Infiltrieren, anpassen, wiederholen: ein Blick auf die Malware-Landschaft von Morgen
Was würden Sie sagen, wenn ich Ihnen erzähle, dass Malware-Angriffe insgesamt zurückgehen, aber dass neue Malware-Varianten auf dem Vormarsch sind? Laut dem Report von SonicWall zu Cyberbedrohungen 2021 sind Malware-Angriffe im Vergleich zu ihrem Höchststand vor drei Jahren gesunken. 2020 verzeichneten sie insgesamt einen Rückgang von 43 %. Das klingt zwar gut, aber SonicWall hat bei neuen und aktualisierten Malware-Varianten, die nicht von herkömmlichen Abwehrmaßnahmen auf der Basis statischer Definitionen erfasst werden, eine Zunahme von 73 % festgestellt.
Angesichts der aktuellen Entwicklung gehen wir von einer Fortsetzung dieses Trends in der nahen Zukunft aus. Aber warum passiert das – und was bedeutet es? Meiner Meinung nach gibt es zwei Gründe für diese aktive Bedrohungslandschaft: die vielen neuen Akteure und die schnellere Entwicklung.
Neue Akteure
Bei der Recherche für meinen RSA-Vortrag über die Art und Weise, wie die jüngste Generation das Hacken lernt, habe ich herausgefunden, dass die Fernsehserie Mr. Robot viele Fans hervorgebracht hat, die alle das Hacken lernen möchten. Diese Hacker setzen sich schon in jungen Jahren mit dem Thema auseinander und verfügen im Vergleich zu vorherigen Generationen über mehr Ressourcen. Es gibt für sie viele sichere Orte, an denen sie ihre Fähigkeiten testen können, z. B. „Hack the Box“, aber im Laufe der Zeit möchten sie ihre neuen Fähigkeiten an echten Unternehmen testen. Die Verantwortungsbewussteren unter ihnen werden anbieten, Penetrationstests durchzuführen, während andere sich lieber mit der Entwicklung von Malware beschäftigen und echte Angriffe starten.
Fast alle neuen Akteure möchten etwas eigenes auf die Beine stellen und herausfinden, wie sie unsere Anti-Malware-Lösung umgehen können. Fast alle, die ich im letzten Jahr interviewt habe, beschäftigen sich mit Ransomware. Das würde erklären, weshalb SonicWall 2020 einen Anstieg von 62 % bei dieser Art von Malware registrierte. Die neu entwickelten Varianten sind erschreckend gut. Die Zeit, als fiktive Charakter als Idole verehrt wurden, ist vorbei. Jetzt gehen die jungen Hacker selbst zum Angriff über. Im Fall von Hildacrypt haben sie anstelle einer eigenen Petya-Version eine Variante entwickelt, die auf die Taktiken der SamSam-Ransomware-Entwickler setzt.
Schnellere Entwicklung
Andere Banden schließen sich mit Hackern zusammen, um Ransomware und andere Arten von Malware mit unterschiedlichen Modulen (z. B. böswillige Bootloader, Runner, Decodierer usw.) zu entwickeln und im realen Einsatz zu testen. Nach einer Angriffswelle rufen sie VirusTotal auf, um nachzusehen, ob ihre Variante erkannt wurde. Sobald sie enttarnt sind, nehmen sie Änderungen am Code vor, damit die verwendeten Dateien andere Hashwerte bilden (Dateien werden von Computern durch Hashing identifiziert). Auch die Leistung einer Variante wird verbessert, um sie effektiver zu machen.
Danach startet der nächste Angriff und der Zyklus wiederholt sich. Zum Beispiel kamen in den ersten Wochen mit größeren WannaCry-Angriffen zahlreiche Versionen heraus. VirusTotal ist in puncto Malware-Erkennung nicht unbedingt der Weisheit letzter Schluss. Da es aber die bekannteste Plattform ist, prüfen Angreifer häufig, wann ihre Varianten registriert werden, was in der Regel zwei bis drei Tage dauert. Danach müssen sie einen Gang zurückschalten. Mit diesen Informationen entwickeln sie neue Umgehungstaktiken, basierend darauf, wer sie zuerst erkannt hat. Anschließend arbeiten sie sich rückwärts weiter und erstellen die Versionen 2, 3, 4 usw.
Im Laufe der Zeit wechseln diese Malware-Entwickler von einem Projekt zum Projekt anderen und bringen ihr Können und ihre Erfahrung bei der Entwicklung neuer Malware-Varianten in neuen Teams ein. Wenn sie selbst ein Problem mit der Erstellung eines Moduls haben oder ihnen die Problembehandlung schwer fällt, gibt es einen aktiven Markt mit günstigen Angeboten, um vorhandene Lücken zu schließen. Heute ist es dank Kryptowährungen einfacher, über Ransomware bezahlt zu werden und dann für Hilfe bei der Entwicklung von Code zu bezahlen. In absehbarer Zukunft werden sich deshalb immer mehr Menschen mit der Entwicklung von Malware beschäftigen. Somit ist auch mit vielen neuen Varianten zu rechnen.
Die Malware der Zukunft stoppen
Das Thema Advanced Persistent Threats geht weit über Ransomware hinaus. Heiß begehrt ist weiterhin, wie auch schon früher, das Herausschleusen von Daten aus Unternehmen. Ich habe immer schon gesagt, dass Sie am besten Ihr Budget für die IT-Sicherheit festlegen können, indem Sie sich selbst fragen, welchen Wert Ihre Daten für Angreifer haben. Viele von uns schützen Daten übermäßig, die für Angreifer keinen großen Nutzen haben, übersehen dabei aber den Schutz anderer wichtiger Daten, die für uns einen geringeren Wert haben. Unsere Kundendaten und unser geistiges Eigentum zählen beispielsweise zu den Dingen, die wir als erstes schützen.
Wenn es darum geht, den Netzwerkschutz zu verbessern, betrachten wir zunächst das Netzwerk, dann die Verbindungen und die Endpoints und schließlich den Pfad in die Cloud.
Ohne jetzt zu sehr ins Detail gehen zu wollen, beginnen wir normalerweise mit der Überprüfung des eingehenden Netzwerkverkehrs. Weil 70 % der Sitzungen heute verschlüsselt werden, überprüfen wir auch diesen Traffic sehr genau. Als Nächstes befassen wir uns damit, wie wir unbekannte Malware scannen, die von herkömmlichen Next-Generation-Firewalls nicht erkannt wird. Sandboxing-Engines gibt es bereits seit 2011. Heute sind sie in der Lage, Malware übergreifend über mehrere Engines zu scannen – auch im Arbeitsspeicher. Bei dateilosen Attacken wählen viele Angreifer diesen Ort als Ausgangspunkt, um zu vertuschen, wie sie in das Netzwerk gelangt sind und um von der Sicherheitssoftware unentdeckt und unbehelligt zu bleiben.
Würden Sie glauben, dass Kunden mithilfe von Capture ATP und Real-Time Deep Memory Inspection (RTDMI) 1.400 bis 1.600 neue Arten von Malware an jedem Geschäftstag ausfindig machen, viele davon mit zahlreichen Umgehungstaktiken?
SonicWall ist seit 30 Jahren im Bereich der IT-Sicherheit führend. Daher haben wir praktisch alles schon gesehen. Wir haben uns von einem Firewall-Anbieter zu einem Unternehmen entwickelt, das eine der weltweit führenden Sicherheitsplattformen anbietet. Wir haben WannaCry bekanntlich drei Wochen, bevor der erste größere Angriff bemerkt wurde, gestoppt. Wir haben verschiedene neue Varianten im Rahmen unserer Forschung gefunden und benannt und entwickeln weiterhin neue und bessere Technologien, um Sie beim Erkennen und Stoppen unbekannter Zero-Day- und neuer Angriffe auf Ihr Netzwerk zu unterstützen.
APT oder die lautlose Bedrohung
Für weitere Informationen lade ich Sie ganz herzlich zu unserem Webcast am 15. Juni ein, mit dem Namen Mindhunter #5: APTs – die lautlose Bedrohung, präsentiert vom Experten für Cybersicherheit von SonicWall, Fabian Freundt.