Trends und Vorhersagen

Blick in die Glaskugel der APTs

Seite: 2/2

Firmen zum Thema

Prognose 5: Negative Ringe

Nach Meltdown, Specter, AMDFlaws und all den zugehörigen Schwachstellen stellten wir uns folgende Frage: Wo findet sich die gefährlichste Malware? Und obwohl wir bisher kaum Bedrohungen entdeckt haben, die Schwachstellen unterhalb Ring 0 ausnutzen, ist schon die bloße Vorstellung erschreckend. Denn solche Angriffe wären für nahezu alle aktuellen Sicherheitsmechanismen unsichtbar.

Im Fall von SMM gab es seit 2015 mindestens einen öffentlich verfügbaren Point of Compromise (PoC). SMM ist eine CPU-Funktion, die sogar ohne Ring-0-Prozesse vollständigen Remotezugriff auf einen Computer bieten kann, einschließlich Zugriff auf den Arbeitsspeicher. Hier stellt sich natürlich die Frage, ob entsprechende Malware bisher nur nicht gefunden wurde, weil sie so schwer zu entdecken ist. Denn diese Funktion bietet einfach zu viele Möglichkeiten, als dass Cyberkriminelle sie ignorieren.

Deshalb sind wir uns sicher, dass verschiedene Gruppen schon seit Jahren versuchen, entsprechende Mechanismen auszunutzen – vielleicht sogar erfolgreich. Ähnliches erleben wir bei Virtualisierungs-/Hypervisor- beziehungsweise bei UEFI-Malware. Bei beiden haben wir PoCs gefunden und HackingTeam hat sogar das UEFI- Persistenzmodul veröffentlicht, das seit mindestens 2014 verfügbar war. Doch auch hier sind in der Praxis bisher keine Fälle aufgetreten.

Werden wir also jemals eines dieser seltenen Exemplare finden? Oder wurde diese Schwachstelle einfach noch nicht ausgenutzt? Letzteres scheint eher unwahrscheinlich.

Prognose 6: Mehr Spear-Phishing-Attacken gegen Mitarbeiter

Die wahrscheinlich am wenigsten überraschende Vorhersage dreht sich um Spear-Phishing. Wir glauben, dass der bisher erfolgreichste Angriffsvektor in naher Zukunft sogar noch an Bedeutung gewinnen wird. Der Schlüssel zum Erfolg dieser Methode ist die Fähigkeit, das Opfer neugierig zu machen. Und dank aktuell riesiger Datenlecks bei verschiedenen Social-Media-Plattformen können Angreifer diese Methode weiter ausbauen.

Die Daten aus Angriffen auf Social-Media-Giganten wie Facebook, Instagram, LinkedIn und Twitter stehen heute für jeden auf dem Schwarzmarkt zur Verfügung. In manchen Fällen ist es weiterhin unklar, welche Daten genau die Angreifer gestohlen haben. Sie können jedoch private Nachrichten und sogar Anmeldedaten umfassen. Für Social-Engineering-Angreifer sind diese Daten eine wahre Goldgrube. So nutzen manche Cyberkriminelle die gestohlenen Anmeldedaten aus, um unter dem Namen ihres Opfers einen engen Kontakt auf einer Social-Media-Plattform anzuschreiben. Hierbei erwähnen sie Privates aus vergangenen Nachrichten, um die Erfolgschancen eines Phishing-Angriffs deutlich zu erhöhen. Dieser Ansatz lässt sich auch mit klassischen Scouting-Technologien kombinieren, bei denen Angreifer ihr Ziel mehrfach überprüfen, um sicherzustellen, dass es sich um das richtige Opfer handelt, und so die Verteilung (und Erkennung) von Malware minimieren.

Bei Dateianhängen stellen die meisten Angreifer vor Auslösen schädlicher Aktivitäten sicher, dass eine menschliche Interaktion vorliegt, um automatische Erkennungssysteme zu umgehen. Tatsächlich gibt es verschiedene Initiativen, die maschinelles Lernen einsetzen, um die Effektivität von Phishing zu optimieren.

Prognose 7: Verheerende Destroyer

Olympic Destroyer war einer der berüchtigtsten Fälle potenziell verheerender Malware des Jahres 2018. Doch viele Angreifer implementieren regelmäßig entsprechende Funktionen in ihre Kampagnen. Solche Angriffe, die große Schäden anrichten, bieten Angreifern viele Vorteile, insbesondere um Ablenkungen zu schaffen und nach dem Angriff Protokolle oder Beweise verschwinden zu lassen.

Manche dieser Angriffe haben geostrategische Ziele, die aktuelle Konflikte betreffen, wie wir es in der Ukraine erlebt haben, oder verfolgen politische Interessen wie bei den Attacken auf verschiedene Ölfirmen in Saudi-Arabien. In manchen anderen Fällen sind sie auch das Ergebnis von Hacktivismus oder die Aktivitäten einer vom eigentlichen Angreifer beauftragten Gruppe, da dieser selbst unentdeckt bleiben möchte.

Die Gemeinsamkeit all dieser Attacken ist, dass sie für Angreifer einfach zu gut sind, um nicht eingesetzt zu werden. Regierungen können sie als Gegenschlag einsetzen, der irgendwo zwischen diplomatischer Reaktion und Kriegsakt liegt. Und manche experimentieren tatsächlich in diese Richtung. Die meisten Angriffe werden vorab genauestens geplant. Dies umfasst die anfängliche Auskundschaftung des Opfers und das eigentliche Eindringen in ein System.

