Welche Antivirenlösung schützt am besten vor Ransomware? – Keine! Und trotzdem: Niemand muss verschlüsselt werden!

von

Lesezeit: Minuten ( Wörter) | Seitenaufrufe: 571

Die Frage nach einer geeigneten Endpoint-Protection-Lösung zum Abwenden von Schäden durch aktuelle Bedrohungen ist nachvollziehbar und wird von Sicherheitsverantwortlichen oft und regelmäßig gestellt. Meine intuitive Antwort als Penetrationstester wäre „keine“ und als strategischer IT-Security Consultant „es ist kompliziert“. Tatsächlich könnte man jedoch ebenso Fragen: „Welcher Rauchmelder hilft am besten gegen Brandbeschleuniger?“

Quelle: “On Fire”, 2013 KC Green

Der Versuch einer einfachen Antwort auf beide Fragen kann zumeist als unseriös betrachtet werden - während die Fragestellung offenbart, dass die konkreten Abläufe (Brandstiftung) und Wirkbereiche von Schutzmaßnahmen (Rauch-Detektion) häufig nicht bekannt sind oder aus dem Kontext gerissen werden.

Kurzum: Auf falsche Fragen kann es keine richtigen Antworten geben, die über reines Marketing hinaus gehen. Deshalb zeige ich in den folgenden Abschnitten die Grundlagen für die richtigen Fragen auf – und gebe sogar ein paar Antworten.

Wie funktioniert ein Angriff wirklich?

Angriffe, wie im Falle von Ransomware-Kampagnen, erfolgen fast nie automatisiert, sondern beinhalten zu signifikanten Teilen manuelle Angriffstätigkeiten. Typische Angriffstaktiken und -Techniken sind im Rahmen des Projekts MITRE ATT&CK (https://attack.mitre.org) dokumentiert. Diese Angriffstätigkeiten lassen sich weiter in einzelne iterative Phasen gruppieren, die oft in sogenannten Kill-Chain- oder Attack-Chain-Modellen dargestellt werden:

Quelle: Unified Kill Chain von Paul Pols, Fox-IT & Leiden University

Diese Phasen, in der Abbildung dargestellt durch drei Schleifen, sind vereinfacht zusammengefasst: Intrusion, Propagation und Endgame.

Üblicherweise kommt dabei nicht eine „einzelne Schadsoftware“ zum Einsatz, sondern es werden im Angriffsverlauf unterschiedliche Schadsoftware-Tools und vorhandene Mechanismen der angegriffenen Umgebung selbst in Kombination eingesetzt.

Das Durchlaufen der gesamten Angriffskette erstreckt sich oft über mehrere Tage bis Wochen und in Einzelfällen Monate. Auch finanziell motivierte Akteure arbeiten zunehmend professionalisiert und arbeitsteilig, wodurch jeweils unterschiedliche Personen oder sogar ganze Gruppen für die Umsetzung einzelner Teilbereiche zuständig sind. Die beobachteten Angriffe sind damit durch Spezialisierung auf einzelne Angriffsphasen oder -Taktiken sehr effektiv und besitzen gleichzeitig eine große Breitenwirkung durch Parallelisierung von Kampagnen auf mehrere Opfer-Organisationen.

Die exemplarischen Charakteristika der einzelnen Angriffsphasen sind wie folgt:

Intrusion (Dauer Sekunden bis Minuten, teilautomatisiert)

  • Die Intrusion wird durch z.B. Phishing-Kampagne vorbereitet, die einen oder mehrere Nutzer zum Ausführen von Schadcode verleiten soll (Social Engineering, Initial Access).
  • Nutzer führt Schadcode aus (Execution).
  • Der Schadcode versucht sich ggf. im System zu verankern, um einen Neustart zu überleben (Persistence) oder lädt automatisiert weiteren Schadsoftware nach.
  • Die Schadsoftware (C2-Implant) baut einen Kommunikationskanal nach außen auf und übermittelt dabei ggf. Daten wie z.B. Nutzername, Domain, Berechtigungen, Windows-Version und AV-Produkte. Dieser Kommunikationskanal wird periodisch zum Abrufen neuer Aufgaben vom Angreiferserver genutzt (Command & Control, C2).
  • Das System steht somit unter der Kontrolle des Angreifers und dient zunächst als Brückenkopf in die Umgebung.

