Fallbeispiele

IT-Security-Training Awareness TraningCyber Security Gefahren KMUWhitepaper Cyber Security und IT-Security TippsCyberangriffe Fallbeispiele erfolgreicher Hackingmethoden

Fallbeispiele: Wie Hackerangriffe im Normalfall ablaufen

2013 wurde das US-amerikanische Internetunternehmen YAHOO! Opfer von Datendiebstahl mit dem bislang größten bekannten Ausmaß: 3 Milliarden gehackte Nutzerkonten. Die Folge: Ein Imageschaden, der den Kaufpreis des Unternehmens um 350 Millionen Dollar senkte.
Datendiebstahl ist kein Einzelfall (laut bitkom waren 2015 bis 2017 rund 17 % der Unternehmen davon betroffen). Immer wieder werden Kundendaten wie E-Mails, Passwörter oder Kreditkartennummern gestohlen. Der Reputationsschaden für betroffene Unternehmen ist groß.

DDOS-Angriffe oder Trojaner – das erkennt ein SOC

Hackerangriffe auf große Unternehmen und kritische Institutionen, die das CSOC (je nach Auftragsumfang) durch auftretende Anomalien im Datenverkehr in der Regel schnell detektiert:

Die Schlupflöcher der Hacker

Eine Firewall überwacht zwar den Internetverkehr. Angreifer nutzen allerdings häufig Standardports wie HTTP oder HTTPS, um mit der Außenwelt zu kommunizieren. Weil der Datenverkehr wie normaler Internetverkehr aussieht, würde eine Firewall das Abfließen der Daten in solchen Fällen nicht blockieren (lesen Sie mehr über verbreitete Sicherheits-Irrtümer und Sicherheitslücken bei Cybercrime).

Anders sieht es beim Security Operations Center aus: Dieses kann feststellen, dass größere Datenmengen abfließen oder in ungewöhnliche Richtungen abwandern. Es meldet das Ereignis und ermöglicht dem Kunden dadurch die frühzeitige Einleitung durch Gegenmaßnahmen, etwa durch die Sperrung eines verdächtigen Ziels. Bei vielen Unternehmen kommt die Frage nach der Rentabilität auf. Wir skizzieren Ihnen zur Beantwortung Fallbeispiele mit realem Hintergrund.

Aufgelöste Mitarbeiterin nach Hackerangriff

Fallbeispiel 1: Trojaner hackt System und verschickt Spam-Mails

Trojanerangriff macht 26 Rechner zu „Zombies“ im Botnetz

Ventifirm ist ein mittelständisches Unternehmen aus dem Bereich Maschinenbau mit 106 Mitarbeitern und einem Jahresumsatz von 18 Millionen Euro.
In der zweiten Jahreshälfte 2017 wird der Unternehmensserver von einem Trojaner gehackt, den der Virenscanner nicht erkannt hat. Er kapert zunächst einen PC und infiziert von da aus unbemerkt weitere Firmenrechner: Die Computer werden von da an als sogenannte „Zombies“ ferngesteuert und in einem Botnet für großangelegte Spam-Attacken missbraucht. Auch der Versand der Spam-Mails ist für den Virenscanner unsichtbar. Ventifirm nutzt keinen Monitoring-Dienst und bemerkt den Trojaner erst, als Anrufe irritierter Spam-Opfer eingehen.

Vom Trojaner sind zuletzt 26 PC-Arbeitsplätze betroffen und verursachen einen Arbeitsausfall von 2 Wochen. So lange dauert es, bis die Computer neu aufgesetzt, infizierte Fertigungsmaschinen ersetzt und ein neuer Netzwerkserver angeschafft wurden. Zum Betriebsausfall kommen die Kosten für IT-Experten, neue Hardware und der durch die Spam-Mails verursachte Imageschaden.

Bedrohungen durch Trojaner Zombie PCs - Cyber Security Operations Center Managed SOC Daten Schutz

Botnet-Angriff durch Hacker

Fallbeispiel 2: Unbemerkte Downloads mit Schadcode

Hier skizzieren wir für Sie ein weiteres Angriffsszenario, das so stattgefunden hat und ein klassisches Beispiel für Cyberattacken darstellt:

Ein Mitarbeiter einer Anwaltskanzlei erhält eine Mail von Unbekannt. Da in der Kanzlei täglich viel E-Mailverkehr mit unbekannten Absendern herrscht, öffnet der Mitarbeiter die Mail. Weil die Adresse des Absenders neu ist, wurde die E-Mail von keinem Spamfilter geblockt. Der Absender verweist auf ein Word-Dokument im Anhang, das er als Korrespondenzbeweis aufführt. Der Mitarbeiter öffnet daraufhin das Dokument.
Was er nicht bemerkt: Die Datei enthält einen sogenannten Makrobefehl, also eine ganze Folge von Anweisungen, die mit nur einem einzigen Befehl ausgeführt wird.

