Neue Gefahren erzwingen neue Abwehrstrategien

Targeted Threats nutzen Zero-Day-Lücken

von - 05.11.2015
Roland Messmer, Direktor für Zentral- und Osteuropa bei LogRythm
Roland Messmer, Direktor für Zentral- und Osteuropa bei LogRythm: „80 Prozent aller Angriffe gehen von kriminellen Organisationen aus.“
Solche gezielten Angriffe, auch Targeted Attacks oder Targeted Threats genannt, nutzen unter anderem Zero-Day-Lücken, also bisher unbekannte Angriffspunkte in Firm- oder Software, für die es noch keine Patches gibt. Um die Schädlinge ins Unternehmen zu schleusen, setzen die Kriminellen oft auf Spear-Phishing. Dabei erhält das Ziel der Attacke eine E-Mail, die scheinbar von einem Kollegen oder Vorgesetzten oder einer anderen vertrauenswürdigen Quelle stammt. Der Angreifer fragt nach Zugangsdaten, die er „vergessen“ hat, hängt ein „nettes Bild“ an, das mit Malware verseucht ist, oder schickt einen „interessanten Link“, der in Wirklichkeit auf eine bösartige Webseite führt.
Die Zahl der Spear-Phishing-Attacken erhöhte sich laut Symantec 2014 gegenüber dem Vorjahr zwar nur leicht um 8 Prozent, die Zahl gezielter Angriffe hat sogar abgenommen, so die Autoren des Threat Reports. Das ist aber nicht notwendigerweise ein gutes Zeichen. Es deutet eher darauf hin, dass aus vielen Targeted Threats sogenannte Advanced Persistent Threats (APTs) geworden sind. Das heißt, die Angreifer attackieren zwar weniger Ziele, die dafür aber mit großer Intensität, über verschiedene Wege und über eine sehr lange Zeit. Laut Kaspersky Lab waren 2014 rund 5500 Unternehmensziele in 55 Ländern von APTs betroffen, 2013 erst 1800.
Sicherheitslücken in Industriesteuerungen: Die Zahl bekannt gewordener Sicherheitslücken in Industriesteuerungen ist in den vergangenen Jahren stark gestiegen.
Sicherheitslücken in Industriesteuerungen: Die Zahl bekannt gewordener Sicherheitslücken in Industriesteuerungen ist in den vergangenen Jahren stark gestiegen.
Kaspersky wurde im Übrigen selbst Opfer einer APT-Attacke. Wie das Unternehmen im Juni dieses Jahres mitteilte, hatten Hacker eine Zero-Day-Lücke im Windows-Kernel und möglicherweise zwei weitere Zero-Day-Lücken ausgenutzt, um die Systeme von Kaspersky mit dem Duqu 2.0 genannten Schädling zu infizieren. Duqu 2.0 verzichtet komplett auf Persistenzmechanismen, das heißt er nistet sich nirgends ein und verändert weder Systemeinstellungen noch hinterlässt er Dateien auf einer Festplatte, was eine Entdeckung extrem schwierig macht. Stattdessen residiert er im Arbeitsspeicher von zentralen Servern, die in der Regel 24 Stunden laufen und selten neu gebootet werden.
Von dort aus verteilte er modifizierte Microsoft-Software-Installationspakete (MSI), die den Schädling im Arbeitsspeicher der Rechner platzieren. Zwar entfernt ein Neustart den Virus, da er nur im RAM sitzt, der PC wird aber von anderen befallenen Maschinen aus sofort wieder neu infiziert.
Eine Schwachstelle hat ein Angriff nach Duqu-Art allerdings: Nach einem massiven Stromausfall, wenn sehr viele oder gar alle Rechner neu gestartet werden müssen, wäre der Spuk verschwunden. Doch auch daran hatten die Hacker gedacht und an einige wenige PCs mit direkter Internetverbindung Treiber verteilt. Diese erlauben es, von außen einen Tunnel ins Netzwerk aufzubauen und das Malware-System neu zu installieren.
Seite
  1. Teil: Neue Gefahren erzwingen neue Abwehrstrategien
  2. Teil: Targeted Threats nutzen Zero-Day-Lücken
  3. Teil: Der unentdeckte Feind als Sicherheitsproblem
  4. Teil: Vorbeugende Systeme und Probelauf im Sandkasten
  5. Teil: SIEM spürt verdächtige Verhaltensweisen auf
  6. Teil: Die mobile Gefahr per Smartphone und Tablet
  7. Teil: Industrie 4.0 und das Internet der Dinge
  8. Teil: Security als Service für kleine Unternehmen
  9. Teil: „Wir sind nicht am Ziel, aber die Richtung stimmt“
  10. Teil: „Ich würde dringend zur Awareness-Schulung raten“
Verwandte Themen

Mehr zum Thema