Propagation (Dauer Tage bis Wochen, überwiegend manuell)

  • Aus Angreifersicht erfolgt zunächst eine Bestandsaufnahme der Umgebung (Discovery). Dafür werden oft weitere Angriffstools nachgeladen (als Datei, z.B. AdFind oder auch direkt In-Memory durch z.B. via Powershell und .NET-Assemblies), es erfolgt jedoch auch die Nutzung von Bordmitteln des Systems (z.B. net user, WMI, cmd.exe).
  • Sofern administrative Berechtigungen erlangt werden können (Privilege Escalation), werden bereits auf dem „Brückenkopf-System“ Klartext-Zugangsdaten oder Hashes ausgelesen (Credential Access, z.B. via Mimikatz).
  • Es erfolgt anschließend die gezielte Ausbreitung (Lateral Movement,B. via RDP, PSexec, WinRM). “Unterwegs” werden beim Springen zwischen den Systemen iterativ weitere Zugangsdaten von Nutzern eingesammelt, die mit höheren Berechtigungen Zugriff auf weitere Systeme oder Ressourcen gewähren:
    • Lateral Movement à Privilege Escalation à Credential Access à Repeat
  • Es werden zusätzliche strategische Systeme mit C2-Implants infiziert, um alternative Zugriffspfade in die Umgebung zu sichern.
  • Sobald der Angreifer die Kontrolle zu den gewünschten Zugriffsberechtigungen ausgeweitet hat (Access, z.B. Domain-Administrator-Berechtigung), ist die Propagation-Phase abgeschlossen.

Endgame (Dauer Stunden bis mehrere Jahre, manuelle Tätigkeiten, ggf. periodische Aktivitäten)

  • Der Angreifer besitzt jetzt alle erforderlichen Zugriffe und ist mit der Umgebung hinreichend vertraut (Administrationspraxis, Schutzmaßnahmen, Standort missionsrelevanter Ressourcen/Daten).
  • Bei langfristigem Zugriff finden ggf. „Maintenance“-Aktivitäten statt: Regelmäßiger erneuter Abruf von Benutzerzugangsdaten und Überwachung von Detektionsmechanismen und -Prozessen (z.B. Logging, Admin-E-Mailverkehr)
  • Zu einem für den Angreifer günstigen Zeitpunkt erfolgt die Umsetzung der eigentlichen Missionsziele:
    • Sammeln und Ausleiten von Geschäftsgeheimnissen oder anderen sensiblen Informationen (Collection, Exfiltration).
    • Verdeckte Manipulation oder gezielte Sabotage (Target Manipulation).
    • Kombination in Form von Erpressung durch Verschlüsselung und zusätzlich Veröffentlichung ausgeleiteter Daten. In mehreren Fällen wurde unmittelbar vor dem finalen Ausrollen der Verschlüsselungs-Schadsoftware die Deaktivierung von Gegenmaßnahmen (wie Endpoint Protection) beobachtet, um einen größtmöglichen Effekt zu erreichen.
    • Nutzung des Zugriffs als Türöffner zur verdeckten Kompromittierung oder Schädigung Dritter, z.B. Partnerunternehmen oder Kunden (Supply Chain Attack).
    • Weiterverkauf des Zugriffs an Meistbietende (vor allem geopolitische Akteure wie Nachrichtendienste).

Der wichtigste Punkt: Aktivitäten wie Verschlüsselung bzw. Ransomware-Ausführung befindet sich zumeist am Ende einer typischen Attack Chain innerhalb der Endgame-Phase. Zu diesem Zeitpunkt befindet sich der Angreifer in den meisten Fällen bereits seit Wochen oder Monaten in der Umgebung und hat diese unter vollständiger Kontrolle.

Diese Tatsache bedeutet außerdem:

  1. Die Angriffsaktivitäten wurden vorher nicht detektiert, d.h. vorhandene Detektions- und Verteidigungsmechanismen wie Antivirus waren im Ergebnis unwirksam gegenüber allen bereits erfolgreich durchgeführten Angriffsaktivitäten – einschließlich der Übernahme der gesamten Windows Domain und dem unbemerkten Ausleiten von geschäftskritischen Daten im Umfang von Terabytes.
  2. Sollte die Endpoint-Protection-Lösung dennoch ein mögliches Problem für die Angreifer darstellen können, z.B. um etwaige Verschlüsselung zu identifizieren, lässt sie sich Dank der DA-Berechtigungen einfach deaktivieren.

Inkl. anderer Schutzmechanismen.

Auf allen Windows-Geräten.

Per GPO.

GAME OVER.

Virenscanner finden normalerweise Viren, oder? Nein, tun sie nicht!

