Gastkommentar von Fidelis Cybersecurity
Unternehmen nicht wehrlos gegen NotPetya und Co.
Kürzlich befiel erneut eine Malware-Welle Unternehmen in zahlreichen Ländern. Einige Sicherheitsforscher sahen darin eine neue Variante der Ransomware (Kryptotrojaner) Petya; andere wiesen darauf hin, dass es diese Malware nur auf Zertstörung abgesehen hatte, nicht auf Lösegeld, und wählten deshalb die Bezeichnung NotPetya (oder auch Nyetya oder ExPetr). Vielerorts machte sich bei den Unternehmen der Eindruck breit, derlei Schadsoftware machtlos gegenüberzustehen. Dem ist jedoch nicht so, wie Oliver Keizers, Regional Director DACH des IT-Sicherheitsunternehmens Fidelis Cybersecurity, argumentiert.
"Wir haben in der Vergangenheit immer wieder vernommen, dass Unternehmen sich machtlos gegenüber modernen Cyberattacken fühlen", so Oliver Keizers (Bild). "Hier wird leider zu oft mit traditionellen Verteidigungswerkzeugen auf moderne Angriffe reagiert."
Man habe es hier nicht mit simplen, traditionellen Angriffen zu tun, gegen die man sich mit den bekannten Präventionssystemen wie Antiviren-Software oder Firewalls verteidigen könne: "Moderne Angriffe", erklärt der Fidelis-Manager, "verstecken sich vor diesen Verteidigungslinien erfolgreich und lassen uns vermeintlich machtlos sein, hier bedarf es jedoch vor allem moderner Erkennungssysteme, welche eine weitere Verteidigung in der zweiten Linie ermöglichen."
"Auch uns und unseren Sicherheitsforschern war der hier vorliegende Schadcode initial unbekannt", so Keizers weiter, "das heißt aber nicht, dass wir nichts über die einzelnen Methoden gewusst hätten." So habe man die Malware sehr wohl erkennen und verhindern können.
Nicolei Steinhage, Senior Systems Engineer DACH bei Fidelis Cybersecurity, erläutert die technischen Hintergründe: "Schaut man sich im Nachhinein die Angriffe an, so wird klar, dass die Erstinfektion durch eine DOC/RTF-Datei auf den Exploit CVE-2017-0199 erfolgte, die wiederum zu einer XLS-Datei mit eingebettetem HTA-Skript führte, was dann in der Folge den Malware-Download startete. Der hier verwendete Exploit war bereits bekannt und das hat dafür gesorgt, dass es bei vielen Unternehmen erst gar nicht zu einer Infektion kam - die Sicherheitssysteme am Perimeter konnten bereits vor der Infektion Alarm schlagen. Eine Warnung war hier also durchaus möglich und gegeben."
Die Malware habe sich nach Überwindung des Perimeters und der initialen Infektion sekundenschnell im gesamten Netzwerk ausgebreitet und alle verfügbaren Endpunkte befallen. "Dazu nutzten die Angreifer durchaus valide und im System vorhandene Tools wie das Windows Management Interface (WMI) und PSexec, um mithilfe eines Derivates von MimiKatz an Benutzerzugangsdaten zu kommen und die Malware remote auszuführen", so Steinhage. "Der Transfer durch das Netzwerk zu den einzelnen Endpunkten fand per Server Message Block statt. Genau dieselbe Methode wurde bereits beim Angriff Shamoon 2012 verwendet - auch hier schlagen moderne, nicht signaturbasierte Sicherheitssysteme Alarm."
"Zudem", so Steinhage weiter, "war für moderne Endpunktlösungen das Zusammensammeln der Zugangsdaten und die Nutzung von PSexec auf den betroffenen Systemen sichtbar und zu unterbinden - ebenso sekundenschnell, wie die Malware versuchte sich auszubreiten, indem der Endpunkt, egal ob es sich um einen Computer oder einen Server handelt, sofort vom Netzwerk isoliert und bereinigt wird."
Der Schadcode selbst sei also unbekannt gewesen, die Angriffsmethoden hingegen nicht. "Moderne Sicherheitssysteme", so Fidelis-SE Steinhage, "können anhand des Codeverhaltens Angriffe finden und dagegen vorgehen. Typische Aktionen wie zum Beispiel Prozessausführung über "cmd.exe / c start", die Ausführung von Code aus dem TEMP-Verzeichnis oder auch die Löschung von Volume-Shadow-Kopien sind immer verdächtig, müssen jedoch am Endpunkt zur Laufzeit erkannt werden können."
Eine moderne Sicherheitslösung gehe hier - beispielsweise bei der Isolation des befallenen Endpunkts und der folgenden Bereinigung - automatisiert vor und löse das Problem, bevor es entsteht. Durch die Analyse von Metadaten rund um den Angriff könne ein solches System selbständig lernen und überprüfen, ob ähnliche Angriffe bereits in der Vergangenheit auf dieses oder andere Systeme verübt worden sind.
"Auch wenn in diesem besonderen Fall der Sicherheitsforscher Amit Serper sehr schnell eine Möglichkeit gefunden hatte, sein System zu ,impfen?, rührt die gefühlte Machtlosigkeit der Unternehmen daher, dass sie nicht wissen, wie sie dies auf allen Endpunkten, die in die Tausende gehen können, so schnell wie möglich durchführen sollen", betont Steinhage. "Mit einem entsprechenden zentralen Management-Tool für die Endpunkte wäre dieses Problem sehr schnell über einfachste Skripte - manchmal so einfach, dass es nicht mehr als zwei Zeilen Code brauchte! - erledigt."
"Machtlosigkeit" bestehe also nicht, ergänzt Oliver Keizers. Man dürfe sich eben nur nicht auf "traditionelle" Abwehrmechanismen verlassen: "Gefühlte Sicherheit ist trügerisch, bis zum nächsten Angriff…"
Weitere Informationen finden sich unter www.fidelissecurity.com.
Lesen Sie mehr zum Thema