Dieser hat zur Folge, dass der PC im Hintergrund eine ausführbare Datei mit Schadcode herunterlädt und über den Computer Malware ins Unternehmensnetzwerk einschleust. Das geschieht an der Firewall vorbei und bleibt (zumindest vorerst) auch vom Virenscanner unbemerkt, weil die verwendete Schadsoftware den Herstellern von Malwareschutz bislang noch nicht bekannt ist.
Der Cyberangriff nutzt folglich die Grenzen von Firewall und Virenschutz aus, um das Unternehmen zu schädigen.

Fallbeispiel 3: Ransomware WannaCry

Im aktuellen Beispiel des CSOC möchten wir Ihnen einen Fall vorstellen, der sich von dem normalen Verlauf einer Erkennung etwas abhebt. Anders als sonst üblich dreht sich dieses Fallbeispiel um eine erfolgreich durchgeführte und nicht erkannte Cyberattacke. Das betroffene Netz war zu diesem Zeitpunkt noch nicht auf das CSOC aufgeschaltet. Die Aufschaltung ermöglichte es schließlich, die immer noch im Netz befindliche Schadsoftware zu finden und zu lokalisieren, um entsprechende Gegenmaßnahmen einzuleiten.

Worum geht es bei WannaCry?

Das in diesem Fallbeispiel beschriebene Ereignis skizziert die Merkmale einer bereits vorhandenen Infektion mit dem Verschlüsselungstrojaner WannaCry, welcher im Jahr 2017 aufgrund seiner Wirkungsweise weltweit zu einer Vielzahl von Datenverlusten und Systemausfällen führte.

Wie erfolgte der Cyberangriff?

Zum Zeitpunkt der Inbetriebnahme der CSOC-Sensoren lag die Infektion mit dem Kryptotrojaner innerhalb des Kundennetzwerks bereits vor. Eine zuverlässige Aussage über den Vektor des initialen Befalls kann zu diesem Zeitpunkt nicht getroffen werden. Dennoch: für die Erstinfektion wird in der Regel eine ausführbare Datei (.exe/.msi) über verschiedene Vektoren auf das System geschleust und anschließend gestartet. Gängige Vektoren zum Einschleusen sind beispielsweise Links und Anhänge in E-Mails sowie ungeschlossene, kritische Schwachstellen im SMB-Protokoll von Windows-Systemen. Ist ein System im Netzwerk infiziert, so versucht der Verschlüsselungstrojaner sogleich, sich im Netzwerk auszubreiten.

Fallbeispiel 4: Angriff auf eine Webanwendung

Wir skizzieren Ihnen hier anhand eines weiteren realen Falles, wie wir Angriffe auf Webanwendungen mithilfe des CSOC erkennen und daraus Rückschlüsse über den Angreifer ziehen können.

Wie erfolgte der Cyberangriff?

In der Ausgangssituation betreibt ein mittelständisches Unternehmen mehrere Webanwendungen in seiner eigenen Infrastruktur, die über das Internet erreichbar sind. Dazu zählen z.B. eine Webseite und ein Webmail-Portal. Im regulären Verlauf einer Cyberattacke beginnt der Angreifer zuerst mit der Informationsbeschaffung. In unserem konkreten Fall sammelt er mithilfe von speziellen Tools automatisiert möglichst viele Informationen über die Webanwendungen – z.B. die Versionsnummer des genutzten Content-Management-Systems, auf dem die Webanwendung basiert. Der Angreifer konnte eine potentielle Schwachstelle ausmachen. Anschließend folgte der eigentliche Angriff - in unserem Fall wurden gängige Exploits gegen das System des Kunden gerichtet.
Erfolgreich ausgeführte Exploits dienen üblicherweise dem Zugriff auf das Zielsystem und dem Abfluss sensiblen Daten oder auch dem bewussten Absturz von Diensten und Systemen. Einer der Exploits war in diesem Falle erfolgreich.

Fallbeispiel 5: Interaktionen mit einem Angreifer erkennen

In diesem Fallbeispiel möchten wir Ihnen kurz vorstellen, wie es um die Identifikation von Angreifern steht, wenn der Angreifer vorhandene Schwachstellen ausnutzen konnte, und nun Zugriff auf das interne Netzwerk besitzt. Denn: mittels CSOC können unsere Analysten nicht nur rein technische Angriffsversuche deuten, sondern auch direkte Interaktionen von Angreifern mit kompromittierten Systemen feststellen.

