{"id":11342,"date":"2017-07-24T12:34:38","date_gmt":"2017-07-24T10:34:38","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=11342"},"modified":"2017-07-07T11:36:26","modified_gmt":"2017-07-07T09:36:26","slug":"mit-threat-intelligence-gegen-ransomware","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=11342","title":{"rendered":"Mit Threat Intelligence gegen Ransomware"},"content":{"rendered":"
\"\"<\/a>
Steve McGregory, Senior Director of Application Threat Intelligence bei Ixia<\/figcaption><\/figure>\n

Angesichts der j\u00fcngsten Angriffswelle weist Ixia darauf hin, dass viele Ransomware-Angriffe relativ einfach abgewehrt werden k\u00f6nnten, da die hierf\u00fcr verwendete Malware meist von bereits als b\u00f6sartig bekannten IP-Adressen stammt. \u201eFast jeder Ransomware-Angriff beginnt mit einer gezielten Phishing Mail mit einem Anhang, der ein Makro enth\u00e4lt\u201c, erl\u00e4utert Steve McGregory, Senior Director of Application Threat Intelligence bei Ixia. \u201eDiese Makros werden von Antiviren-Software oder Sandboxes nicht als malizi\u00f6s eingestuft, da ihr Verhalten unauff\u00e4llig ist. Erst beim \u00d6ffnen des Dokuments beginnt das Makro dann, die eigentliche Malware vom Server des Angreifers herunterzuladen. Auch diese sieht f\u00fcr die Sicherheitssysteme harmlos aus, wird aber vom Makro auf dem Zielsystem umgeschrieben. Um sich gegen Ransomware zu sch\u00fctzen, muss man daher den Download vom Server des Angreifers unterbinden.\u201c<\/p>\n

<\/p>\n

In allen F\u00e4llen, in denen diese Downloads von bereits als b\u00f6sartig bekannten Servern erfolgen, k\u00f6nnen sie mit geringem Aufwand automatisch geblockt werden. Ben\u00f6tigt wird dazu lediglich ein entsprechender Filter am Gateway, der eingehenden und ausgehenden Verkehr mit den IP-Adressen der bekannt b\u00f6sartigen Server abgleicht und jeden Verbindungsversuch blockiert. Dabei muss der Filter \u00fcber einen Threat Intelligence Feed eines spezialisierten Anbieters st\u00e4ndig aktualisiert werden. Da bei dieser Vorgehensweise weder das Makro noch die eigentliche Malware untersucht werden muss, sch\u00fctzt sie auch gegen bisher unbekannte Angriffsvarianten.<\/p>\n

Dass immer wieder die gleichen Server verwendet werden, liegt laut McGregory vor allem daran, dass IP-Adressen relativ knapp sind. Ein Verbindungsversuch zu einem solchen Server ist daher ein starkes Indiz daf\u00fcr, dass sich das Unternehmen gerade in der Fr\u00fchphase eines Angriffsversuchs befindet. \u201eNat\u00fcrlich lassen sich so nicht alle Ransomware-Attacken stoppen, da nie auszuschlie\u00dfen ist, dass Angreifer auch einmal unverbrauchte IP-Adressen verwenden\u201c, so McGregory. \u201eDeshalb sollte man andere Sicherheitsma\u00dfnahmen auch beim Einsatz solcher Gateways nicht vernachl\u00e4ssigen. Doch in den meisten F\u00e4llen ist die Kombination aus Filter und Threat Intelligence Feed ein sehr effektiver Schutz gegen Ransomware, zumal neue IP-Adressen von Angreifern \u00fcber die st\u00e4ndige Aktualisierung auch sehr zeitnah geblockt werden.\u201c<\/p>\n

Weitere Informationen: www.ixiacom.com<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Angesichts der j\u00fcngsten Angriffswelle weist Ixia darauf hin, dass viele Ransomware-Angriffe relativ einfach abgewehrt werden k\u00f6nnten, da die hierf\u00fcr verwendete<\/p>\n","protected":false},"author":1,"featured_media":11339,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4,37],"tags":[438,238,7798,1458,3392,5432,984,6752,6267],"class_list":["post-11342","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","category-security","tag-antivirus","tag-ixia","tag-makro","tag-malware","tag-phishing","tag-ransomware","tag-sandbox","tag-threat-intelligence","tag-verschlusselung"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11342","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=11342"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11342\/revisions"}],"predecessor-version":[{"id":11343,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11342\/revisions\/11343"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/11339"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=11342"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=11342"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=11342"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}