Attribution von Cyberangriffen

Die Urheber von Cyberangriffen erkennen

| Autor / Redakteur: Igor Baikalov / Peter Schmitz

Wollen Unternehmen in der aktuellen Bedrohungsland­schaft überleben, sollte es zu ihren Top-Prioritäten gehören, die Urheber von Cyberattacken zu identifizieren.
Wollen Unternehmen in der aktuellen Bedrohungsland­schaft überleben, sollte es zu ihren Top-Prioritäten gehören, die Urheber von Cyberattacken zu identifizieren. (Bild: gemeinfrei / Pixabay)

Informationskriege und DeepFake-Generatoren haben gezeigt, wohin das Grundprinzip der Anonymität im Internet führen kann. Trotz ihrer Unzulänglichkeiten ist die korrekte Attribution von Angriffen der einzige Weg, die Täter zu identifizieren und dingfest zu machen. Wer hinter einer Attacke steckt und wie die Angreifer vorgegangen sind – all das liefert wichtige Hinweise. Eine potenzielle Quelle vorschnell zu benennen birgt allerdings Risiken.

Das Internet basiert auf dem Prinzip der Anonymität. Abgesehen davon, dass dieses Prinzip für Cyberkriminelle und Terroristen nachgerade ein Segen ist, wurde es lange Zeit als der Preis angesehen, den wir für die Grundlagen der Demokratie zahlen müssen: Vertraulichkeit und freie Rede. Dieser Glaube ist allerdings in den letzten Jahren schwer erschüttert worden. Die Ausbreitung von regelrechten Informationskriegen auf Basis gezielter Falschmeldungen, den sogenannten Fake News, und massenhaft verfügbare DeepFake-Generatoren haben gezeigt, wo uns das Prinzip der Anonymität schlimmstenfalls hinführt. Trotz bestehender Unzulänglichkeiten ist mithin die korrekte Attribution von Angriffen der einzige Weg, die Täter zu identifizieren und dingfest zu machen.

Licht ins Dunkel bei Zero-Day-Schwachstellen

Neues eBook „Zero-Day-Angriffe“

Licht ins Dunkel bei Zero-Day-Schwachstellen

19.02.19 - Unbekanntes zu erkennen, klingt nach einer schwierigen Aufgabe. Genau das ist aber notwendig, wenn man Angriffe über Zero-Day-Exploits abwehren will. Das neue eBook macht mit den um sich greifenden Zero-Day-Attacken vertraut und erklärt, wie Unternehmen sich besser davor schützen können. Ein besonderer Fokus liegt dabei auf Zero-Day-Lücken in Clouds und bei mobilen Endgeräten. lesen

Das „Wer“ und „Wie“ eines Angriffs

Wir haben es heute nicht mehr mit „dem“ Typus eines Angreifers zu tun. Es existiert eine breite Palette von potenziellen Angreifern: solche, die in nationalstaatlichem Auftrag handeln, Kriminelle und Terroristen, Hacktivisten, die sattsam bekannten Script Kiddies und nicht zu vergessen Innentäter. Die Angreifer unterscheiden sich durch die ihnen zur Verfügung stehenden Fähigkeiten und Methoden, die Persistenz in einem Netzwerk (unerkannt) zu verbleiben und vor allem durch ihre Ziele. Zu wissen „wer“ hinter einer Attacke steckt, liefert Anzeichen für die möglichen Ziele oder das „Was“ auf das es Angreifer abgesehen haben. Aber auch die Methoden, die Art und Weise „wie“ die Angreifer vorgegangen sind, sogar „wo“ welche Stellen in einem Netzwerk betroffen sind und welche verdeckten Kommunikationskanäle benutzt wurden – all das liefert wichtige Hinweise.

Wer in der aktuellen Bedrohungslandschaft überleben will muss sich, ob er will oder nicht, damit auseinandersetzen, wer der mögliche Urheber eines Angriffs ist und wie man ihn identifizieren kann. Erst mithilfe dieses Wissens kann man die Reaktion auf Sicherheitsvorfälle entsprechend ausrichten. Das gilt prinzipiell für jedes Unternehmen genauso wie für einen Nationalstaat. Man muss wissen wie man die bestehenden Lücken schließen kann, wenn man die Verteidigungsmaßnahmen wirksam gestalten will, was zu tun ist, um die möglicherweise betroffenen Werte wiederherzustellen, wie man den Schaden effektiv kontrolliert und wo genau man die betroffene Umgebung wieder in einen sicheren Betriebsstatus bringen muss. Vorausgesetzt man kann sich das leisten, denkt man vielleicht sogar an eine Gegenoffensive, sollte gesichert bekannt sein wer der Urheber des Angriffs ist.

