Blog
/
Eindämmung von Ransomware

Was bei einem Cybervorfall zu tun ist: Technische Reaktion

Michael Adjei
,
Leitender Systemingenieur
November 23, 2020
23 min. Lesedauer

Die jüngste weltweite Zunahme der Nutzung digitaler Tools für Arbeit, Freizeit und Freizeit hat die Bedeutung der Cybersicherheit wie nie zuvor unterstrichen. Bedrohungsakteure setzen eine Kombination aus Taktiken, Tools und Verfahren ein, um auf einem Zielsystem oder Netzwerk Fuß zu fassen, und nutzen dann laterale Bewegungen, um zu den Kronjuwelen dieser Zielorganisation zu gelangen. In dieser Ära von 'von einem Verstoß ausgehen, 'es geht nicht darum wenn ein Angriff oder Zwischenfall wird eintreten, aber wenn. Genau wie bei einem realen Angriff auf eine Person oder eine Gruppe von Personen kann Erste Hilfe viel dazu beitragen, Leben zu retten, bis professionelle Hilfe eintrifft.

In diesem Sinne befasst sich diese Serie mit den Sofortmaßnahmen und Abhilfemaßnahmen, die im Falle eines Cybervorfalls aktiviert werden können.

Es wird sich auf drei Hauptbereiche konzentrieren:

  1. Technische Antwort
  2. Nichttechnische Antwort
  3. Gelernte Lektionen

Der erste Teil befasst sich mit den wichtigen technischen Maßnahmen, die unmittelbar nach einem Vorfall erforderlich sind. Als Nächstes werde ich mich mit den nichttechnischen Aspekten eines Cyberereignisses befassen, wie z. B. der Berichterstattung über Vorfälle und Folgenabschätzungen. Und schließlich befasst sich der letzte Teil mit möglichen Lehren, die aus der Reaktion insgesamt gezogen werden können.

Teil 1: Technische Antwort

Teil 1 dieser dreiteiligen Serie konzentriert sich auf die technische Reaktion unmittelbar nach einem Cybersicherheitsvorfall. Es ist wichtig, dass das Sicherheitsteam Ihres Unternehmens den Vorfall schnell eindämmen und alle für eine Ursachenanalyse nützlichen Beweise wie Protokolle, Malware-Dateien und andere Betriebssystemartefakte für die Ursachenanalyse aufbewahren.

Hier konzentrieren wir uns in erster Linie auf eine Windows-Umgebung und verwenden als Beispiel einen gängigen Angriffstyp: Spear-Phishing, das zu einem Business Email Compromise (BEC) führt, das laterale Bewegungen nutzt und zu einem Datenschutzverletzung. Die visuelle Darstellung dieses Ablaufs ist unten dargestellt.

CyberIncident1

Bei den meisten Angriffen, die anschließend zu einer Infektion und einem Sicherheitsverstoß führen, gehen die Angreifer in der Regel wie folgt vor:

  1. greifen Sie ein weiches Ziel an, z. B. einen Benutzer und seinen Computer, typischerweise über eine Phishing Attacke
  2. kompromittieren Sie ihr Konto und ihren Computer
  3. Nutzen Sie das kompromittierte Konto und den Computer, um den Rest des Netzwerks zu entdecken
  4. Rechte ausweiten, um seitliche Bewegungen zu ermöglichen und so andere Systeme zu kompromittieren
  5. Lokalisieren Sie hochwertige Vermögenswerte oder Kronjuwelensysteme und exfiltrieren Sie Daten

Je nach Motiv möchte der Bedrohungsakteur möglicherweise so lange wie möglich unentdeckt bleiben und sich bewegen. Oder sie möchten das Netzwerk möglicherweise in gewissem Umfang stören, wie in Ransomware-Angriffe. Wie Sie wissen, können MITRE ATT&CK oder Cyber Kill Chain zwar die Taktiken und Techniken der Bedrohungsakteure ausarbeiten, aber sie halten sich nicht an die Regeln. Daher sollten Sie bei der Reaktion auf Vorfälle keine Annahmen treffen — Sie sollten nur stichhaltige Beweise in Betracht ziehen, die Sie bestätigen können. Es ist auch wichtig, nach Ködern Ausschau zu halten, da möglicherweise nicht alles so ist, wie es scheint. Vor diesem Hintergrund sollten Sie die verschiedenen Phasen dieses Angriffsablaufs untersuchen.

