Bei der Untersuchung erfolgreicher Ransomware-Angriffe werden unter anderem die Protokolle der verwendeten Antivirenprogramme gesammelt und ausgewertet. Häufig enthalten diese die ersten Anzeichen des Versuchs der Angreifer, sich in der IT-Umgebung festzusetzen, mehr über die Umgebung zu erfahren und bestehende Privilegien zu eskalieren.
Das Antivirenprogramm erkennt dabei nicht alle, aber meist einige dieser Aktivitäten. Bei der Untersuchung dieser Protokolle stellt das Oneconsult International Computer Security Incident Response Team (OCINT-CSIRT) regelmässig fest, dass bereits früh Warnmeldungen mit klaren Hinweisen auf den Angriff ausgelöst wurden – teilweise Wochen oder gar Monate vor der Verschlüsselung der Dateien.
Leider werden diese Warnungen immer wieder von Unternehmen übersehen oder ignoriert. Genauso häufig trifft das Oneconsult CSIRT auf IT-Landschaften, in denen das Antivirenprogramm versehentlich oder bewusst auf einer Vielzahl von Systemen nicht scharf geschalten ist. Der Angreifer kann also nahezu frei walten, obwohl er eindeutig unerwünschte Aktivitäten ausführt, die erfolgreich beobachtet, erkannt, protokolliert und gemeldet werden könnten. Bei einigen Ransomware-Vorfällen, die das OCINT-CSIRT betreut hat, hätte die richtige Konfiguration und Reaktion auf die Warnmeldungen frühzeitig vor dem Angriff gewarnt. Es ist zu vermuten, dass ein Teil davon sogar vollständig zu verhindern gewesen wäre.
Die nachfolgenden Handlungsempfehlungen sollen vor einer solchen unangenehmen Feststellung bei der Aufarbeitung eines Vorfalls oder bestenfalls vor dessen Eintritt schützen. Allem voran sollen sie bewirken, dass das Antivirenprogramm nicht bloss Kosten generiert, sondern einen effektiven Beitrag zur IT-Sicherheit leistet.
Grundlegende Anforderungen
Zuallererst ist sicherzustellen, dass die späteren Empfehlungen in der Praxis umsetzbar sind:
- Alle Installationen des Produkts werden zentral verwaltet. Die zentrale Verwaltung gibt Aufschluss über die letzten Funde sowie den Zustand der Anwendung und erlaubt unter anderem das Forcieren einer Aktualisierung. Fehlt dies, so wird die Konfiguration und Ausführung der später gelisteten Aktivitäten stark erschwert. Bei einem Informationssicherheitsvorfall fehlen wiederum wertvolle Informationen, die dann aufwendig gesammelt werden müssen.
- Jedes IT-System wird überwacht. Ist dies nicht möglich, zum Beispiel bei integrierten Systemen in der Industrie oder im Gesundheitswesen, so müssen unbedingt flankierende Massnahmen erarbeitet und umgesetzt werden. Solche Fälle sollten die absolute Ausnahme sein und durch andere Schutzmechanismen kompensiert werden. Bei Tablets und Mobiltelefonen als Sonderfall ist die Härtung der Konfiguration gegenüber einem Antivirenprogramm zu bevorzugen.
Konfigurationsempfehlungen
Als Nächstes gilt es die Konfiguration zu prüfen und sicherzustellen, dass das Antivirenprogramm zur Steigerung der IT-Sicherheit beiträgt:
- Jede Installation aktualisiert sich vollautomatisch und regelmässig. Eine tägliche Aktualisierung der Erkennungsmechanismen/Signaturen ist anzustreben.
- Soweit möglich ist die Software so konfiguriert, dass verdächtige Aktivitäten gestoppt oder blockiert werden. Schädliche Dateien werden in die Quarantäne verschoben, damit eine spätere Untersuchung möglich ist. Auf Endnutzersystemen ist dieses Verhalten die Norm. Auf bestimmten Serversystemen kann es nötig sein, die Software als reinen Beobachter einzusetzen. Die reine Beobachtung ohne Eingriff in die Ausführung potenziell schädlicher Aktionen muss stets die Ausnahme darstellen und einer regelmässigen Neueinschätzung unterzogen werden. Warnmeldungen eines solchen Ausnahmesystems müssen mit besonders hoher Priorität zeitnah geprüft werden.
- Meldungen werden in Echtzeit an dafür verantwortliche Rollen gesendet und von diesen aktiv verarbeitet (siehe die nachfolgenden wiederkehrenden Aktivitäten). Dies kann durch den Versand von E-Mails oder durch die Anbindung an ein SIEM erreicht werden.
Wiederkehrende Aktivitäten
Zuletzt bleiben die aktive und wiederkehrende Interaktion und Arbeit mit dem System. Dies soll den Mehrwert der Detektion maximieren:
- Jede Meldung wird zeitnah auf ihr Gefahrenpotenzial überprüft und entsprechend für die Nachverfolgung priorisiert. Hierbei hilft das Antivirus Event Analysis Cheat Sheet von Nextron Systems. [1] Dieses erlaubt in kurzer Zeit die Relevanz einer Warnung zu bewerten und anschliessend zu priorisieren. Regelmässig findet das Oneconsult CSIRT bei Einsätzen mehrere Wochen und Monate alte Antivirus-Meldungen, die «Mimikatz» [2] enthalten: Eine besonders kritische und wichtige Meldung («Highly Relevant» im Cheat Sheet), der leider niemand nachgegangen ist.
- Es wird regelmässig überprüft, ob alle Installationen aktiv sind. Immer wieder stoppen Angreifer die Software, um von dieser nicht gestört zu werden.
- In regelmässigen Abständen wird geprüft, ob alle Systeme über aktuelle Signaturen/Erkennungsmechanismen verfügen, d.h. ob die automatische Aktualisierung der Software wie erwartet ausgeführt wird.
DFIR, einfach
Ganz unabhängig, ob Sie als IT-Mitarbeiterin oder -Mitarbeiter tagtäglich IT-Systeme gegen Cyber-Angriffe und deren Nutzer verteidigen oder einfach neugierig sind, wie digitale Forensik funktioniert und Informationssicherheitsvorfälle bewältigt werden: Hier sind Sie richtig! Unter dem Titel «DFIR, einfach» veröffentlichen unsere Expertinnen und Experten des Oneconsult International Computer Security Incident Response Team (OCINT-CSIRT) Beiträge, die Sie als freiwillige IT-Security-Feuerwehr in Ihrem Unternehmen weiterbilden. Jeder Beitrag bringt Ihnen ein Werkzeug, einen Prozess oder Erkenntnisse aus den Informationssicherheitsvorfällen anderer Unternehmen näher. Mit grundlegendem IT-Verständnis und einer guten Prise Neugier sind Sie hier richtig. Übrigens, «DFIR» steht für «Digital Forensics & Incident Response» und unsere Beiträge fokussieren sich auf pragmatische, im Alltag anwendbare und kostengünstige Ansätze – ganz im Sinne der Blog-Reihe: DFIR, einfach.
DFIR, einfach – Reihe
DFIR, einfach: Hinter dem Link – ein Blick ins Dunkle
DFIR, einfach: Wen ruft man im Cyberernstfall?
DFIR, einfach: Bitcoin-Adresse als Quelle zusätzlicher Hinweise
DFIR, einfach – Analyse von PDF-Dateien
DFIR einfach – Analyse von Office-Makros
DFIR, einfach: Ransomware-Angriffe verfolgen
Über Oneconsult
Die Oneconsult-Unternehmensgruppe ist seit 2003 Ihr renommierter Schweizer Cybersecurity Services Partner mit Büros in der Schweiz und Deutschland und 2000+ weltweit durchgeführten Security-Projekten.
Erhalten Sie kompetente Beratung vom inhabergeführten und herstellerunabhängigen Cybersecurity-Spezialisten mit 40+ hochqualifizierten Cybersecurity Experten, darunter zertifizierte Ethical Hacker / Penetration Tester (OPST, OPSA, OSCP, OSCE, GXPN), IT-Forensiker (GCFA, GCFE, GREM, GNFA), ISO Security Auditoren (ISO/IEC 27001 Lead Auditor, ISO/IEC 27005 Risk Manager, ISO/IEC 27035 Incident Manager) und dedizierte IT Security Researcher, um auch Ihre anspruchsvollsten Herausforderungen im Informationssicherheitsbereich zu bewältigen. Gemeinsam gehen wir Ihre externen und internen Bedrohungen wie Malware-Infektionen, Hacker-Attacken und APT sowie digitalen Betrug und Datenverlust mit Kerndienstleistungen wie Penetration Tests / Ethical Hacking, APT Tests unter Realbedingungen und ISO 27001 Security Audits an. Bei Notfällen können Sie rund um die Uhr (24 h x 365 Tage) auf die Unterstützung des Digital Forensics & Incident Response (DFIR) Expertenteams von Oneconsult zählen.
[1]: https://www.nextron-systems.com/?s=antivirus
[2]: https://www.oneconsult.com/wp-content/uploads/2020/10/ix.2020.11.094_100.pdf_kiosk.pdf