Zu hoch DDoSiert für die eigene Abwehr

Zu hoch DDoSiert für die eigene Abwehr

Wenn Denial-of-Service-Attacken Organisationen lahmlegen

 

Immer wieder sind Meldungen zu lesen, die eine DDoS-Attacke als Grund für den Ausfall einer Unternehmenswebseite anführen. Hierbei handelt es sich um eine Angriffsform, die über gekaperte Systeme bewusst generierte Datenfluten erzeugt, die Unternehmen lahmlegt. Auch E-Mail-Server sind nicht selten von einer DDoS-Attacke betroffen.

 

Diese Angriffe führen dazu, dass Webseiten sowie einzelne Services über einen bestimmten Zeitraum hinweg nicht mehr erreichbar sind. Das kann von wenigen Minuten über mehrere Stunden bis hin zu einem tagelangen Ausfall reichen. Downtime – ein Albtraum für jedes Unternehmen.

 

Dabei können DDoS-Attacken nicht mehr nur die IT-Infrastrukturen großer, international agierender Konzerne treffen, die in der Regel über ein ausgereiftes Sicherheitskonzept verfügen, sondern durchaus auch kleine Unternehmen. Ebenfalls Ziel der Angriffe sind öffentliche Einrichtungen, Verwaltungen und Behörden. Die Gründe hierfür sind vielfältig: Sie können der puren Lust auf „Zerstörung“ geschuldet sein, aber auch die gezielte Schädigung von Konkurrenten oder fremden Regierungen kann ein Antriebsmotiv sein. Selbst Hass und Rache sind oftmals nicht auszuschließen. Aus diesem Grund ist der Rückgriff auf ein zuverlässiges IT-Sicherheitskonzept unumgänglich.

 

DDoS-Attacke: Digitaler Vandalismus schädigt Reputation

 

Jede Sekunde, in der beispielsweise ein Mailserver oder bestimmte Webseiten-Services nicht erreichbar sind, kostet ein Unternehmen Geld. Dies gilt vor allem für Unternehmen, die primär ihre Geschäfte im Internet abwickeln und dort ihre Produkte oder Services anbieten. Gleiches gilt für Geschäftsbereiche, in denen der Support für die Kunden über E-Mail abläuft. Die Kosten beziehen sich jedoch nicht nur auf die entgangenen Einnahmen während der Ausfallzeit. Die schnelle Ergreifung von Abwehrmaßnahmen und eventuelle Zuhilfenahme externe Experten kann ebenfalls zum Kostentreiber werden. Die Schädigung der Reputation des Unternehmens ist zudem ein weiteres Problem.

 

Ein Unternehmen, in welches der Kunde kein Vertrauen hat, wird langfristig gesehen über keine solide Geschäftsbasis verfügen. Aus diesem Grund ist es natürlich allgemein nachvollziehbar, dass knapp 50 Prozent aller betroffenen Unternehmen bei Auftreten eines Cyberangriffs Stillschweigen bewahren. Zu groß ist die Angst, in der Öffentlichkeit einen Imageverlust hinnehmen zu müssen.

 

Diese Art der Schadensbegrenzung funktioniert vielleicht bei einfachen Formen der Cyber-Kriminalität, bei einer DDoS-Attacke sowie weitaus komplexeren Angriffsformen jedoch nicht. Diese Formen stören nämlich nicht nur die Tätigkeiten und Abläufe des Geschäftsbereichs, sondern dringen auch häufig nach außen durch. Kunden nehmen diese Störung wahr, da auch sie unmittelbar davon betroffen sind. Die Sicherstellung einer funktionierenden E-Mail-Kommunikation muss daher stets oberstes Ziel sein.

