Hacker Fallbeispiele Bedrohungen Cyberattacken Managed SOC

Fallbeispiele

Managed SOC Cyber Security Operations Center CSOC IDS SIEMSOC Cyber Security Operations Center CSOC synalis dhpg IT Köln IT BonnSOC Cyber Security Operations Center CSOC synalis dhpg IT Köln IT Bonn10 Tipps für mehr Cyber Security - SOC Cyber Security Operations Center CSOC synalis dhpg IT Köln IT BonnSOC Cyber Security Operations Center CSOC synalis dhpg HUBSOC Cyber Security Operations Center CSOC synalis dhpg IT Köln IT Bonn

Fallbeispiele: Wie Hackerangriffe im Normalfall ablaufen

2013 wurde das US-amerikanische Internetunternehmen YAHOO! Opfer von Datendiebstahl mit dem bislang größten bekannten Ausmaß: 3 Milliarden gehackte Nutzerkonten. Die Folge: Ein Imageschaden, der den Kaufpreis des Unternehmens um 350 Millionen Dollar senkte.
Datendiebstahl ist kein Einzelfall (laut bitkom waren 2015 bis 2017 rund 17 % der Unternehmen davon betroffen). Immer wieder werden Kundendaten wie E-Mails, Passwörter oder Kreditkartennummern gestohlen. Der Reputationsschaden für betroffene Unternehmen ist groß.

Die Schlupflöcher der Hacker

Eine Firewall überwacht zwar den Internetverkehr. Angreifer nutzen allerdings häufig Standardports wie HTTP oder HTTPS, um mit der Außenwelt zu kommunizieren. Weil der Datenverkehr wie normaler Internetverkehr aussieht, würde eine Firewall das Abfließen der Daten in solchen Fällen nicht blockieren.

Anders sieht es beim CSOC aus: Dieses kann feststellen, dass größere Datenmengen abfließen oder in ungewöhnliche Richtungen abwandern. Es meldet das Ereignis und ermöglicht dem Kunden dadurch die frühzeitige Einleitung durch Gegenmaßnahmen, etwa durch die Sperrung eines verdächtigen Ziels.

Bei vielen Unternehmen kommt die Frage nach der Rentabilität auf. Wir skizzieren Ihnen zur Beantwortung Fallbeispiele mit realem Hintergrund.

Fallbeispiel 1: Trojaner hackt System und verschickt Spam-Mails

Trojanerangriff macht 26 Rechner zu „Zombies“ im Botnetz

Ventifirm ist ein mittelständisches Unternehmen aus dem Bereich Maschinenbau mit 106 Mitarbeitern und einem Jahresumsatz von 18 Millionen Euro.
In der zweiten Jahreshälfte 2017 wird der Unternehmensserver von einem Trojaner gehackt, den der Virenscanner nicht erkannt hat. Er kapert zunächst einen PC und infiziert von da aus unbemerkt weitere Firmenrechner: Die Computer werden von da an als sogenannte „Zombies“ ferngesteuert und in einem Botnet für großangelegte Spam-Attacken missbraucht. Auch der Versand der Spam-Mails ist für den Virenscanner unsichtbar. Ventifirm nutzt keinen Monitoring-Dienst und bemerkt den Trojaner erst, als Anrufe irritierter Spam-Opfer eingehen.

Vom Trojaner sind zuletzt 26 PC-Arbeitsplätze betroffen und verursachen einen Arbeitsausfall von 2 Wochen. So lange dauert es, bis die Computer neu aufgesetzt, infizierte Fertigungsmaschinen ersetzt und ein neuer Netzwerkserver angeschafft wurden. Zum Betriebsausfall kommen die Kosten für IT-Experten, neue Hardware und der durch die Spam-Mails verursachte Imageschaden.

Bedrohungen durch Trojaner Zombie PCs - Cyber Security Operations Center Managed SOC Daten Schutz

Botnet-Angriff durch Hacker

Schadensverringerung durch das CSOC:

Angriffe unmittelbar erkennen, Gegenmaßnahmen schleunig einleiten

Der finanzielle Aufwand durch den Hackerangriff auf das Maschinenbau-Unternehmen Ventifirm reicht weit in den sechsstelligen Bereich und schadet außerdem seinem Ruf. Hätte die Firma ein Frühwarnsystem wie das CSOC genutzt, so hätte der Schaden vermutlich nicht ganz verhindert, aber stark reduziert werden können.

Während der Trojaner im oben geschilderten Fall die Firewall unbemerkt passieren kann, erkennt das Cyber Security Operations Center die ungewöhnlichen Ereignisse im Netzwerk und meldet diese unverzüglich. Das geschieht sowohl für den erstbefallenen Rechner als auch für die Ausbreitung auf andere Computer. Sobald das CSOC nun ein Event zum Befall des ersten Rechners anzeigt und durch die IT-Experten ausgelesen wird, können erste Maßnahmen ergriffen werden, um den entsprechenden Schadcode bei allen weiteren PCs zu blockieren. Folglich kann der befallene Computer keine weiteren mehr infizieren. Der Betriebsausfall verkürzt sich, weil nur ein Arbeitsplatz ausfällt. In Folge braucht es weniger IT-Experten zur Datensicherung und zum Aufsetzen der PCs und weniger neue Hardware. Der Produktionsausfall wird stark eingegrenzt und auch der Imageschaden kann verhindert werden, indem frühzeitig eingeleitete Gegenmaßnahmen den massiven Spamversand beschränken oder gänzlich unterbinden.

Fallbeispiel 2: Unbemerkte Downloads mit Schadcode

Hier skizzieren wir für Sie ein weiteres Angriffsszenario, das so stattgefunden hat und ein klassisches Beispiel für Cyberattacken darstellt:

Ein Mitarbeiter einer Anwaltskanzlei erhält eine Mail von Unbekannt. Da in der Kanzlei täglich viel E-Mailverkehr mit unbekannten Absendern herrscht, öffnet der Mitarbeiter die Mail. Weil die Adresse des Absenders neu ist, wurde die E-Mail von keinem Spamfilter geblockt. Der Absender verweist auf ein Word-Dokument im Anhang, das er als Korrespondenzbeweis aufführt. Der Mitarbeiter öffnet daraufhin das Dokument.
Was er nicht bemerkt: Die Datei enthält einen sogenannten Makrobefehl, also eine ganze Folge von Anweisungen, die mit nur einem einzigen Befehl ausgeführt wird.

Dieser hat zur Folge, dass der PC im Hintergrund eine ausführbare Datei mit Schadcode herunterlädt und über den Computer Malware ins Unternehmensnetzwerk einschleust. Das geschieht an der Firewall vorbei und bleibt (zumindest vorerst) auch vom Virenscanner unbemerkt, weil die verwendete Schadsoftware den Herstellern von Malwareschutz bislang noch nicht bekannt ist.
Der Cyberangriff nutzt folglich die Grenzen von Firewall und Virenschutz aus, um das Unternehmen zu schädigen.

Schadensvermeidung durch das CSOC:

CSOC-Sensoren + Monitoring

Weil die Anwaltskanzlei jedoch in der Historie vermehrt mit Cyberattacken in Berührung kam, nutzt sie seit geraumer Zeit den Service des CSOC. Dieses stellt durch die sensiblen Sensoren und das parallele Monitoring schnell die unerlaubten Downloads im Hintergrund fest und veranlasst das Rescue-Team zu entsprechendem und vor allem unmittelbaren Handeln, sodass Datenverluste durch Verschlüsselung oder das Ausspähen sensibler Informationen vermindert werden können.

Während der Trojaner im oben geschilderten Fall die Firewall unbemerkt passieren kann, erkennt das Cyber Security Operations Center die ungewöhnlichen Ereignisse im Netzwerk und meldet diese unverzüglich. Das geschieht sowohl für den erstbefallenen Rechner als auch für die Ausbreitung auf andere Computer. Sobald das CSOC nun ein Event zum Befall des ersten Rechners anzeigt und durch die IT-Experten ausgelesen wird, können erste Maßnahmen ergriffen werden, um den entsprechenden Schadcode bei allen weiteren PCs zu blockieren. Folglich kann der befallene Computer keine weiteren mehr infizieren. Der Betriebsausfall verkürzt sich, weil nur ein Arbeitsplatz ausfällt. In Folge braucht es weniger IT-Experten zur Datensicherung und zum Aufsetzen der PCs und weniger neue Hardware. Der Produktionsausfall wird stark eingegrenzt und auch der Imageschaden kann verhindert werden, indem frühzeitig eingeleitete Gegenmaßnahmen den massiven Spamversand beschränken oder gänzlich unterbinden.

