einfach abzuwehren.

Doch die Zeichen der Zeit haben sich offenbar gewandelt, denn aktuelle Ransomware-Angriffe folgen einem anderen Vorgehen: Sobald der Schadcode auf dem System ist, wird es nicht sofort verschlüsselt. Stattdessen versucht der Schadcode, weitere Systeme und Geräte sowie die Backups zu infizieren und sich auszubreiten. Weiß der Nutzer nicht, dass sein System angegriffen wurde, sind auch neu durchgeführte Backups nutzlos, da ebenfalls kompromittiert. Schadcode kann so über Wochen und Monate unbemerkt ausgeführt werden, sich ausbreiten und Datenströme abfangen bzw. abfließen lassen. Der Angreifer bestimmt den Zeitpunkt der Verschlüsselung – und auch die Backups können betroffenen Unternehmen nicht mehr helfen. Das macht Ransomware 2.0 für Unternehmen gefährlich. Die Erpressung beruht dann auf zwei Grundlagen: Die verschlüsselten Daten zu entschlüsseln und wieder Zugriff auf die Systeme zu erhalten sowie potenziell gestohlene Daten nicht zu veröffentlichen.

Bei klassischen Angriffen war eine Angriffserkennung nicht sinnvoll bzw. möglich, da die Verschlüsselung sofort erfolgte und überhaupt kein Handlungsspielraum bestand. Durch die Verzögerung kann die aktuelle Angriffsmethode jedoch erkannt werden, bevor großer Schaden entsteht.

Mit Compromise Assessment Angriffspuren entdecken 

Die zuverlässigste Form dieser Kompromittierungserkennung ist Compromise Assessment, wie es bspw. der Berliner Cyber Defense Experte SECUINFRA anbietet. Hierbei kommt ein APT (Advanced Persistant Threat)-Scanner zum Einsatz, welchen SECUINFRA auch bei forensischen Untersuchungen einsetzt. Anders als ein klassischer Virenscanner untersucht der APT-Scanner das System nicht nach Schadcodes. Da sich diese permanent ändern, bietet z. B. ein Virenscanner keinen Schutz mehr gegen neue Bedrohungen wie APT. Diese nutzen eigene Tools mit unbekannten Signaturen, die auch von einem Intrusion Prevention System oder Intrusion Detection System nicht erkannt werden. Beim Compromise Assessment werden dagegen in einer forensischen Analyse Angriffsspuren aufgespürt, die jeder Hacker oder Eindringling als Artefakte hinterlässt, die sogenannten Indicators of Compromise (IOC) – zum Beispiel Einträge in der Registry, Log-Einträge, manipulierten Daten, neu angelegte Benutzer oder Berechtigungsänderungen.

Im APT-Scanner wird ein Regelwerk verwendet, das diese Indicators of Compromise enthält. Es wird auf Artefakte im System wie Dateien und Ordnerstrukturen, laufende Prozesse oder Inhalte des RAM angewendet. Durch die Analyse und das Sammeln von Evidenzen ist es so möglich, IOCs abzuleiten.

„Hinter dem APT-Scanner unseres Compromise Assessment Services steht die internationale Cyber Defense Community, die Cyberangriffe analysiert, neue IOCs ableitet und als Regeln im APT-Scanner hinterlegt,“ erklärt Ramon Weil, Geschäftsführer des Berliner IT-Sicherheitsspezialisten SECUINFRA.  So wird der APT-Scanner immer präziser und die Erkennungsrate steigt.

Die durch den APT-Scanner gelieferten IOC‘s werden von Spezialisten ausgewertet – die Analysten benötigen dafür ein breites Wissen: Zwar geben die Tools und das zugrunde liegende Regelwerk der Scanner die Richtung vor, die Hinweise müssen aber richtig gedeutet werden. Am Ende steht dann die klare Aussage, ob die Systeme kompromittiert wurden oder ob sie sauber sind. Compromise Assessment versetzt Unternehmen damit in die Lage, ihr System noch vor der Verschlüsselung durch Angreifer zu bereinigen.

