Dezente Methoden für Netzwerk-Spionage
Report deckt auf: Hackerangriffe werden immer unauffälliger
Gebrauch von verdeckter Kommunikation und anderer ausgefeilter Methoden steigt
Vectra Networks stellte die Ergebnisse ihres "Post Intrusion Report" vor. Die Studie befasst sich mit realen Praxisfällen, in denen Cyberkriminelle die vorhandene Perimeter-Abwehr umgangen haben, und analysiert die Aktivität von Hackern, nachdem diese ins Netzwerk eingedrungen sind. Im Rahmen der Untersuchung wurden die Daten von 120 Vectra Kunden-Netzwerken und von mehr als 1,3 Millionen Hosts im Verlauf des ersten Quartals 2016 analysiert. Das vorliegende Datenmaterial war damit dreimal größer als im letzten Report, bei dem die Experten die Daten von 40 Kunden ausgewertet haben.
Bei 117 der 120 teilnehmenden Firmen wurde im zwölfwöchigen Erhebungszeitraum jeden Monat mindestens einer der folgenden gezielten Hackerangriffs-Methoden und Verhalten identifiziert: Internes Auskundschaften, laterale Bewegungen sowie Datenklau. Trotz der Tatsache, dass rund 98 Prozent der Unternehmen betroffen waren, beobachteten die Forscher weniger weit fortgeschrittene Angriffe, die bis zur Daten-Exfiltration führten. So wies dieser letzte Schritt ganz am Ende eines Angriffs, mit nur drei Prozent naturgemäß den niedrigsten Wert auf.
"Dieses Ergebnis verdeutlicht, dass Security-Teams, die sich auf die aktive Phase eines Hacker-Angriffs konzentrieren, das Risiko eines Datendiebstahls erfolgreich verringern können", erklärt Günter Ollmann, CSO bei Vectra Networks. "Sie können dadurch schneller reagieren und Angriffe stoppen, bevor sensible Daten aus dem Netzwerk abfließen und ein größerer Schaden entsteht."
C&C Methoden und verdeckte Kommunikation auf dem Vormarsch
Die Forscher kamen außerdem zu dem Ergebnis, dass nicht nur die Command-and-Control (C&C) Angriffe mit einem Gesamtanteil von 67 Prozent aller identifizierten Angriffe zunehmen. Außerdem ist auch der Gebrauch von http und HTTPS bei verdeckter Kommunikation für Command-and-Control-Angriffe auf dem Vormarsch. Professionelle Hacker nutzen vermehrt HTTP und HTTPS (C&C), um versteckte Nachrichten zu übermitteln und Daten innerhalb von Protokollen zu stehlen, die normalerweise von Firewalls am Perimeter nicht blockiert werden.
Es lässt sich festhalten, dass HTTP- und HTTPS Tunnel 7,6 Prozent aller Command-and-Control-Angriffe ausmachen und somit zu den drei häufigsten C&C-Techniken überhaupt zählen. In Relation zur Anzahl der beobachteten Hosts haben die Forscher hier keine Trendwende verzeichnet. Gleichzeitig machten die Hacker vermehrten Gebrauch von versteckten C&C-Tunnel. Diese wurden in der aktuellen Untersuchung durchschnittlich 4.9 Mal pro 1000 Hosts offengelegt, während es im vergangenen Post Intrusion Report 2.1 Mal, also gerade einmal halb so oft, der Fall war.
Angreifer wählen öfter dezentere Methoden für Netzwerk-Spionage
Laterale Bewegungen, die Hacker ein umfassendes Spionieren zum Sammeln von Daten ermöglichen, sind 2015 von 34 Prozent auf rund 8,6 Prozent besonders signifikant gefallen.
Haben sich Angreifer erst einmal Zugang ins Firmennetzwerk verschafft, verhalten sie sich immer unauffälliger. In Bezug auf die lateralen Bewegungen ist die Verwendung von Brute-Force-Angriffe - im vergangenen Jahr die beliebteste Methode schlechthin - stark gesunken. Gleichzeitig stieg das vorsätzlich falsche Ausgeben als Kunde des Authentifizierungsdienstes Kerberos im Jahr 2015 auf 36,3 Prozent und macht damit mehr als ein Drittel aller lateralen Bewegungen aus.
"Da Brute-Force-Techniken sehr auffällig sind, greifen erfahrene Cyberkriminelle zunehmend auf andere Methoden zurück. So bevorzugen sie Techniken, die sich unauffällig innerhalb des zulässigen Traffics bewegen und bei denen Fehlermeldungen eher selten auftreten", so Ollmann. "Unsere Analyseergebnisse verdeutlichen, dass das Ausnutzen von offengelegten Schwachstellen bei Kerberos sowie die Anwendung neuartige Angriffsmethoden, die eine automatische Datenverwertung ermöglichen, heutzutage zum Standardrepertoire von Hackern gehören", führt Ollmann weiter aus. "Wenn erst einmal geeignete Kerberos Schlüssel erstellt und Verwaltungs-Accounts gehackt worden sind, können andere Hosts innerhalb des infizierten Netzwerks einfach und automatisch miteinander verbunden werden." (Vectra Networks: ra)
eingetragen: 29.04.16
Home & Newsletterlauf: 25.05.16
Vectra Networks: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.