Seit einigen Wochen rollt eine massive Welle von Schadcode auf uns zu. Die Versionen und die Wege der Infektion variieren stetig. Vor allem zeigt die hohe Anzahl an Infektionen, wie anfällig die IT Infrastruktur offensichtlich ist und wie wenig Schutz Antivirus Software bei dieser Art des Angriffs bietet. Auch zeigt es die Versäumnisse der Vergangenheit auf, all die verpassten Gelegenheiten das Sicherheitsniveau der eigenen IT Infrastruktur kontinuierlich anzupassen.
Die Bedrohungslage ist sehr hoch, was auch auf die variablen Angriffsvektoren zurückzuführen ist. Die Spanne reicht hier von Spam mit Zip-Archiven oder Office Dokumenten, über Drive-by-Attacken, kompromittierte Webseiten und offene bzw. unzureichend geschützte Fernwartungszugänge. Hier ist dann nicht nur RDP zu nennen, sondern auch gekaperte TeamViewer Accounts, die zum hochladen der Schadsoftware genutzt werden. Gerade für Unternehmen führen die Versäumnisse aus der Vergangenheit beim Befall der Randsomeware zu massive Schäden. Viel zu häufig wird dem Gedanken verfallen, ein Virenscanner ist installiert und somit ist das System sicher. Dies ist aber weit gefehlt, denn es hat sich gezeigt, dass in den wenigsten Fällen moderne Versionen des Schadcodes durch keines der Antiviren Produkte erkannt wurden. Dies liegt nicht am Produkt selbst, sondern vielmehr an dem sich ständig wechselnden Code des Schädlings. Hier kommen die Analysen und Updates der Musterdatenbanken von den Herstellern einfach nicht mehr hinterher. Vor langer Zeit war genau das schon mal ein Thema hier im Blog, die Latenz zwischen Auftreten und Verteilung der Updates zur Erkennung auf den jeweiligen Systemen ist einfach zu hoch. In dieser Zeit hat sich der Schadcode schon massenhaft verteilt. Etwas Schutz versprechen die Zusatzmodule der Schutzsoftware. Viele bringen Verhaltensanalyse und ein IPS mit. In einigen Fällen haben diese Module das System schützen können. Aber darauf kann man sich nicht verlassen, dann die Zuverlässigkeit der Erkennung ist nicht wirklich gegeben. Leider muss man zum Schluss kommen, dass ein Befall der eigenen Systeme nur eine Frage der Zeit ist. Die Frage ob ein Befall stattfindet stellt sich gar nicht mehr, nur die Frage wann es passiert ist noch relevant.
Da sich ein Befall nicht verhindern lässt, bleiben nur Maßnahmen zur Schadenbegrenzung übrig. Diese Präventionsmaßnahmen sind trotz der aktuellen Welle von so genannter Ransomware allgemein gültig und als Grundsätzlich anzusehen. Da in den meisten Fällen Sicherheitslücken in den Betriebssystemen durch den Schadcode ausgenutzt werden, gilt es hier die Angriffsfläche zu minimieren. Wenn es Patches und Sicherheitsupdates gibt, sind diese auch zu installieren. Es wird demzufolge ein geeignetes Patch- und Update-Management benötigt. Vor allem müssen diese Updates auch zeitnah installiert werden. Ein System auf dem aktuellen Stand minimiert die Angriffsfläche und dies ist von großer Bedeutung, wenn die Schutzsoftware nicht in der Lage ist den Schadcode zu erkennen. Auch sind Schutzmaßnahmen am Perimeter sehr wichtig. Vor allem dann, wenn diese Mehrschichtig sind. Hierzu zählen URL Filter, die Malware-Webseiten sperren, ein IPS Systeme um Exploit Kits zu erkennen und eine Applikationskontrolle um Bot’s zu erkennen, wenn diese mit dem C&C Server kommunizieren wollen.
Drive-by-Attacken nutzen Sicherheitslücken in Browsern und noch häufiger in den Plugins, wie Java oder Flash aus. Hier sollte man sich grundsätzlich die Frage stellen, ob denn Java und Flash überhaupt im Browser benötigt wird? Auch im Hinblick darauf, dass selbst Adobe für Flash keine Zukunft mehr sieht und auch Java nicht wirklich benötigt wird, ist die Antwort wohl eher nein. Wichtig ist hier zwischen Java-Script und Java als solches zu unterscheiden. Java-Script ist nach wie vor noch eine wichtige Komponente bei Web-Anwendungen. Hier ist ein Verzicht deutlich schwieriger. Lässt sich durch zwingend benötigte Web-Anwendungen auf Flash oder Java nicht verzichten, ist zu überlegen unterschiedliche Browser zu verwenden. Einen Browser nur für die Anwendung, der dann Java und Flash aktiviert hat und einen mit dem man online geht. Der Aufwand ist natürlich höher, eleganter wäre es nur Web-Anwendungen zu nutzen die weder Flash noch Java benötigen. Hier sind aber eher die Entwickler und Anbieter in der Pflicht, endlich die Benutzer nicht mehr dazu zu zwingen potentiell unsichere Software einsetzen zu müssen. Ohne Flash und Java im Browser wäre dies ein wirklicher Sicherheitsgewinn. Es wäre auch eine große Entlastung für die IT Abteilungen, denn die häufigen Sicherheitsupdates die bei Flash und Java gefühlt alle zwei drei Tage kommen, entfallen. Bei 13 der Top 15 durch Cyber-Kriminelle ausgenutzten Sicherheitslücken ist es Flash, berichtet F Secure.
Ist ein System befallen, dann ist es wichtig, dass sich der Schädling nicht auf das ganze Netzwerk ausbreiten kann. Die geeignete Maßnahme hier, ist die Segmentierung des Netzwerks. Gerade neuen Varianten von Ransomware versuchen so viele Systeme wie möglich im lokalen zu infizieren bevor diese dann damit beginnen alle Systeme gleichzeitig zu verschlüsseln. Der Schaden und Leidensdruck für die Opfer soll maximiert werden. Vor allem sind die Forderungen gegenüber den Vorgängern deutlich höher, 1,5 Bitcoins (ca. 550 Euro) je System. Unabhängig der aktuellen Gefahr ist Segmentierung und somit eine Abschottung der einzelnen Bereiche ein wichtiges Element eines jeden Sicherheitskonzept.
Ein Befall lokaler Clients ist es schon schlimm genug, aber wenn es auch noch die Netzlaufwerke betrifft, nimmt der Schaden für die Betroffenen ungeahnte Höhen an. Auch hier ist es umso wichtiger den möglichen Schaden weitestgehend zu begrenzen. Die Berechtigungskonzepte sollten dahingehend überprüft werden, ob auch nur die wirklich notwendigen Rechte vergeben sind. Jeder zusätzliche Zugriff, der nicht benötigt wird, sorgt nur dafür, dass noch mehr Schaden angerichtet werden kann. Wichtig sind nach wie vor, ausgereifte Backupkonzepte. Zudem können Techniken wie Continuous Data Protection (CDP) von Datacore im Falle eines Falles schnell den Stand wiederherstellen, bevor der Schädling zugeschlagen hat. Den aktuellen Schadcode zum Anlass genommen, ist ein Überdenken der Dateiablage in Form von herkömmlichen Shares mehr als angebracht. Diesem Thema wird sich der nächste Artikel hier im Blog widmen, weil es einen eigenen Beitrag auf Grund der Komplexität verdient hat.
Das Fazit der aktuellen Schadcode-Welle muss sein, die Sicherheit zu überdenken und Präventiv tätig zu werden. Die nächste Welle wird kommen, denn die Cyberkriminellen sehen den Erfolg und machen natürlich so lange weiter, bis die Geldquelle versiegt oder der Aufwand deren Kosten übersteigt. Der Aufbau von mehrschichtigen Sicherheitskonzepten, das Überarbeiten von Berechtigungen und das Einführen von präventiven Maßnehmen sollte auf allen ToDo Listen stehen. Ganz oben auf die Liste gehört auch der Schutz der Daten und deren Sicherung.