Post Intrusion Report von Vectra Networks deckt auf: Hackerangriffe werden immer unauffälliger

Vectra® Networks, der führende Anbieter von automatisiertem Gefahrenmanagement, stellt heute die Ergebnisse seines Post Intrusion Reports vor. Die Studie befasst sich mit realen Praxisfällen, in denen Cyberkriminelle die vorhandene Perimeter-Abwehr umgangen haben und analysiert die Aktivität von Hackern, nachdem diese ins Netzwerk eingedrungen sind.

Im Rahmen der Untersuchung wurden die Daten von 120 Vectra Kunden-Netzwerken und von mehr als 1,3 Millionen Hosts im Verlauf des ersten Quartals 2016 analysiert. Das vorliegende Datenmaterial war damit dreimal größer als im letzten Report, bei dem die Experten die Daten von 40 Kunden ausgewertet haben.

Bei 117 der 120 teilnehmenden Firmen wurde im zwölfwöchigen Erhebungszeitraum jeden Monat mindestens einer der folgenden gezielten Hackerangriffs-Methoden und -Verhalten identifiziert: Internes Auskundschaften, laterale Bewegungen sowie Datenklau. Trotz der Tatsache, dass rund 98 Prozent der Unternehmen betroffen waren, beobachteten die Forscher weniger weit fortgeschrittene Angriffe, die bis zur Daten-Exfiltration führten. So wies dieser letzte Schritt ganz am Ende eines Angriffs, mit nur drei Prozent naturgemäß den niedrigsten Wert auf.

„Dieses Ergebnis verdeutlicht, dass Security Teams, die sich auf die aktive Phase eines Hacker-Angriffs konzentrieren, das Risiko eines Datendiebstahls erfolgreich verringern können“, erklärt Günter Ollmann, CSO bei Vectra Networks. „Sie können dadurch schneller reagieren und Angriffe stoppen, bevor sensible Daten aus dem Netzwerk abfließen und ein größerer Schaden entsteht.“

C&C Methoden und verdeckte Kommunikation auf dem Vormarsch

Die Forscher kamen außerdem zu dem Ergebnis, dass nicht nur die Command-and-Control (C&C) Angriffe mit einem Gesamtanteil von 67% aller identifizierten Angriffe zunehmen. Außerdem ist auch der Gebrauch von HTTP und HTTPS bei verdeckter Kommunikation für Command-and-Control-Angriffe auf dem Vormarsch. Professionelle Hacker nutzen vermehrt HTTP und HTTPS (C&C), um versteckte Nachrichten zu übermitteln und Daten innerhalb von Protokollen zu stehlen, die normalerweise von Firewalls am Perimeter nicht blockiert werden.

Es lässt sich festhalten, dass HTTP- und HTTPS Tunnel 7,6 Prozent aller Command-and-Control-Angriffe ausmachen und somit zu den drei häufigsten C&C-Techniken überhaupt zählen. In Relation zur Anzahl der beobachteten Hosts haben die Forscher hier keine Trendwende verzeichnet. Gleichzeitig machten die Hacker vermehrten Gebrauch von versteckten C&C-Tunnel. Diese wurden in der aktuellen Untersuchung durchschnittlich 4.9 Mal pro 1000 Hosts offengelegt, während es im vergangenen Post Intrusion Report 2.1 Mal, also gerade einmal halb so oft, der Fall war.

Angreifer wählen öfter dezentere Methoden für Netzwerk-Spionage

Laterale Bewegungen, die Hacker ein umfassendes Spionieren zum Sammeln von Daten ermöglichen, sind 2015 von 34 Prozent auf rund 8,6 Prozent besonders signifikant gefallen.

Haben sich Angreifer erst einmal Zugang ins Firmennetzwerk verschafft, verhalten sie sich immer unauffälliger. In Bezug auf die lateralen Bewegungen ist die Verwendung von Brute-Force-Angriffe - im vergangenen Jahr die beliebteste Methode schlechthin - stark gesunken. Gleichzeitig stieg das vorsätzlich falsche Ausgeben als Kunde des Authentifizierungsdienstes Kerberos im Jahr 2015 auf 36,3 Prozent und macht damit mehr als ein Drittel aller lateralen Bewegungen aus.

„Da Brute-Force-Techniken sehr auffällig sind, greifen erfahrene Cyberkriminelle zunehmend auf andere Methoden zurück. So bevorzugen sie Techniken, die sich unauffällig innerhalb des zulässigen Traffics bewegen und bei denen Fehlermeldungen eher selten auftreten“, so Ollmann. „Unsere Analyseergebnisse verdeutlichen, dass das Ausnutzen von offengelegten Schwachstellen bei Kerberos sowie die Anwendung neuartige Angriffsmethoden, die eine automatische Datenverwertung ermöglichen, heutzutage zum Standardrepertoire von Hackern gehören“, führt Ollmann weiter aus. „Wenn erst einmal geeignete Kerberos Schlüssel erstellt und Verwaltungs-Accounts gehackt worden sind, können andere Hosts innerhalb des infizierten Netzwerks einfach und automatisch miteinander verbunden werden.“

So machen sich Hacker Botnets zu Nutze

In Sachen Botnet-Angriffe bleibt der so genannte „Klick-Betrug“ mit 58,1 Prozent die führende Technik. Zwar stellen durch Botnets herbeigeführte Infektionen für Unternehme naturgemäß ein geringeres Risiko dar als gezielte Attacken, komplett risikofrei sind sie jedoch nicht. Dieses Jahr zeichnet sich zudem ein kontinuierlicher Anstieg von Denial-of-Service (DoS)-Angriffen ab, während der Gebrauch von Brute-Force-Angriffen abnimmt. Die Berücksichtigung von Botnet-Attacken ist für Unternehmen essentiell, da diese für die Reputation eines Unternehmens erhebliche Folgen haben kann. Zusammengefasst nehmen diese Techniken 27 Prozent aller Botnet-Aktivitäten ein. Das sind mehr als doppelt so viele, als bei der letzten Erhebung, bei der deren Anteil gerade einmal 12 Prozent ausmachte.

Über Vectra Networks

Vectra Networks™ ist der führende Anbieter von Lösungen zum automatisierten Gefahrenmanagement und Echtzeit-Erkennung laufender Cyber-Angriffe. Die Lösung des Unternehmens erkennt Gefahren gegenüber angegriffenen Nutzern automatisch und bietet einen außergewöhnlichen Einblick in die stattfindende Hackeraktivität. Dadurch kann Datenverlust unverzüglich verhindert oder begrenzt werden. Vectra priorisiert die Gefahren, die das größte Risiko darstellen, wodurch Unternehmen umgehend handeln und ihre Ressourcen gezielt einsetzen können. 2015 wurde Vectra von Gartner als „Cool Vendor in Security Intelligence" ausgezeichnet. Gartner würdigte damit das Unternehmen dafür, dass es die Herausforderungen bei der Erkennung von Bedrohungen nach einem sicherheitsrelevanten Vorfall adressiert. Zudem wurde Vectra bei den American Business Awards mit dem Gold Award in der Kategorie Tech Startup 2015 ausgezeichnet. Zu den Investoren von Vectra zählen Khosla Ventures, Accel Partners, IA Ventures, AME Cloud Ventures, und DAG Ventures. Der Hauptsitz des Unternehmens befindet sich in San Jose, Kalifornien mit einem weiteren Firmensitz in Zürich.

###

Vectra und das Vectra Networks Logo sind eingetragene Marken. Sicherheit, die mitdenkt, das Vectra Threat Labor sowie der Vectra Threat Certainty Index sind Handelsmarken von Vectra Networks. Andere Marken-, Produkt und Servicebezeichnungen sind Handelsmarken, registrierte Handelsmarken oder Dienstleistungszeichen von den entsprechenden Inhabern.

‍