{"id":11347,"date":"2017-07-26T12:00:42","date_gmt":"2017-07-26T10:00:42","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=11347"},"modified":"2017-07-10T12:04:35","modified_gmt":"2017-07-10T10:04:35","slug":"nach-aeusserungen-zur-notpetya-attacke-sind-unternehmen-wirklich-machtlos","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=11347","title":{"rendered":"Nach \u00c4u\u00dferungen zur NotPetya-Attacke: Sind Unternehmen wirklich machtlos?"},"content":{"rendered":"
\"\"<\/a>
Nicolei Steinhage, Senior Systems Engineer DACH bei Fidelis Cybersecurity<\/figcaption><\/figure>\n

In einer k\u00fcrzlich erschienenen Ausgabe des Sterns \u00e4u\u00dfert sich unter anderem der Beiersdorf-Vorstandsvorsitzende Stefan F. Heidenreich zum mehrt\u00e4tigen IT-Ausfall in seinem Unternehmen, hervorgerufen durch die Petya\/NotPetya-Attacke. Das Unternehmen wurde \u00fcber eine Niederlassung Opfer der Kampagne und der Schaden des Angriffs soll in die Millionenh\u00f6he gehen. Ausgehend von einem befallenen System in der Ukraine habe sich die Malware blitzschnell im Unternehmen ausgebreitet und weltweit den Betrieb lahmgelegt.<\/p>\n

<\/p>\n

Dabei wird Heidenreich unter anderem mit den Worten zitiert: \u201eUnser Sicherheitssystem ist gut, gegen diesen Angriff waren alle machtlos.\u201c Oliver Keizers, Regional Director DACH des IT-Sicherheitsunternehmens Fidelis Cybersecurity, sieht dies anders und erl\u00e4utert, wie Petya\/NotPetya, aber auch andere Angriffe sehr wohl und machtvoll abgewehrt werden k\u00f6nnen:<\/p>\n

\u201eIch h\u00f6re immer wieder, dass die bestehenden Sicherheitssysteme ausreichend seien und dass man machtlos gegen solche Angriffe w\u00e4re \u2013 dem ist nicht so! Wir haben in der Vergangenheit immer wieder vernommen, dass Unternehmen sich machtlos gegen\u00fcber modernen Cyberattacken f\u00fchlen. Hier wird leider zu oft mit traditionellen Verteidigungswerkzeugen auf moderne Angriffe reagiert. Wir haben es hier nicht mit simplen, traditionellen Angriffen zu tun, die bekannte Pr\u00e4ventionssysteme wie Antiviren-Software oder Firewalls verteidigen k\u00f6nnen, welche dann keine Gefahr mehr darstellen. Moderne Angriffe verstecken sich vor diesen Verteidigungslinien jedoch erfolgreich und lassen uns vermeintlich machtlos sein, hier bedarf es jedoch vor allem modernen Erkennungssystemen, welche eine weitere Verteidigung in der zweiten Linie erm\u00f6glichen. Auch uns und unseren Sicherheitsforschern war der hier vorliegende Schadcode initial unbekannt, das hei\u00dft aber nicht, dass wir nichts \u00fcber die einzelnen Methoden gewusst h\u00e4tten und diesen somit sehr wohl erkennen und erfolgreich verhindern konnten.\u201c<\/p>\n

Nicolei Steinhage, Senior Systems Engineer DACH bei Fidelis Cybersecurity, erl\u00e4utert die technischen Hintergr\u00fcnde dazu: \u201eSchaut man sich im Nachhinein die Angriffe an, so wird klar, dass die Erstinfektion durch eine DOC\/RTF-Datei auf den Exploit CVE-2017-0199 erfolgte, die wiederum zu einer XLS-Datei mit eingebettetem HTA-Skript f\u00fchrte, was dann in der Folge den Malware-Download startete. Der hier verwendete Exploit war bereits bekannt und das hat daf\u00fcr gesorgt, dass es bei vielen Unternehmen erst gar nicht zu einer Infektion kam \u2013 die Sicherheitssysteme am Perimeter konnten bereits vor der Infektion Alarm schlagen. Eine Warnung war hier also durchaus m\u00f6glich und gegeben.<\/p>\n

Diese Malware jedoch hat sich nach der \u00dcberwindung des Perimeters und der initialen Infektion sekundenschnell im gesamten Netzwerk ausgebreitet und alle verf\u00fcgbaren Endpunkte befallen. Dazu nutzten die Angreifer durchaus valide und im System vorhandene Tools wie das Windows Management Interface (WMI) und PSexec, um mithilfe eines Derivates von MimiKatz an Benutzerzugangsdaten zu kommen und die Malware remote auszuf\u00fchren. Der Transfer durch das Netzwerk zu den einzelnen Endpunkten fand per Server Message Block statt. Genau dieselbe Methode wurde bereits beim Angriff \u201eShamoon\u201c 2012 verwendet \u2013 auch hier schlagen moderne, nicht signatur-basierte Sicherheitssysteme Alarm. Zudem war f\u00fcr moderne Endpunkt-L\u00f6sungen das Zusammensammeln der Zugangsdaten und die Nutzung von PSexec auf den betroffenen Systemen sichtbar und zu unterbinden \u2013 ebenso sekundenschnell, wie die Malware versuchte sich auszubreiten, indem der Endpunkt, egal ob es sich um einen Computer oder einen Server handelt, sofort vom Netzwerk isoliert und bereinigt wird.<\/p>\n

