Emotet, Phishing und Co: Cyberangriffe 2018 im Rückblick
Das sagt unser IT-Sicherheits-Experte aus dem CSOC: Ulrich Zerlett im Interview
Tobias Vierneisel: Ulrich, das Jahr 2018 erscheint gefühlt als das Jahr der Cyberangriffe, oder kommt das einem nur so vor, weil in den Medien so viele Fälle hervorgehoben wurden?
Ulrich Zerlett: Ich persönlich würde das darauf zurückführen, dass wir uns immer mehr in Richtung Digitalisierung bewegen und sich dadurch auch die Berichterstattung in Verbindung mit dem Thema Cyberangriffe entwickelt. Das kann man definitiv als positiv betrachten, da dadurch die Sensibilisierung für das Thema Cyber Security angehoben wird – sowohl im gesellschaftlichen als auch im unternehmerischen Kontext.
Tobias Vierneisel: Ihr veröffentlicht wöchentlich das sogenannte Event der Woche und klärt technisch auf. Was genau steckt dahinter?
Ulrich Zerlett: Wir greifen aktuelle Themen auf oder eben entsprechende Angriffe, die wir in unserem CSOC identifizieren. Darin beschreiben wir zuerst kurz allgemein, worum es sich bei diesem Event bzw. Ereignis oder Vorfall im Detail handelt und was genau passiert. Zusätzlich geben wir eine technische Beschreibung, um weitere relevante Hintergrundinformationen bereitzustellen und besser erklären zu können, welche Art von Events unser CSOC erkennt.
Tobias Vierneisel: Mittlerweile melden sich bei uns Opfer von Cyberattacken, die die Gefährdung nicht erkannt und noch keine Maßnahmen gegen Cyberangriffe vorgenommen haben. Welches Procedere folgt dann – abgesehen davon, dass ihr ihnen die Mitgliedschaft im CSOC Hub ans Herz legt?
Ulrich Zerlett: Gehen wir hier einmal von einem der häufigsten Fälle aus: der E-Mail bzw. der Phishing-E-Mail. Diese sehen mittlerweile täuschend echt aus. Das heißt, der Absender stimmt scheinbar, die Anrede und andere Komponenten wie eine Signatur optisch ebenfalls. Erkennen kann man die falsche E-Mail im besten Fall oft nur noch an der Anrede oder der Sprache, nämlich in Form von falschem Satzbau oder Fehlern.
Wird in einer Phishing-Mail auf einen enthaltenen Link geklickt oder der Anhang geöffnet, so wird Schadsoftware ausgeführt und der Angriff war erfolgreich. Hier prüfen wir im ersten Schritt, welcher Schaden genau entstanden ist. Wurde die Festplatte verschlüsselt oder wurde am Betriebssystem etwas geändert?
In den meisten Fällen holen wir das System zu uns, um im Detail alle Komponenten einsehen und prüfen zu können – eine Schadensanalyse direkt am System mit Auswertungs- und Analyse-Tools. So können wir genau nachvollziehen, was passiert ist. Je nach Fall kommen unterschiedliche Tools zum Einsatz. Wenn die Schadsoftware die Festplatte verschlüsselt hat, ist das leider einer der schlimmsten Fälle. Hier recherchieren wir nach einem passenden Tool, um die Festplatte wieder zu dekodieren.
Finden wir ein passendes Tool, extrahieren wir die Daten, um diese wieder herzustellen und empfehlen dann dem Kunden, das System frisch aufzusetzen. Sonst riskiert der Kunde, dass Schadsoftware in irgendeiner Form noch vorhanden ist. Die Daten werden natürlich vor dem Import zusätzlich mit einem Virenscanner gescannt. Der Idealfall ist natürlich, dass der Kunde eine gute Backupstrategie hat und der Aufwand der Entschlüsselung nicht benötigt wird. Gibt es kein passendes Tool, kann nur noch ein Backup Rettung bringen …
Tobias Vierneisel: Das BSI sagt in einer Pressemeldung: “Emotet gilt als eine der gefährlichsten Bedrohungen durch Schadsoftware weltweit und verursacht auch durch das Nachladen weiterer Schadprogramme aktuell hohe Schäden auch in Deutschland.” Wie seht ihr das?
Ulrich Zerlet: Da müssen wir leider zustimmen. Emotet ist besonders gefährlich, da er so neu ist und auf neuen Strukturen basiert. Wenn man verstehen will, wie eine Antivirensoftware funktioniert, die man auf einem System installiert hat, dann ist es häufig so, dass diese auf Basis von entsprechenden sogenannten Signaturen arbeitet. Das Muster der Schadsoftware muss bekannt sein, damit der Virenscanner diese auch identifizieren kann. Aber eben dadurch, dass Emotet so neu ist und sich von seinem Code immer weiterentwickelt, ist es für die Hersteller extrem schwierig hinterher zu kommen; im Prinzip ein Katz‘ und Maus-Spiel.
Emotet verhält sich leider komplett anders. Dadurch passiert es relativ häufig, dass ein System befallen wird. Hinzu kommt, dass Emotet sich am Anfang im Hintergrund versteckt und Daten sammelt: E-Mail-Accounts, Bankdaten oder Logins. Er versucht das System komplett auszuspähen und überträgt die Daten dann an einen Server. Sobald genug Daten gesammelt wurden, geht Emotet in den Angriffsmodus über, öffnet den PC für jegliche Angriffe, sodass weitere Schadsoftware installiert werden kann und zum Beispiel die Verschlüsselung der Festplatte erfolgen kann.
Ein befallenes System muss man aktuell auch auf jeden Fall komplett neu aufsetzen, da Emotet sich zu gut (und zwar an unterschiedlichen Stellen) versteckt, um ihn durch einen Scan zu finden.
Tobias Vierneisel: Was ist dein Fazit mit Blick auf die Events im CSOC und die Entwicklung im Bereich Cyber Security allgemein?
Ulrich Zerlett: Wir sind erst einmal sehr froh, dass wir in unserem CSOC einige der Fälle identifizieren können, indem wir den Datenverkehr überwachen. Wir können sehen, wenn entsprechende Verbindungen aufgebaut werden, die gefährlich sind. Dadurch können wir verhindern, dass weiterer Schaden entsteht. Wir können keine Angriffe verhindern aber dadurch, dass wir mit dem CSOC den Datenverkehr erfassen und scannen, können wir zeitnah und rechtzeitig unseren Kunden Rückmeldung geben, dass sich ein auffälliges System im Netzwerk befindet, das wir auch genau identifizieren können. Dieses System kann dann aus dem Netz genommen werden, um es anschließend zu analysieren.
Tobias Vierneisel: Vielen Dank Ulrich.
Ulrich Zerlett / Cyber Security Consultant & CSOC Security Scientist
Ulrich Zerlett ist Cyber Security Consultant und führt in diesem Zusammenhang Schwachstellenanalysen und Penetrationstests durch, analysiert Cyber-Angriffe und Events im CSOC und kümmert sich um betroffene Systeme und die Datenrettung bei Unternehmen.