Schlüsselwort-Archiv: malware\

StoneDrill: Wir haben eine mächtige neue Shamoom-Wiper-Malware entdeckt– und diesmal wird es ernst.

Falls Sie ein treuer Leser meines Blogs hier sind, kennen Sie unsere GReAT–Team (Global Research and Analysis Team) – 40+ erstklassige Sicherheitsexperten, die über die ganze Welt verteilt und darauf spezialisiert sind, unsere Kunden vor den anspruchsvollsten Cyberbedrohungen zu beschützen. Die GReAT-Experten vergleichen ihre Arbeit gerne mit der Paläontologie: Sie durchsuchen das tiefgehende Netz nach „Knochen“ von „Cyber-Monstern“. Manche könnten dies für einen veralteten Ansatz halten: Was ist so besonders daran, die „Knochen“ von „Kreaturen“ aus der Vergangenheit zu analysieren, wenn es darum geht, die Netzwerke vor den aktuellen Monstern zu schützen? Na ja, hier ist eine neue Geschichte die zeigt, dass man manchmal die derzeit lebendigen Monster nicht findet, ohne die alten zu untersuchen…

Einige von Ihnen kennen die sogenannten Wiper – eine Art von Malware, die, sobald sie installiert wird, den PC angreift und komplett alle Daten auf diesem löscht, wodurch der Besitzer des Computers mit einem vollständig gesäuberten, kaum funktionsfähigen Stück Hardware zurückbleibt. Der berühmteste (und berüchtigtste) Wiper ist Shamoon – eine Malware, die 2012 im Mittleren Osten für Aufsehen sorgte, da sie Daten auf 30.000+ Knotenpunkten von einer der größten Ölfirmen der Welt, Saudi Aramco, zerstörte und auch einen anderen Energiegiganten, Rasgas, angriff. Stellen Sie sich das nur vor: 30.000+ Teile nicht funktionsfähiger Hardware der weltweit größten Ölfirma…

Shamoon, Shamoon 2.0, StoneDrill, Newsbeef. Die Wiper breiten sich weltweit auss.

Seltsamerweise hörte man seit der zerstörerischen Kampagne gegen die saudische Firma 2012 wenig von Shamoon, bis die Malware im Jahre 2016 als Shamoon 2.0, mit verschiedenen neuen Attacken gegen den Mittleren Osten, wiederkehrte.

Seit Beginn der neuen Angriffe haben wir versucht, so viele Versionen wie möglich von dieser Malware zu finden (weil wir eben nicht wollen, dass EINER unserer Kunden JEMALS von einer Malware wie Shamoon angegriffen wird). Wir schafften es, verschiedenen Versionen zu finden– Hurra! Aber zusammen mit unserer Beute aus Shamoonern, ging uns unverhofft eine vollständig neue Art von Wiper Malware, die wir StoneDrill genannt haben, ins Netz.

Die Code-Basis von StoneDrill ist anders als die von Shamoon, daher gehen wir davon aus, dass es sich um eine komplett neue Malwarefamilie handelt; es verwendet außerdem fortschrittliche Techniken um zu vermeiden, entdeckt zu werden, die Shamoon nicht hat. Daher handelt es sich um einen neuen Mitspieler, das ist sicher. Und einer der ungewöhnlichsten und beunruhigtesten Aspekte dieser Malware ist, dass StoneDrill, anders als Shamoon, sich nicht darauf beschränkt, Ziele in Saudi-Arabien oder den Nachbarländern anzugreifen. Wir haben bisher nur zwei Angriffsziele dieser Malware gefunden, aber eines von beiden befindet sich in Europa.

Warum ist das beunruhigend? Weil es zeigt, dass bestimmte bösartige Akteure, die mit zerstörerischen Cyber-Tools bewaffnet sind, das Terrain in Regionen erkunden, die frühere Akteure dieser Art kaum interessiert haben.
Read on: StoneDrill: Wir haben eine mächtige neue Shamoom-Wiper-Malware entdeckt– und diesmal wird es ernst.

Cyber-News: Infizieren eines Freundes, Neustarten von Boeings, Löcher ohne Authentifizierung und vieles mehr

Hallo Leute!

Hier kommt mein nächster Beitrag in meiner Kolumne „Cyber-Schreckensnachrichten“ – die, in der ich Sie über das Grauen aus der digitalen Welt auf dem Laufenden halte.

Seit den letzten „Schreckensnachrichten“ ist viel passiert, das Aufmerksamkeit verdient. Ganz genau, der Fluss der Schrecken ist von einem Bergrinnsal zu einem Niagara geworden. Und sie werden immer mehr…

Als Veteran der Cyberabwehr kann ich Ihnen sagen, dass in vergangenen Zeiten globale Katastrophen vielleicht über ein halbes Jahr diskutiert wurden. Während der Fluss der Nachrichten jetzt einem Lachs in Laichzeit gleicht: Overload! Es sind so viele, dass es sich gar nicht erst lohnt, sie zu erwähnen, da sie so schnell zu den Nachrichten von gestern gehören, bevor man „digitaler Over-DDoSe“ sagen kann. Ich hörte, wie sie letztens Mega-Corporation X hackten und alles stahlen; selbst der Hamster vom Chef wurde von einer Drohne entführt…

Jedenfalls steigt der Fluss der Cyberskandale immer weiter an, und daher sind auch meine Beiträge zu solchen Skandalen mehr geworden. In der Vergangenheit waren es drei von vier Blogbeiträgen. Heute: sieben!

Stehen Popcorn/Kaffee/Bier bereit? Dann kann´s ja losgehen…

1) Infizieren Sie einen Freund und erhalten Sie Ihre blockierten Dateien kostenlos zurück.

Read on: Cyber-News: Infizieren eines Freundes, Neustarten von Boeings, Löcher ohne Authentifizierung und vieles mehr

Eine kurze Geschichte der DDoS-Angriffe

Nun ist es also passiert: Die Abkürzung „DDoS“ wurde in einem solchen Ausmaß in Lexika aufgenommen, dass sie heute in den allgemeinen Zeitungen oft erst gar nicht ausgeschrieben wird. Nun, manche mögen noch immer nicht wissen, wofür die Abkürzung steht, aber jedem ist bekannt, dass ein DDoS für viele nichts Gutes bedeutet, dass etwas sehr wichtiges plötzlich nicht mehr funktioniert, Angestellte wegen eines Netzwerkausfalls Däumchen drehen, und der technische Support durch die vielen Anrufe eine Abkühlung braucht – und verärgerte Kunden sie durchgängig verfluchen. Außerdem weiß wirklich jeder, dass ein DDoS-Angriff normalerweise von unbekannten, mysteriösen – und einfach nur niederträchtigen – Cyberkriminellen durchgeführt wird.

DDoS-Angriffe haben sich sehr schnell weiterentwickelt, wie Sie beim Lesen dieses Posts feststellen werden. Sie sind viel heimtückischer und technisch fortgeschrittener; von Zeit zu Zeit kommt es zu absolut ungewöhnlichen Angriffsmethoden; es werden neue Ziele anvisiert; und neue Weltrekorde der größten und schädlichsten DDoS werden aufgestellt. Aber auch die Welt, in der sich der DDoS befindet, hat sich sehr schnell entwickelt. Alles, selbst das Spülbecken, ist online: die Anzahl der verschiedenen „intelligenten“ Geräte, die mit dem Internet verbunden sind, übertrifft bei weitem die Anzahl der guten alten Desktop- und Laptop-Computer.

Diese zwei parallel laufenden Entwicklungen – von DDoS plus der digitalen Landschaft, in der sie verweilen – führten zu immer mehr Schlagzeilen: Botnetze, die aus IP-Kameras und WLAN-Heimrouter bestanden, die bezüglich der Größe DDoS-Rekorde brachen (Mirai), und massive DDoS-Attacken auf russische Banken.

Wenn zuvor Botnetze aus Zombie-PCs bestanden, werden sie sich bald aus Zombie-Kühlschränken, -Staubsaugern, -Trocknern und –Kaffeemaschinen zusammensetzen.

brevity-comic

Read on: Eine kurze Geschichte der DDoS-Angriffe

Das Internet der schädlichen Dinge

In den frühen 2000ern trat ich auf die Bühne und prophezeite die Cyberlandschaft der Zukunft, so wie es noch heute der Fall ist. Damals warnte ich, dass eines Tages der Kühlschrank Spam an Ihre Mikrowelle senden würde und zusammen würden Sie einen DDoS-Angriff auf die Kaffeemaschine verüben.

Das Publikum runzelte die Stirn, kicherte, klatschte, und darauf würde ein Artikel zum „verrückten Professor“ folgen. Aber insgesamt wurde meine Vorwarnung im Stil der Cassandra belächelt, da sich um die Cyberbedrohungen dieser Zeit mehr Sorgen gemacht wurde. So viel zum „verrückten Professor“…

…Schlagen Sie nur einmal die aktuellen Zeitungen auf.

Jedes Haus kann heutzutage – ganz egal wie alt es ist – viele „intelligente“ Geräte beherbergen. Einige besitzen nur ein paar (Handys, TV-Geräte…), andere recht viele – einschließlich IP-Kameras, Kühlschränke, Mikrowellen, Kaffeemaschinen, Thermostate, Bügeleisen, Waschmaschinen, Trockner, Fitnessarmbänder, usw. Bei einigen Häusern werden heutzutage bereits intelligente Geräten bei dem Entwurf mit eingeplant. Und all diese intelligenten Geräte sind mit dem Haus-WLAN verbunden, um das gigantische, autonome – und sehr verwundbare –  Internet der Dinge zu bilden, dessen Ausmaß das des traditionellen Internets  bereits übertrifft, welches wir seit den frühen 90ern kennen.

Alles, sogar das Spülbecken, mit dem Internet zu verbinden, hat natürlich seinen Sinn. All Ihre elektronischen Haushaltsgeräte mit Ihrem Smartphone zu kontrollieren, kann (für einige Personen) praktisch sein. Es liegt auch im Trend. Jedoch hat die Art, wie sich das Internet der Dinge entwickelt hat, meine Vorhersage im Stil der Cassandra wahr werden lassen.

QuelleQuelle

Ein paar neue Fakten:

Read on: Das Internet der schädlichen Dinge

Funktionen, von denen Sie niemals hören – Neustart 2017

Wir „retten die Welt“ schon seit, hmm, lassen Sie mich nachdenken, bereits guten 19 Jahren! Eigentlich sind es schon ein paar Jahre länger, aber vor 19 Jahren registrierten wir KL als ein (UK-) Unternehmen.

Leider Gottes ist es nicht möglich, ein für alle Mal die Welt zu retten: Cyberbedrohungen entwickeln sich stets weiter, mit Cyberkriminellen, die hinter ihnen stecken, und die stets neue Angriffslieferanten in der digitalen Landschaft finden, was heißt, dass die Landschaft niemals 100 % sicher sein wird. Jedoch haben weltweit hundertmillionen Menschen jeden Tag mit verschiedenen Geräten und in unterschiedlichen Lebenssituationen die Möglichkeit, ihre Privatsphäre und Daten zu schützen, Onlinestores und Banking sicher zu benutzen und ihre Kinder vor digitalem Dreck, Cyberperversen und Trickbetrügern zu schützen.

ginger-girl

Und auf unserer Seite – der des Schutzes – gibt es viele raison d’être für unsere Experten: jedes Foto, das vor Ransomware gerettet wurde, jede geblockte Phishing-Seite, jedes Botnetz, das erfolgreich zerschlagen wird und jeder Cyberkriminelle, der verurteilt wurde = Grund für professionelle Erfüllung und Stolz. Das bedeutet, dass all die harte Arbeit nicht umsonst war; wir machen eine wirklich gute Arbeit.

Im Kampf gegen Cyberschmutz, Cyberperverse und Cyberkriminelle bieten wir Ihnen kontinuierlich verbesserte Tools.

Read on: Funktionen, von denen Sie niemals hören – Neustart 2017

Faulheit, Cybersicherheit und Maschinelles Lernen

Es ist wie es ist: der Mensch ist ein faules Wesen. Ist es möglich, nichts zu tun, dann tut er auch nichts. Jedoch ist das paradoxerweise eine gute Sache, da Faulheit… der Motor des Fortschritts ist! Was? Wie das? Nun, gilt ein Job als zu hart oder langwierig oder komplex für Menschen, geben bestimmte faule (aber gewissenhafte) Menschen (Homo Bequemis? 😀 ) den Job einer Maschine! In der Cybersicherheit nennen wir das Optimierung.

Analyse von Millionen von schädlichen Dateien und Webseiten jeden Tag, „Impfungen“ gegen zukünftige Bedrohungen entwickeln, für immer proaktiven Schutz verbessern und dutzende anderer kritischer Aufgaben lösen – all das ist ohne Automation einfach unmöglich. Und maschinelles Lernen ist eins der Hauptkonzepte in der Automation.