 

Zuverlässige IT-Sicherheitskonzepte als Lösung

 

Unternehmen sollten daher gegen DDoS-Attacken und jede andere Art von Cyberangriffen gewappnet sein. Sicherheitslösungen wie der Hornetsecurity Spamfilter sind in der Lage, eine DDoS-Attacke auf einen Mailserver rechtzeitig zu erkennen und zuverlässig abzuwehren. Für komplexere Angriffsformen wie Erpressungstrojaner oder Identitätsdiebstahl sind zudem Advanced Threat Protection empfehlenswert. Hierbei handelt es sich um eine Sicherheitslösung, die Ransomware, Blended- und Targeted Attacks sowie digitale Spionage zuverlässig erkennen und verhindern kann. Dafür sorgen schon allein die speziellen Analyse-Engines von Advanced Threat Protection (ATP).

Business E-Mail Compromise

Wie können sich Unternehmen von einer DDoS-Attacke schützen?

 

Doch zurück zu DDoS-Attacken: Um diese zu verhindern, sollten Unternehmen und Behörden bereits im Vorfeld bestimmte Sicherheitsmaßnahmen befolgen. Was zu tun ist, um sich vor einer DDoS-Attacke effektiv zu schützen:

 

1. Die Brisanz einer DDoS-Attacke

 
Im Prinzip kann jede Organisation zum Ziel eines solchen Angriffs werden. Letztlich muss sich jede Firma und jede Veraltung selbst immer die Frage stellen: „Welche Auswirkungen hätte der Ausfall des Mailservers für mich?“. Denn die Brisanz einer DDoS-Attacke kann sich etwa im Unternehmensumfeld unterschiedlich stark ausprägen. Die Downtime wird für einen Händler, der im Internet sein Warenshop betreibt, deutlich schwerwiegender sein als bei einem lokal ansässigen Handwerksbetrieb. Im Ergebnis ändert das allerdings wenig. Beide möchten letztlich den Kommunikationsweg mit den Kunden über E-Mail aufrechterhalten. Ein Sicherheitskonzept ist daher unumgänglich.

 

2. IT-Risikomanagement

 
Wichtig ist ebenfalls, dass bereits im Vorfeld im Fall einer DDoS-Attacke konkrete Handlungsabläufe im Unternehmen implementiert sind. Im Fall eines Cyberangriffs sollte stets ein Ansprechpartner greifbar sein. Dies kann ein IT-Sicherheitsbeauftragter im Unternehmen selbst oder externer Mitarbeiter eines IT-Dienstleisters sein, der entsprechende Security Services anbietet und sich um das IT-Security-Management kümmert.

 

3. Reaktion auf Erpressungen

 
Ähnlich wie bei Ransomware kann auch eine erfolgreiche DDoS-Attacke als beliebte Angriffsform mit einer Geldforderung verbunden sein. Für Cyberkriminelle handelt es sich um ein lukratives Geschäftsmodell. Dies gilt vor allem deshalb, da die betroffenen Unternehmen häufig auf die Forderungen der Täter eingehen, um vermeintlich schwerwiegendere Folgen abzuwenden. Das BSI rät jedoch dazu, sich nicht erpressbar zu machen und die Zahlung entsprechender Summen abzulehnen. Stattdessen sollten Betroffene polizeiliche Schritte einleiten und sich durch professionelle IT-Sicherheitsexperten unterstützen lassen.

 

4. Implementierung von Abwehrmaßnahmen

 
Die wichtigste Maßnahme zur Vermeidung einer DDoS-Attacke ist, diese erst gar nicht zuzulassen und somit den Kommunikationsweg E-Mail offen und stabil zu halten Hierzu ist eine kompetente IT-Security-Lösung unabdingbar – im Idealfall eine cloudbasierte. Der Grund hierfür liegt darin, dass diese Anbieter über eine wesentlich leistungsstärkere Infrastruktur verfügen und auch große Angriffe problemlos parieren können. Zudem müssen sich Kunden nicht um die Installation und Wartung der Hard- und Software kümmern.

 

Weiterführende Informationen:

 

  1. Hornetsecurity ATP
  2. Hornetsecurity Spamfilter 
  3. BSI – Verhalten bei Cyberangriffen
Aktuelle Phishingwelle: Valyria Downloader lädt Spyware nach

Aktuelle Phishingwelle: Valyria Downloader lädt Spyware nach

Seit dem Ende des letzten Jahres beobachten wir eine Welle an Phishing-Mails, die den Downloader Valyria enthalten. Valyria ist ein Office-Dokument, in dem ein VBA Makro enthalten ist, das verschiedene Arten von Spyware nachlädt.

