Aufrufe
vor 7 Monaten

Cybersecurity 2020

  • Text
  • Cybersecurity
  • Februar
  • Malware
  • Mitarbeiter
  • Angriffe
  • Sicherheit
  • Schweizer
  • Cyber
  • Schweiz
  • Unternehmen

herauszufinden, ob sie

herauszufinden, ob sie in einer Sandbox laufen oder auf einem richtigen System. «Läuft die Malware in einer Sandbox, macht sie entweder gar nichts oder einfach irgendetwas, das alles andere als bösartig wirkt», sagte Gugler. Im Fachjargon nennt man dies «Evasion». Ein weiteres Problem ist die Dauer der Analyse: Wie lange emuliert man die Sandbox-Umgebung, bis man ein Programm als unproblematisch einstuft? Ramnit etwa beginne erst nach rund einer Minute damit, verdächtige Aktivitäten zu zeigen. Läuft die Sandbox nur 30 Sekunden, wird der Rechner infiziert – und der Nutzer merkt davon nichts. Offensichtlich auffällig wird Ramnit erst nach zwei bis drei Minuten, «und das ist eine fast 10 Jahre alte Malware!», sagte Gugler. Die «Königsdisziplin in der Informatik» ist allerdings die statische Analyse, sagte der Security Engineer. Dabei handelt es sich eigentlich um Reverse-Engineering: Man versucht den Maschinencode einer Malware, den nur der Rechner versteht, wieder zurück in lesbaren Programm-Code zu verwandeln. So kann man herausfinden, wozu das Schadprogramm potenziell fähig wäre. Bei einer Ransomware kann man zudem – mit etwas Glück – auch noch den Encryption-Key finden. Statische Analysen sind jedoch sehr zeitintensiv. Deswegen bevorzugen Malware-Analysten wie Yannick Gugler in der Regel ein Zusammenspiel aus dynamischer und statischer Analyse. Wie man noch tiefer in die Malware vordringt In der Live-Analyse in Zürich wollte Gugler mehr über die Kommunikation zwischen Ramnit und seinem «Command & Control»- Server herausfinden. Ramnit nutzt einen DGA – Domain Generation Algorithm. Der Schädling und der ihn kontrollierende Server nutzen denselben Algorithmus, um URL zu generieren. Über diese läuft anschliessend die Kommunikation. Blockiert ein Sysadmin eine verdächtige URL, wechseln Malware und Server schlicht auf die nächste generierte Adresse. Um die Verbindung endgültig zu kappen, muss man den Algorithmus kennen. Der erste Schritt einer statischen Analyse ist es, die Malware zu entpacken. Denn Schadprogramme sind immer komprimiert. Einerseits, weil kleinere Dateien schneller heruntergeladen werden – essenziell für eine gelungene Infektion. Andererseits, weil eine Malware, die neu verpackt wurde, von signaturbasierten IT- Security-Lösungen nicht mehr erkannt wird. So kann man eine aufwendig programmierte Malware immer wieder neu verwenden. In der Analyse entpackte Gugler Ramnit zunächst mit einem Debugging Tool – dem Interactive Disassembler. Alternativ könne man die Malware auch einfach laufen lassen. Denn wenn sie sich ausführt, muss sie sich dafür auch entpacken. Indem man auf die Grösse und auf die Lese-und-Schreib-Rechte achtet, kann man die benötigten Files anschliessend im Memory finden. Einen Memory-Dump des entsprechenden Bereichs später hatte Gugler den Maschinencode, den er anschliessend im Disassembler wieder öffnen konnte. Kurz darauf hatte er den Algorithmus gefunden und mit ihm auch sämtliche möglichen URL für die Kommunikation zwischen Ramnit und seinem Server. Wie aus dem Code ersichtlich wurde, generiert diese Variante von Ramni lediglich 50 Adressen. Mit dem Algorithmus liessen sich alle auf einmal blockieren. Wie Malware einen Prozess infiziert – ohne Spuren zu hinterlassen «Und jetzt führen wir noch einen Fileless-Attack aus, bevor der Lunch-Teil der «Lunch & Learn»-Roadshow beginnt», sagte Gugler. Hierfür holte er zunächst etwas aus und erklärte, wie DLL-Dateien funktionieren und warum Cyberkriminelle diese so mögen. DLL steht für «Dynamic Link Library». Dabei handelt es sich um ein Programmteil, das von mehreren Prozessen genutzt wird, wie Gugler erklärte. Jede DLL existiert genau einmal physisch auf der Disk und jeder Prozess hat seine Kopie. DLL importieren und exportieren Funktionen. Hierfür nutzen sie eine Technik namens «DLL-Injection»: Ein Prozess forciert dabei einen anderen Prozess, eine DLL zu laden. «Das hört sich bösartig an, muss es aber nicht sein», sagte der Security Engineer. DLL-Injection ist etwa auch Bestandteil von Debugging-Prozessen. «Malware kommt immer häufiger im DLL-Format zum Opfer», sagte Gugler. «Dateilose Angriffe sind 10 Mal effektiver als traditionelle Attacken», sagte Gugler. 2018 seien bereits 35 Prozent aller Attacken auf diesem Weg ausgeführt worden. «Und diese Zahl nimmt zu.» Dies liegt unter anderem daran, dass Sicherheitslösungen oft nur .exe-Dateien blockieren. DLL hingegen werden ignoriert. DLL-Dateien ermöglichen aber auch neue Formen von Cyberattacken, sogenannte Fileless-Attacks. Der grosse Unterschied zu traditionellen Schadprogrammen besteht darin, dass hierfür keine bösartigen Dateien heruntergeladen werde müssen, um einen Rechner zu infizieren. Der Angriff findet komplett im Arbeitsspeicher statt. Dies macht Analysen um einiges schwieriger, da keine Spuren auf der Festplatte zurückbleiben. Wie schützt man sich gegen dateilose Angriffe? Während seiner Erläuterungen bastelte Gugler an Ramnit herum. Als allen klar war, was dateilose Angriffe genau sind, lief Ramnit bereits im Notepad drin statt wie zuvor in einem eigenen «svhost. exe»-Prozess. «Hinter dateilosen Attacken stecken keine Script-Kiddies», sagte Gugler. «Denn diese Angreifer wissen genau, was sie tun.» Die gute Nachricht ist aber, dass diese Attacken relativ leicht vom System zu fegen sind: Man muss nur den Rechner neu starten. Dies leert den Arbeitsspeicher. Zumindest in der Regel. Denn gewisse Formen – etwa Registry Attacks – können auch einen Neustart überleben. Ein wirksamer Schutz sei es, Admin-Rechte nur denen zu geben, die sie wirklich brauchen. «Auf das maximale Minimum begrenzen» laute hier die Devise. Zudem sei es wichtig, regelmässig Updates einzuspielen, Sysadmin-Tools, die man nicht Den vollständigen Artikel finden Sie online. www.it-markt.ch braucht, zu deaktivieren, sowie Browser- beziehungsweise Web-Traffic zu isolieren. Alternativ biete Check Point jedoch auch eine Lösung dafür an. TECHNOLOGY 61

DOSSIER KOMPAKT IN KOOPERATION MIT INFOGUARD Zero Trust – Vertrauen neu definiert Identitäten sind die Achillesferse der Cybersecurity, viele Sicherheitsverletzungen und erfolgreiche Angriffe sind auf privilegierte Accounts und Benutzer-Accounts zurückzuführen. Vertrauen in Identitäten und die Gewährung von Zugriffen auf Netzwerke, Applikationen und Daten sind zu überdenken – «Vertrauen» neu zu definieren. Genau dies adressiert das Zero-Trust-Modell. Zero Trust ist in aller Munde und adressiert den Trend, dass sich Ressourcen zunehmend ausserhalb der unternehmenseigenen Netzwerkgrenze befinden. Das Zero-Trust-Modell geht – wie der Name schon andeutet – davon aus, dass alle Assets, Anwender und Ressourcen per se erst einmal nicht vertrauenswürdig sind. Dabei spielt es jedoch keine Rolle, ob sich diese innerhalb oder ausserhalb der Unternehmensgrenzen befinden. Sprich: ∙ Alle Assets (User, Geräte, Anwendungen und Dienste) müssen bekannt sein, um auf allen Ebenen eine entsprechende Authentifizierung, Autorisierung und andere Zugangsbeschränkungen einzuführen. ∙ Gleichzeitig müssen auch alle Daten (sowohl auf Applikations-Layer, bei der Übertragung und auch bei der Speicherung) verschlüsselt werden. Der datenzentrische Ansatz von Zero Trust hat Auswirkungen auf alle Bereiche einer Unternehmensinfrastruktur. Auf der «Zero-Trust-Reise» Dies macht deutlich, dass die Einführung des Zero-Trust-Modells einen Bewusstseinswandel und damit verbunden meist Aufwand mit sich bringt. Dieser Bewusstseinswandel muss aber nicht von heute auf morgen geschehen. Vielmehr gilt es, die bestehende Sicherheitsarchitektur gezielt weiterzuentwickeln, sprich die bestehende Infrastruktur zu modifizieren und bereits existierende Sicherheitskontrollen zu ergänzen. Es empfiehlt sich daher, die «Zero-Trust-Reise» mit einem dedizierten Anwendungsfall, einer App oder einer Benutzergruppe zu beginnen. Auf diese Weise können erste Erfolge ausgewiesen, wertvolle Erfahrungen gesammelt sowie neue Architekturen oder Technologien getestet werden. Umsetzung des Zero-Trust-Modells Aber wo soll man mit der Reise beginnen? Hierbei kann das IDSA-Framework (benannt nach dem gleichnamigen Konsortium) herangezogen werden. Dieses besagt, dass die alleinige Absicherung von Endpunkten, Firewalls und Netzwerken nur wenig Schutz vor identitäts- und Credential-basierten Bedrohungen bietet. Daher sollte sich der erste Schritt einer Zero-Trust- Strategie auf folgende Punkte fokussieren: 1. Zugang gewähren, indem überprüft wird, welche Person den Zugang beantragt. 2. Den Kontext der Anfrage verstehen. 3. Das Risiko der Zugangsumgebung ermitteln. Der Autor Markus Limacher, Head of Security Consulting, Infoguard Dieser «Never trust, always verify, enforce least privilege»-Ansatz bietet somit die grösste Sicherheit für Unternehmen. Zero Trust zwingt Unternehmen, die hohe und mehrschichtige Sicherheitsmauer zu überdenken und ein Modell zu entwickeln, das aus vielen Mikroperimetern besteht. Mit anderen Worten: Anstatt sich auf eine perimeter-basierte Verteidigung zu konzentrieren, sollten Unternehmen die Sicherheitsmassnahmen auf die kritischen Datenspeicher, Anwendungen, Systeme und Netzwerke fokussieren und so direkt die «Kronjuwelen» schützen. Zero Trust zwingt Unternehmen, die hohe Sicherheitsmauer zu überdenken. Das Herzstück einer Zero-Trust-Strategie ist es, nur berechtigten Personen den Zugang zu den entsprechenden Ressourcen und mit angemessener Berechtigung zu ermöglichen. Die Identität ist somit der Akteur in den meisten Transaktionen. Diese ist aber nicht nur auf Personen beschränkt, da auch Geräte, Netzwerke und Applikationen auf wertvolle Daten zugreifen und deshalb ebenfalls als Akteur betrachtet werden sollten. Ein weiterer Aspekt, der bei der Benutzeridentifizierung berücksichtigt werden sollte, ist ihr Verhalten. Benutzer verwenden typischerweise die gleichen Ressourcen mit einem regelmässigen Aktivitätsmuster. Wenn ein anomales Verhalten identifiziert wird, so müssen zusätzliche und stärkere Authentifizierungsfaktoren veranlasst werden. Trotz seiner Herkunft vor fast 15 Jahren ist Zero Trust heute aufgrund der verteilten und virtuellen Welt relevanter als je zuvor, denn der traditionelle Infrastruktur-Perimeter ist erodiert. Mit Zero Trust setzen Unternehmen auf eine Architektur, die den Identitätskontext nutzt und einen risikobasierten Zugriff auf kritische Ressourcen ermöglicht. Dadurch wird die Sicherheit verbessert, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Ein methodisches Vorgehen bei der Umsetzung führt dazu, dass aktuelle und künftige Bedrohungen deutlich reduziert und der Aufwand minimiert werden kann. 62

Archiv