Blog
Informativ, aktuell und spannend - der Oneconsult Cybersecurity Blog.

DFIR, einfach: Antivirenprogramm als Kanarienvogel in der Mine

Bei der Untersuchung erfolgreicher Ransomware-Angriffe werden unter anderem die Protokolle der verwendeten Antivirenprogramme gesammelt und ausgewertet. Häufig enthalten diese die ersten Anzeichen des Versuchs der Angreifer, sich in der IT-Umgebung festzusetzen, mehr über die Umgebung zu erfahren und bestehende Privilegien zu eskalieren.

Das Antivirenprogramm erkennt dabei nicht alle, aber meist einige dieser Aktivitäten. Bei der Untersuchung dieser Protokolle stellt das Oneconsult International Computer Security Incident Response Team (OCINT-CSIRT) regelmässig fest, dass bereits früh Warnmeldungen mit klaren Hinweisen auf den Angriff ausgelöst wurden – teilweise Wochen oder gar Monate vor der Verschlüsselung der Dateien.

Leider werden diese Warnungen immer wieder von Unternehmen übersehen oder ignoriert. Genauso häufig trifft das Oneconsult CSIRT auf IT-Landschaften, in denen das Antivirenprogramm versehentlich oder bewusst auf einer Vielzahl von Systemen nicht scharf geschalten ist. Der Angreifer kann also nahezu frei walten, obwohl er eindeutig unerwünschte Aktivitäten ausführt, die erfolgreich beobachtet, erkannt, protokolliert und gemeldet werden könnten. Bei einigen Ransomware-Vorfällen, die das OCINT-CSIRT betreut hat, hätte die richtige Konfiguration und Reaktion auf die Warnmeldungen frühzeitig vor dem Angriff gewarnt. Es ist zu vermuten, dass ein Teil davon sogar vollständig zu verhindern gewesen wäre.

Die nachfolgenden Handlungsempfehlungen sollen vor einer solchen unangenehmen Feststellung bei der Aufarbeitung eines Vorfalls oder bestenfalls vor dessen Eintritt schützen. Allem voran sollen sie bewirken, dass das Antivirenprogramm nicht bloss Kosten generiert, sondern einen effektiven Beitrag zur IT-Sicherheit leistet.

Grundlegende Anforderungen

Zuallererst ist sicherzustellen, dass die späteren Empfehlungen in der Praxis umsetzbar sind:

  • Alle Installationen des Produkts werden zentral verwaltet. Die zentrale Verwaltung gibt Aufschluss über die letzten Funde sowie den Zustand der Anwendung und erlaubt unter anderem das Forcieren einer Aktualisierung. Fehlt dies, so wird die Konfiguration und Ausführung der später gelisteten Aktivitäten stark erschwert. Bei einem Informationssicherheitsvorfall fehlen wiederum wertvolle Informationen, die dann aufwendig gesammelt werden müssen.
  • Jedes IT-System wird überwacht. Ist dies nicht möglich, zum Beispiel bei integrierten Systemen in der Industrie oder im Gesundheitswesen, so müssen unbedingt flankierende Massnahmen erarbeitet und umgesetzt werden. Solche Fälle sollten die absolute Ausnahme sein und durch andere Schutzmechanismen kompensiert werden. Bei Tablets und Mobiltelefonen als Sonderfall ist die Härtung der Konfiguration gegenüber einem Antivirenprogramm zu bevorzugen.

Konfigurationsempfehlungen

Als Nächstes gilt es die Konfiguration zu prüfen und sicherzustellen, dass das Antivirenprogramm zur Steigerung der IT-Sicherheit beiträgt:

  • Jede Installation aktualisiert sich vollautomatisch und regelmässig. Eine tägliche Aktualisierung der Erkennungsmechanismen/Signaturen ist anzustreben.
  • Soweit möglich ist die Software so konfiguriert, dass verdächtige Aktivitäten gestoppt oder blockiert werden. Schädliche Dateien werden in die Quarantäne verschoben, damit eine spätere Untersuchung möglich ist. Auf Endnutzersystemen ist dieses Verhalten die Norm. Auf bestimmten Serversystemen kann es nötig sein, die Software als reinen Beobachter einzusetzen. Die reine Beobachtung ohne Eingriff in die Ausführung potenziell schädlicher Aktionen muss stets die Ausnahme darstellen und einer regelmässigen Neueinschätzung unterzogen werden. Warnmeldungen eines solchen Ausnahmesystems müssen mit besonders hoher Priorität zeitnah geprüft werden.
  • Meldungen werden in Echtzeit an dafür verantwortliche Rollen gesendet und von diesen aktiv verarbeitet (siehe die nachfolgenden wiederkehrenden Aktivitäten). Dies kann durch den Versand von E-Mails oder durch die Anbindung an ein SIEM erreicht werden.

Wiederkehrende Aktivitäten

Zuletzt bleiben die aktive und wiederkehrende Interaktion und Arbeit mit dem System. Dies soll den Mehrwert der Detektion maximieren:

  • Jede Meldung wird zeitnah auf ihr Gefahrenpotenzial überprüft und entsprechend für die Nachverfolgung priorisiert. Hierbei hilft das Antivirus Event Analysis Cheat Sheet von Nextron Systems. [1] Dieses erlaubt in kurzer Zeit die Relevanz einer Warnung zu bewerten und anschliessend zu priorisieren. Regelmässig findet das Oneconsult CSIRT bei Einsätzen mehrere Wochen und Monate alte Antivirus-Meldungen, die «Mimikatz» [2] enthalten: Eine besonders kritische und wichtige Meldung («Highly Relevant» im Cheat Sheet), der leider niemand nachgegangen ist.
  • Es wird regelmässig überprüft, ob alle Installationen aktiv sind. Immer wieder stoppen Angreifer die Software, um von dieser nicht gestört zu werden.
  • In regelmässigen Abständen wird geprüft, ob alle Systeme über aktuelle Signaturen/Erkennungsmechanismen verfügen, d.h. ob die automatische Aktualisierung der Software wie erwartet ausgeführt wird.

DFIR, einfach

Ganz unabhängig, ob Sie als IT-Mitarbeiterin oder -Mitarbeiter tagtäglich IT-Systeme gegen Cyber-Angriffe und deren Nutzer verteidigen oder einfach neugierig sind, wie digitale Forensik funktioniert und Informationssicherheitsvorfälle bewältigt werden: Hier sind Sie richtig! Unter dem Titel «DFIR, einfach» veröffentlichen unsere Expertinnen und Experten des Oneconsult International Computer Security Incident Response Team (OCINT-CSIRT) Beiträge, die Sie als freiwillige IT-Security-Feuerwehr in Ihrem Unternehmen weiterbilden. Jeder Beitrag bringt Ihnen ein Werkzeug, einen Prozess oder Erkenntnisse aus den Informationssicherheitsvorfällen anderer Unternehmen näher. Mit grundlegendem IT-Verständnis und einer guten Prise Neugier sind Sie hier richtig. Übrigens, «DFIR» steht für «Digital Forensics & Incident Response» und unsere Beiträge fokussieren sich auf pragmatische, im Alltag anwendbare und kostengünstige Ansätze – ganz im Sinne der Blog-Reihe: DFIR, einfach.

Über den Autor

Nach Abschluss seiner Informatiklehre mit Schwerpunkt Applikationsentwicklung bei einem Schweizer Finanzdienstleister entschloss sich Gregor Wegberg für ein Informatikstudium an der ETH Zürich. Während seines Studiums spezialisierte er sich auf Informationssicherheit und betreute die Vorlesung «Applied Security Lab». Zudem arbeitete Gregor Wegberg Teilzeit als Software Engineer, wobei er unter anderem für die Requirements-Analyse und Implementierung einer Lösung für eine grosse Privatbank verantwortlich war. Nach seinem Masterabschluss in Informatik (MSc ETH CS) nahm er im Januar 2017 seine Tätigkeit als Penetration Tester und Security Consultant bei der Oneconsult auf, wo er im Dezember 2017 zum Senior Security Consultant & Penetration Tester befördert wurde. Seit Februar 2020 ist er Head of Digital Forensics & Incident Response. Gregor Wegberg hat ein Certificate of Advanced Studies in Leadership vom IAP der ZHAW, ist zertifizierter ISO 27001 Senior Lead Auditor, ISO 27035 Lead Incident Manager, Offensive Security Certified Professional (OSCP), OSSTMM Professional Security Tester (OPST), OSSTMM Professional Security Analyst (OPSA), eLearnSecurity Certified Digital Forensics Professional (eCDFP), Professional Scrum Master I (PSM I), Professional Scrum Product Owner I (PSPO I), Oracle Certified Associate sowie Java SE 8 Programmer (OCAJP8) und besitzt ausserdem ein Microsoft Certified Azure Fundamentals-Zertifikat.

Über Oneconsult

Die Oneconsult-Unternehmensgruppe ist seit 2003 Ihr renommierter Schweizer Cybersecurity Services Partner mit Büros in der Schweiz und Deutschland und 2000+ weltweit durchgeführten Security-Projekten.

Erhalten Sie kompetente Beratung vom inhabergeführten und herstellerunabhängigen Cybersecurity-Spezialisten mit 40+ hochqualifizierten Cybersecurity Experten, darunter zertifizierte Ethical Hacker / Penetration Tester (OPST, OPSA, OSCP, OSCE, GXPN), IT-Forensiker (GCFA, GCFE, GREM, GNFA), ISO Security Auditoren (ISO 27001 Lead Auditor, ISO 27005 Risk Manager, ISO 27035 Incident Manager) und dedizierte IT Security Researcher, um auch Ihre anspruchsvollsten Herausforderungen im Informationssicherheitsbereich zu bewältigen. Gemeinsam gehen wir Ihre externen und internen Bedrohungen wie Malware-Infektionen, Hacker-Attacken und APT sowie digitalen Betrug und Datenverlust mit Kerndienstleistungen wie Penetration Tests / Ethical Hacking, APT Tests unter Realbedingungen und ISO 27001 Security Audits an. Bei Notfällen können Sie rund um die Uhr (24 h x 365 Tage) auf die Unterstützung des Digital Forensics & Incident Response (DFIR) Expertenteams von Oneconsult zählen.

www.oneconsult.com


[1]https://www.nextron-systems.com/?s=antivirus
[2]https://www.oneconsult.com/wp-content/uploads/2020/10/ix.2020.11.094_100.pdf_kiosk.pdf

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 12.00 Uhr und 13.00 – 17.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRFA-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

qr_code_emergency_2022
CSIRT zu den Kontakten hinzufügen