Industrielle Kontrollsysteme und kritische Infrastrukturen sind für solche Angriffe besonders anfällig. Auch wenn von der IT-Sicherheitsbranche und Regierungen in den vergangenen Jahren viel Arbeit in die Verbesserung der IT-Sicherheit in diesem Umfeld getan wurde, so sind wir noch weit von einem Idealzustand entfernt. Deshalb glauben wir, dass wir – obwohl solche Attacken nie wirklich weit verbreitet sind – im nächsten Jahr einige Attacken mit zerstörerischem Potential erleben werden, insbesondere bei Gegenschlägen auf geopolitische Entscheidungen.

Prognose 8: Supply-Chain-Angriffe

Supply-Chain-Angriffe sind einer der gefährlichsten Angriffsvektoren der vergangenen Jahre. Es gibt leider keine einfache Antwort auf diese Angriffsart. Obwohl sie sich perfekt für Angriffe auf ganze Branchen (ähnlich wie bei Watering-Hole-Angriffen) oder sogar ganze Länder (wie bei NotPetya) eignet, ist sie für gezieltere Angriffe nicht optimal, da das Erkennungsrisiko höher ist.

Darüber hinaus haben wir willkürlichere Angriffe erlebt, wie zum Beispiel die Injektion schädlicher Codes in öffentliche Software-Repositories für allgemeine Bibliotheken. Letztere Methode kann in sorgfältig zeitlich gesteuerten Angriffen eingesetzt werden, wenn diese Bibliotheken in einem bestimmten Projekt verwendet werden – mit anschließender Entfernung des schädlichen Codes aus dem Repository.

Lässt sich diese Art von Angriff also auf gezieltere Weise einsetzen? Bei Software scheint dies schwieriger, da überall Spuren hinterlassen werden und die Malware wahrscheinlich an verschiedene Kunden verteilt werden würde. Realistischer ist der Einsatz in Fällen, in denen der Anbieter exklusiv für einen bestimmten Kunden arbeitet.

Wie sieht es mit Hardware-Implantaten aus? Stellen sie eine realistische Möglichkeit dar? Dieses Thema wurde in letzter Zeit kontrovers diskutiert. Obwohl wir an Snowdens Leaks gesehen haben, wie sich Hardware auf dem Weg zum Kunden manipulieren lässt, scheint diese Methode nur für sehr einflussreiche Akteure möglich zu sein. Und selbst diese unterliegen hierbei diversen Einschränkungen.

In Fällen, in denen der Käufer einer bestimmten Bestellung bekannt ist, ist es für den Angreifer meist einfacher, die Hardware am Ursprung anstatt auf dem Weg zum Kunden zu manipulieren. Es ist nur schwer vorstellbar, dass alle technischen Kontrollen in der Herstellungskette umgangen werden können, um eine solche Manipulation durchzuführen. Wir wollen die Möglichkeit nicht ausschließen, aber hierzu wäre wahrscheinlich die Mitarbeit des Herstellers erforderlich.

Insgesamt stellen Supply-Chain-Angriffe einen effektiven Infektionsvektor dar, von dem wir in Zukunft vermutlich mehr hören werden. Hardware-Implantate halten wir jedoch für äußerst unwahrscheinlich. Und sollten sie doch einmal auftreten, werden wir es wohl nie erfahren.

Prognose 9: Der mobile Bereich

Die Entwicklung mobiler Gefahren wird 2019 deswegen interessant, weil wir in diesem Bereich unterschiedliche Geschwindigkeiten feststellen, die diese gefühlt langsame Infektionswelle mit sich bringt. Wir müssen nicht erwähnen, dass alle Akteure Mobile-Komponenten in ihren Kampagnen implementieren. Warum sollten sie auch nur auf PCs abzielen? Tatsächlich gibt es viele Beispiele für Android-Artefakte, aber auch einige Verbesserungen bei Angriffen auf iOS.

Obwohl erfolgreiche Infektionen bei iPhones den Einsatz mehrerer Zero-Day-Schwachstellen erfordern, sollte man stets daran denken, dass Angreifer mit ausreichend Ressourcen entsprechende Technologien einkaufen können, um sie in kritischen Angriffen einzusetzen. Manche private Unternehmen behaupten, auf jedes iPhone zugreifen zu können, das ihnen physisch vorliegt. Andere, weniger gut ausgestattete Gruppen finden kreative Möglichkeiten, die Sicherheit dieser Geräte zu umgehen, zum Beispiel mit MDM-Servern (Mobile Device Management), die Opfer nach erfolgreichem Social Engineering auf ihren Geräten ausführen und über die Angreifer schädliche Apps installieren können. Hier ist es interessant, ob Angreifer durch den iOS-Bootcode, der Anfang des Jahres geleakt wurde, Vorteile erhalten oder ob sie neue Möglichkeiten finden, ihn auszunutzen.

So oder so erwarten wir in den kommenden Monaten zwar keinen großen Ausbruch zielgerichteter Malware für Mobilgeräte, aber anhaltende Aktivitäten durch fortschrittliche Angreifer, die versuchen, Zugang zu den Geräten ihrer Opfer zu erhalten.

(ID:45680327)