Aktuelles, Branche - geschrieben von dp am Dienstag, September 17, 2019 23:22 - noch keine Kommentare
Advanced Malware: Fünf Best Practices zum Schutz
APT-Attacken dienen Spionage und Datendiebstahl
[datensicherheit.de, 17.09.2019] Cyber-Kriminelle nutzen vermehrt sogenannte Advanced Malware, um in Netzwerke einzudringen und sich dort möglichst lange unentdeckt aufzuhalten – i.d.R. mit dem Ziel der Spionage und des Datendiebstahls. Zu Opfern werden diejenigen, bei denen es möglichst wertvolle Informationen zu holen gibt, beispielsweise Industrieunternehmen, die Finanzbranche oder Regierungsbehörden. Christoph M. Kumpa, „Director DACH & EE“ bei Digital Guardian, erläutert die Vorgehensweise der Angreifer sowie „Best Practices“ zum Schutz vor ihnen.
Bild: Digital Guardian
Christoph M. Kumpa empfiehlt mehrschichtigen Security-Ansatz aus Mitarbeitertrainings und Technologien
Advanced Malware: Attacken deutlich zugenommen
„Advanced Malware“, auch als „Advanced Persistent Threats“ (APT) bezeichnet, sind laut Kumpa Malware-Stämme, die mit erweiterten Funktionen für die Infektion, Kommunikation, Steuerung, Bewegung im Netzwerk oder Datenexfiltration- und Payload-Exekution ausgestattet sind:
„Dabei ist die Schadware darauf auslegt, möglichst unentdeckt und hartnäckig zu sein, und entgeht der Erkennung durch herkömmliche Antivirenlösungen.“ Aufgrund der ausgeklügelten Angriffsmöglichkeiten und der Geschwindigkeit, mit der Cyber-Kriminelle immer neue Malware-Versionen entwickelten, seien in den letzten Jahren die APT-Attacken deutlich gestiegen.
Cyber-kriminelles Vorgehen bei Attacken mit Advanced Malware
„Advanced Malware“-Angriffe folgten in der Regel einer gemeinsamen Angriffsabfolge, so Kumpa:
- Planung: In dieser Phase wählten Cyber-Kriminelle ein Ziel aus und untersuchten dessen Infrastruktur, um festzustellen, wie die Malware eingeführt wird, welche Kommunikationsmethoden während des Angriffs verwendet und wie und wo Daten extrahiert werden sollen. Bei „Advanced Malware“-Attacken beinhalte diese Phase typischerweise die Planung gezielter Social-Engineering-Angriffe.
- Malware-Einführung: In diesem Stadium werde Malware zur Erstinfektion an die Opfer abgegeben. Dies geschehe häufig über Spear-Phishing-E-Mails mit infizierten Anhängen oder über Drive-by-Angriffe durch eine verseuchte Website.
- Command and Control: „Advanced Malware“ kommuniziere mit dem Angreifer, um ihm erkannte Informationen zu senden und zusätzliche Befehle von ihm zu erhalten. Kumpa erläutert: „Die Schadware sendet Benutzer-, Netzwerk- und Maschineninformationen an den Hacker und erhält von ihm neue Anweisungen, welche Identitäten oder Maschinen als nächstes infiziert werden sollen, wie man die Ziele identifiziert sowie Anweisungen zur Datenexfiltration.“
- Ausweitung der Infizierung: „Advanced Malware“ verfüge oft über robuste Selbstvermehrungsfunktionen, um Ziele schnell zu identifizieren und zu infizieren. Angreifer würden solange wie möglich das Netzwerk erforschen und Malware verbreiten, bis sie diejenigen Computer oder Systeme infizierten, die Zugriff auf wertvolle Daten haben.
- Zielerkennung: „Sobald der Angreifer Fuß gefasst und das Netzwerk erkundet hat, werden die Ziele für die Endphase der Malware-Ausbreitung identifiziert. In diesem Stadium wird die Malware auf Computer oder Systeme verbreitet, die die gewünschten Daten enthalten.“
- Exfiltration: Dabei wird laut Kumpa die Malware-Payload ausgeführt. „Bei einem Angriff, der sich auf Datendiebstahl konzentriert, ist dies die Phase, in der gezielte Daten gesammelt und an einen vom Angreifer kontrollierten Ort übertragen werden.“ Die „Advanced Malware“ verwende Verschleierungstechniken, um diese Exfiltration sowie andere Aktivitäten zu verbergen, zum Beispiel die Verschlüsselung oder Komprimierung von Dateien mit Hilfe von Krypto- und Packer-Tools.
- Rückzug: „Nachdem ein ,Advanced Malware‘-Angriff abgeschlossen ist, zieht sich die Malware oft zurück und versteckt sich in einem Computernetzwerk oder zerstört sich selbst, je nach Zielorganisation und der Wahrscheinlichkeit einer Entdeckung durch Sicherheitssysteme.“
Best Practices zum Schutz vor Attacken mit Advanced Malware
- Kontext- und verhaltensbasierte Erkennung von Anomalien: Die von „Advanced Malware“ eingesetzten Verschleierungstechniken machten viele traditionelle Sicherheitslösungen unwirksam, um Angriffe zu erkennen oder abzuwehren. Deshalb wendenten sich Unternehmen Lösungen zu, „die kontext- und verhaltensbasierte Erkennung einsetzen, um Malware anhand ihrer Aktivität, statt durch Signaturen zu identifizieren und zu stoppen“. Um die Erkennung von „Advanced Malware“-Angriffen zu verbessern, sollten IT-Teams auf erhöhte Bedrohungsaktivitäten oder anderes anomales Verhalten in Systemen achten. Sie sollten zudem Endpunkte auf Warnzeichen für einen „Advanced Malware“-Angriff überwachen, einschließlich Netzwerkerkundung, verdächtige Dateiübertragungen und Kommunikation mit verdächtigen Befehls- und Steuerservern.