Welches Ziel haben Hacker? Warum werden Sie angegriffen?

Nicht jeder Hacker hat das gleiche Ziel. Die einen sind neugierig und gucken „nur mal kurz“ auf Ihre Systeme, wiederum andere möchten bewussten Schaden verursachen. Dieser Schaden wird sich in der Regel finanziell für Sie äußern, wenn man Sie mittels Ransomware bittet Bitcoins zu versenden oder indem man beispielsweise Ihre Webseite mit einer Denial-of-Service-Attacke für eine gewisse Zeitspanne außer Gefecht setzen möchte. Unabhängig von der Motivation der Attacke, versuchen Angreifer jedoch nicht selten, eine Remote-Verbindung zu kompromittierten Systemen zu initiieren.

Grob gesagt handelt es sich bei diesen Remote-Verbindungen um beispielsweise Windows-Powershell oder Unix-shell-Sitzungen, mit denen über das Netzwerk direkt mit dem angegriffenen System interagiert werden kann.

Fallbeispiel 6: Bankingtrojaner Emotet

In diesem Fallbeispiel geht es um den im Moment wieder sehr aktiven Trojaner Emotet. Zum einen zeigen wir den Infektionsweg auf, zum anderen erklären wir, inwiefern das CSOC dazu beitragen kann, dass eine solche Infektion frühzeitig erkannt werden kann.  Die Verbreitung von Emotet erfolgt über groß angelegte Spam-Kampagnen, die in Verbindung mit Social Engineering durchgeführt werden. Dabei ist Emotet nur der erste Schritt zur Infektion: Nachfolgend werden noch Schadprogramme wie Trickbot oder in bestimmten Fällen auch Ransomware wie beispielsweise Ryuk nachgeladen. Diese nachgeladenen Programme sind für den eigentlichen Schaden verantwortlich.

Der Infektionsweg mit Emotet: So arbeitet der Trojaner

Der Empfänger bekommt eine E-Mail mit einem Word-Dokument im Anhang. Dieses Dokument enthält Makros, die der Empfänger nach dem Öffnen des Dokumentes durch einen Klick oder ähnliches meist noch aktivieren muss. Sobald dies geschehen ist, werden weitere Schadprogramme aus dem Internet nachgeladen und der Computer wird somit infiziert.

Das perfide bei Emotet: Anders als bei anderen Spam-Mails wie etwa aus Fallbeispiel 2 sieht die Mail, die der Empfänger erhält, wie eine Antwort auf eine zuvor von ihm versendete E-Mail aus. Das liegt daran, dass der Computer des Absenders bereits mit Emotet infiziert ist. Bei einem Befall mit der Malware werden die E-Mails der letzten 180 Tage aus dem Outlook-Postfach ausgelesen und an einen Emotet-Kontrollserver übertragen. Dadurch werden dann automatisiert maßgeschneiderte Spam-Vorlagen erstellt, mit denen man Angriffe gegen alle ausgelesenen Kommunikationspartner durchführen kann – ein Freifahrtschein für kriminelle Mail-Machenschaften.

Wie oben bereits beschrieben entsteht der eigentliche Schaden nicht durch Emotet, sondern durch die nachgeladenen Programme. Dabei infiziert die Schadsoftware wie beispielsweise Trickbot über die ausgespähten Zugangsdaten eines Benutzerkontos mit Domänenadministrator-Rechten weitere Systeme innerhalb des Netzwerkes. Hat der Angreifer festgestellt, dass es sich um ein lohnendes Ziel handelt, erfolgt der finale Angriff mit einer Ransomware wie Ryuk. Dabei wird die Ransomware auf alle infizierten Systeme ausgerollt und die darauf befindlichen Daten verschlüsselt. Für die Entschlüsselung der Daten verlangt der Angreifer nun eine gewisse Geldsumme, zumeist in Bitcoin.  Beispiele gibt es viele. Hier wären unter anderem das Berliner Kammergericht, die medizinische Hochschule Hannover oder die heise Gruppe zu nennen.

IT-Sicherheit und Cyber Security – vom Mittelstand für den Mittelstand

Der Erfolg der Unternehmensdigitalisierung gründet auf einer vollumfänglichen IT-Sicherheitsstrategie für mehr Informationssicherheit und Datenschutz. Die Allianz CSOC vom Mittelstand für den Mittelstand bietet dezidierte Services für Mittelständische Unternehmen (KMU) und unterstützt diese durch ein breites Leistungsportfolio rund um die Themen IT-Security und Cyber Security. Neben einem Managed SOC as a Service setzen wir dabei auf Schutzmaßnahmen und die Sensibilisierung von Mitarbeitern ganz im Sinne des Konzepts: ProtectDetectRespondForensic