Maschinelles Lernen wurde in der Cybersicherheit über mehr als ein Jahrzehnt angewandt – nur ohne Marketingfanfaren.

Automation gibt es in der Cybersicherheit schon seit Beginn (der Cybersicherheit an sich). Ich erinnere mich z. B. daran, wie ich in den frühen 2000ern einen Code für einen Roboter schrieb, um eingehende Malwarebeispiele zu analysieren: der Roboter schiebt die entdeckten Dateien in die entsprechenden Ordner unserer wachsenden Malware-Sammlung, die auf seinem (des Roboters) Urteil bezüglich ihrer (die Dateien!) Eigenschaften basiert. Es war schwer, sich vorzustellen – selbst damals – dass ich das manuell machen musste!

Heutzutage ist es nicht genug, Robotern präzise Anweisungen für Aufgaben zu geben, die sie verrichten sollen. Stattdessen müssen die Anweisungen für Aufgaben ungenau gegeben werden. Ja, ganz genau!

Zum Beispiel: „Finde die menschlichen Gesichter auf diesem Foto“. Hierfür beschreiben Sie nicht, wie menschliche Gesichter ausgesucht werden und wie man menschliche Gesichter von denen von Hunden unterscheidet. Stattdessen zeigen Sie dem Roboter mehrere Fotos und fügen hinzu: ‚Diese Dinge hier sind Menschen und das hier sind Hunde; und jetzt mach deine Arbeit‘! Und das ist kurz gesagt die ‚Freiheit der Kreativität‘, die sich selbst maschinelles Lernen nennt.

25ccd2f400000578-2958597-image-a-27_1424270103152

Read on: Faulheit, Cybersicherheit und Maschinelles Lernen

Cyber-Schreckensnachrichten: Die Zukunft ist da und kommt mit auferstandener Malware

Wie immer in dieser Kolumne, gebe ich Ihnen eine Zusammenfassung der wichtigsten und neusten Geschichten aus den Cybernews, die vielleicht noch nicht in den Medien erschienen sind, aber die dadurch nicht weniger erschreckend sind. Und wie immer sind es fast nur schlechte Neuigkeiten. Es gibt noch immer ein paar Gründe dafür, trotzdem optimistisch zu bleiben – aber nur wenige. Uua!

Cyber-Schreckensnachricht Nr. 1: Die Zukunft ist da.

Ein Screenshot aus Blade Runner

Viele Autoren lieben es, darüber zu phantasieren, wie die Zukunft aussehen wird. Oft tauchen Wissenschaftler mit tiefgründigen Überlegungen zum Menschen und seinem Platz im Universum auf. Da haben wir z. B. die russischen Gebrüder StrugatskiPhilip K. Dick, und Arthur C. Clarke (mit seinem „Übersetzer“ für die Silberleinwand Stanley Kubrick). Und sehr oft ist eine solche tiefgründige philosophische Überlegung düster und furchteinflößend.

Und selten sind die Überlegungen weniger tiefgründig und philosophisch, aber können auch zur Realität werden – tatsächlich ist das oft der Fall. Und hier komme ich ins Spiel!…

Nun, im ersten Jahrzehnt dieses Jahrhunderts liebte es der einfache Diener, Gruselgeschichten dazu, was in der Zukunft passieren könnte, zu erzählen. Ein Beispiel: eine Kaffeemaschine startet einen DDoS-Angriff auf den Kühlschrank, während die Mikrowelle die Fabrikations-PIN des Entsafters herausfindet, und so eine Textanzeige auf dem digitalen Display anzeigt.

Weniger als ein Jahrzehnt später und solche Science-Fiction-Geschichten werden wahr…

Read on: Cyber-Schreckensnachrichten: Die Zukunft ist da und kommt mit auferstandener Malware

Darwinismus in der IT-Sicherheit – Teil 3 – Es ist an der Zeit mit diesen bösartigen Parasiten abzuschließen

Hallo an alle!

Ich bin voll und ganz in das Thema Survival of the Fittest im IT-Sektor eingetaucht. Ich hatte eigentlich keine Trilogie geplant … aber es ist dann doch irgendwie darauf hinausgelaufen …

… Nun ja, irgendwie hatte ich das Problem der Parasiten in der Welt der IT-Sicherheit, über das ich heute schreibe, schon lange im Hinterkopf. Das Thema des Darwinismus scheint die perfekte Gelegenheit zu sein, um das schließlich abzuhandeln. Sie werden gleich verstehen, was ich damit meine …

Heute Freunde: Parasiten. Aber nicht diejenigen, die wir bekämpfen (die „sehr bösen“ Jungs), sondern die, die behaupten, dass sie auch gegen die „bösen Jungs“ kämpfen (eine philosophische Frage: Wer ist schlimmer? 😉 ).

Parasiten der IT-Sicherheitsindustrie, die sich Überprüfungsmechanismen anderer zu eigen machen, schaden der Branche und unterstützen indirekt die Cyberkriminalität

Die IT-Branche entwickelt sich heutzutage in rasender Geschwindigkeit. Vor nur 10 bis 15 Jahren waren deren Hauptthemen Desktop-Antivirussoftware, Firewalls und Sicherheitskopien. Heutzutage gibt es massenhaft verschiedene Sicherheitslösungen, Herangehensweisen und Ideen. Manchmal schaffen wir es Vorreiter zu sein, und manchmal haben wir Nachholbedarf. Und gibt es Momente, in denen wir schier nicht aus dem Staunen herauskommen – nicht aufgrund neuer Technologien, Innovationen oder frischer Ideen, sondern wegen der unverschämten Dreistigkeit und absoluten Skrupellosigkeit unserer Kollegen aus der Sicherheitsbranche.

Aber lassen Sie mich erst erklären, wie sich die Dinge entwickelt haben.

Es gibt einen sehr nützlichen Service, der sich VirusTotal Multiscanner nennt. Sie besteht aus ca. 60 Antivirusprogrammen, die dazu genutzt werden, um Dateien und URLs von Nutzern auf Malware zu überprüfen und im Anschluss werden die Prüfungsergebnisse zurück an den User gesendet.

Beispiel: Max Mustermann findet eine verdächtige Applikation oder ein Office-Dokument auf einer Festplatte / einem USB-Stick / im Internet. Seine Antivirussoftware zeigt keine Malware an, aber Max ist ein paranoider Mensch und will wirklich sichergehen, dass sein Gerät nicht infiziert wird. Er öffnet also die VirusTotal-Seite, die nicht wie er nur eine Antiviruslösung hat, sondern ungefähr 60. Außerdem ist sie kostenlos, also ist das keine Frage. Max lädt also das Dokument auf der Seite VirusTotal hoch und bekommt sofortige Informationen darüber, welche verschiedenen Antivirenprogramme das Dokument überprüfen.

Erst einmal möchte ich etwas klarstellen: Sowohl das Team von VirusTotal als auch das von Google, zudem der Service gehört, sind auf der der Seite der „guten Jungs“. Sie haben keine Verbindung zu Parasiten. VirusTotal wird von einem professionellen Team geführt, dass seit Jahren dieser Tätigkeit nachgeht und sehr effektiv ist. (Sind Sie immer noch nicht überzeugt? Was ist, wenn ich Ihnen sage, dass VirusTotal letztes Jahr beim Security Analyst Summit (SAS) die MVP-Auszeichnung gewonnen hat?) Heute ist VirusTotal eine der wichtigsten Quellen, um neue Malwarearten und bösartige URLs zu finden und auch ein sehr pfiffiges archäologisches Tool, um Forschung zu gezielten Angriffen zu betreiben.

Das Problem besteht darin, dass einige unseriöse Nutzer des Multiscanners immer mutiger und unverschämter in ihrem Verhalten werden.

Read on: Darwinismus in der IT-Sicherheit – Teil 3 – Es ist an der Zeit mit diesen bösartigen Parasiten abzuschließen

Schützen Sie mit KICS industrielle Kontrollsysteme

Hurra!

Wir haben KICS (Kaspersky Industrial CyberSecurity) auf den Markt gebracht. Die spezielle Cyberimpfung gegen Cyberkrankheiten, die Fabriken, Kraftwerke, Krankenhäuser, Flughäfen, Hotels, Kaufhäuser, Ihr Lieblingsdelikatessengeschäft und Tausende anderer Unternehmensarten schützt, die industrielle Kontrollsysteme (Industrial Control Systems ICS) verwenden. Wenn man es aus einem anderen Blickwinkel betrachtet, gibt es unter den heutigen Unternehmen kaum welche, die ein derartiges System nicht verwenden. Wir haben also eine Cyberlösung für Millionen von großen, mittleren und kleinen Produktions- und Dienstleistungsunternehmen auf der ganzen Welt auf den Markt gebracht!

Aber was ist dieses KICS ganz genau? Wofür ist es gut? Zunächst ein kleiner Rückblick …

Vor den 2000er Jahren waren Cyberattacken auf Industrieanlagen lediglich eine Inspirationsquelle für Science-Fiction-Autoren. Aber am 14. August 2003 wurde aus Science-Fiction in den nordöstlichen USA und im südöstlichen Kanada Wirklichkeit.

Aufgrund einer Panne im Stromversorgungsnetz mussten 50 Millionen Nordamerikaner — einige für mehrere Stunden, andere mehrere Tage — ohne Strom auskommen. Es wurden viele mögliche Gründe für diese von Menschenhand geschaffene Katastrophe vorgebracht, wie umgestürzte Bäume, Blitzeinschläge, bösartige Eichhörnchen und … sie wurde als Nebeneffekt eines Cyberangriffs mithilfe des Computerwurms Slammer (Blaster) ausgelegt.

Read on: Schützen Sie mit KICS industrielle Kontrollsysteme

Gesamtüberblick

Letztes Frühjahr (2015) haben wir Duqu 2.0 aufgedeckt — einen hochprofessionellen, sehr teureren Cyberspionage-Einsatz. Wahrscheinlich staatlich unterstützt. Wir sind auf den Einsatz aufmerksam geworden, als wir eine Betaversion von Kaspersky Anti Targeted Attack (KATA) getestet haben — unsere Sicherheitslösung, die vor komplexen gezielten Angriffen wie Duqu 2.0 schützt.

Und jetzt, ein Jahr später, kann ich stolz ausrufen: Hurra! Das Produkt ist nun offiziell veröffentlicht und voll einsatzbereit!

Kaspersky Anti-Targeted Attack Platform

Aber lassen Sie mich zunächst einmal einen Schritt zurückgehen, um Ihnen zu erklären, wie es so weit gekommen ist — wieso wir es jetzt mit staatlich unterstützter Cyberspionage zu tun haben und warum wir einen sehr spezifischen Schutz entwickeln mussten.

(Diejenigen, die lieber direkt zum Punkt kommen wollen, können die Einleitung über diesen Link abkürzen.)

So oft wird von der „guten alten Zeit“ gesprochen — gerade so, als wären in der Vergangenheit keine schlechten Dinge passiert. Die Musik war besser, die Gesellschaft gerechter, die Straßen sicherer, das Bier hatte eine schönere Schaumkrone und so weiter und so fort. In Bezug auf manche Dinge war es früher allerdings wirklich besser; ein Beispiel ist, dass es in vergangenen Jahren relativ einfach war, Cyberplagen zu bekämpfen.

Damals habe ich das natürlich nicht so gesehen. Wir haben 25 Stunden am Tag gearbeitet, 8 Tage die Woche, und die Virenschreiber und ihre beeindruckende Vermehrungsrate verflucht. Jeden Monat (und mitunter häufiger) gab es weltweite Wurmepidemien und wir dachten die ganze Zeit über, dass die Situation wohl kaum viel schlechter werden kann. Wie wir uns geirrt haben…!

Anfang dieses Jahrhunderts wurden Viren noch vorwiegend von Studenten und Cyberrowdys geschrieben. Diese hatten weder die Absicht, noch die Fähigkeiten, ernstzunehmende Malware zu entwickeln, so dass die Epidemien, für die sie verantwortlich waren, oftmals mit proaktiven Methoden, binnen weniger Tage ausgelöscht wurden. Sie hatten schlichtweg keine Motivation, um tatsächlich bedenkliche Malware auszutüfteln; sie haben nur zum Spaß Schadprogramme geschrieben, wenn DOOM und Duke Nukem anfingen, sie zu langweilen J.

Mitte der 2000er Jahre kamen auf einmal große Geldsummen im Internet ins Spiel und neue Technologien, über die sich alles vernetzen ließ, von MP3-Playern bis hin zu Atomkraftwerken. Professionelle cyberkriminelle Gruppierungen traten in Erscheinung und machten Jagd auf das große Geld, das im Internet zu holen ist, während Cybergeheimdienste von den technologischen Möglichkeiten angezogen wurden. Diese Gruppen hatten die Motivation, die Mittel und das Know-how, um hochkomplexe Malware zu entwickeln, ausgefeilte Angriffe auszuführen und dabei nicht auf dem Radar erfasst zu werden.

Etwa um diese Zeit herum „starb die Antivirensoftware“: traditionelle Schutzmethoden konnten keine ausreichende Sicherheit mehr bieten. Es begann ein regelrechtes Cyberwettrüsten — eine moderne Interpretation des ewigen Modells der auf Gewalt basierenden Macht — entweder man greift an oder man verteidigt sich. Cyberattacken wurden selektiver/zielgenauer in Bezug auf die gewählten Angriffsziele, diskreter und weitaus fortgeschrittener.

„Grundlegende“ Antivirensoftware, (die zu diesem Zeitpunkt schon weitaus mehr als nur Antivirensoftware war), war inzwischen zu komplexen Mehrkomponentensystemen weiterentwickelt worden, mit mehrstufigen Sicherheitsmechanismen und vollgepackt mit verschiedenen Schutztechnologien, während fortgeschrittene Firmensicherheitssysteme noch eindrucksvollere Waffenlager zur Zugangskontrolle und zur Erkennung von Eingriffen aufgebaut hatten.

Allerdings hatte diese Herangehensweise, obgleich sie oberflächlich betrachtet sehr eindrucksvoll erschien, einen kleinen aber entscheidenden Nachteil für große Unternehmen: das Verfahren war nicht in der Lage, proaktiv die professionellsten gezielten Angriffe zu erkennen — die einzigartige Malware nutzen, in Zusammenhang mit spezifischem Social Engineering und Zero-Days. Malware, die sich vor Sicherheitstechnologien versteckt halten kann.

Ich spreche von Attacken, die sorgfältig über Monate, wenn nicht Jahre hinweg von Topexperten geplant wurden, mit schier unerschöpflichen Budgets und zum Teil sogar mit staatlicher Förderung. Angriffe wie diese können mitunter jahrelang unerkannt bleiben; der Einsatz der Equation Group beispielsweise, den wir 2014 aufgedeckt haben, hatte seine Anfänge bereits 1996!

Banken, Regierungen, kritische Infrastrukturen, Hersteller — Zehntausende große Organisationen unterschiedlicher Bereiche und mit unterschiedlichen Besitzformen (im Grunde die Basis der heutigen Weltwirtschaft und -ordnung) — es hat sich gezeigt, dass sie alle anfällig sind für diese extrem professionellen Bedrohungen. Und die Nachfrage nach Daten, Geld und geistigem Eigentum des Angriffsziels ist groß und steigt kontinuierlich weiter an.

Was also ist zu tun? Sollen wir diese modernen Extremgefährdungen als unvermeidlichen Teil des modernen Lebens akzeptieren? Den Kampf gegen gezielte Angriffe aufgeben?

Nein, ganz und gar nicht!

Alles, was — auf wie auch immer komplexe Art und Weise — angegriffen werden kann, kann zu einem hohen Grad geschützt werden, wenn eine ernstzunehmende Menge an Zeit und Verstand investiert wird. Es wird nie zu 100% sicheren Schutz geben, aber eben maximalen Schutz, der verhindert, dass Angriffe ausgeführt werden können: Hindernisse, die so beeindruckend sind, dass die Angreifer sich dafür entscheiden, keine weiteren Anstrengungen mehr zu unternehmen und stattdessen ein anderes, weniger gut geschütztes Opfer angreifen. Natürlich gibt es auch Ausnahmen, insbesondere wenn es um politisch motivierte Angriffe auf bestimmte Personen geht. Solche Attacken werden hartnäckig bis zum bitteren Ende durchgezogen — einem siegreichen Ende für den Angreifer. Aber das ist kein Grund, den Kampf gar nicht erst aufzunehmen.

Ok, so viel zum geschichtlichen Kontext. Nun zum wichtigsten Teil: dem Hausmittel gegen fortgeschrittene gezielte Attacken — unsere neue Plattform Kaspersky Anti Targeted Attack (KATA).

 

Was genau ist KATA, wie funktioniert es, und wie viel kostet es?

Zunächst einmal zur grundlegenden Struktur einer gezielten Attacke…

Ein gezielter Angriff ist immer einzigartig: maßgefertigt für eine bestimmte Organisation oder Einzelperson.

Die Kriminellen, die hinter einem gezielten Angriff stehen, beginnen damit, gewissenhaft bis ins kleinste Detail alle Informationen zu ihren Angriffszielen zusammenzusuchen, da eine gründliche Vorarbeit fast genauso entscheidend für den Erfolg eines Angriffs ist, wie das verfügbare Budget. Alle Einzelpersonen, die sie ins Visier nehmen, werden ausspioniert und analysiert: Lifestyle, Familie, Hobbies und so weiter. Auch die Unternehmensstruktur wird gründlich untersucht. Anhand dieser Informationen wird schließlich eine Angriffsstrategie ausgewählt.

Als nächstes (i) dringen die Angreifer in das Netzwerk ein und verschaffen sich aus der Ferne (unentdeckt) Zugriff, einschließlich aller Berechtigungen. Anschließend (ii) gefährden sie die kritischen Infrastruktur-Knotenpunkte. Und schließlich — „geht die Bombe hoch!“ — (iii): sie stehlen oder vernichten Daten, brechen Geschäftsvorgänge ab — was auch immer Ziel des Angriffs ist. Und was gleichermaßen wichtig ist: sie verwischen ihre Spuren, so dass sie nicht zur Rechenschaft gezogen werden können.

Die Motivation, die Dauer der verschiedenen Vorbereitungs- und Durchführungsschritte, die Angriffsvektoren, die Eingriffstechnologie und die angewendete Malware selbst — alles ist individuell unterschiedlich. Aber unabhängig davon wie einzigartig ein Angriff ist, gibt es immer eine Schwachstelle. So dass der Blick aus der Vogelperspektive Gesamtüberblick, der sich aus verschiedenen Quellen im ganzen Netzwerk ergibt, es möglich macht, einen Eingriff zu erkennen.

Um alle Daten über derartige Anomalien zu sammeln und ein Gesamtbild zu erstellen, benutzt KATA Sensoren — spezielle „E-Agenten“ — die fortlaufend den IP-/Web-/E-Mail-Verkehr analysieren und die Vorgänge auf den Workstations und Servern überwachen.

Wir fangen beispielsweise IP-Verkehr (HTTP(s), FTP, DNS) mittels TAP/SPAN ab; der Websensor vernetzt sich über ICAP mit dem Proxyserver, und der Mailsensor wird über POP3(S) mit dem E-Mail-Server verbunden. Die E-Agenten sind richtige Leichtgewichte (für Windows etwa 15 Megabytes), sie sind mit anderer Sicherheitssoftware kompatibel und haben so gut wie keinen Einfluss auf Netzwerk- oder Endpunktressourcen.

Alle gesammelten Daten (Objekte und Metadaten) werden dann an das Analysezentrum übertragen, zur Verwertung und Archivierung mittels verschiedener Methoden (Sandbox, Antivirenscanner und anpassbaren YARA-Regeln, Überprüfung von Dateien und URLs, Abtastung auf Sicherheitsschwachstellen, etc.). Es ist außerdem möglich, das System mit unserer Cloud, dem Kaspersky Security Network, zu verbinden, oder es zur besseren Nutzung intern zu belassen, mit Hilfe einer internen Kopie über das Kaspersky Private Security Network.

Sobald das Gesamtbild erkennbar wird, ist es Zeit für den nächsten Schritt. KATA deckt verdächtige Aktivitäten auf und kann die Administratoren und SIEM (Splunk, Qradar, ArcSight) über jedwede unerfreuliche Entdeckung informieren. Und was sogar noch besser ist: je länger das System in Betrieb ist, und desto mehr Daten über das Netzwerk angesammelt werden, umso effektiver ist es, da atypisches Verhalten leichter zu erkennen wird.

Mehr Details darüber wie KATA funktioniert, gibt es hier.

Und ja; fast hätte ichs vergessen… wie viel kostet das?

Nun ja, darauf gibt es keine einfache Antwort. Der Servicepreis ist von einer Vielzahl Faktoren abhängig; dazu gehört unter anderem die Größe und die Topologie des Unternehmensnetzwerks, wie die Sicherheitslösung konfiguriert ist, und wie viele zusätzliche Services genutzt werden. Eine Sache ist allerdings klar: die Kosten sind unbedeutend verglichen mit dem potenziellen Schaden, den die Plattform abwendet.