Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Office & Kommunikation > Cyberattacken aktiv durchbrechen

Denken wie ein Hacker

Cyberattacken aktiv durchbrechen

26. August 2013, 11:16 Uhr | Maik Bockelmann, Director Central & Eastern Europe, Sourcefire
IT-Security-Profis müssen denken wie Hacker, um die Cyber-Angriffskette zu durchbrechen
© fotolia.com

Die rasante Zunahme und Schwere von Cyberattacken rund um die Welt zeigen, dass wir uns in einer Ära befinden, die als die "Industrialisierung des Hackens" bekannt ist. Still und leise ist eine höchst effektiv vorgehende Industrie entstanden, die von Angriffen auf unsere IT-Infrastruktur profitiert. Die Krux an der Sache: Der Hacker von heute führt Attacken aus, die mit immer einfacheren Mitteln in die Wege geleitet werden können, von ihrem Ansatz her jedoch an Raffinesse zunehmen.

Maik Bockelmann, Director Central & Eastern Europe, Sourcefire
© Sourcefire

Dabei werden Hacker getrieben vom Wunsch nach ökonomischem oder politischem Profit oder aber Aufmerksamkeit für die eigene Sache. Um das Spektrum der heutigen Bedrohung zu verstehen und sich effektiv dagegen zu verteidigen, sollten laut Sicherheitsanbieter Sourcefire IT-Security-Profis damit beginnen, wie Angreifer zu denken. Nur durch ein tiefergreifenderes Verständnis der Angriffskette, also des üblichen methodischen Herangehens eines Profi-Hackers, könnten sie Möglichkeiten identifizieren, um ihre Verteidigung zu stärken.

Maik Bockelmann, Director Central & Eastern Europe von Sourcefire, erläutert, wie dies funktioniert:

Die Angriffskette eines professionellen Hackers besteht in der Regel aus fünf Phasen.

Phase 1: Überblick  verschaffen

Angreifer setzen in einem ersten Schritt Überwachungs-Malware in die Infrastruktur eines Unternehmens ein, um sich ein Gesamtbild der Umgebung zu verschaffen, egal ob es sich dabei um das Netzwerk, einen Endpunkt, ein Mobilgerät oder eine virtuelle Umgebung handelt. Nur so können sie verstehen, welche Angriffspunkte existieren, welche Sicherheits-Tools eingesetzt werden sowie welche Konten geknackt werden müssen, um Zugang zu gehobenen Ebenen zu erhalten. Eine derartige Überwachungs-Malware benutzt gewöhnliche Kanäle, um zu kommunizieren und bleibt dabei in der Regel unbemerkt.

Phase 2: Malware maßschneidern

Sobald der Hacker weiß, worauf er sich einstellen muss, entwickelt er auf das Unternehmenssystem zugeschnittene Malware. So gibt es beispielsweise spezielle Malware, die feststellt, ob sie sich in einer Sandbox-Umgebung befindet und sich dort anders verhalten muss als in einem User-System. Es gibt Malware, die vor ihrer Ausführung nach der Installation von Sprachpaketen sucht – zu sehen am Beispiel von "Flame" – oder Malware, die umgebungsspezifisch agiert, je nachdem ob sie in einem Unternehmens- oder einem Heimnetzwerk unterwegs ist. Der Angreifer wird dann seine Überwachungsaktivitäten weiter ausweiten, um wichtige Details darüber in Erfahrung zu bringen, wo die für ihn lohnenden Zielobjekte sind, und wie er zu ihnen gelangen kann. Und dass jeweils abgestimmt auf die spezifische Organisationsstruktur, die vorhandenen Anwendungen, Anwender, Partner, Prozesse und internen Verfahrensweisen.

Phase 3: Angriff testen

Ist die Malware erstellt, stellt der Hacker sicher, dass sie auch richtig funktioniert. Malware-Schreiber haben üblicherweise genug Geld und weit verbreitete Netzwerke, in denen sie Informationen austauschen. Deshalb stellt es für sie kein Problem dar, die ausgespähte Unternehmensumgebung zunächst einmal nachzubauen und vorab auszutesten, wie die Malware auf die implementierten Sicherheits-Tools reagiert. Nur so können sie sicherzustellen, dass sie unbemerkt durch die etwaig errichtete „Verteidigungsfestung“ gelangen.  Das Prinzip ist simpel und vergleichbar mit üblichen Softwareentwicklungsprozessen wie QA- oder Bench-Tests. So simpel, dass Malware-Schreiber mitunter garantieren können, dass ihre Malware sechs bis neun Monate im Zielsystem unbemerkt bleibt. Dies ist die wahre Industrialisierung des Hackens.

Phase 4: Angriff starten

Wir reden leider nicht mehr über die alten Tage, in denen die einzige Motivation eines Angreifers die öffentliche Profilierung war. Mittlerweile ist der finanzielle Anreiz für Systemangriffe weitaus größer als die schiere Aussicht auf Ruhm, weshalb die meisten Angriffe heute im Verborgenen bleiben. Angreifer navigieren durch das erweiterte Netzwerk, beobachten dabei die Umgebung, achten darauf, nicht entdeckt zu werden und bewegen sich so schrittweise bis zum Ziel.

Phase 5: Mission erfüllen

Die Ziele eines Angreifers können unterschiedlich sein: manche Angreifer wollen vor allem Informationen sammeln, andere wollen wiederum Prozesse zum Einsturz bringen. Was auch immer es ist, Hacker haben ab dieser Phase nun die nötigen Informationen und einen Angriffsplan, um den Erfolg ihrer Mission zu maximieren. Ist die Mission erfüllt, werden die Beweise entfernt. Nicht jedoch, ohne eine Hintertür für zukünftige Angriffe geöffnet zu lassen.

Anbieter zum Thema

Zyxel Networks A/S
HP Deutschland GmbH
WatchGuard Technologies
Matchmaker+
zu Matchmaker+
  1. Cyberattacken aktiv durchbrechen
  2. Was können Unternehmen tun?

Lesen Sie mehr zum Thema

Viren-/Malware-Schutz
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft

Matchmaker+
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.
Softing IT Networks GmbH

Softing IT Networks GmbH
HP Deutschland GmbH

HP Deutschland GmbH
Plusnet GmbH

Plusnet GmbH