Cybercrime – ein Rückblick, Einblick und Ausblick
Computer Security Incident Response Teams (CSIRTs) helfen Firmen bei der raschen Bewältigung von Cyberangriffen. Dank derer tiefen Einblicke in die Cybercrime werden so Trends wie Angriffsmuster oder oft genutzte Eintrittstore erkennbar. Ein Rückblick, Einblick und Ausblick auf zwei besorgniserregende Jahre.
Ungesicherte Microsoft-365-Umgebungen oder On-Premise Exchange Server mit Webmail waren 2022 ein lohnendes Ziel für Angreifer – Stichwort «Business E-Mail Compromise». Dabei werden E-Mail-Konten gekapert und beispielsweise Rechnungen gefälscht, um den Zahlungseingang umzulenken. Ein guter Schutz wäre hierbei Multi-Faktor-Authentifizierung. Gleiches gilt für Angriffe über VPNs oder andere Remote-Access-Lösungen. Beliebt war etwa Brute Forcing oder anderweitig erratene, geleakte oder gephishte Passwörter, die dann billig im Darknet gehandelt werden. Weniger verschickt wurden dafür direkt mit Malware verseuchte E-Mails, wobei Malspam und Phishing dennoch beliebte Angriffswerkzeuge waren. Trojaner, die Angreifern eine Hintertür im Netzwerk verschaffen, traten jedoch seltener als Dokument mit Makros oder ZIP-Anhang auf. Angreifer haben die immer besseren Mail-Gateways erkannt, die solche Anhänge blockieren. Stattdessen werden solche «Payloads» auf Plattformen wie OneDrive verschickt inklusive Anleitung, wie das Opfer vorgehen soll. Daher: Security Awareness bleibt zentral, und auch Plattformen wie OneDrive können gefährlich sein.
Wie schon im Vorjahr beschäftigten sich CSIRTs 2022 mit zig Schwachstellen, unter anderem im Microsoft Exchange Server. So wurden viele ungepatchte, via Internet exponierte Systeme ausgenutzt. Neben zusätzlichen Exchange-Lücken waren auch Confluence oder diverse SSL VPN Appliances von Schwachstellen betroffen, die meist automatisiert ausgenutzt wurden. Schnelles Patchen ist somit ein Muss und ein externer Vulnerability Scan wertvoll, um Lücken schnell zu identifizieren. Ausserdem sollten exponierte Systeme auf ein Minimum reduziert werden.
Bedrohliche Cyber-Entwicklungen
Die genannten Themen werden auch 2023 relevant bleiben, doch was kommt Neues? Für einen aufregenden Jahresauftakt in der digitalen Welt sorgte bekanntlich ChatGPT, dessen künstliche Intelligenz gerade sehr gefragt ist:
Die Antwort ist zwar beeindruckend, aber nicht abschliessend. Auf die Liste gehört auch ein Anstieg an Infektionen mit neuen File-Typen, da die alten Pfade inzwischen gut detektiert werden. Aktuell beliebt sind ISO- oder OneNote-Dateien. Besonders ärgerlich: Das Sperren dieser Dateien auf den Mail-Gateways oder Proxies könnte einen Business Impact haben. 2023 wird zudem Malvertising ein wichtigeres Thema. Softwareprodukte wie 7zip oder TeamViewer werden auf perfekt gefälschten Websites zum Download angeboten – inklusive Trojaner. Für maximale Reichweite werden gar Google Ads geschaltet.
Malware wurde bisweilen meist in C, C++ oder .Net entwickelt. Neuere Malware kommt hingegen auch in jüngeren Sprachen wie Rust oder Go daher. Detektionsmechanismen sind dafür jedoch noch nicht ausgereift und auch Malware Reverse Engineering ist nur beschränkt möglich. Ein weiterer Trend gilt «legitimer» Software für Remote Access und Verschlüsselung. Schon 2022 wurden Fälle registriert, bei denen Angreifer komplett ohne Einsatz von Malware agierten. Dazu nutzten sie Windows-Bordmittel wie RDP für Lateral Movements und legitime Remote-Access-Lösungen wie AnyDesk oder Splashtop. Verschlüsselt wurde mit Disk-Verschlüsselungssoftware wie VeraCrypt oder Bitlocker. Angesichts dieser Entwicklung ist die Wahl der Software und das Untersuchen von Abweichungen elementar, denn hier gibt es keinen Viren-Alarm.
«Letztlich sind die Kriminellen auch bezahlende Werbekunden»
Welchen Einfluss hat die Programmiersprache auf ein Schadprogramm? Und weshalb verfügen Cyberkriminelle neuerdings über Werbebudgets? Stefan Rothenbühler, Principal Cyber Security Analyst bei Infoguard, gibt einen Einblick in aktuelle Cybercrime-Trends. Interview: Coen Kaat
Welchen Einfluss hat die Programmiersprache auf die damit entwickelte Malware?
Stefan Rothenbühler: Der Prozessor eines Computers versteht nur ein stark eingeschränktes Repertoire an Befehlen, sogenannte Assembler-Anweisungen. Diese Befehle beinhalten sehr rudimentäre logische und arithmetische Funktionen sowie Funktionen zum Programmfluss. Früher wurden Computerprogramme aufwendig in Assembler geschrieben. Dann kamen Hochsprachen. Dabei übersetzt ein Compiler die Befehle der Hochsprache in Assembler. Als Malware Analysts sehen wir aber nur den Maschinen- respektive Assembler-Code des bereits übersetzten Programms. Die Art und Weise, wie sich aufgrund dieser Instruktionen wieder einigermassen lesbarer Code herstellen lässt, unterscheidet sich stark zwischen den Programmiersprachen.
Wie unterscheiden sich herkömmliche C-, C++- oder .Net-Malware von neuerer, in Rust oder Go verfasster Malware?
Bei C-, C++- oder auch .Net-Malware kennen wir die Übersetzungsmechanismen so gut, dass wir aufgrund der verwendeten Standardbibliotheken von Windows ziemlich genau rekonstruieren können, was eine Malware macht. Auch Antiviren-Software, die nach schädlichem Verhalten detektiert, macht dies vorwiegend aufgrund von Funktionsaufrufen in Standardbibliotheken. Neuere Programmiersprachen wie Go oder Rust haben eigene Bibliotheken, bei denen der Kompilierungsprozess komplexer ist und somit der ursprüngliche Code, welcher der Malware-Autor geschrieben hat, nur sehr kompliziert wiederhergestellt werden kann.
Wie nutzen Cyberkriminelle Google Ads, um ihre Schadprogramme zu verbreiten?
Jede Person, die ein paar hundert Dollar in die Hand nimmt, kann auf Google Werbung zu bestimmten Keywords schalten. Cyberkriminelle kaufen sich so Keywords wie «TeamViewer Download» oder «Herunterladen WinZip» und lassen für diese Anfragen ihre gefälschten Webseiten anzeigen. Dies wurde vergangenen Sommer für bekannte Schweizer E-Banking-Seiten gemacht, um Zugangsdaten zu stehlen, und aktuell erneut, um Schadprogramme zu verteilen. Google hat das Problem mittlerweile erkannt und versucht, für Werbung eine Content-Moderation zu etablieren. Letztlich sind die Kriminellen aber auch bezahlende Werbekunden. Wie gross die Bemühungen wirklich sind, gegen solche Werbung vorzugehen, wird die Zukunft zeigen.
Woran lassen sich diese gefälschten Angebote in den Google-Suchresultaten erkennen?
Bei Werbung ist dies relativ einfach. Diese wird bei Google immer vor den eigentlichen Suchresultaten angegeben. Bei deutscher Spracheinstellung steht «Anzeige» in fetter Schrift. Hier ist also Vorsicht geboten. Helfen kann der Einsatz von Werbeblockern. Zusätzlich gibt es manchmal bei der beworbenen Webseiten-URL Erkennungsmerkmale wie ungewöhnliche Top-Level-Domains, etwa «.xyz» oder Schreibfehler wie «WinRarr».
Was sollten Schweizer KMUs jetzt tun, um ihre IT-Security nachhaltig zu verbessern?
Wo früher stark auf den Schutz der eigenen Infrastruktur durch Firewalls und Patching – sogenannte präventive Security – gesetzt wurde, muss heute ein Schritt weitergegangen werden. Es stellt sich nicht die Frage, ob Unternehmen gehackt werden, sondern wann. Deshalb reichen präventive Massnahmen nicht aus – Detektion und die erfolgreiche Abwehr von Cyberangriffen sind gefragt. Dies geschieht beispielsweise durch den Einsatz von Endpoint-Detection- und Response-Lösungen, um Angriffe frühzeitig detektieren zu können, oder durch die vorzeitige Auswahl eines Partners, der einem bei einem Angriff zur Seite steht, etwa in Form eines Incident Response Retainers.