Was es so schwierig macht die Urheber von Cyberattacken zu identifizieren

Traditionell basiert die Attribution von Angriffen auf den „Indicators of Compromise“ (IOCs), die man während einer forensischen Analyse vorfindet. Der Begriff Indicator of Compromise wird in der Computerforensik für Daten verwendet, die in einem möglicherweise kompromittierten System gefunden wurden. Dabei handelt es sich zum Beispiel um einzelne Dateien oder nur um Protokolldaten, die auf böswillige Aktivitäten in einem System oder Netzwerk hinweisen, und die dann in Form eines IOCs dokumentiert werden. Dabei kann man verschiedene Formate unterscheiden. Typische IOCs sind beispielsweise die Hashwerte von Malware-Dateien, Virensignaturen sowie die Domänennamen oder IP-Adressen der Command-und-Control-Server (C&C). Die IOCs werden anschließend mit den „Tactics, Techniques and Procedures“ (TTPs) bekannter Bedrohungsakteure abgeglichen. Mit den sich verbessernden Verteidigungsmaßnahmen hat allerdings auch die andere Seite den Einsatz erhöht. Dazu gehören vielfältige Methoden Schadcode zu verschleiern, die Entwicklung polymorpher Malware, also solcher Viren, Würmer, Trojaner oder Spyware, die sich ständig verändern oder solche, die gänzlich ohne Dateien auskommt. Eine derart dynamische Angriffsinfrastruktur und vermischte, nicht selten verschlüsselte Datenströme machen statische IOCs ziemlich wirkungslos.

Eine wirksame Verteidigung muss sich folglich den TTPs zuwenden und dabei die Modelle der Benutzerverhaltensanalyse nutzen. Hinweise wie Sprachanzeichen im kompilierten Code, Dateimodifikationen der Zeitzone oder ein versehentlich weiterhin bestehender Zugriff von der IP auf den C&C-Server lassen Rückschlüsse auf die Identität der tatsächlichen Angreifer zu. Die Situation wird allerdings um einiges komplizierter, wenn Angreifer die Taktiken anderer Gruppierungen imitieren. Beispielsweise um die Schuld auf andere abzuwälzen und um eigene Wege der Nachrichtenbeschaffung zu verbergen. Oder man segelt unter falscher Flagge um eine direkte Konkurrenz auf diesem Wege auszuschalten.

Zwei weitere Probleme mit denen man es zu tun bekommt sind die Latenzzeiten bis man überhaupt erkennt, dass ein Angriff stattgefunden hat und die mangelnde Sichtbarkeit. Eine massive DDoS-Attacke lässt sich kaum übersehen. Anders ist das bei Datenschutzverletzungen oder sogenannten „Low-and-Slow“-APT-Angriffen. Sie bleiben nicht selten monatelang (oder länger) unbemerkt. Das gibt den Angreifern ausreichend Zeit erbeutete Vermögenswerte zu veräußern, die Angriffsinfrastruktur zu verschlüsseln und sämtliche Spuren des Eindringens zu verwischen.

Nur wenige Organisationen haben derart ausgereifte Überwachungskapazitäten solche Angriffe rechtzeitig zu erkennen. Und noch weniger verfügen über Incident-Response-Programme, die wendig genug sind, Angreifer zu fassen, die sich bereits aus dem Staub gemacht haben. Die verzögerte Sichtbarkeit hat einige Gründe. Das sind etwa Lücken bei der Überwachung, eine unzureichende Datenprotokollierung, absichtlich bereinigte Protokolldaten oder eine zu häufige Protokoll-Rotation. Letztere erschwert durch die Latenzzeiten bei der Aufdeckung. Selbst wenn Sicherheitsforscher verwertbare Spuren finden, die möglicherweise zur Quelle des Angriffs führen, so sind diese längst nicht immer eindeutig. Sie führen möglicherweise zu mehr als einem Urheber. Das kann daran liegen, dass die Angreifer Tools oder Komponenten anderer Akteure verwendet haben, oder daran, dass es sich um überlappende Angriffe unterschiedlicher Urheber auf dasselbe Ziel handelt.

Cyber-Attacken für jedermann auf Bestellung

Neues eBook „Cybercrime as a Service“

Cyber-Attacken für jedermann auf Bestellung

23.11.18 - Cyberangriffe werden immer komplexer und intelligenter, gleichzeitig wird es immer einfacher und kostengünstiger, selbst Cyber-Attacken zu starten. Cybercrime as a Service ist eine Entwicklung in der Internetkriminalität, deren Auswirkungen nicht zu unterschätzen sind. Das neue eBook untersucht diesen Trend, nennt konkrete Beispiele und gibt Hinweise für notwendige Maßnahmen. lesen

Die Gefahren einer überstürzten Attribution

Wir alle kennen reflexartig getroffene Äußerungen zur potenziellen Urheberschaft eines Angriffs, die sich bei näherer Betrachtung als falsch herausgestellt haben. Peinlich für den Betreffenden. Eine unrichtige Attribution birgt die Gefahr den falschen Akteur für etwas zu belangen, das dieser nicht getan hat. Selbst wenn es sich bei dem oder den Betreffenden nicht um ein unbeschriebenes Blatt handelt. Es gibt noch eine weitere Gefahr. Unter Umständen veröffentlicht man gleichzeitig Hinweise oder offenbart die eigene Methode. Das wiederrum gibt dem tatsächlichen Verursacher vielleicht die Gelegenheit seine Spuren zu verwischen. Und noch eins. Wenn man sich vorschnell auf einen möglichen Urheber festlegt, übersieht man worin das eigentliche Ziel des Angriffs liegt. So dient die Verunstaltung einer Webseite möglicherweise dazu, einen für den Fernzugriff auf dem Server eingerichteten Tunnel zu verschleiern. Ein Tunnel, der auch zukünftig den Remote-Zugriff gestattet und damit weitere Datenschutzverletzungen erlaubt. Oder eine DDoS-Attacke überrennt die Verteidigungsmechanismen der Systeme um an anderer Stelle unbemerkt Daten abzuziehen.