Weshalb hat die AV-Lösung eigentlich bereits vorher versagt? Dafür bräuchte ich vermutlich einen separaten Blogpost, aber die Kurzversion ist: Aus Pentesting- und Red-Teaming-Erfahrung kann ich sagen, dass sich die meisten AV/EDR-Lösungen mit einfachem bis moderatem Aufwand umgehen lassen und die Anbieter auch nur mit Wasser kochen. Diese Erkenntnis gibt es nicht nur in der Pentester-Community - zu dem Ergebnis kommen vermehrt auch andere:  https://www.mdpi.com/2624-800X/1/3/21

Führt man sich außerdem die Endgame-Phase der Attack-Chain vor Augen, ist es offensichtlich, dass Endpoint-Protection an dieser Stelle kaum mehr relevant ist. Oder - um damit zum Anfangs gestellten Vergleich zurückzukommen und ihn vollständig ad absurdum zu führen: Welcher Rauchmelder löscht am besten Feuer, wenn das gesamte Haus in Flammen steht und jemand die Batterie rausgenommen hat?

Wie schütze ich mich wirksam vor Ransomware?

Im Gegensatz zum Titel dieses Posts handelt es sich hier um eine deutlich bessere Frage – es geht jedoch nicht nur um „Ransomware/Erpressung“, sondern jegliche Form von geschäftskritischen Folgeschäden durch Angriffe.  Das zuvor beschriebene bedeutet nicht, dass Endpoint-Protection vollkommen nutzlos wäre, sondern dass der Nutzen einer solchen Endpoint-Protection-Lösung im Kontext einer umfassenden Sicherheitsstrategie zu sehen ist. Dazu gehört auch, die Wirkbereiche und Grenzen einer solchen Lösung einzuordnen. Basierend auf IR-, Pentesting- und Red-Teaming-Erfahrung darf keinesfalls davon ausgegangen werden, dass ein Endpoint-Protection-System reale Angriffe reproduzierbar erkennen oder sogar verhindern könnte. Es ist stattdessen ausschließlich als ein zusätzlicher Detektionsmechanismus zu sehen, welcher als weiterer Security-Baustein in manchen Fällen einzelne Angriffsartefakte identifizieren und u.U. behindern kann – was idealerweise den Anstoß liefert, das betroffene System forensisch zu untersuchen und die bisher verdeckten „erfolgreichen“ Angriffsaktivitäten festzustellen.

Die Sicherheit einer Umgebung basiert grundlegend auf den Bereichen Protection, Detection und Recovery. Wichtig ist, dass diese Bereiche untereinander in aufsteigender Abhängigkeit stehen:

Protection
• Allgemein Prävention, Härtung und Resilienz
• Reduktion von Angriffsflächen durch z.B. Patching, Härtung und Whitelisting-Ansätzen
• Eingrenzen von Schadwirkung durch z.B. Netzsegmentierung und Berechtigungsarchitektur
• Regelmäßig getestete Backups
• Ebenso validierte Disaster-Recovery-Strategie
• Proaktive Tests und Kontrollen, z.B. Penetration Testing, Red Teaming, Phishing-Simulationen, Schwachstellenscans
• Richtlinien und Prozesse zur Einhaltung grundlegender Security-Standards
• Definition von Verantwortlichkeiten, Notfallkommunikationstechnik, Koordination und Entscheidungsfindung sowie Prozessen, um Security-Incident auszurufen
• Test und Übung von Notfallmaßnahmen

Detection
• Monitoring der Netzwerkkommunikation, IDS/IPS, Proxyfilterung
• Anlassunabhängige Suche nach Angriffsartefakten (Threat Hunting)
• Erfassen relevanter Logs über ausreichenden Zeitraum (z.B. Security-Logs, Powershell-Transcripts, AV)
• Platzieren von Fallen zur Früherkennung (z.B. Canary-Tokens, Honeypots)
• Endpoint-Protection/AV/EDR
• Event-Zentralisierung und deren durchgehende Auswertung
• Fortwährende Weiterentwicklung der Detection-Capability für neue Gefahren

Recovery
• Bereits vor Sicherheitsvorfällen: DFIR-Ansprechpartner, Retainer-Verträge, Vorhalten notwendiger Hard & Software, Training von Personal, vorbereitete Checklisten
• Incident Response: Durchführen von möglichst frühzeitigen Containment-Maßnahmen, Isolierung, Beweissicherung
• Forensische Auswertung des sichergestellten Materials, um iterativ weitere Schäden zu identifizieren und notwendige Containment- und Beweissicherungsmaßnahmen einzuleiten
• Kontinuierliche Lagebewertung, Priorisierung und Krisenkommunikation
• Umsetzung Disaster Recovery
• Lessons Learned

Defizite im Protection-Bereich erschweren die Detection durch zu hohes Grundrauschen und begrenzen die Schadwirkung unzureichend. Eine ineffiziente Detection erhöht Schäden und Recovery-Aufwände im Incident-Fall, da eine Erkennung erst deutlich später erfolgt – mitunter bei existenzbedrohenden Auswirkungen auf Geschäftsprozesse. Dies wird vor allem dadurch verstärkt, dass es oft keine wirksame Detektion existiert und deshalb erst durch Hinweis Dritter (oder Verschlüsselung) eine bereits lang bestehende Kompromittierung aufgedeckt wird. Resultierende ineffektive Recovery-Tätigkeiten führen zu langwierigen Aufklärungs- und Instandsetzungsprozessen mit weiterhin einhergehenden Ausfällen, die teilweise wirtschaftlich nicht lösbar sein können und die Fortexistenz bedrohen. Aus dieser Überlastsituation folgt oft auch, dass die Vorfallsbearbeitung nur bis zur Wiederherstellung der grundlegenden Arbeitsfähigkeit geführt wird, während der Sicherheitsvorfall nicht abschließend aufgearbeitet ist und keine erhebliche strukturelle Verbesserung eintreten kann. Stattdessen führt eine weiterhin gelebte unsichere Praxis erneut zu erheblichen Sicherheitsvorfällen in der Zukunft.

Niemand muss verschlüsselt werden!

Nach meiner persönlichen Erfahrung und der resultierenden subjektiven Einschätzung wären alle Fälle von Verschlüsselung und Erpressung (oder generell geschäftskritische Auswirkungen von IT-Angriffen) vermeidbar gewesen, sofern man mit entsprechendem Bewusstsein, moderatem Aufwand und geeignetem Budget im Vorfeld entsprechende organisatorische und technische Maßnahmen ergriffen hätte - es hätte sich mehr als gelohnt, denn die Folgekosten der Schäden gehen deutlich über die notwendigen Investitionen in Prävention hinaus.

Die Erwartung, durch die Wahl einer bestimmten Endpoint-Security-Lösung bestimmte Arten von Sicherheitsvorfällen ausschließen zu können, passt – abseits von Marketing-Slides – nicht zur Realität der IT, ist aber gleichermaßen symptomatisch für die gelebte Cybersecurity-Praxis. Im Vergleich würde jedoch niemand auf die Idee kommen, ein Brandschutzkonzept lediglich auf Rauchmelder zu reduzieren – es ist vielmehr ein Komplex aus konzeptioneller Planung, Vermeidung von Ursachen, Isolation in Brandabschnitte, unterschiedlichsten Detektionsmechanismen, Bereitstellen und Umsetzen von Gegenmaßnahmen, Kommunikation, effektiver Alarmierung, professioneller Hilfe oder auch Beschilderung, Fluchtwegen und vielem mehr.

Ziel sollte es deshalb sein, proaktiv auf den Ernstfall vorbereitet zu sein und ein Bewusstsein dafür zu entwickeln, wie derartige Szenarien – auch aus Angriffsperspektive – funktionieren. Es ist dabei hilfreich, den Eintritt von Sicherheitsvorfällen als unvermeidbar anzunehmen, um so den notwendigen Fokus zu schaffen: Denn die Rahmenbedingungen für den Ernstfall können dann durch vorherige Maßnahmen nicht nur positiv beeinflusst, sondern vielmehr aktiv gestaltet werden: Angreifer an Tag 1 mit leeren Händen wieder rauszuschmeißen, das defekte Schloss kurz auszutauschen und sich wieder dem normalen Tagesablauf zu widmen, ist durchaus eine realistische Perspektive – sofern man die Voraussetzungen dafür schaffen will.

Über den Verfasser

Clemens Rambow (OSCP, OSCE, OSWP, BSc. Computer Science) ist als Offensive Security Architect in unserer Abteilung Technical Security Services tätig.

Neben der Umsetzung und Weiterentwicklung von Pentesting-Dienstleistungen liegen die Kompetenzschwerpunkte von Herrn Rambow insbesondere in den Bereichen Red Teaming und Threat Hunting. Auf Basis der Erkenntnisse und Erfahrungen aus diesen komplementären Tätigkeitsfeldern ist er außerdem für die Ausrichtung und technische Entwicklung des Active Cyber Defense (ACD) Service mitverantwortlich.

Während seines beruflichen Werdegangs arbeitete Herr Rambow bereits als projektverantwortlicher Penetrationstester eines international agierenden IT-Beratungs- und Dienstleistungsunternehmens, wo er nationale und internationale Kundenprojekte mit Schwerpunkt auf technische Security Assessments verantwortet hat, bevor er dort die fachliche Verantwortung für Penetration Testing in der Region Zentral- und Osteuropa übernahm.

Haben Sie Fragen oder Anmerkungen zu diesem Artikel? Wir freuen uns über Ihr Feedback!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die secion GmbH.

Zurück