Erster Eintrag

In der Anfangsphase des Angriffs werden in der Regel Social Engineering, wie Phishing oder Malvertising, hauptsächlich über digitale Kommunikationskanäle wie E-Mail oder eine Website, durchgeführt. Dies kann auch dazu führen, dass der Bedrohungsakteur auf seinem ersten infizierten Computer landet, der auch als „Patient Null“ bezeichnet wird.

CyberIncident2

Erste Hilfe

In dieser frühen Phase der Erkennung nach einem Vorfall können einige der folgenden Schritte unternommen werden.

  • Identifizieren Sie das infizierte Benutzerkonto (E-Mail/Computer).
  • Isolieren Sie die betroffenen E-Mail-Konten.
  • Blockieren Sie das Versenden von E-Mails durch das betroffene E-Mail-Konto.
  • Prüfen Sie, ob E-Mail-Weiterleitungen an externe E-Mail-Konten vorhanden sind.
  • Rufen Sie zunächst alle gesendeten Artikel aus ihrem Posteingang ab, die in den letzten 7 bis 14 Tagen gesendet wurden.
  • Prüfung auf gesendete und gelöschte E-Mails.
  • Suchen Sie nach benutzerdefinierten Formularen (Outlook), die in das Kontoprofil geladen wurden.
  • Überprüfen Sie die angeschlossenen Geräte auf das betroffene E-Mail-Konto.
  • Prüfen Sie, ob ältere Protokolle verwendet werden (z. B. POP3).
  • Suchen Sie in den Azure AD-Protokollen nach Authentifizierungsinformationen.
  • Suchen Sie nach zufällig benannten Skripten und anderen CLI-Hilfsprogrammen an temporären Speicherorten (insbesondere bei dateilosen Angriffen).
Diagnose

In dieser Phase haben Angreifer Social Engineering genutzt, um sich Zugriff auf Systeme zu verschaffen. In diesem Beispiel wird eine Phishing-E-Mail von einem ATO-Angreifer (Account Takeover) verwendet, um ein falsches E-Mail-Zitat in einem Microsoft Word-Dokument zu versenden. Das Dokument enthält ein bösartiges Makro und startet nach dem Öffnen die nächste Phase des Angriffs.

Die Multifaktor-Authentifizierung (MFA) und ein starker E-Mail-Sicherheitsschutz in Kombination mit Schulungen zur Sensibilisierung der Benutzer sollten eine gute erste Verteidigungslinie gegen Angriffe sein, die beim ersten Zugriff auf das System eindringen. E-Mail-Sicherheitslösungen sollten mindestens über Anti-Phishing-, KI- und URL-Auflösungs- und Erkennungsfunktionen verfügen. Sehr wichtig sind auch Warnfunktionen für Dinge wie E-Mail-Weiterleitungen, Weiterleitungen und die Erstellung von Vorlagen. Nutzer von Cloud-E-Mails wie Office 365 können Dienste wie Microsoft Office 365 Secure Score ausführen, um Schwachstellen im E-Mail-Postout zu finden.

Drehmaschine

Zu diesem Zeitpunkt haben die Angreifer einen erfolgreichen Angriff ausgeführt und sich Zugriff auf ein legitimes Benutzerkonto und/oder System verschafft. Die Pivot-Maschine wird zur zentralen Maschine, mit der die Bedrohungsakteure versuchen, den Rest des Netzwerks zu entdecken und sich darin zu bewegen.