 

Zunächst wird das Opfer durch Phishing-Attacken dazu animiert, die Makrofunktion von Microsoft Office zu aktivieren. Dabei nutzten die Angreifer die in den folgenden Screenshots abgebildeten Methoden.

 

 

Wird das Makro ausgeführt, lädt es eine Visual Basic, Delphi, oder C# Spyware nach, die im Anschluss damit beginnt, Informationen auf dem System zu sammeln und an ihren Command-and-Control-Server zu verschicken.

 

Während der Valyria-Downloader sehr genau zu identifizieren ist, gestaltet sich die klare Identifikation der nachgeladenen Malware als wesentlich schwieriger. Dies liegt wahrscheinlich an einer hohen Konfigurierbarkeit der Tools, die die Cyberkriminellen verwendet haben. Signaturen schlugen auf verschiedene Varianten der Spyware Agent Tesla, LokiBot und Kryptik, sowie des Androm Backdoors an. Die Verhaltensanalyse der nachgeladenen Schadprogramme zeigt, dass sie alle eines gemeinsam haben: Sie sammeln fleißig Informationen wie Passwörter, Informationen aus Browsern, Credentials und Verbindungsdaten von FTP- und E-Mail-Clients, Instant-Messenger-Nachrichten, allgemeine Tastatureingaben sowie Screenshots auf dem System des Opfers.

 

Die Verhaltensanalyse der ATP-Sandbox erkennt Valyria und das Verhalten der nachgeladenen Spyware von Beginn der Kampagne zuverlässig. Aufgrund der Menge der aufgetretenen E-Mails dieser Art haben wir weitere Filterregeln entwickelt, die unsere Kunden vor den verschiedenen Varianten der Malware schützen.

 

Hier ein Auszug aus dem ATP-Report von einer der Spyware-Samples:

 

Hornetsecurity ATP-Report zu Valyria

Spectre und Meltdown ändern Bedrohungslage für Hornetsecurity nur unwesentlich

Spectre und Meltdown ändern Bedrohungslage für Hornetsecurity nur unwesentlich

SaaS-Anbieter nur marginal betroffen

 

Mit Spectre und Meltdown sind derzeit zwei Bedrohungen für die IT-Infrastruktur von Unternehmen und Endanwendern in aller Munde. Zwar bestehen diese Sicherheitslücken schon seit längerem, nun jedoch wurden sie einer breiten Öffentlichkeit bekannt. Insbesondere bei Unternehmen ist die Unruhe und Sorge in der Folge groß, dass neben der eigenen Hardware auch die von IT Service Providern wie Hornetsecurity von der Schwachstelle betroffen sein könnten.

 

Vor allem bei Software-as-a-Service (SaaS)-Anbietern ist die Gefahr, dass diese Sicherheitslücke ins Gewicht fällt, jedoch überraschend gering. Der Grund: Bei SaaS Angeboten bestimmt der Anbieter direkt, welche Programme installiert werden und ob diese aus vertrauenswürdigen Quellen stammen. Fremdsoftware, über die Spectre und Meltdown zur Ausführung kommen könnten, gelangen überhaupt nicht erst auf die IT-Infrastruktur von Hornetsecurity.

 

 

Patchen für höchstmögliche Sicherheit

 

Um höchstmögliche Sicherheit gewährleisten zu können, patcht Hornetsecurity auch planmäßig seine Systeme. Zuvor werden die Verbesserungen umfassend auf dedizierten Testsystemen erprobt, um das Risiko plötzlicher Verhaltensänderung zu verringern. Nach erfolgreichem Testabschluss verteilen die zuständigen Hornetsecurity-Mitarbeiter die Patches stufenweise auf allen Systemen in der gesamten Cloud. Dieses Best-Practice-Vorgehen wendet Hornetsecurity generell bei Updates und Patches an, um ungewollte Nebenwirkungen schon im Test zu erkennen. Mit einem Performanceverlust, wie im Zusammenhang mit dem Einspielen der Patches berichtet wird, ist für unsere Kunden übrigens aufgrund des Kapazitätsmanagements der Hornetsecurity Cloud nicht zu rechnen.

