Wie sich gezielte Angriffe 2014 verändert haben

Originalartikel von Trend Micro

2014 war von der Verfeinerung der Methoden bei zielgerichteten Angriffen geprägt. Viele Unternehmen stiegen auf neuere Windows-Versionen um, und deshalb entdeckten die Bedrohungsforscher auch häufiger 64-Bit-Schadsoftware in den verschiedenen Kampagnen. Beispiele dafür sind HAVEX, ein Remote Access Trojan (RAT), der in einer Angriffskampagne auf Industrial Control Systems (ICS) eingesetzt wurde, und WIPALL, die berüchtigte Schadsoftware hinter dem Sony Pictures-Hack.

Der vermehrte Einsatz von neueren Windows-Versionen führte auch zum Missbrauch von legitimen Tools/Fähigkeiten in den Angriffen. Ein Beispiel hierfür ist die Windows PowerShell®, eine Funktionalität in den Versionen von Windows 7 und höher, die es Systemadministratoren erlaubt, auf andere Funktionen zuzugreifen, ohne der Nutzung einer grafischen Benutzerschnittstelle. PowerShell-Befehle wurden zum Herunterladen von bösartigen Dateien missbraucht und um die Ausführungs-Policies zu umgehen.

In einigen zielgerichteten Angriffen wurde ein Dokumenten-Exploit Template (TROJ_MDROP.TRX) gefunden. Dieses wird wahrscheinlich im Untergrund vertrieben, denn es tauchte in verschiedenen Kampagnen auf. Bedrohungsakteure konnten einfach das Exploit Template ändern und ihrer Payload anpasssen.

Die Daten von Trend Micros Bedrohungsforschern zeigten auch, dass die beiden am meisten genutzten Arten von E-Mail-Anhängen .RTF- und .DOC-Dateien waren.


Bild 1. Die am häufigsten als E-Mail-Anhänge eingesetzten Dateitypen in 2014

Alte und neue Sicherheitslücken in Angriffen

Mehrere Zero-Day Exploits wurden 2014 in gezielten Angriffen verwendet. So trafen etwa zwei Taidoor-bezogene Zero-Day Exploit Angriffe, die auf CVE-2014-1761 ausgerichtet waren, Regierungsbehörden und Bildungseinrichtunen in Taiwan. Der Missbrauch von neuen Sicherheitslücken hat sich als effizienter erwiesen, weil die Sicherheitsanbieter erst Patches erstellen müssen, und die Cyberkriminellen dadurch einen zeitlichen Vorsprung hatten.

Doch das heißt keinesfalls, dass die Bedrohungsakteure die älteren Lücken außer Acht lassen. Ältere Sicherheitslücken haben sich nämlich als zuverlässig erwiesen, weil die Angreifer bereits getestete Exploits dafür einsetzen können.

Obwohl mit MS12-027 ein Patch vorhanden ist, bleibt CVE-2012-0158 die beliebteste Sicherheitslücke. Zwei bekannte Kampagnen, PLEAD und Operation Pawn Storm, nutzten sie, um sich in die anvisierten Netzwerke einzuschleichen.

Ein weltweites Problem

Regierungsbehörden waren auch 2014 die beliebtesten Angriffsziele. In der zweiten Jahreshälfte gab es einen plötzlichen Anstieg in der Zahl der gezielten Angriffe auf Hardware/Software-Unternehmen, Unterhaltungselektronikhersteller und Anbieter aus dem Bereich Gesundheit. Die Heat Map zeigt, wie die weltweite Verteilung der Ziele aussah, die auf C&C-Server zugriffen. USA, Russland und China sind nicht mehr die einzigen beliebten Ziele, sondern es kamen noch Taiwan, Südkorea, Frankreich und Deutschland hinzu.


Bild 2. Top-Länder, die mit gezielten Angriffs-C&C-Server kommunizierten

Mit Bedrohungen Schritt halten

Netzwerkverteidiger müssen in der Lage sein, den Konzeptwechsel von Vorsorge auf Entdeckung zu vollziehen. Sie müssen akzeptieren, dass ein gezielter Angriff ihre Netzwerke treffen kann, ohne die Gewissheit zu haben, dass eine Suite mit Blacklisting-Technologie in der Lage ist, die Angreifer in Schach zu halten.

Der Aufbau von Bedrohungsintelligenz ist im Kampf gegen gezielte Angriffe entscheidend. Dazu gehört Wissen über die Tools, Taktiken und Prozeduren, die die Angreifer einsetzen können, sowie Informationen, die Unternehmen aus externen Reports und dem internen, rückwirkenden und aktuellen Monitoring ziehen, um eine starke Datenbank mit Indicators of Compromise (IoC) aufzubauen. Diese kann als Basis für Gegenmaßnahmen dienen. Doch sollten sich Unternehmen nicht nur darauf beschränken, Wissen über die Angriffe zu sammeln. Sie benötigen auch ein starkes Incident Response Team und Schulungen für die Angestellten, Partner und Zulieferer, um die Risiken in den Griff zu bekommen.

Die Details zu den gezielten Angriffen 2014 gibt der Report „Jahresbericht 2014: Trends für gezielte Angriffe“.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*