CyberIncident3

Erste Hilfe
  • Isolieren Sie den infizierten Computer/Laptop sofort vom Rest des Netzwerks.
  • Trennen Sie das Gerät vom Internet.
  • Deaktivieren Sie das Domänenkonto des betroffenen Benutzers in Active Directory.
  • Deaktivieren Sie jeglichen Fernzugriff für dieses Konto, z. B. VPNs, OWA oder andere Remote-Logins.
  • Suchen Sie nach Anzeichen böswilliger Persistenz — Registrierung, Start und geplante Aufgaben.
  • Suchen Sie nach aktuellen Webverbindungen von diesem Host.
  • Suchen Sie nach verdächtigen Benutzerkonten.
  • Überprüfen Sie die aktuelle Anwendungsnutzung — Shimcache, Amcache, Jumplists.
  • Prüfen Sie, ob Tools wie mimikatz, psexec, wce und remanente Dateien vorhanden sind (wenn möglich, sollten Computer bei Angriffen, die nur Speicher verwenden, nicht neu gestartet werden).
Diagnose

In der Regel fällt dabei ein Benutzer auf einen Phishing-Angriff herein und öffnet einen bösartigen Link oder E-Mail-Anhang, was dazu führt, dass legitime Systemtools wie powershell.exe für böswillige Zwecke verwendet werden. Prüfungen wie verdächtige Prozesse, Netzwerkzugriff, Kontoprotokolle und heruntergeladene Dateien sollten durchgeführt werden. Einer der wichtigsten Prozesse im Fall von Windows für die Authentifizierung und mögliche Rechteerweiterung ist lsass.exe (Local Security Authority Subsystem Service). Suchen Sie nach ungewöhnlichen Prozessnamen, Speicherorten oder Kontozugriffen.

CyberIncident4

Oft gibt die Pivot-Maschine dem Bedrohungsakteur eine Verbindung zum Rest des Netzwerks. Es ist vielleicht nicht das Hauptziel, aber ein Mittel zum Zweck. Daher sollten Sie Folgendes beachten:

  • Köder, die ablenken sollen
  • Dateilose oder nur im Speicher befindliche Malware kann zum Verlust der Originalbeweise führen
  • Löschen von Dateien zur Entfernung von Beweisen

Die IT-Abteilung ist möglicherweise nicht immer in der Lage, die ursprüngliche Patient Zero Machine oder sogar die Pivot-Maschine zu lokalisieren, aber welches kompromittierte System zuerst lokalisiert wird, sollte isoliert und entsprechend untersucht werden. Für eine eingehendere Analyse führen Sie Folgendes durch:

  • Analyse des Gedächtnisses
  • Dateisystemanalyse
  • Forensik des Systemprotokolls
  • Registrische Forensik

Es gibt mehrere forensische Tools (nativ, Open Source und kommerziell), die dazu beitragen können, bei der Analyse von Systemen und Netzwerken nach einem Cybervorfall so viele Informationen wie möglich abzurufen.

Entdeckung und laterale Bewegung

In den meisten Fällen befindet sich die ursprüngliche Maschine selten dort, wo der Bedrohungsakteur sein möchte. Sie müssen sich daher bewegen, bis sie ihr ultimatives Zielsystem erreicht haben. Ziel ist es, die kompromittierte Pivot-Maschine zu nutzen, um den Rest des Netzwerks zu entdecken und es zu kartografieren, um einen effektiven Weg zu ermöglichen, sich seitwärts zu bewegen. Das Netzwerk erleichtert das eigentliche Endziel des Anwendungszugriffs. Ein Beispiel hierfür ist der Diebstahl von NTLM-Anmeldeinformationen bei Pass-the-Hash oder der Diebstahl von Kerberos-Anmeldeinformationen bei Pass-the-Ticket-Angriffen und Ports (Netzwerkebene), um eine laterale Übertragung zu erreichen.

