Malware- und DDoS-Gefahren erkennen

„Emotet ist ein Türöffner”

Clemens A. Schulz, Director Desktop Security bei Rohde & Schwarz Cybersecurity, erklärt im Interview, auf welche IT-Angriffsmuster sich Unternehmen aktuell einstellen müssen und wie sie diesen adäquat begegnen.

Clemens A. Schulz, Director Desktop Security bei Rohde & Schwarz Cybersecurity

Unternehmen brauchen laut Clemens A. Schulz proaktive Schutzmaßnahmen statt simpler Antivirenlösungen.

ITM: Herr Schulz, die digitalen Bedrohungsszenarien sind aktuell vielfältiger denn je und reichen von leichtfertigen Mitarbeitern über ausgefeilte Spionagetrojaner bis hin zu schweren Erpressungsversuchen. Wo sollten Sicherheitsverantwortliche ihre Prioritäten setzen?
Clemens A. Schulz: Drei Punkte sind entscheidend für den Schutz von Unternehmensnetzwerken. Erstens: Der Internet-Zugang muss abgesichert werden. Denn der Browser ist das Haupteinfallstor für Angreifer. Am einfachsten ist das möglich, mit einem virtuellen Browser. Entscheidend ist es, dass es sich dabei um eine voll virtualisierte Surfumgebung handelt, wie sie z.B. beim „Browser in the Box“ umgesetzt wird. Diese Lösung ermöglicht eine konsequente Netzwerktrennung. Anstatt – wie bei Antivirenprogrammen – Schadcodes zu erkennen, werden alle potenziell gefährlichen Aktivitäten in diesem virtuellen Browser isoliert. Zweitens: Mitarbeiter sollten keine USB-Speichergeräte an die Firmenrechner anschließen. Denn auf diese Weise könnte Malware auf das Gerät gelangen. Und das führt schließlich zu Drittens: Der Schulung der Mitarbeiter. Die Mitarbeiter müssen lernen, welche Gefahren es gibt, wie die Angreifer vorgehen und wie sie potentielle Gefahren erkennen. Da sich menschliche Fehler allerdings niemals ganz ausschließen lassen, ist es entscheidend, dass Unternehmen auch auf technische Sicherheitslösungen setzen.

ITM: Im vergangenen Jahr wurde vermehrt von Flooding/TCP-Reflection-Angriffen berichtet. Was hat es mit diesen Attacken auf sich?
Schulz: Flooding/TCP-Reflection-Angriffe sind eine Variante der „Distributed Denial of Service“-Attacken (DDoS). Ein Server wird dabei mit einer großen Menge an Anfragen überschwemmt, so dass er zum Erliegen kommt. Während bei klassischen DDoS-Angriffen eine Vielzahl von Rechnern beispielsweise mit Hilfe von Emotet-Trojanern zu Botnetzen zusammengeführt wird, bleibt der Hacker bei TCP-Reflection-Angriffen im Hintergrund.
 
Er nutzt den dreifachen Bestätigungsprozess für einen Verbindungsaufbau ganz legal aus. Im Namen des zu attackierenden Servers schickt er eine Verbindungsanfrage an einen beliebigen – möglichst leistungsstarken – Server. Dieser sendet ein Bestätigungskommando an den vermeintlichen Absender, auf das er allerdings keine Rückantwort erhält. Daraufhin schickt er automatisch immer wieder neue Bestätigungen – bei leistungsstarken Servern können das bis zu 80.000 Anfragen pro Minute sein. Die Flut eingehender Nachrichten bedingt eine Überlastung des attackierten Systems und verursacht dessen Ausfall.

ITM: Wie können sich Unternehmen vor solchen Angriffen schützen?
Schulz:
Der effektivste Schutz gegen solche DDoS-Angriffe ist eine Web Application Firewall mit einem Scoring-Modell. Als Schwellenwert wird die Anzahl der Anfragen festgelegt, die eine einzelne IP innerhalb eines festgelegten Zeitraums übermitteln darf. Geht die Anzahl der Anfragen darüber hinaus, werden sie gestoppt.

