In letzter Zeit hört und liest man immer häufiger von Hacking-Angriffen, bei denen keine Malware zum Einsatz kommt. Auf der RSA Conference 2015 war das auch unter Sicherheitsexperten ein Thema. Auch Pentester Ed Skoudis unterhielt sich mit uns darüber. Dell SecureWorks schließlich berichtete von Hackern, die „davon leben, was das Land so hergibt“.
In der Blog-Serie zu Penetrationstests haben wir bereits selbst die Erfahrung gemacht, dass effektives Hacking durchaus auch mit vor Ort installierten Tools und Hilfsprogrammen möglich ist.
Der erste Schritt innerhalb der neuen Taktik: eine Phishing-E-Mail, die bereits Tools im Gepäck hat, die automatisch mit dem Hacker Kontakt aufnehmen. Dabei kann es sich beispielsweise um einen Remote-Access-Trojaner (RAT) handeln. Mit relativ geringem Aufwand gelingt es Cyber-Dieben hinter die Firewall zu gelangen und native Anwendungen zu nutzen, um sich im Dateisystem zu bewegen und nach weiteren lukrativen Zielen zu durchsuchen.
SecureWorks hat darauf hingewiesen, dass Hacker häufig das Windows Remote Desktop Protocol (RDP) einsetzen, um auf einen anderen Rechner oder Server zu gelangen. Die Datenexfiltration findet schlicht und einfach per FTP statt.
Auch Tools wie Ncat, PsExec, SSH und PowerShell spielen eine nicht ganz unwichtige Rolle, wenn Hacker ihr potenziell auffälliges Gepäck reduzieren wollen. Solche Tools kann man nicht einfach verbieten, denn IT-Administratoren, Entwickler und Nutzer setzen sie bei ihrer täglichen Arbeit ein.
Benutzen Hacker eine vor Ort installierte Software, hinterlassen sie kaum Spuren. Die neue Generation von Angreifern umgeht die Firewalls (oder verwendet öffentliche Ports) und verhindert so, dass der Angriff von Intrusion-Prevention-Systemen oder Virenscannern erkannt wird.
Natürlich kann man Hackern das Leben mit Zwei-Faktor-Authentifizierung, eingeschränkten Zugriffsrechten für normale Benutzer und strengen Passwortrichtlinien das Leben deutlich erschweren.
SecureWorks empfiehlt allerdings zusätzlich, die Verhaltensweisen der Benutzer zu analysieren. Weichen deren Aktivitäten von den definierten und gewohnten Mustern ab, sollten alle Alarmglocken schrillen. Beispiele sind RDP-Verbindungen zu unüblichen Zeiten oder auch das Anzeigen und Kopieren von Dateien, die dieser bestimmte Nutzer normalerweise nicht für seine tägliche Arbeit braucht.
Varonis-Lösungen basieren schon lange darauf, das Nutzerverhalten zu analysieren. Und zwar bevor das Thema zu einem Trendthema avancierte. Nachdem Angreifer nun dazu übergehen keine oder doch weniger Malware einzusetzen, ist eine Analyse des Nutzerverhaltens unter Umständen vielleicht die einzige Chance, einen Angriff überhaupt zu bemerken! Das sollte man im Hinterkopf behalten wenn man sich daran macht Sicherheitsstrategien zu entwerfen. Für dieses Jahr und darüber hinaus.
The post Malware-freies Hacking und die Folgen appeared first on Varonis Deutsch.