Anzeichen bevorstehender Angriffe
Sophos: Analyse von Ransomware-Warnsignalen
Eine Ransomware-Attacke scheint zumeist aus dem Nichts zu kommen. Doch die Experten des „Managed Threat Response“-Teams bei Sophos haben zahlreiche Ransomware-Angriffe analysiert und nennen fünf Anzeichen für einen potenziell bevorstehenden Angriff.
Bei der Kooperation mit Ransomware-Opfern analysierte das MTR-Team von Sophos die letzten ein bis zwei Wochen vor der Entdeckung eines Angriffs. Fiel einer von fünf Indikatoren auf, haben die Sicherheitsspezialisten diesen genauer kontrolliert. Jedes der Anzeichen ist mit ziemlicher Sicherheit ein Hinweis dafür, dass Angreifer herumgeschnüffelt haben, wie das Netzwerk genau aussieht und wie sie Zugang zu Accounts erlangen können, um eine Ransomware-Attacke zu starten. Angreifer nutzten dabei oftmals legitime Administrator-Werkzeuge, um das Set-up für eine Attacke zu gestalten. Deshalb können die folgenden fünf Tools oftmals schnell im Tagesgeschäft untergehen und sind leicht zu übersehen.
Die Erpresser starten normalerweise damit, Zugang zu einem Rechner zu bekommen, auf dem sie nach Informationen suchen: handelt es sich um Mac oder Windows, wie lautet der Domain- oder Unternehmens-Name, über welche Admin-Rechte verfügt der Computer. Im zweiten Schritt untersuchen sie, welche weiteren Nutzer mit welchen Zugängen auf dem Netzwerk arbeiten. Der einfachste Weg, das herauszufinden, ist ein Netzwerk-Scan. Bei Entdeckung eines entsprechenden Scanners wie zum Beispiel AngryIP oder Advanced Port Scanner sollte man bei den Administratoren nachfragen. Wenn keiner dieser Scanner offiziell in Benutzung ist, ist eine nähere Untersuchung Pflicht.
Verfügen die Angreifer über Admin-Rechte, versuchen sie oft, installierte Sicherheitssoftware zu deaktivieren. Dabei helfen Applikationen, die bei der erzwungenen Beseitigung solcher Software assistieren, wie Process Hacker, IOBit Uninstaller, GMER oder PC Hunter. Diese kommerziellen Werkzeuge sind legitim, aber in falschen Händen prekär. Sicherheitsteams und Administratoren sollten hellhörig werden, wenn diese Programme plötzlich in ihrem System auftauchen.
Jeder Hinweis auf das Auftauchen des Tools MimiKatz sollte eine Untersuchung nach sich ziehen. Kann sich keiner der Administratoren für den Einsatz des Programms verbürgen, ist das eine tiefrote Warnflagge: MimiKatz ist eines der populärsten Hacking-Werkzeuge für den Diebstahl von Anmeldedaten. Angreifer setzen in diesem Zusammenhang auch auf den Process Explorer (enthalten in Windows Sysinternals), ein rechtmäßiges Tool, das den lokalen Sicherheits-Authentifizierungs-Server LSASS.exe aus dem Speicher lesen und eine .dmp-Datei erstellen kann. Diese können Angreifer nach dem Export in ihr eigenes System mit MimiKatz bearbeiten, um Benutzernamen und Passwörter zu extrahieren.
Jeglicher Systemeingriff zur immer gleichen Zeit oder in einem sich wiederholenden Muster ist ein Indikator dafür, dass noch irgendwo etwas Ungewolltes passiert. Sicherheitsteams sollten sich deshalb fragen, warum diese Situation zurückkehrt. Es handelt sich oft um ein Zeichen dafür, dass doch noch die Ausführung eines schädlichen Prozesses erfolgt, der nur noch nicht identifiziert ist.
Vereinzelt führen Angreifer Testattacken auf ein paar Computer durch, um die Schlagkraft ihrer Angriffsmethode zu überprüfen, oder ob Sicherheitssoftware sie stoppt. Bei Stoppen der Attacke ändern die Angreifer ihre Taktik und versuchen es erneut. Hacker wissen dann allerdings, dass ihre Zeit begrenzt ist und sie schnell auffliegen können. Deshalb ist es nach erfolglosen Testattacken oft nur eine Frage von Stunden, bis ein weitaus größerer Angriff erfolgt.
Weitere Informationen stehen unter www.sophos.com zur Verfügung.
Lesen Sie mehr zum Thema
