PoS-Cyber-Attacken: Malware oder nicht

PoS-Cyber-Attacken: Malware ist nicht, wofür Sie sie halten

Varonis Blogeintrag von Andy Green

Die Schlagzeilen der letzten Monate haben gezeigt, dass Hacker immer erfinderischer werden, wenn es darum geht, Firewalls zu umgehen und Verkaufsterminals sowie Backend-PoS-Server direkt anzugreifen. Wenn die IT Angreifer nicht daran gehindert werden können durch die Haustür hereinzuspazieren, gibt es dann eine zweite Verteidigungslinie, die den Schaden zumindest begrenzt?

Die Vorgehensweise bei den großen Hacker-Attacken auf PoS-Systeme war relativ einfach. Mithilfe von Phishing oder dem Erraten von Passwörtern gelangten die Angreifer auf den Desktop oder Laptop eines Nutzers. In einem Fall war wohl auch SQL-Injection mit im Spiel. Ebenfalls eine Methode, die sich bewährt hat.

Bei sämtlichen Angriffen dieser Art ist es den Cyber-Kriminellen gelungen, die Penetrationstests und Abwehrmaßnahmen zu umschiffen, für die Unternehmen hunderte Millionen Dollar bzw. Euro ausgegeben hatten.

Wie ich bereits in einem meiner letzten Blog-Einträge erläutert habe, kommt herkömmliche Antiviren-Software mit aktuellen Signaturen nicht mehr hinterher. In manchen Fällen verfügt die Malware über integrierte Tarnfunktionen, an denen grundlegende Strategien zum Aufspüren von Schadprogrammen scheitern.

Doch hinter diesen Attacken verbirgt sich noch mehr.

Die Kunst der Tarnung

Bei der Analyse zahlreicher Fälle aus der Praxis konnte ich beobachten, dass Hacker schon fast reflexartig nach Schwachstellen bei der Authentifizierung suchen, sobald sie in ein Netzwerk gelangen – und zwar mithilfe von Pass the Hash, Rainbow Tables usw.

Der „Data Breach Investigations-Report“ von Verizon liefert harte Zahlen dazu: Bei etwa 80 % der Hacking-Angriffe kommen passwortbasierte Verfahren in irgendeiner Form zum Einsatz.

Die Strategie der Hacker besteht darin, sich die Zugangsdaten möglichst vieler Nutzer unter den Nagel zu reißen. Während sie also ein System durchforsten und von Server zu Server springen, nimmt die Überwachungssoftware sie lediglich als ganz normale Nutzer wahr. Das übergeordnete Ziel: die Zugangsdaten eines Power-Users mit erweiterten Zugriffsrechten zu ergattern und so an die Server mit den wertvollsten Daten heranzukommen.

Aktuell ist die Befehlszeile das bevorzugte Malware-Tool der Hacker: Sie kopieren die Dateien auf einen bestimmten Server, von dem die Kreditkartendaten schließlich entwendet werden (lesen Sie dazu auch unseren Blog-Eintrag zum unbemerkt ablaufenden Export von Daten).

Was genau ist Malware?

Das führt uns zu einem der größten Probleme: Die Grenze zwischen Malware und IT-Software verschwimmt. Einmal erfolgreich im System angekommen verwenden Hacker nicht selten dieselbe Software wie die IT-Sicherheitsteams selbst.

In der Hacker-Trickkiste befinden sich Tools wie PWDump (zum Extrahieren von Hash-Werten), NetView (zum Mappen von Netzwerkverbindungen), Psll (zum Auflisten von Prozessen) und CheckSQL (zum Hacken von SQL-Konten mittels Brute-Force-Attacken). Diese Tools fallen in eine Grauzone und gehören häufig genauso zum Repertoire von Systemadministratoren. Ihre Existenz ist also nicht unbedingt ein Signal dafür, dass ein System angegriffen wurde.

Für Sie heißt das: Wenn Sie Standard-Intrusion-Detection-Systeme zum Aufspüren der oben genannten „Malware“-Liste verwenden verfolgen Sie möglicherweise viele falsche Spuren.

Machen Sie den ersten Schritt

Wie so oft gibt es auch hier unterschiedliche Ansätze, um das Risiko zu minimieren. Wenn die Cyber-Diebe einmal die erste Schutzmauer durchbrochen haben, sehen manche die Situation als ein ganz normales Perimeterproblem – und zwar als ein internes, das sich am besten mit einer besseren Netzwerkarchitektur lösen lässt (d. h. die PoS-Server und -Terminals werden von allem anderen getrennt).

Andere – mich eingeschlossen – sind der Ansicht, dass sich die Sicherheitsmaßnahmen darauf konzentrieren sollten, die Betriebssystemebene zu verteidigen.

In Gesprächen mit Sicherheitsexperten eines Antiviren-Software-Herstellers habe ich festgestellt, dass hinsichtlich einiger Maßnahmen zur Schadensbegrenzung allgemeine Übereinstimmung herrscht.

Nach der Durchsetzung strenger Passwortrichtlinien steht als nächstes auf der To-do-Liste, den Remote-Zugriff auf die Computer normaler Nutzer einzuschränken.

Warum sollte man das tun?

Es geht darum, die Eindringlinge daran zu hindern, sich im Netzwerk zu bewegen. Leider sind die Remote-Desktop-Dienste in vielen Windows-Umgebungen ständig aktiviert, so dass Hacker sie bequem nutzen und sogar über die Befehlszeile starten können.

Das Risiko lässt sich allerdings senken, indem man die Anzahl der Nutzer und Computer, die sich über RDP verbinden können, eingeschränkt. Administratoren können dazu mit dem Gruppenrichtlinienobjekt-(GPO-)Editor zu Windows-Komponenten | Remotedesktop-Sitzungshost | Verbindungen navigieren (siehe Grafik). Zusätzlich sollten sie eine Netzwerkrichtlinie für das Zuweisen von Benutzerrechten konfigurieren. Wie das genau funktioniert, erfahren Sie hier.