Security-Studie

Hacker bleiben 11 Tage unentdeckt im Netz

19. Mai 2021, 8:40 Uhr | Selina Doulah | Kommentar(e)

Fortsetzung des Artikels von Teil 1

Angreifer kombinieren Tools

Wenn zum Beispiel »PowerShell« in einem Angriff verwendet wird, ist auch »Cobalt Strike« in 58 Prozent der Fälle, »PsExec« in 49 Prozent, »Mimikatz« in 33 Prozent und »GMER« in 19 Prozent mit von der Partie. »Cobalt Strike« und »PsExec« werden in 27 Prozent der Angriffe zusammen verwendet, während »Mimikatz« und »PsExec« in 31 Prozent der Angriffe gemeinsam auftreten. Schließlich tritt die Kombination aus »Cobalt Strike«, »PowerShell« und »PsExec« in 12 Prozent aller Angriffe auf. Solche Zusammenhänge sind wichtig, da ihre Erkennung als Frühwarnung eines bevorstehenden Angriffs dienen oder das Vorhandensein eines aktiven Angriffs aufzeigen kann.

Anbieter zum Thema

zu Matchmaker+

Ransomware bleibt »Kassenschlager«

Erst die tatsächliche Ransomware-Aktivierung ist oft der Moment, an dem ein Angriff für ein IT-Sicherheitsteam erstmals sichtbar wird. Wenig überraschend ist also, dass die überwiegende Mehrheit der dokumentierten Vorfälle Ransomware betraf. Zu den anderen Angriffstypen gehörten auch reine Datenexfiltration, Cryptominer, Banking-Trojaner oder Pen-Test-Attacken.

Falscher Ort, falsche Zeit

»Die Bedrohungslandschaft wird immer unübersichtlicher und komplexer. Die Cyberkriminellen starten ihre Angriffe mit den unterschiedlichsten Fähigkeiten und Ressourcen, von Skript-Kiddies bis hin zu staatlich unterstützten Hackergruppen. Das macht die Arbeit für Verteidiger schwierig«, sagt John Shier, Senior Security Advisor bei Sophos. Viele der von Angreifern verwendeten Tools werden auch von IT-Administratoren und Sicherheitsexperten für ihre täglichen Aufgaben verwendet und es ist daher eine Herausforderung, rechtzeitig den Unterschied zwischen gutartigen und bösartigen Aktivitäten auszumachen. Besonders vor dem Hintergrund, dass Angreifer ihre Aktivitäten im Durchschnitt elf Tage im Netzwerk durchführen, während sie sich in die routinemäßigen IT-Aktivitäten einmischen, sei es laut Shier wichtig, dass Verteidiger die Warnzeichen kennen, auf die sie achten und denen sie nachgehen müssen. So sollte etwa Alarmstufe Rot läuten, wenn ein legitimes Tool oder eine bekannte Aktivität an einem unerwarteten Ort oder zu einer außergewöhnlichen Zeit entdeckt wird. Shier weiter: »Technologie kann heutzutage viel bewirken, aber in der aktuellen Bedrohungslandschaft sind menschliche Erfahrung und die Fähigkeit, individuell zu reagieren, ein wichtiger Teil jeder Sicherheitslösung.« 


  1. Hacker bleiben 11 Tage unentdeckt im Netz
  2. Angreifer kombinieren Tools

Verwandte Artikel

Sophos

IT-Security

Security-Software

Matchmaker+