 

Mit der Bekanntmachung der Hardwaresicherheitslücken Spectre und Meltdown richtete sich der Fokus auf zwei große Schwachstellen in der Computerarchitektur und hierbei direkt auf die Hardware. Diese erst kürzlich entdeckten Sicherheitslücken, die die große Mehrzahl von Prozessoren betreffen, bestehen schon, seit es Speculative Execution und Out-of-Order Excecution gibt. Bei Intel-Prozessoren besteht diese Lücke sogar schon seit 1995.

 

 

Prozessorspeicher als potenzieller Datenlieferant

 

Beide Exploits nutzen Schwachstellen in modernen Prozessoren aus und ermöglichen es bösartigen Programmen, Daten aus dem geschützten Speicher anderer Prozesse auszulesen. Da es sich um Sicherheitslücken in der Hardwarearchitektur handelt, sind davon alle Betriebssysteme betroffen. Somit sind auch virtuelle Maschinen (VM), mobile Endgeräte und Cloud-Lösungen angreifbar. Beide Angriffe sind nicht trivial auszuführen, sondern erfordern hohe Kenntnisse und ein sehr fundiertes Wissen. Doch was unterscheidet die Angriffsszenarios im Detail?

 

Meltdown

 

 

Der Exploit der Sicherheitslücke CVE-2017-5754 wird Meltdown genannt. Er beschreibt ein Szenario, bei dem der Angreifer Zugriff auf den Kernelspeicher fremder Prozesse bekommt und diese auslesen kann, indem Meltdown auf den Speicher des Betriebssystems zugreift. Dies wird durch eine Sicherheitslücke in der Out-of-Order Execution bewerkstelligt. Durch das Umsortieren von Prozessen liest der Prozessor vorläufig den Inhalt einer Speicherzelle aus und verarbeitet diese weiter, obwohl der aufrufende Prozess für diesen Speicherabschnitt eigentlich keine Rechte hat. In diesen Speicherzellen können auch sensible Daten liegen. Meltdown kann nur auf Prozessoren mit Out-of-Order Excecution ausgeführt werden, weshalb bei diesem Exploit nur Intel-Prozessoren betroffen sind.

 

 

Spectre

 

Der Exploit Spectre besteht aus den zwei Sicherheitslücken CVE-2017-5715 und CVE-2017-5753. Sie nutzen die sogenannte spekulative Ausführung von Prozessen aus, bei der Prozessoren bei Nichtauslastung vorausschauend mögliche Befehle ausführen. So laden sie während dieser Zeit zum Beispiel Bereiche des Speichers in den Cache, um so einen Geschwindigkeitsgewinn bei der tatsächlichen Ausführung zu bekommen. Mit Spectre kann ein Schadprogramm auf diesen Teil des Caches zugreifen und sensible Daten auslesen, sofern diese in den eingelesenen Speicherzellen liegen. Im Gegensatz zu Meltdown haben Angreifer hierbei jedoch keinen Zugriff auf den Speicher des Betriebssystems, was Spectre jedoch nicht ungefährlicher macht.

 

Von diesem Angriffsszenario sind fast alle modernen Prozessoren betroffen – dazu zählen auch ARM-Chips, die häufig in mobilen Endgeräten verbaut werden.

Gefährliche Amazon Phishing-E-Mails sorgen für Ärger

Gefährliche Amazon Phishing-E-Mails sorgen für Ärger

Seriös und wenig verdächtig – so gelangen die sich seit einigen Monaten im Umlauf befindlichen Phishing-E-Mails, die angeblich von Amazon stammen sollen, in die Postfächer vieler Nutzer. Der Grund dafür: sie erwecken keineswegs den Anschein, dass es sich hierbei um eine dreiste Betrugsmasche handelt – ganz im Gegenteil. Die E-Mails kopieren das Design einer echten Amazon-E-Mail so gut, dass es für den Endnutzer quasi kaum zu unterscheiden ist. Zudem benutzen die Cyberkriminellen in diesen Phishing-E-Mails eine personalisierte Anrede, die der Glaubwürdigkeit der E-Mail zusätzlich Gewicht verleiht.

 

 

Beispiel einer Amazon Phishing E-Mail

Beispiel einer solchen Amazon Phishing-E-Mail (Zum Vergrößern klicken).

Bei einer auf diese Weise personalisierten Phishing-E-Mail spricht man von einer so genannten „Spear-Phishing-Attacke“. Diese gezielten Angriffe sind speziell auf eine einzelne Person oder auf eine Personengruppe ausgerichtet. Das Verhalten und die persönlichen Daten der Zielpersonen wurden dabei im Vorfeld intensiv ausgespäht, um die Spear-Phishing-E-Mail im Nachhinein so gut es geht zu personalisieren. Erkennbar sind die Betrugs-E-Mails faktisch nur anhand der Absenderadresse mit der sie versandt wurden. Diese können bei der Fälschung z.B. wie folgt lauten:

 

 

Genauere Informationen zu möglichen Absenderadressen, Aufbau der E-Mails und Inhalt finden Sie hier.

 

Was möchten die Angreifer erreichen?

 

Das Opfer wird in der E-Mail mit Verweis auf das Bundesdatenschutzgesetz dazu aufgefordert seine Daten zu verifizieren. Dazu wird es mit Klick auf einen Link auf eine gefälschte Webseite weitergeleitet, die von der echten Amazon-Seite kaum zu unterscheiden ist. Beim genaueren Hinsehen stimmt lediglich die verwendete URL nicht mit der von Amazon überein.

 

Auf dieser Seite soll der Betroffene dann Daten von sich preisgeben, um diese angeblich zu verifizieren. Die Hacker drohen ansonsten damit, wie im oberen Beispiel ersichtlich, den Zugang zum Account zu sperren. Hierbei handelt es sich natürlich um eine leere Behauptung. Wer der Aufforderung andersherum allerdings Folge leistet, der übermittelt seine Daten auf direktem Weg an die Betrüger. Diese nutzen sie dann im Anschluss, um auf Kosten des Betroffenen einzukaufen oder sie für andere kriminelle Machenschaften zu missbrauchen.

 

 

Erkennt Hornetsecurity Advanced Threat Protection die Fake-E-Mails?

 

Advanced Threat Protection von Hornetsecurity ist in der Lage die neuen Amazon-Phishing-Mails sowie auch andere Targeted Attacks zu erkennen. Anhand eines ganzen Bündels an Sicherheitsmechanismen, darunter Fraud Attempt Analysis, Identity Spooning Recognition und Intention Recognition können Bedrohungen dieser Art gezielt ausgefiltert werden. Ein Verlust von sensiblen Daten kann somit ausgeschlossen werden und Amazon Phishing-E-Mails gelangen gar nicht erst in die Postfächer der Mitarbeiter eines Unternehmens.

Business E-Mail Compromise – Eine altbewährte Angriffsform in einem neuen Gewand

Business E-Mail Compromise – Eine altbewährte Angriffsform in einem neuen Gewand

Wie aus den aktuellen Zahlen des FBIs hervorgeht, konnte in den vergangenen Monaten eine Zunahme von E-Mail-Betrug beobachtet werden. So lag die Gesamtschadenssumme bei Unternehmen, die in den letzten fünf Jahren durch Cyberkriminelle verursacht worden ist, bei über 5,3 Milliarden US-Dollar. Dies entspricht einem Anstieg von mehr als 2,3 Prozent. (Quelle: Stellungnahme des FBIs vom 04.05.2017 zum Thema Business E-Mail Compromise)

 

Und auch in Deutschland warnt das BKA vor Cyberkriminellen. Offiziell spricht das BKA von Schäden in dreistelliger Millionenhöhe. Allein im Jahr 2016 wurden rund 83.000 Vorkommnisse dieser Art bekannt (Quelle: Cybercrime Bundeslagebild 2016). Dabei handelt es sich jedoch lediglich um offizielle Zahlen. Die reale Zahl dürfte wesentlich höher liegen. Zu groß ist die Befürchtung vieler Unternehmen – aufgrund eines solchen Vorfalls – eine schlechte Außenwirkung zu erzielen.

