Ein neues Schreckgespenst kursiert seit einigen Tagen wieder durch die IT-Abteilungen dieser Welt. Vor Monaten hieß es Locky, zwischenzeitlich Petya, CryptoWall, CTB-Locker oder TeslaCrypt und nun fällt ein neuer Name in den Kaffeepausen der Unternehmen: Goldeneye. Und genau wie die im Orbit stationierte, namensgebende EMP-Waffe, gegen die Pierce Brosnan, bewaffnet mit P99 und erschreckend-statischer Fönfrisur, im gleichnamigen Bond-Streifen kämpft, setzt das Ransomware-Pendant die IT aktuell flächendeckend matt. Wie alle Vorgänger verbreitet sich Goldeneye rasant, unbeeindruckt von den eingesetzten Virenscannern und anderen Schutzmaßnahmen.
In den nachfolgenden Zeilen klären wir über die aktuelle Infektionswelle von Ransomware auf und zeigen, wie man sich mit dem AppSense Application Manager und Trusted Ownership Checking nachhaltig vor Schadcodes und vor noch unbekannten 0-Day-Exploits schützen kann.
Meist reicht eine einzige Schwachstelle, um Infektionen freies Geleit zu gewähren. Sind alle Applikationen im System mit dem neuesten Update versehen? Sind die Account-Passwörter sicher? Sind die Endanwender ausreichend sensibilisiert und fallen nicht gutgläubig auf die zahlreichen Maschen der Phishing-Mails rein? Es reicht nur ein schwaches Glied in dieser Kette, damit Angreifer entsprechende Lücken ausnutzen können.
Gerade aufgrund der Effizienz und Rentabilität von Ransomware-Infektionen etabliert sich dieses „Geschäftsmodell“ und wird vor allem von den Medien massenweise publiziert. Dennoch sollten die Erfolge dieses Prinzips den Blick über den Tellerrand erweitern. Wenn Kryptoviren es so leicht haben, dann gilt das auch für andere Klassifikationen von Malware. Somit müssen die Systeme auf einem bedeutend-anderen Weg abgesichert werden, als nur durch einen guten Virenscanner, zumal auch immer mit einem Fehler des Endanwenders gerechnet werden sollte. Die Infektion muss dort abgewehrt werden, wo sie beginnt – bei der Ausführung des jeweiligen Prozesses. Genau diesen Ansatz verfolgt das Trusted Ownership Checking.
Zuerst blicken wir aber auf eine Zeit, als der Umgang mit Kryptoviren noch etwas einfacher war:
Historisches – „Alle Ihre Daten ist verschlüsselt“
Das Thema der Verschlüsselungs-Trojaner ist keine besondere Neuigkeit. Schon früher gab es Schadcodes, wie den Bundespolizei-Trojaner, die im Privatanwenderbereich das Betriebssystem mit einem Lock-Screen bedienungsunfähig gemacht haben. Hier wurden keine Daten direkt verschlüsselt, sondern die Angst zum Hebel gemacht. Die prangernden Logos der Bundespolizei oder des BKAs, sollten in Kombination mit dem angeblichen Fund von Kinderpornographie oder terroristischen E-Mails, eine Zahlung der verunsicherten User als Affekthandlung erwirken. Auch waren diese hemdsärmeligen Angriffe meist sehr gut durchschaubar und schlecht übersetzt. Durch auffallend-krude Sätze wie „Alle Ihre Daten ist verschlüsselt“ oder „Es ist die ungesetzliche Tätigkeit enthüllt“, gepaart mit der Aufforderung ein dubioses Zahlungssystem zu nutzen, war den meisten Benutzern damals sofort klar, dass es sich um eine kriminelle Attacke handelte. Damals konnten geübte Anwender meist mit kleinen Tricks diese Sperre umgehen, indem der entsprechende Prozess im Taskmanager gestoppt wurde. Mit den Jahren und steigender Rechenleistung ist nun allerdings eine immer bessere Kryptographie verfügbar, welche eine Entsperrung der Systeme nahezu unmöglich macht.
Versteckt im Makro
Das Schema ist immer ähnlich. Die Kryptoviren verbreiten sich über infizierte Dokumente und täuschen unaufmerksame User, um ihnen durch das Ausführen von Makros den Zugriff auf alle Daten, in den meisten Fällen durch Nutzung einer Verschlüsselungsstärke militärischen Grades, zu entziehen.
Eine folgende Zahlungsaufforderung nötigt den Endanwender, seine Daten per Bitcoins wieder „freizukaufen“. Überweist man die Bitcoins an das ominöse Wallet, sollte man einen Key zur Entschlüsselung der eigenen Daten erhalten. Ob dies fallspezifisch wirklich erfolgt, kann niemand sagen, jedoch scheint sich die Vorgehensweise zu lohnen, da bisher Bitcoins in Millionenhöhe geflossen sind.
Personalabteilungen im Fokus
Aktuelles Ziel von Goldeneye sind die Personalabteilungen der Unternehmen. Derzeit werden massenweise Bewerbungen verschickt, um die Unachtsamkeit der User auszunutzen und sich zu verbreiten. Wird der Bearbeitungsmodus des Dokumentes aktiviert, führt sich ein Makro aus, welches zwei EXE-Files erstellt, die dann wiederum das gesamte System verschlüsseln. Es erscheint das charakteristische Hinweisfenster mit der Aufforderung der Bitcoin-Überweisung. Bemerkenswert ist, mit welcher Strategie die Hintermänner von Schadsoftware mittlerweile vorgehen. Heise.de berichtete beispielsweise unlängst, dass es Hackern vor einiger Zeit gelungen ist, 145 Millionen Kundendatensätze der Online-Auktionsplattform eBay zu stehlen. Erst nach einer entsprechenden Karenzzeit wurden die Daten missbräuchlich für kriminelle Massenmail-Kampagnen genutzt. Auch die verwendeten Mailadressen und Daten der aktuellen Goldeneye-Infektionswelle scheinen nach neusten Erkenntnissen einem Angriff auf die Agentur für Arbeit zu entstammen. Typischerweise sind Personalabteilungen auch ein sehr gutes Ziel für einen solchen Angriff. Personaler erhalten zahlreiche Bewerbungen von ihnen unbekannten Personen und genau dieser Umstand macht das Filtern der Nachrichten nach ihrer Vertrauenswürdigkeit so schwierig. Die Texte in den Anschreiben sind in perfektem Deutsch geschrieben und die Ansprechpartner sind korrekt genannt. Es wird sukzessive schwerer, Feind und Freund zu unterscheiden.
Die Liste der Betroffenen ist lang
Etliche Unternehmen und Einrichtungen, wie das Lukaskrankenhaus in Neuss, das Fraunhofer Institut oder das Ministerium für Inneres und Kommunales wurden infiziert. Alle Systeme waren im Vorfeld nach Ansicht der Zuständigen gut und ausreichend geschützt. Leider scheint sich dies nach der Infektion von Zehntausenden PCs als Trugschluss herausgestellt zu haben. Aber warum ist das eigentlich so?
Man findet nur etwas, wenn man weiß, wonach man suchen muss
Die Angst vor Kryptoviren zeigt ein großes Problem in der Handhabung von Virenscannern. Diese entdecken in Abhängigkeit der Aktualität ihrer Datenbanken auch nur die Schadcodes, die Ihnen bekannt sind. Sobald ein Code mutiert, hat auch der beste Virenscanner keine Chance mehr den Schädling zu bemerken. Ist ein Virus bekannt und in den Datenbanken der Virenschutz-Hersteller gelistet, steht schon das nächste Derivat in den Startlöchern. Teilweise wird dies zwar durch heuristische Prüfungen, dem Erkennen eigentlich unbekannter Codes anhand feststehender Merkmale, kompensiert. Die Crux der Heuristik: Ist sie zu schwach eingestellt, bemerkt sie den Schadcode nicht. Ist sie zu stark eingestellt, gibt es zuhauf Fehlalarme des Scanners, was den Endanwender in seiner Produktivität einschränkt. Heuristik ist also ein Pokerspiel für die Suche nach dem richtigen Mittelwert. Schlussendlich muss man sich also wieder auf die aktuellen Patches und die Vollständigkeit der Virenscanner-Datenbanken verlassen, die-, wie sich aktuell wieder zeigt, ebenfalls keinen absoluten Schutz bieten. Auch das Sensibilisieren der Mitarbeiter hilft nur marginal, denn der Fehler ist hier skalierbar. Je mehr Mitarbeiter, desto mehr Angriffsversuche, desto höher ist die Chance, dass ein User in die Falle tappt. Und wie bereits oben aufgeführt, hilft eine große Achtsamkeit aufgrund der immer perfekteren Vorgehensweise der Angreifer bei Weitem nicht mehr, um einen guten Schutz der Systeme zu gewährleisten.
Ransomware ist Erpressung
Eine Infektion mit Ransomware unterscheidet sich signifikant zu anderen Typen Schadsoftware. Sie ist visuell sehr prägnant. Der Nutzer sieht was ihm widerfährt, verliert wertvolle Daten und im Zweifel Geld. Andere Trojaner, Viren und Key-Logger sind hier weitaus dezenter.
Wenn Kryptoviren wie Goldeneye, Locky und Co. immer wieder durch Virenscanner unerkannt bleiben, kann man davon ausgehen, dass dies auch für zahlreiche andere Bedrohungen gilt, die aber einen ganz anderen Ansatz verfolgen. Können Sie mit absoluter Sicherheit sagen, dass es keinen Trojaner in Ihrem System gibt, der jede Ihrer Passworteingaben loggt und nach „Hause“ sendet? Auch die zahlreichen DDoS-Attacken der jüngsten Zeit setzen den Sicherheitsexperten Deutschlands den Spiegel vor. Fast die Hälfte der weltweiten PC-Systeme hängen in zumindest einem der großen Botnets und werden immer wieder für kriminelle Attacken missbraucht. Von den offenen IoT-Devices mit Standardpasswörtern wollen wir an dieser Stelle gar nicht erst sprechen.
Eine Suchanfrage bei Google-Trends zeigt, in welchen Zyklen das Thema an Relevanz gewinnt. Gerade seit dem Jahr 2014 wiederholt sich das Anfragevolumen in systemischen Intervallen und seit Mitte 2015, mit dem Aufkommen von Locky, besteht ein reges „Grundinteresse“ an der Thematik. Nichtsdestotrotz ebbt das Interesse und damit auch die Aufmerksamkeit nach den jeweiligen Peaks ab. Und hier liegt genau der Fehler. Die letzte Infektion ist Monate her, der Alltag schleicht sich wieder ein und meistens waren nur andere Unternehmen betroffen. Ein Sicherheitsgefühl, welches aus einem gefährlichen Trugschluss entwachsen ist.
Auch Goldeneye wird wahrscheinlich nach einiger Zeit von den Scannern nativ erkannt werden. Der bis dahin entstandene Schaden erstreckt sich weit über die überwiesenen Bitcoin-Beträge. Admins mussten unter Datenverlust haareraufend Backups einspielen und haben gerade am Jahresende Zeit für andere wichtige Projekte verloren. Die technisch nicht-versierten Endanwender wurden erneut mit zahlreichen Warnungs-Mails und erhobenen Zeigefingern aus den IT-Abteilungen sensibilisiert, bitte doch beim nächsten Mal nicht die „Rechnung.zip“ der Ihnen unbekannten Bank zu öffnen. Die gesamte Sicherheitsstrategie des Unternehmens erhält folglich wieder eine Revision, wie man effektiv gegen den neuen Vektor vorgehen kann. Leider wird dabei meistens nicht erkannt, dass der Ansatz weitaus globaler gefasst werden muss. Man kann über Jahre hinweg die Schlaglöcher einer Autobahn für teures Geld ausbessern, oder man überlegt sich, ob man nicht doch vielleicht einen widerstandsfähigeren Asphalt anschaffen sollte. Man schließt eine Tür und merkt dabei nicht, wie die Angreifer bereits dabei sind, einen neuen Zugang in die Fassade zu brechen.
Wenn auf Virenscanner kein Verlass ist, – auf was dann?
Ein Ansatz wäre das Application Whitelisting, welches Windows 10 zumindest mittlerweile mitbringt, jedoch schützt dieses Bordmittel nicht gegen 0-Day-Exploits. Auch hier bleibt weiterhin ein kleines Fenster offen, durch dass sich Angreifer Zugriff auf die Systeme beschaffen können.
Die wirkungsvollste Methode für einen allumfassenden Schutz gegen unbekannte Codes wird derzeit von AppSense durch das so genannte Trusted Ownership Prinzip realisiert.
Via Einsatz des Application Managers darf nur Code ausgeführt werden, dessen NTFS Eigentümer (Owner) der Adminstratorengruppe angehört.
Somit wird das Ausführen von Dateien blockiert, welche nicht von einem Administrator auf das System deployed/installiert wurden.
Durch dieses simple und dadurch effiziente Prinzip bleibt Schadsoftware die Tür verschlossen.
Alle Dateien und Prozesse werden unabhängig ihres Dateiformates (EXE, DLL, OCX, Batch, VB-Script oder Makro) geblockt. Es gibt keine Chance zur Ausführung eines Schadcodes oder sonstigen unbekannten Programmen, die nicht vom System stammen, oder vom Administrator zur Verfügung gestellt wurden. Die Systeme werden somit hermetisch abgeriegelt.
Durch die granulare Rechtezuweisung für spezifische Anwendungsfälle erfährt der Benutzer keine Einschränkungen zum Preis der Sicherheit. Gerne verweisen wir hier an dieser Stelle auf einen Blog-Eintrag von AppSense:
Als einer der wenigen AppSense-Partner mit Platinum-Status im deutschsprachigen Raum, sind wir ein kompetenter Ansprechpartner und beraten unsere Kunden seit Jahren nachhaltig und ganzheitlich in Bezug auf Endpoint Security.
Wenn Sie weiterführende Informationen, eine Live-Demo oder technische Details zum Application Manager benötigen, freuen wir uns über Ihre Kontaktaufnahme.