Fallbeispiel 3: Ransomware WannaCry

Im aktuellen Beispiel des CSOC möchten wir Ihnen einen Fall vorstellen, der sich von dem normalen Verlauf einer Erkennung etwas abhebt. Anders als sonst üblich dreht sich dieses Fallbeispiel um eine erfolgreich durchgeführte und nicht erkannte Cyberattacke. Das betroffene Netz war zu diesem Zeitpunkt noch nicht auf das CSOC aufgeschaltet. Die Aufschaltung ermöglichte es schließlich, die immer noch im Netz befindliche Schadsoftware zu finden und zu lokalisieren, um entsprechende Gegenmaßnahmen einzuleiten.

Worum geht es bei WannaCry?

Das in diesem Fallbeispiel beschriebene Ereignis skizziert die Merkmale einer bereits vorhandenen Infektion mit dem Verschlüsselungstrojaner WannaCry, welcher im Jahr 2017 aufgrund seiner Wirkungsweise weltweit zu einer Vielzahl von Datenverlusten und Systemausfällen führte.

Wie erfolgte der Cyberangriff?

Zum Zeitpunkt der Inbetriebnahme der CSOC-Sensoren lag die Infektion mit dem Kryptotrojaner innerhalb des Kundennetzwerks bereits vor. Eine zuverlässige Aussage über den Vektor des initialen Befalls kann zu diesem Zeitpunkt nicht getroffen werden. Dennoch: für die Erstinfektion wird in der Regel eine ausführbare Datei (.exe/.msi) über verschiedene Vektoren auf das System geschleust und anschließend gestartet. Gängige Vektoren zum Einschleusen sind beispielsweise Links und Anhänge in E-Mails sowie ungeschlossene, kritische Schwachstellen im SMB-Protokoll von Windows-Systemen. Ist ein System im Netzwerk infiziert, so versucht der Verschlüsselungstrojaner sogleich, sich im Netzwerk auszubreiten.

Schadensverringerung durch das CSOC:

Die Rolle des CSOC: Wissen und Erkenntnisse

Die bereits erfolgte Infektion machte sich im CSOC durch die häufige Auslösung ein und desselben Events bemerkbar: der eingesetzte CSOC-Sensor konnte im Datenverkehr des Netzwerks DNS-Anfragen ermitteln, die im direkten Zusammenhang mit einer Infektion von WannaCry stehen. Die angefragten URL sind ungewöhnlich kryptisch und weisen auf ein maschinelles Tool hin. Durch verschiedene Werkzeuge des CSOC-Systems konnte im weiteren Verlauf der Analyse systematisch bestimmt werden, welche Kundenstandorte betroffen sind und welche nicht.

Aufgrund des CSOC-Konzeptes ist es uns möglich, spontan und flexibel auf Vorkommnisse in Kundennetzwerken zu reagieren. Vorhandene Analyseverfahren können schnell an die aktuellen Situationen angepasst werden und lieferten so in der Kombination mit Analysen unserer Security-Spezialisten aussagekräftige Ergebnisse, die die Basis der Beseitigung bilden.

Fallbeispiel 4: Angriff auf eine Webanwendung

An dieser Stelle möchten wir anhand eines realen Falls darstellen, wie mithilfe eines CSOC, Angriffe auf Webanwendungen erkannt und daraus Rückschlüsse über den Angreifer gezogen werden können.

Wie erfolgte der Cyberangriff?

In der Ausgangssituation betreibt ein mittelständisches Unternehmen mehrere Webanwendungen in seiner eigenen Infrastruktur, die über das Internet erreichbar sind. Dazu zählen z.B. eine Webseite und ein Webmail-Portal. Im regulären Verlauf einer Cyberattacke beginnt der Angreifer zuerst mit der Informationsbeschaffung. In unserem konkreten Fall sammelt er mithilfe von speziellen Tools automatisiert möglichst viele Informationen über die Webanwendungen – z.B. die Versionsnummer des genutzten Content-Management-Systems, auf dem die Webanwendung basiert. Der Angreifer konnte eine potentielle Schwachstelle ausmachen. Anschließend folgte der eigentliche Angriff - in unserem Fall wurden gängige Exploits gegen das System des Kunden gerichtet.
Erfolgreich ausgeführte Exploits dienen üblicherweise dem Zugriff auf das Zielsystem und dem Abfluss sensiblen Daten oder auch dem bewussten Absturz von Diensten und Systemen.

Einer der Exploits war in diesem Falle erfolgreich!

Schadensvermeidung durch das CSOC:

CSOC-Sensoren + Monitoring

Der Angriffsverlauf konnte in dem beschriebenen Fallbeispiel mithilfe des CSOC detektiert und vollständig nachvollzogen werden – von ersten Portscans über weitere Servicescans bis hin zum genutzten Exploit und dem Versuch Daten zu entwenden. Die im Rahmen des Angriffes genutzten Tools und Quelladressen  konnten in einer weiteren Analyse des Datenverkehrs genau identifiziert werden.

Durch die umgehende Information der HUB-Mitglieder,  die identifizierten Quellen vorübergehend in den Firewall-Systemen zu sperren, konnten weitere erfolgreiche Angriffe verhindert werden.

Fazit:

Durch die erfolgreiche Detektion und Analyse des beschriebenen Angriffsszenarios, konnten wir unsere CSOC HUB-Mitglieder vor weiteren Angriffen dieser Art erfolgreich schützen.

 

Fallbeispiel 5: Interaktionen mit einem Angreifer erkennen

In diesem Fallbeispiel möchten wir Ihnen kurz vorstellen, wie es um die Identifikation von Angreifern steht, wenn der Angreifer vorhandene Schwachstellen ausnutzen konnte, und nun Zugriff auf das interne Netzwerk besitzt. Denn: mittels CSOC können unsere Analysten nicht nur rein technische Angriffsversuche deuten, sondern auch direkte Interaktionen von Angreifern mit kompromittierten Systemen feststellen.

Welches Ziel haben Hacker? Warum werden Sie angegriffen?

Nicht jeder Hacker hat das gleiche Ziel. Die einen sind neugierig und gucken „nur mal kurz“ auf Ihre Systeme, wiederum andere möchten bewussten Schaden verursachen. Dieser Schaden wird sich in der Regel finanziell für Sie äußern, wenn man Sie mittels Ransomware bittet Bitcoins zu versenden oder indem man beispielsweise Ihre Webseite mit einer Denial-of-Service-Attacke für eine gewisse Zeitspanne außer Gefecht setzen möchte. Unabhängig von der Motivation der Attacke, versuchen Angreifer jedoch nicht selten, eine Remote-Verbindung zu kompromittierten Systemen zu initiieren.

Grob gesagt handelt es sich bei diesen Remote-Verbindungen um beispielsweise Windows-Powershell oder Unix-shell-Sitzungen, mit denen über das Netzwerk direkt mit dem angegriffenen System interagiert werden kann.

Schadensverringerung durch das CSOC:

Die Rolle des CSOC: Identifikation von Remote-Verbindungen

Die genannten Sitzungen werden vom CSOC detektiert. Dazu wird der resultierende Netzwerkverkehr untersucht, der bei Sitzungsaufbau, -interaktion und -abbau zwischen Angreifer und kompromittiertem System fließt. Auch wenn dieser Netzwerkverkehr teilweise verschlüsselt ist, erkennt das CSOC den Einsatz bekannter Hacker-Tools, mit denen Remote-Verbindungen aufgebaut und betrieben werden können, zuverlässig. In puncto der Nachvollziehbarkeit von Angriffen erkennen wir somit nicht nur, dass einer stattgefunden hat – das CSOC erkennt, inwiefern Angriffe erfolgreich verlaufen sind sowie ob und wie lange eine direkte Interaktion zwischen Angreifer und kompromittiertem System stattgefunden hat oder ob diese zum Zeitpunkt der Untersuchung noch besteht!

 

IT-Sicherheit durch Cyber Security – vom Mittelstand für den Mittelstand

Wir sind überzeugt davon, dass der Grundstein der Digitalisierung eine vollumfängliche IT-Sicherheitsstrategie bildet. Daher haben wir einen Service entwickelt, der speziell auf die individuellen Bedürfnisse und Anforderungen mittelständischer Unternehmen abgestimmt ist und auch als Basis unseres eigenen Sicherheitskonzeptes dient.

Das Gemeinschaftsprodukt CSOC ist ein IT-Service vom Mittelstand für den Mittelstand und richtet sich gegen Hackerangriffe und Cyberattacken. Die effektivste Vorgehensweise gegen Cyberkriminelle ist der organisierte Zusammenschluss einer Interessengruppe, die das gemeinsame Ziel der Hackerabwehr verfolgt und vom gemeinsamen Austausch und Schutzmaßnahmen profitiert. synalis und die dhpg möchten Unternehmen eine Plattform für eine ebensolche Gemeinschaft bieten: Cyber Security vom Mittelstand für den Mittelstand.