- Sandboxing: „Advanced Threat Detection“-Lösungen böten Sandboxing und die Überwachung zur Erkennung von „Advanced Malware“-Angriffen. Sandboxing ermögliche es, die verdächtige Datei in einer isolierten Umgebung auszuführen und zu beobachten, bevor sie im Netzwerk zugelassen wird. Dies ermögliche eine Entdeckung der Malware, bevor sie die Systeme infiltrieren und Schäden verursachen kann.
- Kontrolle aller Infiltrations- und Exfiltrationspunkte: „Advanced Malware“-Präventions- und Schutzmaßnahmen sollten sich auf die Sicherung von Bedrohungsvektoren – sowohl Infiltrations- als auch Exfiltrationspunkte – konzentrieren, um das Potenzial für Infektionen und Datendiebstahl zu minimieren. „Die Anwendung von Kontrollen auf Vektoren wie E-Mail, Internetverbindungen, Dateitransfer und USB bietet Schutz vor Advanced Malware-Infektionen für Angriffe im Frühstadium sowie die Datenexfiltration im Falle einer erfolgreichen Advanced Malware-Infektion.“
- Verschlüsselung sensibler Daten: Alle sensiblen Datenbestände sollten verschlüsselt sein und alle Schlüssel als letzte Verteidigungslinie sicher gespeichert werden. Dies trägt nach Kumpas Aussagen dazu bei, dass der Schaden so gering wie möglich bleibt, auch wenn das Netzwerk infiltriert wird und das Ereignis nicht erkannt wird.
- Sicherheitsschulungen: „Schließlich ist es angesichts der immer ausgefeilteren ,Social Engineering‘-Angriffe auch wichtig, den Mitarbeitern umfassende und kontinuierliche Cyber-Sicherheitsschulungen zu bieten“, betont Kumpa. Phishing-Angriffe seien eine beliebte Methode für „Advanced Malware“-Angriffe, weshalb es wichtig sei, „dass die Mitarbeiter mit den Taktiken der Cyber-Kriminellen vertraut sind“.
Bedrohung durch Advanced Malware wird noch weiter zunehmen
Kumpas Fazit: „Die Bedrohung durch ,Advanced Malware‘ wird auch zukünftig weiter steigen. Um sensible Daten wie Geschäftsgeheimnisse, Geistiges Eigentum, Finanz- und Kundendaten zu schützen, benötigen Unternehmen deshalb einen mehrschichtigen Security-Ansatz aus Mitarbeitertrainings und Technologien.“
„Advanced Threat Detection“-Tools sowie Sicherheitslösungen, die „Data Loss Prevention“ (DLP), „Endpoint Detection and Response“ (EDR) und die Überwachung von Anomalien im Nutzer- und Entitätsverhalten auf Basis von „Machine Learning“ könnten das Risiko von Datenexfiltration und Spionage durch „Advanced Malware“-Angriffe erheblich reduzieren.
Weitere Informationen zum Thema:
datensicherheit.de, 28.08.2019
Cyber-Sabotage durch Datenmanipulation
datensicherheit.de, 12.06.2019
Sicherheitsfokus direkt auf sensible Unternehmensdaten lenken
datensicherheit.de, 27.05.2019
Cyber-Hygiene: Grundstein der IT-Security
datensicherheit.de, 30.04.2019
Sensible Daten aufspüren und schützen
datensicherheit.de, 06.04.2019
Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks
datensicherheit.de, 05.11.2018
Willkommen im Botnet: Über die Unsicherheit der Dinge
datensicherheit.de, 02.10.2018
Schatten-IT: Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe
datensicherheit.de, 09.09.2018
Cyber-Erpressung auf Bestellung
datensicherheit.de, 14.08.2018
Echtzeit-Identifizierung von Daten-Sicherheitsrisiken
datensicherheit.de, 30.07.2018
Polymorphe Malware: Wandlungsfähigkeit kombiniert mit hohem Schadenspotential
datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff
datensicherheit,de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten, Studien - Apr 20, 2024 0:11 - noch keine Kommentare
World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität
weitere Beiträge in Experten
- TÜV-Verband: Digitalministerkonferenz wichtiger, aber überfälliger Schritt zur Koordinierung der Digitalisierungsbestrebungen
- Cyber-Versicherungen: it’s.BB lädt zu Online-Seminar am 24. April 2024
- Neuer TeleTrusT-Podcast zu OT-/IT-Sicherheitsvorfällen und Schutzmaßnahmen
- Thomas Fuchs hat Hamburger Tätigkeitsbericht Datenschutz 2023 vorgestellt
- Bitkom-Umfrage zum Anvertrauen des Smartphones an andere
Aktuelles, Branche - Apr 19, 2024 0:09 - noch keine Kommentare
StrelaStealer: Neue Kampagne greift Unternehmen in der EU und den USA an
weitere Beiträge in Branche
- NIS-2: Die Bedeutung der Richtlinie für die Lieferkette
- Mittels internem Marketing Verständnis für IT-Sicherheitsmaßnahmen schaffen
- RUBYCARP: Sysdig Threat Research Team deckt rumänische Botnet-Operation auf
- NIS-2-Umsetzung: Bernhard Kretschmer warnt vor Chaos
- Trotz strenger Gesetze und Vorschriften für IT-Sicherheit: Europa bleibt anfällig für Cyber-Angriffe
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren