Studie über Angriffstechniken im Cyberraum

30.06.2016

Die weltweite erste Studie über Angriffstechniken im Cyberraum von LightCyber zeigt Handwerkszeug der Hacker

Der Cyber Weapons Reports 2016 verdeutlicht, dass in der Regel keine Malware zum Informationsdiebstahl, sondern Administrations- und Fernwartungstools eingesetzt werden

LightCyber, führender Anbieter für Behavioral Attack Detection, stellt heute die Ergebnisse des Cyber Weapons Reports 2016 vor. Der Bericht ist der erste seiner Art und zeigt die meistgenutzten Tools von Cyberkriminellen. Die Untersuchungen zeigen, dass in 99 Prozent der Fälle die Angreifer nach der Penetration der Netzwerke nicht auf Malware zur Aushöhlung und Abtastung der Netzwerke zurückgreifen.

In der Regel nutzen die Hacker Standardprogramme für Sicherheitseinbrüche und den Diebstahl von Informationen. Administrationstools und Netzwerkprogramme kommen zum Einsatz, nachdem der Angreifer sich unbemerkt Zugang zum Netzwerk verschafft hat. Schädlinge dienen als Hilfsmittel beim Einbruch in das Netzwerk, kommen aber nach dem Eindringen nicht mehr zum Einsatz.

Spitzenplätze nehmen zum Beispiel Tools wie Angry IP Scanner und Nmap ein. Beide Programme sind keine Schädlinge, können aber für Angriffe missbraucht werden. Angreifer nutzen sie für „low and slow“-Attacken, wobei diese nur als Verhaltensanomalien erkannt werden können. Im Gegensatz zu bekannter Malware können solche Programme lange Zeit im Netzwerk nach Daten wühlen, ohne durch klassische Threat Intelligence entdeckt zu werden. Verschiedene Berichte sehen daher eine durchschnittliche Detektionszeit von fünf Monaten.

Einmal im Netzwerk muss der Hacker das Netzwerk kennenlernen und tastet es nach Ressourcen und Schwachstellen ab. Die größte Aktivität legt er dabei während dieser Aufklärungsphase an den Tag. Auch in der lateralen Bewegung und der Comand & Control Kommunikation sind viele Aktionen der Angreifer besonders aktiv.

„Der Cyber Weapons Report lässt uns in einer noch nie da gewesen Form erkennen, dass Malware nicht das Mittel der Wahl für Angreifer ist, nachdem sie in Netzwerke eingedrungen sind,“ sagt Jason Matlof, Executive Vice President bei LightCyber. „Die IT-Sicherheitsbranche ist besessen von Malware, obwohl die Realität anders aussieht. Die vielen Sicherheitseinbrüche und Informationsdiebstähle zeigen, dass klassische IT-Sicherheitsansätze auf Basis von Schädlingserkennung nicht mehr ausreichend sind. Wir müssen neue Technologien entwickeln, um aktive Cyberangriffe zu erkennen.“

Grundlage der Studie sind Informationen aus über 100.000 Endpunkten weltweit. Sie wurden über sechs Monate in Organisationen unterschiedlicher Größe mit 1.000 bis 50.000 Endgeräten gesammelt. Dabei waren verschiedene Branchen wie Finance, Logisitk, Governance, Healthcare, Telekommunikation und Forschung vertreten.

Die Netzwerkaktivität wurde auf Basis der LightCyber Magna™ Behavioral Attack Detection Plattform analysiert. Dies erlaubt eine automatische Erkennung von Prozessen in Verbindung mit Anomalien im Netzwerk. Ausführbare Dateien werden automatisch zur Prüfung in das Magna Cloud Expert System geleitet.

Weitere Key-Findings:

• SecureCRT, ein SecureShell (SSH) und Telnet-Client führt die Liste der eingesetzten Administrationstools an und wurde in 28,5 Prozent aller Angriffe eingesetzt. Das Programm viel auf, nachdem es immer wieder in Verbindung zu verdächtigem Verhalten wie Fernzugriffe, Erstellung neuer Administrationskonten und Umkehrung von Verbindungen (Remote Shell) stand.
• Das populärste Programm für Fernzugriffe ist TeamViewer, ein Tool das aus der Cloud oder lokal gehostet werden kann, um Remote Desktop Zugriff oder Web Konferenzen zu ermöglichen. Es wurde in 37,2 Prozent der Fälle entdeckt und tritt häufig in Verbindung mit Command and Control Aktionen (Tunneling) und ungewöhnlicher Netzwerkbewegungen auf.
• Angreifer setzen auch Enduser-Programme wie Browser, File Transfer Clients oder native Systemprogramme ein, um Command and Control und Datendiebstähle zu ermöglichen. Die einfachste Applikation in den falschen Händen birgt ein großes Risiko und kann für bösartige Aktionen eingesetzt werden.

Über LightCyber
LightCyber ist ein führender Anbieter von Lösungen für verhaltensbasierte Angriffserkennung, die präzise und effizient Aufschluss über Angriffe geben, bei denen die traditionellen Sicherheitskontrollen versagen. Die LightCyber Magna™ Plattform ist das erste Sicherheitsprodukt, das Kontext zu Benutzern, Netzwerken und Endpunkten integriert, um ein breites Spektrum von Angriffsaktivitäten aufzudecken. Das 2012 gegründete Unternehmen wird von hochkarätigen Experten für Cyber-Sicherheit geleitet. Seine Produkte werden bereits mit Erfolg von Top-Tier-Kunden weltweit eingesetzt, die in den verschiedensten Sektoren tätig sind, darunter Finanzwesen, Rechtswesen, Telekommunikation, Behörden, Medien und Technologie.