Bald ist Ostern und die Suche nach den Osternestern startet wieder. Wie auch der Osterhase Hinweise und Spuren hinterlässt, so lässt auch ein Angreifer in Ihrem Netzwerk Spuren zurück. Wichtig ist bereits im Vorfeld eines Angriffs möglichst viele dieser Spuren zu sichern, um im Ernstfall den Angreifer schneller aufzuspüren. Erfahren Sie in meinem Blogbeitrag, welche Vorkehrungen Sie treffen können, um bei der Spurensuche möglichst effizient zu sein.
Ostern steht vor der Türe und bei uns zu Hause dreht sich bei meinem 3 ½-Jährigen alles um den Osterhasen: Wie kommt der Osterhase ins Haus, obwohl die Türen verschlossen sind? Bringt er nur ein oder mehrere Osternester – oder nimmt er sogar meine heissgeliebten Schnuller mit? Bereits in der heilen Welt meines Jungen ist so ein Osterhase schon als potentieller Threat-Actor anzuschauen.
Dabei erinnere ich mich gerne an meine Kindheit zurück. Damals hat jedes Kind ein Osternest bereitgestellt, welches der Osterhase dann über Nacht gefüllt und irgendwo versteckt hat. An Regentagen im Haus und an schönen Tagen draussen im Garten. Seltsam war auch, dass unsere Eltern immer wussten, wo der Osterhase die Osternester versteckt hatte. Wir sollten nach «Spuren» suchen, wie zum Beispiel Pfotenabdrücke im Schnee (manchmal hatte es wirklich auch noch Schnee an Ostern), umgeknickte Löwenzahn-Blumen (wenn es dann keinen Schnee mehr hatte) oder andere Hinweise. Mit der Zeit wurden wir immer besser im Spurenlesen. So liess sich der «Threat-Actor» Osterhase durch das Sammeln von Hinweisen aufspüren oder zumindest das von ihm platzierte «Easter Egg».
Heute suche ich keine Osternester mehr, sondern Malware und ich lese auch keine Spuren im Schnee mehr, sondern finde die Spuren von Angreifern in forensischen Artefakten. Wenn wir bei einem Incident Response ein Netzwerk nach Angreiferspuren durchsuchen, geschieht dies vorwiegend auf den Endpunkten. Dort fallen am ehesten Spuren des Angreifers an. Klar bedienen wir uns auch diversen Netzwerkartefakten, wie Firewall- oder Proxy-Logs, um nach C2-Kommunikationen oder Hinweisen von Datenexfiltration zu suchen. Am meisten Spuren hinterlässt der Angreifer jedoch dort, wo der Angriff passiert – nämlich auf dem Endpunkt.
Dort hinterlässt jeder Angreifer Spuren. Ob es nun ein automatisierter oder opportunistischer Angriff ist, wie zum Beispiel die gross angelegten Hafnium-Angriffe in den letzten Wochen. Aber auch ein lang geplanter Angriff eines «Nation State Actors» hinterlässt Spuren. Die Kunst dabei ist es, normales Benutzer- und Systemverhalten von jenem eines Angreifers zu unterscheiden. Dies kann in sehr grossen, heterogenen oder unübersichtlichen Umgebungen eine grosse Herausforderung sein. Besonders schwierig ist es, wenn ein Entwickler in seinem Entwicklungssystem lokale Administratorenrechte besitzt – da dann sehr vieles nach einem Angriff aussieht.
Es gibt aber zum Glück Artefakte, respektive Logs wo wir fast immer Angreiferspuren finden und wo wir dementsprechend auch zuerst suchen:
Falls wir an diesen Orten den Angreifer nicht ausfindig machen konnten, graben wir tiefer. Wir werten diverse forensische Artefakte nach Angreiferspuren aus. Dazu gehören jegliche EventLogs, diverse Registry Hives, FileSystem Artefakte, aktuelle Speicherabbilder etc. Um jedoch diese Spuren im Falle eines Incidents zur Verfügung zu haben, ist es sinnvoll sich bereits im Vorfeld Gedanken zu machen, welches die wichtigen Artefakte für das eigene Unternehmen sind.
Als wir früher Osternester gesucht haben, hatten wir jeweils Glück, wenn der Schnee noch nicht geschmolzen war. Dann konnten wir die Spuren des «Osterhasen» viel einfacher aufspüren. Um den Schnee in Ihrer Umgebung nicht schmelzen zu lassen, empfehlen wir Ihnen folgende Vorkehrungen:
Eine Cyberattacke kann Ihr Unternehmen jederzeit treffen – und nicht nur zu Ostern. Deshalb ist es umso wichtiger, Angriffe und Angriffspuren schnell zu erkennen und umgehende darauf zu reagieren. Mit unserem Incident Response Retainer schaffen wir die optimale Voraussetzung, um Sie bei einer Cyberattacke schnell, effizient und wirkungsvoll zu unterstützen. Dazu stehen Ihnen unsere Cyber Security Experten 7x24Std. zur Verfügung. Erfahren Sie jetzt mehr über unseren Incident Response Retainer und geben Sie Angreifern keine Chance.
Wichtig ist jedoch, je mehr Angreiferspuren Sie im Vorfeld eines Incident sichern können, desto schneller finden wir den «Osterhasen» bzw. den Angreifer und das von ihm platzierte «Osternest». In diesem Sinne wünsche ich Ihnen und Ihren Angehörigen frohe Ostern und mögen Ihre Kinder die Spuren rasch finden.