Die Zeit bis zur Angriffserkennung verkürzen

Studien zufolge dauert es in der Regel zwei bis drei Monate, bis ein Angriff überhaupt entdeckt wird. Die lange Zeitspanne, die bei modernen Attacken zwischen Erstinfektion und Verschlüsselung vergeht, kann für ein Compromise Assessment genutzt werden: Denn idealerweise erfolgt die Durchführung in Intervallen. Scanfenster von einer Woche würden ein befallenes System ohne Weiteres aufdecken bevor größerer Schaden entsteht. „Continuous Compromise Assessment versetzt ein Unternehmen in die Lage, die Zeit bis zur zuverlässigen Erkennung kompromittierter Systeme zu reduzieren – durch eine kontinuierliche, forensische Analyse kritischer IT-Systeme“, fügt Weil hinzu.

Die Erstanalyse ist zwar komplex und nimmt mehrere Tage in Anspruch, da eventuell Millionen forensischer Artefakte untersucht werden müssen. Die Folgescans können dann jedoch auf dieser Baseline arbeiten und suchen nur noch nach Veränderungen. Entsprechend verringert sich der Aufwand nach dem zweiten Scan, während gleichzeitig der Mehrwert steigt, da der Status Quo des Systems immer wieder neu bestimmt werden kann.

Compromise Assessment erlaubt also einen schnellen Überblick, um den Status der Infektion zu erkennen, um herauszufinden, welche Systeme wovon betroffen sind und um Gegenmaßnahmen zu empfehlen.

Den IT-Maturity-Reifegrad erhöhen

Viele Unternehmen setzen die klassischen Methoden Vulnerability Management und Penetrationstests ein, um Schwachstellen in ihren Systemen zu erkennen und zu managen. Diese geben aber keine Auskunft darüber, ob ein System bereits kompromittiert wurde. Mit Continuous Compromise Assessment können Cyber-Resilienz und Abwehrfähigkeit weiter gesteigert werden. Weil: „Statt Schwachstellen nur zu managen beantwortet Compromise Assessment die große Frage, ob Schwachstellen bereits ausgenutzt wurden oder nicht.“

Fazit

Continuous Compromise Assessment ist eine der zuverlässigsten und effizientesten Methoden, um den Schaden moderner Ransomware-Angriffe zu minimieren. Es stellt ein optimales Tool dar, um laufende oder vergangene Angriffe zu erkennen, zu bewerten und in Zukunft zu verhindern. Die Methode betrachtet die gesamte Infrastruktur und ermöglicht einen Blick in die Vergangenheit.

Compromise Assessment

Ramon Weil · Autor

Founder & CEO

Ramon Weil ist Gründer und Geschäftsführer der SECUINFRA GmbH. Seit 2010 hat er SECUINFRA zu einem der führenden Unternehmen im Bereich der Erkennung, Analyse und Abwehr von Cyberangriffen in Deutschland entwickelt.

Ramon Weil ist Gründer und Geschäftsführer der SECUINFRA GmbH. Seit 2010 hat er SECUINFRA zu einem der führenden Unternehmen im Bereich der Erkennung, Analyse und Abwehr von Cyberangriffen in Deutschland entwickelt. Vor der Gründung von SECUINFRA war Ramon mehr als 20 Jahre im Bereich IT & IT-Security tätig. Unter anderem hat er bei Siemens im Security Operation Center (SOC) gearbeitet, den Back Level Support für IT-Security Produkte bei Siemens aufgebaut und weltweit IT- Security Projekte umgesetzt und geleitet. Von 2006 bis zur Gründung von SECUINFRA hat Ramon das IT-Security Geschäft für Siemens und später Nokia Siemens Networks (NSN) in der Region Asia Pacific (APAC) aufgebaut. Neben zahlreichen IT-Security Produkt-Zertifizierungen ist er seit 2006 CISSP und seit 2010 CISM.

Founder & CEO

Ramon Weil is founder and managing director of SECUINFRA GmbH. Since 2010, he has developed SECUINFRA into one of the leading companies in the field of detection, analysis and defense against cyber attacks in Germany.

Ramon Weil is founder and managing director of SECUINFRA GmbH. Since 2010, he has developed SECUINFRA into one of the leading companies in the field of detection, analysis and defense against cyber attacks in Germany. Before founding SECUINFRA, Ramon worked for more than 20 years in the field of IT & IT security. Among other things, he worked at Siemens in the Security Operation Center (SOC), established the back level support for IT security products at Siemens and implemented and managed IT security projects worldwide. From 2006 until the foundation of SECUINFRA, Ramon built up the IT Security business for Siemens and later Nokia Siemens Networks (NSN) in the Asia Pacific (APAC) region. In addition to numerous IT security product certifications, he has been a CISSP since 2006 and a CISM since 2010.

> Alle Artikel

Beitrag teilen auf: