Studie über Angriffstechniken Admin-Tools missbraucht

Der »Cyber Weapons Reports 2016« von LightCyber verdeutlicht, dass in der Regel keine Malware zum Informationsdiebstahl, sondern Administrations- und Fernwartungstools eingesetzt werden.

Der Bericht ist der erste seiner Art und zeigt die hauptsächliche Vorgehensweise der Cyberkriminellen auf. So greifen in 99 Prozent der Fälle die Angreifer - nach der Penetration der Netzwerke - nicht auf Malware zur Aushöhlung und Abtastung der Netzwerke zurück. Sie nutzen stattdessen Standardprogramme für Sicherheitseinbrüche und den Diebstahl von Informationen: Administrationstools und Netzwerkprogramme kommen zum Einsatz, nachdem der Angreifer sich unbemerkt Zugang zum Netzwerk verschafft hat. Schädlinge dienen als Hilfsmittel beim Einbruch in das Netzwerk, kommen aber nach dem Eindringen nicht mehr zum Einsatz.

Spitzenplätze nehmen zum Beispiel Tools wie »Angry IP Scanner« und »Nmap« ein. Beide Programme sind keine Schädlinge, können aber für Angriffe missbraucht werden. Angreifer nutzen sie für »low and slow«-Attacken, wobei diese nur als Verhaltensanomalien erkannt werden können. Im Gegensatz zu bekannter Malware können solche Programme lange Zeit im Netzwerk nach Daten wühlen, ohne durch klassische Threat Intelligence entdeckt zu werden. Verschiedene Berichte sehen daher eine durchschnittliche Detektionszeit von fünf Monaten.

Einmal im Netzwerk muss der Hacker das Netzwerk kennenlernen und tastet es nach Ressourcen und Schwachstellen ab. Die größte Aktivität legt er dabei während dieser Aufklärungsphase an den Tag. Auch in der lateralen Bewegung und der Comand&Control-Kommunikation sind viele Aktionen der Angreifer besonders aktiv.