Künstliche Intelligenz, ein wirksames Gegenmittel?

Künstliche Intelligenz (KI) und speziell ihre Untergruppe das maschinelle Lernen (ML) hat das Potenzial, die Urheber von Cyberattacken tatsächlich präziser zu ermitteln. Die Technologie ermöglicht es, deutlich höhere Zahlen von Angriffsindikatoren zu analysieren und Muster zu erkennen, die bei einer manuellen Analyse durch den Menschen verborgen bleiben würden. Die Methode hat ihren Preis. Um hier fündig zu werden, muss man Unmengen solcher Indikatoren erkennen und sammeln, und das über unterschiedliche Ziele hinweg. Der Erfolg hängt zudem ganz wesentlich von früheren Ergebnissen ab, die benutzt werden um das System zu trainieren. Wenn man dann noch davon ausgehen muss, dass die Identifikationsrate selbst unter diesen Voraussetzungen immer noch nicht zu 100 Prozent verlässlich ist, werden sich selbst große und sicherheitsbewusste Konzerne gegen KI entscheiden. Einfach, weil es zu aufwendig und zu wenig kosteneffizient ist, künstliche Intelligenz an dieser Stelle einzusetzen.

Dazu kommt, das ist nur der erste Schritt innerhalb des Prozesses. Man kommt nicht umhin offensive Maßnahmen einzuziehen, um Kollateralschäden im Falle einer unpräzisen Attribution zu verhindern. Diese Antwort muss in Rechnergeschwindigkeit erfolgen um die attackierenden Knoten zu treffen bevor sie über dynamische Adressenschemata verschlüsselt werden. Dieser Prozess muss also zwangsläufig automatisiert ablaufen.

Selbst großen Unternehmen fehlen die Transparenz und die notwendigen Ressourcen für eine effektive Offensive. Betreiber von Cloud-Plattformen hingegen verfügen über entsprechende Skalierbarkeit und Fähigkeiten. Provider können die Daten aus der gesamten Cloud mit den applikationsspezifischen Daten ihrer Kunden konsolidieren, und sie haben die Kapazitäten das Ergebnis mit modernen KI-getriebenen Analysetools zu integrieren. Beides zusammen treibt die Genauigkeitsrate, zu ermitteln wer für einen Cyberangriff verantwortlich ist, an einen Punkt, an dem eine effektive Offensive gegen vertrauliche Ziele planbar wird. Der öffentliche Sektor kann in diesem Prozess Hilfestellung leisten indem er beispielsweise Angriffsindikatoren der wichtigsten Akteure zusammenführt und um nachrichtentechnische, elektronische Aufklärung sowie OpenSource-Tools ergänzt. Die wichtigste Rolle einer Regierung wäre das Durchführen einer Offensive um private Unternehmen vor den zu erwartenden juristischen und politischen Rückschlägen abzuschirmen. Nur eine Regierung ist zudem in der Lage eine breite Palette von offensiven Antworten zentral zu koordinieren, von der Cyberabwehr über diplomatische Maßnahmen bis hin zu wirtschaftlichen Sanktionen.

Wer in der aktuellen Bedrohungslandschaft überleben will, für den sollte es zu den Top-Prioritäten gehören die Urheber von Cyberattacken zu identifizieren. Zu wissen, wer einen angegriffen hat, bietet Einsichten in das „warum“ jemand angegriffen wurde und mit welchem Ziel. Nicht zuletzt hilft dieses Wissen, die Verteidigungsmaßnahmen zu verbessern und zukünftige Angriffe zu verhindern.

Über den Autor: Igor Baikalov hat über 25 Jahre Erfahrung in der Datenanalyse und der Anwendungsentwicklung – und das in Bereichen, die von der strukturellen Biologie über die Bioinformatik bis hin zu Insider-Bedrohungen und Risikoanalyse reichen. Baikalov ist Chief Scientist bei Securonix, einem Spezialisten für Security Analytics und Intelligence. Dort verantwortet er die Cybersicherheitsforschung und Bedrohungsanalyse zur Entwicklung adaptiver, risikobasierter Modelle. Zur innovativen Analyse des Benutzerverhaltens werden maschinelles Lernen und verschiedene Technologien zum Aufdecken von Anomalien genutzt. Baikolov ist Autor von inzwischen 9 wissenschaftlichen Publikationen, und er hält 15 kommerzielle Patente.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45900904 / Hacker und Insider)