• 26.09.2020
  • Fachbeitrag
  • Cloud und Mobile Security

Threat Hunting & Response

Droht ein Ransomware-Angriff? Bei diesen fünf Anzeichen heißt es aufpassen!

itsa 365: Titel des Artikels und eine Art Lupe
Eine Ransomware-Attacke scheint zumeist aus dem Nichts zu kommen. Doch die Experten des Managed Threat Response Teams bei Sophos haben andere Erfahrungen gemacht. Sie haben zahlreiche Ransomware-Angriffe analysiert und geben fünf handfeste Anzeichen für einen potentiell bevorstehenden Angriff. Bei der Kooperation mit Ransomware-Opfern analysiert das MTR-Team von Sophos die letzten ein bis zwei Wochen vor der Entdeckung eines Angriffs. Fällt einer von fünf Indikatoren auf, wird dieser genauer kontrolliert. Jedes dieser Anzeichen ist mit ziemlicher Sicherheit ein Hinweis dafür, dass Angreifer herumgeschnüffelt haben, wie das Netzwerk genau aussieht und wie sie Zugang zu Accounts erlangen können, um eine Ransomware-Attacke zu starten. Angreifer nutzen dabei oftmals legitime Administrator-Werkzeuge, um das Set-up für eine Attacke zu gestalten. Deshalb können die folgenden fünf Tools und Verhaltensmuster oftmals schnell im Tagesgeschäft untergehen und sind leicht zu übersehen. Für das Aufspüren potentieller Ransomware-Attacken sind sie allerdings ganz klar Warnsignale, die unbedingt näher untersucht werden sollten.


Netzwerk-Scanner (besonders auf dem Server).

Die Erpresser starten normalerweise damit, Zugang zu einem Rechner zu bekommen, auf dem sie nach Informationen suchen: handelt es sich um Mac oder Windows, wie lautet der Domain- oder Unternehmens-Name, über welche Admin-Rechte verfügt der Computer etc. Im zweiten Schritt untersuchen sie, welche weiteren Nutzer mit welchen Zugängen auf dem Netzwerk arbeiten. Der einfachste Weg, das herauszufinden, ist ein Netzwerk-Scan. Falls ein entsprechender Scanner wie zum Beispiel AngryIP oder Advanced Port Scanner entdeckt wird, sollte man bei den Administratoren nachfragen. Wenn keiner dieser Scanner offiziell benutzt wird, ist eine nähere Untersuchung Pflicht.


Tools zur Deaktivierung von Antivirus-Software.

Verfügen die Angreifer über Admin-Rechte, werden sie oft versuchen, installierte Sicherheitssoftware zu deaktivieren. Dabei helfen ihnen Applikationen, die bei der erzwungenen Beseitigung solcher Software assistieren, wie Process Hacker, IOBit Uninstaller, GMER oder PC Hunter. Diese kommerziellen Werkzeuge sind legitim, aber in falschen Händen prekär. Sicherheitsteams und Administratoren sollten hellhörig werden, wenn diese Programme plötzlich in ihrem System auftauchen.


Die Präsenz von MimiKatz.

Jeder Hinweis auf das Auftauchen des Tools MimiKatz sollte untersucht werden. Kann sich keiner der Administratoren für den Einsatz des Programms verbürgen, ist das eine tiefrote Warnflagge: MimiKatz ist eines der populärsten Hacking-Werkzeuge für den Diebstahl von Anmeldedaten. Angreifer setzen in diesem Zusammenhang auch auf den Microsoft Process Explorer (enthalten in Windows Sysinternals), ein rechtmäßiges Tool, das den lokalen Sicherheits-Authentifizierungsserver LSASS.exe aus dem Speicher lesen und eine .dmp-Datei erstellen kann. Diese können Angreifer nach dem Export in ihr eigenes System mit MimiKatz bearbeiten, um Benutzernamen und Passwörter zu extrahieren.


Muster ungewöhnlichen Verhaltens.

Jeglicher Systemeingriff zur immer gleichen Zeit oder in einem sich wiederholenden Muster ist ein Indikator dafür, dass noch irgendwo etwas Ungewolltes passiert, selbst wenn schadhafte Dateien entdeckt und entfernt wurden. Sicherheitsteams sollten sich deshalb fragen, warum diese Situation zurückkehrt. Es handelt sich oft um ein Zeichen dafür, dass doch noch ein schädlicher Prozess ausgeführt wird, der nur noch nicht identifiziert ist.


Testangriffe.

Vereinzelt führen Angreifer Testattacken auf ein paar Computer durch, um die Schlagkraft ihrer Angriffsmethode zu überprüfen, oder ob Sicherheitssoftware sie stoppt. Wird die Attacke gestoppt, ändern die Angreifer ihre Taktik und versuchen es erneut. Hacker wissen dann allerdings, dass ihre Zeit begrenzt ist und sie schnell auffliegen können. Deshalb ist es nach erfolglosen Testattacken oft nur eine Frage von Stunden, bis ein weitaus größerer Angriff erfolgt.


Sophos Managed Threat Response.

Genau auf diese Punkte und noch viele andere Indikatoren achtet das sogenannte Threat Hunting and Response als immer wichtigeres Element einer effektiven IT-Security-Strategie Während die zugrundeliegend Technologie Managed Detection & Response (MDR) bislang oftmals Konzernen vorbehalten blieb, lässt Sophos nun auch kleinere Unternehmen dieses Feature realisieren. Der wiederverkäufliche Service bietet Organisationen ein 24/7 verfügbares Sicherheitsteam, um auch hochentwickelte und komplexe Bedrohungen zu neutralisieren. Aufbauend auf Intercept X Advanced mit Endpoint Detection und Reaktion (EDR) fusioniert das Sophos MTR maschinelles Lernen mit Experten-Analyse, um das Auffinden von Bedrohungen zu verbessern, Warnmeldungen gründlicher zu untersuchen und gezielter bei der Eliminierung von Gefahren zu agieren. Die MTR-Funktion lässt sich mit verschiedenen Service-Stufen und Reaktionsmodi individualisieren, um die speziellen Bedürfnisse jeder Organisation zu berücksichtigen. Im Gegensatz zu vielen MDR-Services, die sich auf Monitoring und Warnmeldungen fokussieren, setzt das neue MTR auf schnelle Eskalation und Maßnahmen gegen Bedrohungen, die auf den Präferenzen der Organisation beruhen.