:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sandboxing Analyse einer infizierten RTF-Datei
Malware wird oft erst dann erkannt, wenn sie sich bereits im Netzwerk ausgebreitet hat. Sandboxing und eine Laufzeit-Analyse oder auch Threat Emulation können dem entgegenwirken. Dies soll präventiv vor Gefahren schützen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Trotz steigender Aufmerksamkeit und zusätzlicher Investitionen in IT-Sicherheitstechnologien wächst die Zahl erfolgreich durchgeführter Malware-Angriffe von Jahr zu Jahr. Hat die Schadsoftware erst einmal ein Netzwerk infiziert, können Angreifer problemlos Daten entwenden, Netzwerkeinstellungen verändern oder sogar in Betriebsabläufe eingreifen.
Oft ist es immer noch so, dass nur bekannte Malware-Familien zuverlässig aufgespürt, identifiziert und beseitigt werden. Selbst wenn es nur eine schädliche Datei ins Netzwerk geschafft hat, so wird dieses komplett geprüft, um eine interne Ausbreitung zu verhindern. Dieser Vorgang nimmt nicht selten mehrere Tage in Anspruch.
Schadprogramme können ein Netzwerk allerdings über mehrere Monate oder sogar Jahre unbemerkt infiltrieren. Untersuchungen zeigen, dass im vergangen Jahr 83 Prozent aller Organisationen mit einem Bot infiziert waren; In 47 Prozent der Fälle waren die Bots für mindestens vier Wochen aktiv.
In solchen Zeitspannen können Angreifer sich problemlos Zugriff auf die sensibelsten Daten eines Unternehmens verschaffen und dessen Betriebsabläufe sabotieren. Wenige Tage, unter Umständen auch nur wenige Stunden, sind hierfür schon mehr als ausreichend.
Beispiel: Eine Variante des Zeus-Trojaners
Wie Cyber-Kriminelle vorgehen wird an einer kürzlich entdeckten Variante des Zeus-Trojaners aufgezeigt. Vor wenigen Monaten wurde der Forschungsabteilung von Check Point ein infiziertes RTF-Dokument (Rich Text Format) von einem Kunden zugespielt. Dort hatten mehrere Mitarbeiter das Dokument geöffnet und damit ihre PC-Arbeitsplätze infiziert. Es stellte sich heraus, dass die Code-Schreiber drei verschiedene Remote-Code Execution-Schwachstellen in MS-Word genutzt hatten.
Die Machart des gesamten Dokuments ließ nur den Schluss zu, dass es nicht von Hand sondern mit dem Exploit Kit „Microsoft Word Intruder“ (MWI) entwickelt worden war. Mit dem Dokument verbunden war außerdem ein mit Zeus verwandter Trojaner gleicher Funktionalität: Modifikation der Sicherheitsparameter von Browsern, Stehlen von FTP-Zugangsdaten, Cookies und E-Mail Einstellungen sowie die Möglichkeit, weitere Module herunterzuladen und auszuführen.
Der Netzwerkverkehr der Malware zeigte im Rahmen der Sandbox-Untersuchung auf, dass dieser mit einem Command-and-Control-Server (C&C-Server) Kontakt aufnahm und http-Get-Anfragen stellte. Die Domain des Servers führte zu einer realen mittelständischen Firma, deren Website gekapert worden war und als Endpunkt für die Kampagne diente. Weitere Analysen zeigten wiederum auf, dass von dort aus insgesamt sieben verschiedene Attacken durchgeführt wurden.
Über das vorangestellte Statistiken-Panel ließ sich der Kampagnen-Erfolg messen. Einige der Kontroll-Panels überlappen sich in ihren Monitoring-Funktionen. Gruppe 3 und 4 zeigen beispielsweise den Fortschritt der gleichen Kampagne an. Viele Kampagnen nutzen darüber hinaus verschiedene Varianten von Trojanern. Andere scheinen dagegen weniger intelligent aufgesetzt worden zu sein. Anscheinend dienten sie als Testballon.
Ein anderes Beispiel ist die Kampagne 1133 in der Gruppe 2. Hier wurden insgesamt 25 Clients angegriffen, 24 in der Ukraine und Russland. Sie alle wurden mit LiteManager, einem Remote-Administrator Tool infiziert. Ziel dieser Kampagne waren vor allem Banken, Telekommunikations-Unternehmen, Service Provider und sogar Hersteller von Sicherheitssoftware. Ausgangspunkt dieser Angriffe wiederum war eine IP-Adresse von einer deutschen Hosting-Firma.
Ein weiteres Beispiel zur Informationsgewinnung ist die Kampagne 3122 in der Gruppe 1. Hier kam der ursprüngliche Angreifer aus Israel. Die Ziele kamen bei diesen Angriffen vor allem aus Israel und es finden sich zahlreiche Unternehmen aus der öffentlichen Verwaltung, Sicherheit und Forschungseinrichtungen auf der Liste wieder. Insgesamt 200 Rechner in 15 verschiedenen Behörden und Unternehmen. Dass es so wirkt, dass der ursprüngliche Angreifer aus dem gleichen geographischen Raum kam wie die Opfer ist meist gewollt, um den eigentlichen Standort des C&C Servers zu verschleiern.
Fazit
Woher die Angriffe tatsächlich kamen, konnten die Forscher bislang nicht herausfinden, sicher ist aber, dass die Kampagnen zusammengehören und zu einer erheblichen Bedrohung führten. Dass die Ziele einen politischen Hintergrund implizieren, gilt dagegen als wahrscheinlich – es wurden vor allem Ziele der öffentlichen Verwaltung in Israel attackiert.
Um sich gegen solche zielgerichteten Attacken zu wappnen, sollten Unternehmen ihre eingesetzte Software regelmäßig aktualisieren, vor allem die Antivirus und IPS-Signaturen sollten immer auf dem aktuellsten Stand sein. Sandboxing, also das Ausführen von Dateien in einer gesicherten Umgebung, bevor diese ins Netzwerk gelangen, ist eine weitere wichtige Empfehlung
Anti-Bot- und Post-Infektions-Technologien, um die infizierten Hosts zu scannen, und ein Script-Blocker für den Browser sind ebenfalls nützlich. Generell aber gilt es, allen Web-Links oder Dokumenten außerhalb des eigenen Unternehmens zu misstrauen.
* Christine Schönig ist Technical Managerin bei Check Point Software Technologies.
(ID:43819684)
:quality(80)/p7i.vogel.de/wcms/cf/c4/cfc404df37b9779993d7280eba4987b3/0113233185.jpeg "Durch Verständnis für die aktuell gefährlichsten Malware-Bedrohungen können Unternehmen sich besser schützen und Geschäftsunterbrechungen oder Datenverluste vermeiden. (Bild: Joerg Habermeier - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")