Der Lebenszyklus eines Cyberangriffs

Bei jeder Gelegenheit starten Cyberkriminelle Angriffe gegen Unternehmen und deren User – oft an wichtigen Feiertagen, wenn die User weniger wachsam und SOC-Teams (Security Operations Center) nicht im Büro sind. Aufsehenerregende Sicherheitsverletzungen, die zu erheblichen Schäden führen, landen schnell in den Schlagzeilen. In diesen Artikeln werden aber selten die sicherheitsrelevanten Ereignisse oder die Abläufe der Angriffe analysiert. Mithilfe genau dieser Informationen könnten jedoch Sicherheits- und IT-Teams ihre Abwehrmaßnahmen optimieren.

Daten als Grundlage für effizientere Präventivmaßnahmen

Unsere internen Sicherheitsexperten von ThreatLabz können über die weltweit größte Security Cloud auf einen kontinuierlichen Strom von Daten, die als Signale bezeichnet werden, zugreifen. Nach deren Analyse teilen sie die Ergebnisse mit der gesamten SecOps-Community. Mithilfe fortschrittlicher Techniken wie KI- und ML-Analysen kann ThreatLabz täglich mehr als 250 Milliarden Bedrohungsindikatoren für unsere Kunden identifizieren und blockieren. Ein Großteil der blockierten Bedrohungen ist zwar bekannt, doch wenn unbekannte Bedrohungen auftreten, verwenden ThreatLabz – und Zscaler-Kunden – die KI-gesteuerte Quarantäne der Zscaler Cloud Sandbox, um diese abzufangen und die Übertragung an User zu verhindern. Angriffsphasen, die sonst auf einem Gerät stattfinden würden, laufen in einer separaten und virtuellen Umgebung ab, die schädliche Verhaltensweisen erfasst und erkennt und alle User unabhängig von deren Standort schützt.

Die gute Nachricht? Viele Cyberangriffe weisen ähnliche Muster auf. Mithilfe der MITRE ATT&CK-Matrix und einer vorausschauenden und kritischen Denkweise kann man den nächsten Schritt eines Gegner antizipieren und die Verteidigungsmaßnahmen in jeder Phase stärken. Um dies besser zu veranschaulichen, versetzen wir uns in die Situation von Alex, einem leitenden Sicherheitsanalysten bei A2Z Health Services, der eine Warnung über ungewöhnliche Aktivitäten im Patientenaktensystem erhalten hat. Nach einer kurzen Analyse wird deutlich, dass ein Angriff auf A2Z gerade im vollen Gange ist – aber es bleibt noch Zeit, weiteren Schaden zu verhindern. Im Folgenden soll der Lebenszyklus des Angriffs näher beleuchtet werden. Außerdem wird besprochen, in welchen Phasen die Sicherheitstools von A2Z hätten eingreifen müssen und in welchen Bereichen es möglicherweise Schwachstellen in der Verteidigung gibt.

Ein Überblick über den Lebenszyklus eines Angriffs

1. Aufklärung

Raffinierte Gegner führen zunächst eine Aufklärungsmission durch, konzipieren eine Kampagne, sammeln wertvolle Informationen und erstellen einen Angriffsplan. Ein gut ausgearbeitetes Schulungsprogramm zur Cybersicherheit kann Mitarbeiter dabei unterstützen, in ihrer Aufmerksamkeit nicht nachzulassen. 

Es ist keine neue Erkenntnis, dass gute Vorarbeit dafür sorgt, dass sich die eigentliche Aufgabe leichter bewältigen lässt – und diese Erkenntnis lässt sich auch auf das Sammeln von Informationen zur Vermeidung von Angriffen anwenden. Eine Gruppe von Angreifern namens Frying Pan hatte A2Z Health Services als nächstes Opfer auserkoren, und Jim, Mitarbeiter im Finanz- und Rechnungswesen, sollte ihr nächstes Ziel sein. Mithilfe von Social Engineering konnte Frying Pan Informationen zur Identität des Opfers wie persönliche E-Mails sammeln.

2. Erstzugriff

Nach der Identifizierung von Zugangsvektoren versuchen die Angreifer, sich den Erstzugriff auf das Netzwerk zu verschaffen. Gängige Techniken wie die Verwendung eines gültigen Kontos können durch eine Zwei-Faktor-Authentifizierung oder wechselnde Passwörter unterbunden werden. Leider wurde eine Spearphishing-Kampagne von Jims E-Mail-Sicherheitstool nicht abgefangen. Um solche Angriffe in Zukunft zu verhindern, kann das Sicherheitsteam um Alex die KI-gesteuerte Quarantäne von Zscaler Cloud Sandbox nutzen, um verdächtige Dateien zu analysieren und zu blockieren, selbst wenn die Malware über HTTPS, ein verschlüsseltes Protokoll, und von einem vertrauenswürdigen Anbieter oder Programm wie Google Drive und Microsoft OneDrive übertragen wird. Da Jim eine E-Mail erhielt, die von einem vertrauenswürdigen Anbieter zu stammen schien, klickte er auf den Link für eine überfällige Rechnung, woraufhin eine Excel-Datei mit einem schädlichen Makro heruntergeladen wurde. Weder der EDR- (Endpoint Detection and Response) noch der Virenscanner erkannten bekannte Signaturen oder Verhaltensweisen.

3. Ausführung

Sobald die Angreifer ins Netzwerk gelangt sind, können sie abhängig von ihren Zielen mehrere Taktiken gleichzeitig anwenden. Frying Pan wollte Malware auf Jims lokalem System ausführen, weshalb das Makro den Download schädlicher Dynamic Link Libraries (DLLs) initiierte, die installiert werden sollten. Robuste EDR- und SIEM-Tools (Security Information Event Management) hätten die laufende Kompromittierung erkannt und die entsprechenden Teams informiert. Wenn Zscaler Internet Access (ZIA) mit Advanced Cloud Sandbox verwendet wird, identifiziert die Inline-Inhaltsüberprüfung unbekannte potenzielle Bedrohungen, analysiert die Inhalte und unterbricht schädliche Verbindungen.

4. Zugriff auf Anmeldedaten und Ausweitung von Berechtigungen

Um weiterhin auf das Netzwerk zugreifen zu können und nicht entdeckt zu werden, benötigen die Angreifer Kontonamen und Kennwörter. Alex und das Sicherheitsteam haben festgestellt, dass Frying Pan die Anmeldedaten der User über Passwortspeicher und Brute-Force-Programme erhalten hat, wodurch die Gruppe schließlich auf einen User mit mehr Berechtigungen und Zugriff auf den Domain Controller stieß. Nachdem sie die Konfigurationen geändert hatten, die Anfragen zur Sicherheitsauthentifizierung verarbeiten und beantworten, konnte sich Frying Pan frei im Netzwerk und in den Systemen von A2Z bewegen. Leider konnte Frying Pan die Zugriffsmanagement- und VPN-Lösungen umgehen und A2Z setzte weder User-to-App- noch Workload-to-Workload-Segmentierung oder Decoys ein, um die Ausbreitung der Infektion zu stoppen.

5. Laterale Ausbreitung

Da sie nun nahezu uneingeschränkten Zugriff haben, können die Angreifer zwischen mehreren Anwendungen, Systemen oder Konten wechseln, um ihr Ziel zu erreichen. Frying Pan verwendete legitime Anmeldedaten anstelle eines eigenen Remotezugriffstools, um sich lateral zu bewegen, und blieb deshalb unbemerkt. Organisationen, die sich auf Firewalls der nächsten Generation (NGFW) oder Netzwerksegmentierung verlassen, sind mitunter häufiger von solchen Vorkommnissen betroffen. 

Nur mit einer Zero-Trust-Architektur lassen sich laterale Bewegungen vollständig unterbinden. Entsprechend dem Leitprinzip „niemals vertrauen, immer überprüfen“ stellt Zscaler Private Access (ZPA) sicher, dass nur authentifizierte User und Geräte mit autorisierten Anwendungen verbunden werden. So gelangen User nie ins Netzwerk, Anwendungen werden niemals im Internet veröffentlicht und bleiben für nicht autorisierte User unsichtbar.

6. Datensammlung und Exfiltration

Ähnlich wie in der Aufklärungsphase suchen und sammeln die Angreifer auch jetzt wichtige Informationen, doch anders als in der ersten Phase sollen die gesammelten Daten für andere böswillige Zwecke wie Erpressung verwendet werden. Cloud Access Security Broker (CASB) mit Data Loss Prevention (DLP) kann hier Abhilfe schaffen und die unkontrollierte Freigabe von Ressourcen verhindern sowie die Datenexfiltration blockieren.

In dieser Phase bemerkte Alex zum ersten Mal verdächtige Netzwerkaktivitäten im Patientenaktensystem: Jemand griff außerhalb der Arbeitszeit von unterschiedlichen geografischen Standorten aus, die unmöglich in der jeweiligen Zeit zu erreichen wären, auf das System zu. Nach einigen weiteren Untersuchungen stellte das Team fest, dass die Exfiltration noch nicht begonnen hatte. Einige Angreifer halten an dieser Stelle inne und lassen sich eine Hintertür offen, um weitere Daten oder geistiges Eigentum zu sammeln und zu stehlen. Alex und das Sicherheitsteam gingen in diesem Kontext von einem Ransomware-Angriff aus, trennten das Patientendatensystem vom Netzwerk und sperrten den Zugriff der betroffenen User. 

Sollte ein Unternehmen nicht auf den laufenden Ransomware-Angriff aufmerksam werden, folgen nach der Datenexfiltration diese Schritte:

7. Installation der Ransomware und Lösegeldforderungen

Ein durchschnittlicher Cyberkrimineller oder eine entsprechende Gruppe erstellen keine eigene Ransomware. Stattdessen arbeiten sie mit Ransomware-as-a-Service-Entwicklern wie LockBit oder Conti zusammen und treten einen bestimmten Prozentsatz der Lösegeldzahlung an sie ab. Auf diese Weise können sich die Cyberkriminellen auf die Suche nach Opfern konzentrieren, während die Entwickler ihr Hauptaugenmerk weiterhin auf ihr „Produkt“ legen können.

Sicherheitsteams haben es heutzutage nicht leicht. Je größer der digitale Fußabdruck eines Unternehmens wird, desto wichtiger ist es, Cyberkriminelle daran zu hindern, Erstzugriff auf das Netzwerk zu erhalten und sich darin lateral fortzubewegen. Möglich ist dies mit dem Patient-Zero- und Inline-Schutz vor Bedrohungen von Zscaler Cloud Sandbox, einem Teil der Zero Trust Exchange. Hier finden sich weitere Informationen dazu, wie die Zero-Trust-Exchange-Plattform umfassenden Schutz während des gesamten Lebenszyklus eines Angriffs bietet.