ITM: Neben der öffentlichen Verwaltung bleibt die hiesige Wirtschaft das bevorzugte Ziel von Cyberkriminellen. So warnte der Verfassungsschutz erst kürzlich vor einer akuten Bedrohung durch WinNTI. Woran können Betroffene eine potentielle Infektion mit der Schadsoftware erkennen?

Schulz: Da verschiedene WinNTI-Varianten im Umlauf sind, kann es sehr schwierig sein, eine Infektion mit der Malware zu erkennen. Die bisher durch die Cyberabwehr des Bundesamtes für Verfassungsschutz analysierten Varianten haben jedoch einige einheitliche Events, die sich als Identifikation eignen. Die Cyberabwehr des Bundesamtes für Verfassungsschutz beschreibt detailliert, wie eine solche WinNTI-Identifikation auch auf zentralen Serversystemen und an Hand von Speicherabbildern erfolgen kann. Ein zuverlässiger Indikator ist bspw. das Event „Global\BFE_Notify_Event_{65a097fe-6102-446a-9f9c-55dfc3f411016}“, welches die WinNTI payload DLL erzeugt. Wird dieses auf einem System registriert, kann mit einer hohen Wahrscheinlichkeit davon ausgegangen werden, dass das System mit WinNTI kompromittiert wurde und die Schadsoftware bereits aktiv ist.

ITM: Welche Maßnahmen müssen bei einer Infizierung eingeleitet werden?
Schulz: Wichtig ist, wie bei vielen Angriffen dieser Art, zunächst die Isolation der betroffenen Rechner bzw. Netzwerke. Dadurch wird das Remote Access Tool – einer der Hauptbestandteil der Malware – isoliert und der Kontakt des Angreifers zu den kompromittierten Computersystemen unterbunden. Zur Sicherheit sollte dazu das gesamte Netzwerk vom Internet genommen werden. Abhängig von der Stärke des Befalls und davon, ob noch weitere Malware eingesetzt wurde, müssen zudem Computer, Server und teilweise ganze Netzwerke neu aufgesetzt werden. Dies kann extrem langwierig sein und hohe Kosten verursachen.

Um sich gegen zukünftige Angriffe dieser Art zu schützen sollte daher eine proaktive Sicherheitslösung eingesetzt werden, wie der „Browser in the Box“. Mit einer solchen Lösung lässt sich das gesamte Intranet vom Internet abtrennen und eine vom Angreifer unüberbrückbare Sicherheitsschicht einführen – ohne dass die Nutzer in der täglichen Arbeit eingeschränkt werden.

ITM: Welche Rolle spielt Emotet für die aktuelle Bedrohungslage?
Schulz: Emotet wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als „eine der größten Cyberbedrohungen der Welt“ bezeichnet. Und das aus gutem Grund. Denn Emotet ist ein Türöffner. Ist der Trojaner einmal in einem Netzwerk installiert, können die Hacker völlig ungehindert weitere Schadprogramme nachladen. Deswegen stellen Emotet-Angriffe eine ganz neue Qualität von Cyberverbrechen dar. Sie ermöglichen Verschlüsselungen, Erpressungen, Spionageangriffe oder die gesamte Kontrolle über ein Netzwerk. Das macht Emotet so prekär für die aktuelle Bedrohungslage.

Welche aufkommenden Bedrohungen können Unternehmen jetzt schon antizipieren und in ihrer Abwehrstrategie berücksichtigen?
Schulz: Emotet wird sich in den kommenden Jahren weiter ausbreiten. Überhaupt werden wir es verstärkt mit generischen Bedrohungen zu tun haben, also solchen, die über das Internet eingeschleust werden. Der Vorteil für Hacker liegt auf der Hand: Sie müssen zunächst nur eine sehr kleine Einheit einschleusen. Dann können sie mit Hilfe unterschiedlicher Module den Funktionsumfang der Malware selektiv verändern. Angriffsziele lassen sich fein abgestimmt und präzise attackieren. Da Antivirenlösungen sich immer wieder aktualisieren müssen, kommen sie bei generischen Bedrohungen an ihre Grenzen. Unternehmen brauchen stattdessen proaktiv Schutzmaßnahmen.

Bildquelle: Rohde & Schwarz Cybersecurity

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok