Gezielte Angriffe: Nicht jeder muss ausgeklügelt sein

Originalbeitrag von Raimund Genes, Chief Technology Officer

Die Sicherheitsbranche spricht gern darüber, wie „ausgeklügelt“ Angriffe sein können, welche neuen, fortschrittlichen Methoden angewendet werden, um Server zu verstecken und die Analyse zu erschweren. Dabei wird leicht übersehen, dass nicht alle Angriffe technisch anspruchsvoll sein müssen, sondern auch die genutzte Social Engineering-Methode und die Art der Ausführung des Angriffs den Erfolg ausmachen.

Vor ein paar Monaten wurde viel über die Arid Viper-Kampagne gesprochen, ein komplexer Angriff, der Nutzer in Israel zum Ziel hatte. Doch dieser wohlorganisierte Angriff teilte sich die Angriffsinfrastruktur mit der weniger fortgeschrittenen Advtravel-Kampagne. Es stellt sich die Frage, wie das funktionieren kann, wenn gezielte Angriffe das Werk von gebildeten, raffinierten Angreifern sind, die angeblich nichts mit „gewöhnlichen“ Cyberkriminellen gemeinsam haben.

Doch sind die für einen gezielten Angriff benötigten Kenntnisse so verschieden von denen eines normalen cyberkriminellen Angriffs? Grundsätzlich nicht. Während Cyberkriminelle im Allgemeinen von Aktivitäten wie Kreditkartenbetrug profitieren, können sie ihre Skills auch für Angriffe auf bestimmte Ziele verkaufen. In solchen Fällen gibt es keinen Grund, die vorhandenen Werkzeuge – und auch vorhandene Infrastruktur — nicht wiederzuverwenden.

Sogar breit angelegte Angriffe, die Auswirkungen auf die Realität haben, nutzen manchmal erstaunlich einfache Tools. Ein Beispiel dafür ist der Angriff auf TV5 Monde, der mithilfe einer Schadsoftware ausgeführt wurde, die mit einem VBScript-Toolkit erstellt worden ist. Anleitungen dazu, wie es zu verwenden ist, gibt es auf YouTube. Es bedurfte nicht viel, um das Tool richtig zu bedienen.

Die Rafinesse dieser Angriffe liegt in der Art und Weise, wie die Tools genutzt werden und welche Social Engineering-Techniken eingesetzt werden, um die Ziele dazu zu bringen, bösartige Anhänge zu öffnen oder Links anzuklicken. Es bedarf keiner ausgeklügelten „persistenten Bedrohung“, wenn ein gewöhnliches Remote Access Tool (RAT) ausreicht.

Diese Angriffe sind persistent, und es wird schwierig, wenn nicht unmöglich, für eine Organisation, alle zu stoppen. Ein Angreifer gibt nicht auf, nur weil er ein- oder zweimal gestoppt wurde. Es gibt keine todsichere Lösung, die alle Angriffe stoppt.

Unternehmen müssen sich darüber im Klaren sein, dass sie nicht alle Angriffe stoppen können. Sie können aber Angriffe, die gerade laufen, erkennen, sodass sich der Schaden begrenzen lässt. Ein Intrusion Detection System ist kein Luxus mehr, sondern eine Notwendigkeit. IDS schützt nicht nur gegen allgemeine Bedrohungen wie RATs, sondern auch gegen ausgeklügelte zielgerichtete Angriffe. Es gibt keine Patentlösung zum Schutz vor heutigen Bedrohungen. Unternehmen müssen ständig mit aktuellen und künftigen Technologien mithalten — sowohl für offensive als auch defensive Zwecke – und die sich permanent ändernde Bedrohungslandschaft sowie die vorhandenen Abwehrmaßnahmen verstehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*