CyberIncident5

Erste Hilfe — Discovery
  • Suchen Sie nach Hinweisen auf Port-Scans.
  • Überprüfen Sie häufig verwendete Anwendungen.
  • Überprüfen Sie den Befehlsverlauf, z. B. den Powershell- und WMI-Befehlsverlauf.
  • Suchen Sie nach schädlichen Skripten.
Erste Hilfe — Seitliche Bewegung
  • Suchen Sie nach Resten von Tools für den Fernzugriff und die Bereitstellung — RDP, VNC, psexec, mimikatz.
  • Überprüfen Sie die aktuelle Anwendungsnutzung — Shimcache, Aktuelle Dateien, Jump-Listen.
  • Prüfen Sie, ob Windows-Konten auf Servern verwendet werden, insbesondere auf Dateiservern, DNS-Servern und Active Directory-Servern.
  • Einige nützliche Windows-Ereignisprotokolle zum Überprüfen.
  • Überprüfen Sie den Patch-Level häufig verwendeter Bewegungsmethoden — Browser, Adobe, Microsoft Office und OS (die meisten Exploits nutzen Sicherheitslücken aus).
CyberIncident6

Diagnose

Die Erkennung von Ost-West-Bewegungen kann eine weitere herausfordernde Aufgabe sein, ohne dass die richtigen Tools von vornherein vorhanden sind. Auch hier setzen die Bedrohungsakteure in der Regel native Tools und Techniken ein, um Warnmeldungen zu verhindern und einer Entdeckung zu entgehen. In einigen Fällen setzen sie möglicherweise andere Techniken ein, um ihre Rechte auf Kontoebene zu erweitern und ihnen so die Möglichkeit zu geben, sich unentdeckt seitwärts zu bewegen. Während der Erkennungsphase, ähnlich wie in der darauffolgenden Phase der seitlichen Bewegung, würde es der Bedrohungsakteur vorziehen, zu schweigen und eine frühzeitige Erkennung zu vermeiden. Dies bedeutet, dass sie wahrscheinlich native Tools verwenden, anstatt externe oder benutzerdefinierte Tools einzuführen. Die meisten Betriebssysteme verfügen über verschiedene native Tools, um Aktionen in dieser Phase zu erleichtern, z. B. Powershell und WMI in Windows. Was die Bedrohungsakteure angeht, können laterale Bewegungen besonders in Umgebungen mit geringer bis gar keiner Segmentierung oder in denen nur traditionelle Segmentierungsmethoden wie Subnetze, VLANs und Zonen verwendet werden, am leichtesten sein. Dies liegt daran, dass es in der Regel an Transparenz, zu komplexen Sicherheitsrichtlinien und keiner hostbasierten Trennung innerhalb von Subnetzen oder VLANs mangelt.

CyberIncident7

Das Bild oben zeigt ein Beispiel für ein Sichtbarkeits- und Analysetool (Illumios Anwendungsabhängigkeitskarte, Beleuchtung), das die Visualisierung einer Entdeckung und eines lateralen Bewegungsversuchs ermöglicht. Eine Ansicht, die der oben gezeigten ähnelt, ermöglicht die übersichtliche Darstellung verschiedener Anwendungsgruppen und der darin enthaltenen Workloads sowie die daraus resultierende Abbildung der Netzwerkkommunikation zwischen Workloads. Eine solche Ansicht ermöglicht eine schnelle und einfache Identifizierung von anomalem Netzwerkverhalten zwischen Workloads derselben oder verschiedener Anwendungsgruppen.

Kronjuwelen

Die wichtigsten Systeme und Daten sind das, wonach die Bedrohungsakteure in der Regel suchen, insbesondere bei heimlichen Angriffen ohne Ransomware. Hier werden wahrscheinlich die wichtigsten Datenexfiltrationsaktivitäten stattfinden.

Erste Hilfe
  • Prüfen Sie, ob Administratorkonten auf Datenbankservern, AD-Servern und Dateiservern verwendet werden.
  • Überprüfe den Verlauf des Webzugriffs auf verdächtige Verbindungen.
  • Überprüfen Sie Anti-Botnetz Schutzmaßnahmen für Kommunikation im Zusammenhang mit Botnetzen.
  • Suchen Sie nach Datenexfiltration — DNS-Tunneln, Protokollmissbrauch, Datenverschlüsselung.
  • Prüfen Sie, ob das System und die entsprechenden Netzwerkkarten zu hohe Datenübertragungsraten aufweisen.
  • Nützliche Windows-Ereignisprotokolle:
  • Windows-Ereignis 4672 für Administratorkonto-Anmeldungen
  • Windows-Ereignis 4624 für erfolgreiche Anmeldungen
CyberIncident8

Diagnose

Es ist wichtig, Ihre Systeme, die wichtige oder sensible Daten enthalten, effektiv vom Rest des Netzwerks zu segmentieren. Eine der besten Möglichkeiten ist die Verwendung von Host-basierte Mikrosegmentierung Dies bietet sowohl Einblick in die Netzwerkkommunikation als auch die Möglichkeit, Firewalls direkt auf den Hosts durchzusetzen. Indem Sie den Verkehr, der in Ihre Kronjuwel-Systeme ein- und ausgeht, im Vergleich zum Rest des Netzwerks visualisieren, erhalten Sie zeitnahe Visualisierungs- und Warnfunktionen, mit denen Sie anomale Kommunikationsvorgänge schnell erkennen, verhindern und isolieren können.

Da Malware durch Sicherheitslücken, insbesondere systeminterne Sicherheitslücken, eindringen und dort Fuß fassen kann, ist es auch wichtig, eine aktuelle Schwachstellen- und Patch-Management-Lösung bereitzustellen. Bedrohungsakteure versuchen in der Regel, hinter sich selbst aufzuräumen, sodass sie Systemereignisse, Dateien und Registrierungsdaten löschen können. Daher ist es besonders wichtig, über ein zentrales Repository für System- und Netzwerkprotokolle und Ereignisse wie SIEM (Security Information and Event Management) und Sicherheitsanalysetools zu verfügen.

Zusammenfassend lässt sich sagen, dass Sie unmittelbar nach einem Cybervorfall die richtige Abfolge von Maßnahmen ergreifen müssen, da dies zu den anderen wichtigen Teilen der gesamten Behandlung des Vorfalls führt. Unabhängig von der Größe und dem Status einer Organisation sollten technische Vorsorge und Reaktion ein wichtiger Bestandteil der Gesamtstrategie sein, wie hier dargestellt, aber auch nichttechnische Maßnahmen wie den Bericht über einen Vorfall und eine Folgenanalyse beinhalten. Ich werde in den nächsten Iterationen dieser Reihe ausführlicher darauf eingehen.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

3 Schritte zur Reduzierung des Ransomware-Risikos mit dem neuen Ransomware-Schutz-Dashboard von Illumio
Eindämmung von Ransomware

3 Schritte zur Reduzierung des Ransomware-Risikos mit dem neuen Ransomware-Schutz-Dashboard von Illumio

Erfahren Sie, wie das Ransomware-Schutz-Dashboard und die verbesserte Benutzeroberfläche (UI) von Illumio Ihnen wichtige Einblicke in das Ransomware-Risiko bieten.

Lesen Sie mehr
So stoppen Sie RDP-basierte Ransomware-Angriffe mit Illumio
Eindämmung von Ransomware

So stoppen Sie RDP-basierte Ransomware-Angriffe mit Illumio

Lesen Sie mehr
Bishop Fox: Testen der Effektivität von Zero-Trust-Segmentierungen gegen Ransomware
Eindämmung von Ransomware

Bishop Fox: Testen der Effektivität von Zero-Trust-Segmentierungen gegen Ransomware

Erfahren Sie, wie Bishop Fox eine Ransomware-Angriffsemulation entwickelt hat, um die Effektivität der Zero-Trust-Segmentierung zu testen.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr