Security-Trends

Wie Kriminelle heute Unternehmen angreifen

20.09.2015
Von 
Uli Ries ist freier Journalist in München.
Erfolgreiche Attacken auf Unternehmensnete beruhen nicht auf den Programmierkünsten der Schadsoftware-Autoren. Bevor Malware zum Einsatz kommt, nehmen die Angreifer in aller Regel ein leicht verführbares Ziel ins Visier: die Mitarbeiter eines Unternehmens.
  • Da die Technik immer sicherer wird, setzen Angreifer zunehmend aufs Social Engineering, um den "weichen Faktor Mensch" zu attackieren.
  • Für kleinere und mittlere Unternehmen kann die Cloud entscheidend zum Erhöhen der Sicherheit beitragen. Cloud-Security-Tools dürfen aber nicht zu komplex werden - sonst überfordern sie die Anwender.
  • Die Schulung der Mitarbeiter in Security-Fragen muss deutlich ausgebaut und verbessert werden.

Das Muster scheint stets gleich: Erst werden einzelne Mitarbeiter eines Unternehmens per Spear-Phishing ihrer Login-Daten für Dienste im Unternehmensnetz beraubt. Anschließend werden mittels dieser Daten dann Arbeitsstationen und vor allem Rechner infiziert. Selbst für letzteres ist nicht immer Malware nötig, wie das Führungsteam der IT-Sicherheitsberater von Crowdstrike in einem Vortrag erläuterte: Nach dem Datenklau hangeln sich die Angreifer beispielsweise mittels gängiger Windows-Tools durch das Netzwerk. Der Vorteil: Der Aufruf dieser auf den attackierten Maschinen vorinstallierten Werkzeuge lässt die Antivirensoftware kalt. In einem von Crowdstrike beobachteten Angriff nutzten die Kriminellen beispielsweise unter anderem die Windows Powershell, wmic, vssadmin oder netdom, um sich nach und nach Zugang zu diversen Servern zu beschaffen. Dieses Treiben bleibt dann unter dem Radar der Sicherheitssysteme.

Keine Malware nötig: Bei einem von Crowdstrike analysierten Angriff auf ein Unternehmensnetz kamen unter anderem die Windows Powershell und andere Windows-Tools zum Einsatz.
Keine Malware nötig: Bei einem von Crowdstrike analysierten Angriff auf ein Unternehmensnetz kamen unter anderem die Windows Powershell und andere Windows-Tools zum Einsatz.
Foto: Crowdstrike

Alex Cox, leitender Mitarbeiter der Threat-Watch-Abteilung beim Verschlüsselungsspezialisten RSA, bestätigt, dass für den Einstieg ins Netzwerk zumeist Social Engineering verwendet wird. Neben dem Spear Phishing hat er auch verstärkt sogenannte Waterhole-Attacken gesehen. Dabei werden Webseiten infiziert, die die Mitarbeiter des zu attackierenden Unternehmens sehr wahrscheinlich frequentieren. Ein Besuch der Seite und ein nicht vollständig gepatchter Rechnern genügen, um die Maschine zu infizieren.

Die dabei installierte Malware ist zum Absaugen der Daten nötig. Beispielsweise, um die Daten verschlüsselt per FTP nach außen zu transferieren. Per se ist das auch nichts Neues - aber es scheint immer noch zu funktionieren. Cox hat beobachtet, dass sowohl fertige Malware wie Poison Ivy oder Ghost zum Einsatz kommen. Aber auch eigens für den Angriff fabrizierte Schädlinge finden sich in der Praxis. Wenngleich diese im Vergleich zu ausgefuchster Online-Banking-Malware wie ZeuS oder Citadel vergleichsweise simpel gehalten ist und oft auch auf Verschleierungsmaßnahmen wie Packing verzichtet. Offenbar genügt eine so simple Malware, um die Aufgabe zu erledigen.

Nach dem Datenklau umgehen die Anwender die Passwort-Sperre und hangeln sich oft mit einfachen Windows-Tools durch das Netzwerk, um der Entdeckung zu entgehen.
Nach dem Datenklau umgehen die Anwender die Passwort-Sperre und hangeln sich oft mit einfachen Windows-Tools durch das Netzwerk, um der Entdeckung zu entgehen.
Foto: GlebStock - shutterstock.com

Social Engineering maßgeschneidert

Zwar sehen Fachleute wie Alex Cox nach wie vor bekannte Mechanismen zum Einbruch in die Netze: Vermeintlich von Unternehmen wie Amazon, Apple (iTunes) oder Google (Google Mail) stammende E-Mails mit Password-Reset-Links oder Links zu gefälschten Login-Seiten. Die hierzu verwendeten E-Mails seien inzwischen weitgehend frei von Rechtschreibfehlern und die infizierten Seiten beim Waterholing Hand verlesen. Bevor auch nur eine einzige Phishing-Nachricht versandt würde, hätten die Angreifer zuvor meist E-Mail- oder Chat-Konversationen im Unternehmen mitverfolgt, um überzeugendere Nachrichten formulieren zu können. Dem Verizon Data Breach Report zufolge liegt die Erfolgsrate beim Spear-Phishing bei gut elf Prozent. Jede zehnte Nachricht führt also zum Erfolg.

James Lyne, Chef-Malwareforscher bei Sophos, sagt für die kommenden Jahre sogar noch eine weitere Professionalisierung der Social-Engineering-Angriffe voraus. Der Grund: Immer höhere Codequalität in Anwendungen und Betriebssystemen sowie Schutzmechanismen wie der seit Windows 8.1 Update 3 verfügbare Control Flow Guard. Sie machen das Finden und Missbrauchen von Schwachstellen in Software schwieriger, so dass sich Angreifer laut Lyne auf das weichere Ziel "Mensch" konzentrieren.

Der Antiviren-Experte berichtet von einer Social-Engineering-Attacke, die selbst ihn beinahe hinters Licht führte: Ihn erreichte vor einer tatsächlich stattfindenden Geschäftsreise eine E-Mail, die vermeintlich von einem Kollegen stammte. Der Inhalt der Nachricht schlug ein Treffen vor Ort vor. Im Anhang: Eine Word-Datei mit der Beschreibung der Reiseroute des Kollegen und ein Vorschlag zum Treffpunkt. Das Word-Dokument hätte beim Öffnen mittels Makro die eigentliche Schadsoftware heruntergeladen, die dann - ganz ohne Exploit oder Admin-Rechte - die Maschine des Opfers übernommen hätte. Die Angreifer machten sich vor dem Versand der Spear-Phishing-Nachricht offensichtlich kundig, wo Lyne demnächst sein würde und mit wem er eventuell zusammenarbeitet.

Malware nicht zu verachten

Auch wenn bei Attacken auf Unternehmen die Social-Engineering-Komponenten eine wichtige Rolle spielen: Letztendlich muss auch immer Schadsoftware mit ins Spiel. Fachleute wie Lyne und Cox sagen zwar, dass die Qualität der Schädlinge oft nicht mit der von Banking-Malware mithalten kann. Aber sie sehen dennoch ausgefuchste Mechanismen. So weiß James Lyne von diversen Schädlingen, die über dynamisch verschlüsselte Kanäle (Command & Control) Kontakt halten zu ihrem "Mutterschiff". Hiermit hätten so gut wie alle Intrusion-Detection-Systeme in Unternehmen immense Probleme.

Und auch die Antiviren-Softwarehersteller hätten ihre liebe Mühe, da Analysen solcher Malware sehr aufwändig seien. Zum einen machen es die verschlüsselten Kanäle schwer. Zum anderen schützt sich die Malware selbst auch gegen die gängigen Analysemethoden der Malware-Forscher. Selbst absolute Profis könnten bei manchen Infektionen zwar den Befall feststellen - jedoch nicht, welche Daten abgeflossen sind.