 

Ein Business E-Mail Compromise ist durch unterschiedliche Formen gekennzeichnet. Neben der Kompromittierung eines E-Mail-Kontos eines Mitarbeiters gelangen u.a. auch Methoden wie Spear-Phishing oder CEO-Fraud zum Einsatz, wobei Letztere von den Kriminellen bevorzugt wird. Über diese Masche versuchen Angreifer, an sensible Unternehmensdaten oder Geld zu gelangen. Dabei werden Unternehmen nicht selten um Geldsummen in sechs-, sieben- oder gar achtstelliger Höhe erleichtert. So geschehen im Jahr 2016 bei einem bekannten Autoteilzulieferer mit Sitz in Nürnberg. Die beträchtliche Schadenshöhe – rund 40 Millionen Euro. (Quelle: Beitrag von Heise vom 16.08.2016)

 

Dabei ist die Vorgehensweise der Täter fast immer gleich, mit dem Unterschied, dass nicht nur auf vertrauenswürdige E-Mails gesetzt wird, sondern zunehmend auch Malware zum Einsatz gelangt. Dabei besteht der Business E-Mail Compromise nicht selten aus einer zusätzlichen Ransomware-Attacke. Im Fokus der Täter stehen, wie bereits erwähnt, primär finanzielle Ziele. Dabei sind die erbeuteten Geldsummen – je nach Angriffsmuster – unterschiedlich hoch ausgeprägt.

 

Raffiniert gestalten die Täter ihr Vorgehen. Um herauszufinden, ob ein Unternehmen erpressbar ist bzw. wie es um die Liquidität des ins Visier genommenen Unternehmens steht, erfolgt zunächst eine Lösegelderpressung über einen Ransomware-Angriff. Stellt sich diese Attacke für die Täter als lohnenswert heraus, kann im Nachgang noch ein zusätzlicher Spearphishing-Angriff erfolgen.

 

Business E-Mail Compromise – Nicht nur eine Frage der Unternehmensgröße

 

Die Täter beschränken sich bei einem Business E-Mail Compromise nicht ausschließlich auf eine bestimmte Unternehmensgröße. Dies liegt primär darin begründet, dass häufig Mitarbeiter als Angriffsziel dienen. Insgesamt betrachtet erscheint die Vorgehensweise der Täter nachvollziehbar. Denn wie der IT-Branchenverband Bitkom erst kürzlich bekannt gab, haben 60 % der Internetnutzer keine Kenntnis darüber, was polymorphe Viren überhaupt sind. (Quelle: Presseinformation von Bitkom vom 05.12.2017)

 

Und selbst 41 % der Internetnutzer, die schon einmal mit dem Thema Ransomware in Berührung gekommen sind, wissen zwar um die Gefahren, die mit einem solchen Angriff einhergehen, möchten jedoch keine aktiven Sicherheitsmaßnahmen ergreifen. Dies zeigt, dass das Wissen in Teilen sogar vorhanden ist, die Auswirkungen jedoch verharmlost werden. Schließlich glauben die meisten, dass es immer nur andere trifft und das eigene Unternehmen höchstwahrscheinlich nicht ins Visier von Cyberkriminellen gerät.

Business E-Mail Compromise

Inwieweit diese Annahme in der Praxis Bestand hat, ist letztlich aufgrund der Dunkelziffer nicht überprüfbar. Denn von den betroffenen Unternehmen gelangen kaum Informationen an die Öffentlichkeit.

 

Generell ist jedoch zu beobachten, dass die Täter äußerst professionell agieren. Es handelt sich nicht mehr nur um den technikversierten Einzeltäter, der ein paar Euro nebenher verdienen möchten. Vielmehr zeigt sich, dass die Angreifer den Bereich der Cyberkriminalität primär aus wirtschaftlichen Gründen auswählen und diesen für äußerst lukrativ halten. Dies gilt insbesondere für Business E-Mail Compromise.

 

Was zählt? Schnelligkeit!

 

Schutzmechanismen, die Unternehmen vor einem Worst Case dieser Art bewahren, gibt es. Eine Firewall oder ein Antivirenprogramm gehören allerdings nicht dazu. Besondere Angriffsformen erfordern spezielle Verteidigungsmechanismen, die in einem solchen Fall besonders schnell greifen müssen.

 

Gerade Unternehmen, die sich mit der Implementierung von Sicherheitsmechanismen dieser Art nur wenig auskennen, sollten sich überlegen, auf Managed Security Services zu setzen. IT-Sicherheit outsourcen lautet das Zauberwort – denn nur so kann das Ungleichgewicht zwischen Cyberkriminellen und Unternehmen reduziert werden.

 

Automatisierte Prozesse auf Cloud-Basis sowie eine innovative Technologie, die Unternehmen zuverlässig vor komplexen Cyberattacken schützt – solch eine Lösung bietet Hornetsecurity an. Mit Advanced Threat Protection sind wir in der Lage, Business E-Mail Compromise nachhaltig einzudämmen. So schützen wir unsere Kunden nicht nur vor CEO-Fraud, sondern auch vor Ransomware-Angriffen und Spear-Phishing-Attacken.

 

Erfahren Sie im nachfolgenden Video mehr über die Schutzmechanismen von Hornetsecurity Advanced Threat Protection:

Weiterführende Informationen:

 

  1. Sie möchten nähere Details zu Advanced Threat Protection erhalten? Mehr erfahren.
  2. Informationen zu Managed Security Services in Unternehmen: Zur Security Automation Studie 2017.
Nicht auf Sand gebaut

Nicht auf Sand gebaut

 

Die Hornetsecurity Sandbox geht schädlichen Dateien bis auf den Grund.

 

Eines der Haupteinfallstore von Malware ist nach wie vor die E-Mail. Egal, ob direkt als Dateianhang oder über einen Downloadlink – befinden sich die Schadcodes erst einmal auf lokalen Geräten, haben die üblichen Abwehrmaßnahmen versagt. Und das Wettrüsten zwischen Angreifern und IT-Security-Anbietern dauert an. Auch Hornetsecurity entwickelt seine Verteidigungsmaßnahmen daher immer weiter. Ein Teil davon ist die Sandbox von Hornetsecurity Advanced Threat Protection (ATP): Diese durchleuchtet alle potentiell gefährlichen E-Mail-Anhänge und verdächtigen Dateien, die während des URL Rewritings überprüft werden, in einer von anderen Systemen abgeschirmten Umgebung auf Herz und Nieren. Um diese Dateien genau zu analysieren, kommen unterschiedliche Techniken zur Anwendung.

 

Statische Analyse

 

Vor der Untersuchung in der Sandbox werden die Dateien in der statischen Analyse unter die Lupe genommen, ohne diese auszuführen. Hierbei schaut sich das Erkennungssystem allgemeine Metadaten der Datei wie das Erstellungsdatum, das Änderungsdatum und den Autor ganz genau an. Außerdem findet eine Analyse von Makros aus Office-Dateien und JavaScript-Code aus PDF-Dateien statt. Die einzelnen Abschnitte von Portable Executables – unter Windows ausführbare Dateien – werden nach kritischen Inhalten durchsucht. Dabei trägt das System Informationen zu den genutzten Libraries zusammen, anhand denen sich beispielsweise erkennen lässt, ob die Datei mit dem Internet kommuniziert. Zudem werden auslesbare Zeichen, die in der Datei ausgegeben werden, analysiert. So lassen sich zum Beispiel auffällige Webseitenaufrufe schon vor der Ausführung der Datei finden. Zur statischen Analyse zählt auch die Überprüfung der Datei anhand ihres Hash-Wertes durch eine Vielzahl von Antivirenprogrammen.

 

Während der statischen Analyse “seziert” ein Algorithmus die Datei im wahrsten Sinne des Wortes, um möglichst viele Informationen zu gewinnen und daraus eine Basis zur Entwicklung von Virensignaturen zu erhalten. Diese Signaturen werden dazu verwendet, um Viren an bestimmten Mustern eindeutig zu identifizieren.

 

Der folgende Screenshot zeigt einen Teil des Codes eines Office-Makros in der statischen Analyse.

 

 

 

Die Sandbox-Analyse

 

In der dynamischen Analyse wird die Datei in der Sandbox ausgeführt. An diesem Punkt analysiert die Sandbox-Engine alle Systemveränderungen bei der Ausführung der Datei – also zur Laufzeit. Dazu protokolliert sie das Verhalten der Systemprozesse, die Systemaufrufe und Veränderungen an der Registry und wertet sie anschließend nach Abnormitäten aus (Screenshot 2). Zusätzlich wird der komplette Netzwerkverkehr des Systems mitgeschnitten, um auffällige Verbindungen zu ermitteln. Versucht die Datei mit einem Command-and-Control-Server zu kommunizieren und weiteren Schadcode nachzuladen, fängt die Sandbox diesen Vorgang auf und die Malware ab. Während die Datei ausgeführt wird, fertigt das System automatisch Screenshots aller Programmaufrufe an.

 

Nachdem die dynamische Analyse abgeschlossen ist, wird die virtuelle Sandbox-Umgebung, in der die Datei ausgeführt wurde, wieder auf einen früheren Stand zurückgesetzt. Somit lässt sich bei einer Infizierung das System von der Malware bereinigen.

 

 

Auf der Grundlage aller vorliegenden Analysen beurteilt die Sandbox die Datei nach ihrer potentiellen Gefahr. Als Ergebnis erhält sie einen Wert zwischen 0 und 10.

 

Neuer ATP-Report

 

Mit dem Update der Sandbox auf die Version 2.0 erhielt der ATP-Report eine grundsätzliche Überarbeitung. Hier finden ATP-Benutzer umfangreiche Informationen über die analysierte Datei.

 

In der Übersicht werden die wichtigsten Punkte der Analyse zusammengefasst. Neben der Gefährlichkeitsbewertung der Datei (Screenshot 3), zeigt der Report die zutreffenden Virensignaturen an und teilt sie nach ihrer Bedrohung in die drei Kategorien Achtung, Warnung und Gefahr ein (Screenshot 4). Zudem führt er auch die in der Sandbox entstandenen Screenshot auf (Screenshot 5).

 

 

 

 

Unter den weiteren Menüpunkten des ATP-Reports sind die Ergebnisse der detaillierten Analysen aufgelistet.

 

ATP-Sandbox-Analyse in neuem Gewand

 

Zusätzlich zur Überarbeitung des ATP-Reports erhielt die Sandbox mit dem neusten Update viele Verbesserungen. Unter anderem werden nun alle 64-Bit-Anwendungen vollständig analysiert. Zudem überarbeiteten die Hornetsecurity-Spezialisten das Bewertungssystem und pflegten neue Signaturen zur Verhaltensweise von Viren ein. Auch die statische Analyse erweiterten sie durch verbesserte Parsing-Mechanismen für JavaScript in PDF-Dateien. Außerdem wurden wesentliche Verbesserungen an der Infrastruktur durchgeführt und neue Sandbox-Systeme hinzugefügt, um die Leistung und den Durchsatz der Analysen erheblich zu steigern.

 

Kontinuierliche Weiterentwicklung

 

Das Security Lab von Hornetsecurity arbeitet kontinuierlich an der Verbesserung der Sandbox, damit die Sandbox auch die neuesten und raffiniertesten Bedrohungen findet. Um jederzeit auf neue Angriffe reagieren zu können, werden die bestehenden Virensignaturen verbessert und neue Signaturen hinzugefügt. Zudem lassen sich die Mitschnitte des Netzwerkverkehrs und des allgemeinen Verhaltens dafür verwenden, generelle Regeln abzuleiten, mit deren Hilfe auch neuartige Malware zu erkennen sind.