Kurz gesagt, auch wenn der Schadcode noch unbekannt war, die Angriffsmethoden waren es nicht. Und moderne Sicherheitssysteme k\u00f6nnen anhand von Codeverhalten Angriffe finden und dagegen vorgehen. Typische Aktionen wie zum Beispiel Prozessausf\u00fchrung \u00fcber \u201ecmd.exe \/ c start\u201c, die Ausf\u00fchrung von Code aus dem TEMP Verzeichnis oder auch die L\u00f6schung von Volume Shadow Kopien sind immer verd\u00e4chtig, m\u00fcssen jedoch am Endpunkt zur Laufzeit erkannt werden k\u00f6nnen. Dabei braucht man dann nicht einmal mehr menschliche Hilfe: die Systeme gehen hier \u2013 beispielsweise bei der Isolation des befallenen Endpunkts und der folgenden Bereinigung \u2013 automatisiert vor und l\u00f6sen das Problem, bevor es entsteht. Durch die Analyse von Metadaten rund um den Angriff ist es f\u00fcr das System dann des Weiteren m\u00f6glich, selbst\u00e4ndig zu lernen und zu \u00fcberpr\u00fcfen, ob \u00e4hnliche Angriffe bereits in der Vergangenheit auf dieses oder andere Systeme ver\u00fcbt worden sind.<\/p>\n

Und auch wenn in diesem besonderen Fall der Sicherheitsforscher Amit Serper sehr schnell eine M\u00f6glichkeit gefunden hatte, sein System zu \u201eimpfen\u201c, r\u00fchrt die gef\u00fchlte Machtlosigkeit der Unternehmen daher, dass sie nicht wissen, wie sie dies auf allen Endpunkten, die in die Tausende gehen k\u00f6nnen, so schnell wie m\u00f6glich durchf\u00fchren sollen. Mit einem entsprechenden zentralen Management-Tool f\u00fcr die Endpunkte w\u00e4re dieses Problem sehr schnell \u00fcber einfachste Skripte (manchmal so einfach, dass es nicht mehr als zwei Zeilen Code brauchte) erledigt.\u201c<\/p>\n

Oliver Keizers kommt deshalb zu dem Schluss, dass das Gef\u00fchl der Machtlosigkeit woanders herr\u00fchrt: \u201eDie ‚Machtlosigkeit‘, die viele Unternehmen also sp\u00fcren und die noch h\u00e4ufig von reaktiven, signaturbasierten Systemen gepredigt wird, existiert also absolut nicht. Es ist nur, gerade f\u00fcr globale Unternehmen, schwer, immer auf der H\u00f6he der Zeit zu bleiben \u2013 Innovationszyklen bei Angriffen und Verteidigung sind schnell, Implementationszyklen aber langsam. Budgett\u00f6pfe werden lange im Voraus geplant und moderne Verteidigungsl\u00f6sungen finden darin nur stark versp\u00e4tet eine Position.<\/p>\n

Es bedarf also eines umfassenden modernen Systems zur Erkennung und Verteidigung von Angriffen, einer besseren Analyse auch des internen Verkehrs auf Inhaltsebene und vor allem einer L\u00f6sung auf dem Endpunkt, die all die oben geforderten Schritte und F\u00e4higkeiten aus einer Hand bietet.\u00a0Das soll \u00fcbrigens nicht hei\u00dfen, dass Unternehmen ihre alten Systeme einfach rausschmei\u00dfen sollten, oder dass man unbedingt mehr Geld in die Hand nehmen muss. Sicherheitsl\u00f6sungen sollten sich erg\u00e4nzen, es kommt aber auch durch ganzheitlichere Ans\u00e4tze zu einer Konsolidierung der Produkte und Services.\u00a0Zahlreiche Unternehmen haben in den vergangenen Jahren traditionelle Security-Ma\u00dfnahmen implementiert \u2013 und ruhen sich nun darauf aus. Gef\u00fchlte Sicherheit ist also tr\u00fcgerisch, bis zum n\u00e4chsten Angriff… \u201c<\/p>\n

Weitere Informationen: https:\/\/www.fidelissecurity.com<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

In einer k\u00fcrzlich erschienenen Ausgabe des Sterns \u00e4u\u00dfert sich unter anderem der Beiersdorf-Vorstandsvorsitzende Stefan F. Heidenreich zum mehrt\u00e4tigen IT-Ausfall in<\/p>\n","protected":false},"author":3,"featured_media":11348,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[1881,37],"tags":[438,9913,9914,1861,8688,825,9915,1458,9916,9912,9834,9838,9917,3437,4539],"class_list":["post-11347","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-glosse","category-security","tag-antivirus","tag-beiersdorf","tag-cve-2017-0199","tag-exploit","tag-fidelis-cybersecurity","tag-firewall","tag-hta-skript","tag-malware","tag-mimikatz","tag-nopetya","tag-petya","tag-psexec","tag-shamoon","tag-smb","tag-wmi"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11347","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=11347"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11347\/revisions"}],"predecessor-version":[{"id":11351,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11347\/revisions\/11351"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/11348"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=11347"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=11347"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=11347"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}