Grundlegende Regeln für den Netzwerkschutz

Originalartikel von Bryant Tan, Threats Analyst

IT-Administratoren sollten beim Aufsetzen eines grundlegenden Schutzes ihrer Netzwerke einige Regeln beachten. Diese decken zwar nicht alle Arten von verdächtigen Aktivitäten innerhalb des Netzwerks ab, doch gelten sie einigen Bereichen, die leicht übersehen werden.

Entdecken von Services, die nicht Standard-Ports nutzen

Weit verbreitete Protokolle haben Default-Ports, die üblicherweise von Anwendungen oder Services genutzt werden. Ein Dienst, der ein Protokoll verwendet aber nicht einen Default-Port, kann als verdächtig gelten. Denn dies ist eine Technik, die Angreifer häufig einsetzen, weil Default-Ports normalerweise von Sicherheitsprodukten überwacht werden. Ebenso wichtig ist es, unbekannte Protokolle aufzuspüren, die Standard Service-Ports wie 80 (HTTP), 25 (SMTP), 21 (FTP) oder 443 (HTTPS) einsetzen. IT-Administratoren können den Verkehr nicht blocken, weil Dienste besagte Ports verwenden, und deshalb tun dies auch Angreifer gern. Umgebungen sind unterschiedlich, und deshalb ist es die Aufgabe der Admins, die erlaubten Protokolle zu identifizieren und auch den Verkehr, der über diese Ports läuft, streng zu monitoren, sodass sichergestellt ist, dass er auch tatsächlich das ist, was er vorgibt zu sein.

Zudem ist es sehr zu empfehlen, alle nicht verwendeten Ports der Umgebung zu schließen. Die Erforschung der Techniken, die Backdoors in gezielten Angriffen einsetzen, hat ergeben, dass der von den Hintermännern für die Attacke gewählte Port davon abhängt, welche im Netzwerk verfügbar sind. Angreifer nutzen auch das Nework Time Protocol (NTP), das für die Synchronisierung der Zeit im Netzwerk zuständig ist, um Distributed Denial of Service (DDoS)-Attacken zu starten.

Dateien aufspüren, deren Namen verdächtige Attribute aufweisen

Einer der einfachsten Tricks, um Nutzer dazu zu bringen, bösartige Dateien zu öffnen, besteht in der Manipulation des Dateinamens. Das ausgesuchte Opfer soll davon ausgehen, dass die Datei harmlos ist. Natürlich ist es unmöglich, die Art der Datei lediglich anhand des Namens zu bestimmen. Es gibt mehrere verdächtige Merkmale:

  1. Dateien mit zu vielen Leerzeichen im Namen
  2. Dateien mit mehreren Extensions (vor allem, wenn die tatsächliche Extension ein Executable ist)
  3. Dateien, bei denen der Typus und die Extension nicht zusammenpassen (z.B. PE-Dateien mit Extensions wie “pif”, “bat” oder “cmd”)

Aufspüren von TOR Node-Zertifikaten und IP-Bereichen

Es gibt mittlerweile eine Menge Angriffe, die die Fähigkeit haben, TOR zu nutzen, um ihre Aktivitäten zu anonymisieren und nicht nachverfolgbar zu gestalten. Auch ist es so schwierig, den Netzwerkverkehr abzufangen, da er vollständig verschlüsselt ist. Gibt es diese Art von Aktivität in einem Netzwek, so kann dies ein ernst zu nehmender Hinweis auf bösartiges Tun sein.

Die einfachste Art, TOR-Verkehr zu entdecken, geht über Blacklisting von TOR IP-Bereichen. Referenzen finden sich etwa als Listen in Proxy.org

Entdecken von verdächtigen http-Anfragen

Gibt es kritische Daten, wie Zugangsdaten zu Konten, in Klartext in Netzwerkpaketen, so ist das verdächtig, da solche Daten in den allermeisten Fällen standardmäßig verschlüsselt sind. Ist dies nicht der Fall, so deutet es auf eine Schadsoftware oder auf Angreifer hin, die versuchen, gestohlene Kontoinformationen aus dem Netzwerk zu bringen. Beispiele für Information Stealer sind SPYW_SATIFFE, TSPY_HCOREPWSTL, PWS.VB und HKTL_PASSVIEW.

Natürlich gibt es eine ganze Reihe weiterer Regeln, die IT-Administratoren in ihrem Netzwerk implementieren sollten. Der Kernpunkt dabei ist, mögliche Abweichungen im Netzwerk zu erkennen. Das aber ist nur möglich, wenn das „Normale“ genau definiert ist. Weitere Hilfe finden Administratoren auch in folgenden Blogeinträgen:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.