Sie sind hier: HomeTelekommunikation

Studie Angriffstechniken im Cyberraum: Das Handwerkszeug der Hacker

Lightcyber stellt im Cyber Weapons Reports 2016 die meistgenutzten Tools von Cyberkriminellen vor. Die Untersuchungen zeigen, dass in 99 Prozent der Fälle die Angreifer nach der Penetration der Netzwerke nicht auf Malware zur Aushöhlung und Abtastung der Netzwerke zurückgreifen.

Bildquelle: © serpeblu - fotolia

In der Regel nutzen die Hacker Standardprogramme für Sicherheitseinbrüche und den Diebstahl von Informationen. Administrationstools und Netzwerkprogramme kommen zum Einsatz, nachdem der Angreifer sich unbemerkt Zugang zum Netzwerk verschafft hat. Schädlinge dienen als Hilfsmittel beim Einbruch in das Netzwerk, kommen aber nach dem Eindringen nicht mehr zum Einsatz.

Spitzenplätze nehmen zum Beispiel Tools wie “Angry IP Scanner” und “Nmap” ein. Beide Programme sind keine Schädlinge, können aber für Angriffe missbraucht werden. Angreifer nutzen sie für “low and slow”-Attacken, wobei diese nur als Verhaltensanomalien erkannt werden können. Im Gegensatz zu bekannter Malware können solche Programme lange Zeit im Netzwerk nach Daten wühlen, ohne durch klassische Threat Intelligence entdeckt zu werden. Verschiedene Berichte sehen daher eine durchschnittliche Detektionszeit von fünf Monaten.

Einmal im Netzwerk muss der Hacker das Netzwerk kennenlernen und tastet es nach Ressourcen und Schwachstellen ab. Die größte Aktivität legt er dabei während dieser Aufklärungsphase an den Tag. Auch in der lateralen Bewegung und der Comand & Control Kommunikation sind viele Aktionen der Angreifer besonders aktiv.

„Der Cyber Weapons Report lässt uns in einer noch nie da gewesen Form erkennen, dass Malware nicht das Mittel der Wahl für Angreifer ist, nachdem sie in Netzwerke eingedrungen sind,“ sagt Jason Matlof, Executive Vice President bei Lightcyber. „Die IT-Sicherheitsbranche ist besessen von Malware, obwohl die Realität anders aussieht. Die vielen Sicherheitseinbrüche und Informationsdiebstähle zeigen, dass klassische IT-Sicherheitsansätze auf Basis von Schädlingserkennung nicht mehr ausreichend sind. Wir müssen neue Technologien entwickeln, um aktive Cyberangriffe zu erkennen.“

Hintergrund: Grundlage der Studie sind Informationen aus über 100.000 Endpunkten weltweit. Sie wurden über sechs Monate in Organisationen unterschiedlicher Größe mit 1.000 bis 50.000 Endgeräten gesammelt. Dabei waren verschiedene Branchen wie Finance, Logisitk, Governance, Healthcare, Telekommunikation und Forschung vertreten.

Die Netzwerkaktivität wurde auf Basis der “LightCyber Magna Behavioral Attack Detection Plattform” analysiert. Dies erlaubt eine automatische Erkennung von Prozessen in Verbindung mit Anomalien im Netzwerk. Ausführbare Dateien werden automatisch zur Prüfung in das Magna Cloud Expert System geleitet.