Der Vectra Post-Intrusion-Report Frühjahr 2016

Der Vectra Post-Intrusion-Report Frühjahr 2016

By:
Angela Heindl-Schober
April 22, 2016

Wir freuen uns, Ihnen die dritte Ausgabe des Vectra Post-Intrusion-Reports vorstellen zu können. So viele Berichte die unterschiedlichsten Anbieter für Sicherheitsprodukte auch veröffentlichen mögen: Unser Ansatz bietet etwas Besonderes.

Die meisten Reports aus der Security-Branche befassen sich entweder statistisch mit längst bekannten Bedrohungen (Exploits oder Malware-Typen) oder untersuchen erfolgreiche Verletzungen der Informationssicherheit im Rückblick. Die zuerst genannte Variante liefert Ihnen somit Analysen von bösartigen Vorgängen, die Ihre Perimeter-Sicherheit höchstwahrscheinlich ohnehin blockieren wird, und die zweite greift Angriffe auf, gegen die die existierenden Systeme bisher nichts ausrichten konnten. Anders ausgedrückt: Die einen Reports dokumentieren nur die ersten Schläge eines Kampfes und die anderen konzentrieren sich auf Gegner, die bereits K. o. gegangen sind.

Für Security-Teams liegt die größte Herausforderung aber darin, einen Schlag einstecken zu können und dann doch zu gewinnen! Genau dazu liefert der Post-Intrusion-Report die richtigen Informationen.

Wir bieten Ihnen Einblicke in das, was eigentlich wichtig ist, nämlich die konkrete Abwehr. Unsere Reports zeigen, wie vorausschauend agierende Security-Teams Eindringlinge in Echtzeit enttarnen und Gefahren abwenden, bevor Schaden entsteht. Reale Beispiele aus erster Hand machen deutlich, welcher Techniken sich die Cyber-Kriminellen bedienen, wenn sie sich innerhalb des Netzwerks bewegen. So erkennen Sie das entsprechende Verhalten auch dann, wenn es in Ihrer IT-Umgebung stattfindet.

Angreifer dringen ein, aber werden auf frischer Tat ertappt

Der aktuelle Bericht wertet Daten der ersten drei Monate des Jahres 2016 aus. Er basiert auf Informationen aus 120 produktiv eingesetzten Vectra-Systemen, die die Daten von mehr als 1,3 Millionen Hosts in Netzwerken erfassen. Wie schon in früheren Ausgaben des Reports fanden sich in jedem Netzwerk mindestens einmal Verhaltensweisen, die auf einen zielgerichteten Angriff schließen lassen – darunter das erste Auskundschaften von internen Informationen („Reconnaissance“), „Lateral Movement“ zur Erlangung von Zugriffsrechten und anderen Privilegien und schließlich das Herausschleusen von Informationen („Data Exfiltration“). Genau genommen waren es exakt 97,5 Prozent der Netzwerke, die mindestens eine dieser Vorgehensweisen pro Monat erkennen ließen.

Obwohl Angreifer immer wieder die Perimetersicherheit von Unternehmen überwinden, gibt es auch eine gute Nachricht: Die Mehrzahl der Angriffe wird entdeckt und gestoppt, bevor Schaden entsteht. Fast immer fallen bereits die frühen Schritte der Cyber-Kriminellen auf und nicht erst die späteren in ihrer Handlungskette.

„Command-and-Control“-Kommunikation wurde am häufigsten erkannt, dann folgten Reconnaissance, Lateral Movement und Data Exfiltration. Letzteres war bei Weitem die seltenste Kategorie, sie machte nur 3 Prozent aller festgestellten Aktivitäten aus. Diesen Trend spiegeln auch die absoluten Zahlen wieder: Exfiltration fiel von einem monatlichen Durchschnittswert von 1,82 Fällen pro 1.000 Systeme auf 1,01 Fälle.

Angreifer verhalten sich stiller

In früheren Zeiten nahmen Cyber-Kriminelle an, im attackierten Netzwerk freies Spiel zu haben. Die Ergebnisse dieses Reports lassen allerdings den Schluss zu, dass sich die Angreifer mehr und mehr der Tatsache bewusst sind, unter Beobachtung zu stehen. Deshalb tendieren sie zu weniger auffälligen Techniken und versuchen, den Sensoren im Netz auszuweichen.

Ein gutes Beispiel dafür bietet der Bereich „Lateral Movement“. Während hier im Report 2015 Brute-Force-Attacken noch die Spitzenstellung der angewandten Methoden einnahmen, sind diese jetzt auf Platz drei gefallen. Auffälligkeiten an Kerberos-Clients dagegen stiegen vom dritten auf den ersten Platz.

Auswertungen der Daten von Kerberos-Clients liefern Erkenntnisse über die Authentifizierungs-Infrastruktur im Netzwerk, um verschiedenste Typen des Missbrauchs von Anmeldedaten aufzudecken. Dadurch werden Angreifer sichtbar, die beispielsweise gültige „Credentials“ kompromittiert haben, Pass-the-Hash-Tricks nutzen und auf Kerberos-„Golden-Tickets“ setzen. All diesen Ansätzen ist gemeinsam, dass sie sich nur mit erheblich intensiveren lokalen Analysen aufdecken lassen und deutlich subtiler sind als ein einfacher und lautstarker Brute-Force-Angriff.

Heutige Cyber-Kriminelle werden außerdem immer geschickter darin, ihre Command-and-Control-Kommunikation zu verschleiern. Unsere Studie aus dem letzten Jahr berichtete zum ersten Mal über den Gebrauch von versteckten Tunneln sowohl für Command-and-Control-Verbindungen als auch für Datentransfers.

Der aktuelle Bericht lässt nun einen sprunghaften Anstieg des Gebrauchs dieser Techniken im Command-and-Control-Bereich erkennen. Im vergangenen Jahr fanden sich versteckte HTTP- und HTTPS-Tunnel an der siebten Stelle der meistverwendeten Command-and-Control-Tricks, dieses Mal stehen sie bereits auf dem dritten Platz.

Dies sind nur einige wenige der beachtenswerten Trends aus dem Report – lesen Sie den vollständigen Bericht hier!

{{cta('b447a510-1590-4afe-9be5-4c6ebaec0c86')}}