zurück zur Übersicht

Ransomware seziert: Im Gehirn des Verbrechers

brain-scanDas Thema lässt uns nicht los: 2016 ist das Jahr der Ransomware. Laut Schätzungen des FBI werden die Zahlungen an die Datenkidnapper dieses Jahr allein in den USA die Milliardengrenze überschreiten.

Das Prinzip ist so einfach wie perfide: Digitaler Einbruch beim Opfer, verschlüsseln möglichst vieler Benutzerdaten, Erpressung von Geld für das Passwort zur Entschlüsselung. Die große Stärke des Ansatzes: Es wird kaum Kommunikation zu externen „Command and Control“-Servern benötigt. Das spart erheblich an Aufwand und minimiert das Risiko einer vorzeitigen Entdeckung.

Statt wichtige Daten kompliziert aus den angegriffenen Systemen auszuschleusen bleiben die Daten prinzipiell wo sie sind – nur in einer Form, die sie für das Opfer bis zur Zahlung des Lösegeldes unbrauchbar macht.

Kein Schutz durch die Cloud

Obwohl einfach anzuwenden bietet Ransomware inzwischen einige hinterhältige Tricks auf. Die aktuelle Brut von Locky & Co sucht nicht nur im angeschlossenen Netzwerk nach möglichst wichtigen Daten für die Geiselnahme. Es werden zusätzlich gezielt Cloud-Speicher attackiert. Wer also denkt, durch ein Backup per Google Drive oder Dropbox auf der sicheren Seite zu sein irrt leider.

Backup oder Backdown?

Allgemein können umfangreiche Backups nicht als Dauerlösung gelten. Das mag im privaten Umfeld möglich sein – immer vorausgesetzt, man bringt die nötige Disziplin auf, wirklich regelmäßig alle wichtigen Dokumente, Bilder und sonstiges auf ein externes, nicht dauerhaft mit dem Rechner verbundenes Medium zu überspielen. Seit USB-Sticks, mit hunderten Gigabyte an Kapazität, selbst in gut sortierten Supermärkten für wenig Geld zu haben sind, ist das für den Hausgebrauch durchaus machbar. Wichtig ist natürlich, das System vor dem Einspielen des Backups zu desinfizieren – oder am besten gleich neu aufzusetzen.

Aber im Unternehmensumfeld? Sicher sind Backups auch hier extrem wichtig. Aber die Datenmengen sind immens. Ein komplettes Netzwerksystem mit angeschlossenen Datenbanken, Fileservern, Exchange-Servern und möglicherweise hunderten Clients über die Backups wiederherzustellen kann da sehr schnell zehntausende Euro allein an Arbeitsstunden und Produktivitätsausfall kosten. Natürlich immer vorausgesetzt, eine umfangreiche Backuplösung existiert überhaupt.

Zahlen oder nicht zahlen, das ist hier die Frage

Da es zum niederträchtigen Geschäftsmodell der Cybererpresser gehört, nur vergleichsweise geringe Lösegelder zu verlangen, kann es da schnell vorkommen, dass es weit billiger und einfacher ist, den Kidnappern ihr Lösegeld – üblicherweise in Form nicht zurückverfolgbarer Bitcoins – einfach zu bezahlen. Zynisch formuliert: Der Erpresser ist billiger als die eigene IT-Abteilung. Leider ist die Rechnung nicht ganz so einfach, denn abgesehen von den moralischen Implikationen finanziert man so die nächste Generation von Ransomware mit, die dann noch schmutzigere Tricks beherrscht. 325 Millionen US-Dollar hat letztes Jahr Cryptowall 3.0 eingespielt. Geld, das die Hacker unter anderem in die professionelle Überarbeitung und den Release von Cryptowall 4.0 investiert haben. Und obwohl sich eine Art „Hackerethos“ herauskristallisiert hat, der nahelegt, dass die Verbrecher in der Regel ihr Wort halten und den Schlüssel herausrücken: Ein Garantie gibt es dafür nicht.

Konkrete Erkennungsmuster von Ransomware

„Eine Falle zu erkennen ist der erste Schritt um ihr auszuweichen*“ Lernen wir also die Malware kennen, die unsere Daten in die Falle lockt. Ransomware zeigt ihrer Funktion entsprechend verschiedene typische Verhaltensmuster. Dies Muster können zwar versteckt, aber nicht vermieden werden, damit die Malware ihren Zweck erfüllen kann. Einige Vorgänge die identifiziert werden können:

  1. Kommunikation mit bekannten oder unbekannten Ransomware-Hosts. Listen solcher Hosts können beispielsweise aus Threat Intelligence Feeds (TI-Feeds) entnommen werden.
  2. Neue, bis dato unbekannte Prozesse, oft mit auffällig zufallsgenerierten Namen werden gestartet
  3. Verdächtige administrative Prozesse finden statt
  4. Verdächtige Registry Einträge (oft im Autorun-Bereich der Regsitry) werden auf befallenen Hosts angelegt
  5. Massenhafter Zugriff auf Dateien in sehr kurzer Zeit

Jedes einzelne dieser Muster ist ein dringendes Alarmsignal. Treten sie in Kombination auf, kann man von einem laufenden Ransomwareangriff ausgehen.

Um diese Anzeichen – besonders auch in Kombination – sofort zu entdecken, müssen die Systemereignisse im Netzwerk überwacht werden. Das geschieht am besten durch ein Security Information and Event Management System (SIEM). LogRhythm beispielsweise kann tausende Ereignisse pro Sekunde auswerten, und sofort Alarm schlagen, wenn eines der erwähnten Muster auftritt. Kollege Chris Martin hat die nötigen Erkennungsregeln detailliert beschrieben in seinem Artikel „How to Detect and Respond to Ransomware: A Video Use Case“.

Zuschlagen mit harten Bandagen

Damit sind wir aber noch nicht fertig. Was umgehend erfolgen muss, sind die drei großen B-Schläge der Netzwerkverteidigung: Beschränken, Beenden, Beweise sichern. LogRhythm kann das automatisch erledigen. Zunächst wird die Client-Verbindung zum CNC-Server, die zumindest für die Übermittlung des Verschlüsselungspassworts erfolgen muss, gekappt, und alle Zugriffe des infizierten Rechners auf das Restnetzwerk unterbrochen. Das kann über bordeigene Plugins des SIEMs oder über Tools wie Tanium oder eine Next Generation Firewall (NGFW) von Palo Alto Networks erfolgen. Der Prozess, welcher der Attacke zugerechnet ist, wird sofort beendet. Nach der Isolation des Systems erstellt LogRhythm einen detaillierten Bericht des Vorfalls. Immerhin geht es um ein Verbrechen, daher sollten möglichst viele gerichtsverwertbare Beweise gesichert werden. Dazu gehört auch die Möglichkeit, einen kompletten Systemsnapshot zu sichern, anhand dessen sich später auch Spuren nachweisen lassen, die für die Ersterkennung zu subtil oder nicht relevant waren.

Es gibt auch andere Methoden: selbstlernende Systeme wie DarkTrace können nach einer Analysephase sehr genau unterscheiden, was in einem Netzwerk normal ist, und was nicht. Auch sie können – ähnlich wie ein SIEM mit gut eingestellten Use Cases – sehr schnell die durch Ransomware hervorgerufenen Änderungen aufspüren und Alarm schlagen. Der Aufwand, Use Cases zu erstellen und zu pflegen, fällt dabei weitgehend weg. An der Frage, ob so ein intelligenter Algorithmus ein SIEM komplett ersetzen oder nur ergänzen kann, scheiden sich derzeit noch die Geister. Die Entwicklung geht in jedem Fall weiter.

Wie sieht es mit den Endpoints aus?

Ein SIEM wie LogRhythm greift nur von der internen Netzwerkseite her. Überspitzt ausgedrückt schlägt die Methode im Geiste des „Assume Breach“ an, wenn das Kind bereits in den Brunnen gefallen ist. Es sorgt lediglich dafür, dass es nicht sehr nass wird. Das ist ohne Frage eine sinnvolle zweite Barriere, um den Schaden durch Ransomware einzudämmen. Doch wie sieht es mit der ersten Verteidigungslinie aus: Der Endpoint-Protection?

Auch hier ist Bewegung ins Spiel gekommen. Klassische signaturbasierte Systeme sprechen nur auf Malware an, die genau so bereits identifiziert wurde. Die Anzahl neuer Varianten von Ransomware hat sich aber schon im letzten Jahr auf mehr als 5 Millionen verdoppelt. Es ist davon auszugehen, dass die schiere Anzahl an unterschiedlichen Typen sich dieses Jahr exponentiell vervielfacht hat. Allein die Datenmengen, die man durch ständige Signaturupdates hin- und herschieben muss sind enorm. Dieser Wettlauf ist so auf die Dauer nicht zu gewinnen.

Kombinierte Sandbox- und NGFW-Lösungen wie Traps bieten besseren Schutz. Sie haben auch die Möglichkeit, Informationen über die Schadprogramme und deren Struktur zu sammeln, die weit über gewöhnliche Signaturen hinausgehen. Dazu später mehr.

Ein vielversprechender aktueller Ansatz ist die Identifizierung von Malware aufgrund bestimmter Indikatoren in ihrer Struktur, ähnlich einer DNS-Analyse. Der „Bedrohungswert“ einer Datei wird dabei durch verschiedene Methoden ermittelt, um Gut und Böse zu unterscheiden. Ob Produkte wie Cylance halten, was sie versprechen, wird sich mit der Zeit zeigen. Die ersten Tests weisen eine wesentlich höhere Erkennungsrate nach als vergleichbare Systeme.

Rückpeilung und Gegenangriff

Alle bis zu diesem Zeitpunkt erfassten Daten ermöglichen es, zuverlässig und sehr schnell denselben Angriff, sollte er erneut versucht werden, im Keim zu ersticken. Dieses Wissen läuft unter der Bezeichnung Threat Intelligence. Es gibt hier auf Cubespotter eine eigene Serie von Beiträgen zu diesem Thema. Besonders wichtig ist es, dieses Wissen nicht nur für die eigene Abwehr zu archivieren, sondern es auch anderen zur Verfügung zu stellen.

Denn das ist der Schlüssel zur Eindämmung der Ransomware-Welle: Der Gewinn pro erfolgreichem Angriff ist eher gering. Erst die Masse macht die Attacke lukrativ. Wenn eine Malwarevariante aber nur für wenige Angriffe funktioniert, und anschließend eine neue programmiert werden muss, steigt der Aufwand schnell. Durch disziplinierte Backups im privaten Bereich und den Einsatz ausgefeilter Sicherheitstools wie LogRhythm und NGFWs sowie konsequentes Teilen von Threat Intelligence im Unternehmensumfeld lässt sich das mittelfristig erreichen.

Dann bleibt nur noch abzuwarten bis den Datenkidnappern der Spaß vergeht – und mit scharfem Blick zu beobachten was ihnen als nächstes einfällt.

 

Mehr zum Thema Ransomware & SIEM:

Fabian Böckenhüsers Beitrag zur Integration von TI-Feeds gegen Ransomware
E-Book von LogRhythm zum Thema Ransomware

Beitrag im LogRhythm-Blog „How to Detect and Respond to Ransomware: A Video Use Case“.

Mehr zum Thema Ransomware & Endpoint Protection:

Manuel Kellers Artikel über TRAPS & Locky
Matthias Röhrs Taktiküberblick zur Endpoint Protection

Allgemeine Artikel zum Thema:

Soforthilfe bei Befall mit Stampado
Mein eigener früherer Beitrag über diverse Abwehrstrategien
Andreas Mertz mit geradezu prophetischen Worten letztes Jahr

 

 


*Dune – Der Wüstenplanet von Frank Herbert

Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar