von Gregor Wegberg

Bei der Untersuchung erfolgreicher Ransomware-Angriffe werden unter anderem die Protokolle der verwendeten Antivirenprogramme gesammelt und ausgewertet. Häufig enthalten diese die ersten Anzeichen des Versuchs der Angreifer, sich in der IT-Umgebung festzusetzen, mehr über die Umgebung zu erfahren und bestehende Privilegien zu eskalieren.

Das Antivirenprogramm erkennt dabei nicht alle, aber meist einige dieser Aktivitäten. Bei der Untersuchung dieser Protokolle stellt das Oneconsult International Computer Security Incident Response Team (OCINT-CSIRT) regelmässig fest, dass bereits früh Warnmeldungen mit klaren Hinweisen auf den Angriff ausgelöst wurden – teilweise Wochen oder gar Monate vor der Verschlüsselung der Dateien.

Leider werden diese Warnungen immer wieder von Unternehmen übersehen oder ignoriert. Genauso häufig trifft das Oneconsult CSIRT auf IT-Landschaften, in denen das Antivirenprogramm versehentlich oder bewusst auf einer Vielzahl von Systemen nicht scharf geschalten ist. Der Angreifer kann also nahezu frei walten, obwohl er eindeutig unerwünschte Aktivitäten ausführt, die erfolgreich beobachtet, erkannt, protokolliert und gemeldet werden könnten. Bei einigen Ransomware-Vorfällen, die das OCINT-CSIRT betreut hat, hätte die richtige Konfiguration und Reaktion auf die Warnmeldungen frühzeitig vor dem Angriff gewarnt. Es ist zu vermuten, dass ein Teil davon sogar vollständig zu verhindern gewesen wäre.

Die nachfolgenden Handlungsempfehlungen sollen vor einer solchen unangenehmen Feststellung bei der Aufarbeitung eines Vorfalls oder bestenfalls vor dessen Eintritt schützen. Allem voran sollen sie bewirken, dass das Antivirenprogramm nicht bloss Kosten generiert, sondern einen effektiven Beitrag zur IT-Sicherheit leistet.

Grundlegende Anforderungen

Zuallererst ist sicherzustellen, dass die späteren Empfehlungen in der Praxis umsetzbar sind:

Konfigurationsempfehlungen

Als Nächstes gilt es die Konfiguration zu prüfen und sicherzustellen, dass das Antivirenprogramm zur Steigerung der IT-Sicherheit beiträgt:

Wiederkehrende Aktivitäten

Zuletzt bleiben die aktive und wiederkehrende Interaktion und Arbeit mit dem System. Dies soll den Mehrwert der Detektion maximieren:

DFIR, einfach

Ganz unabhängig, ob Sie als IT-Mitarbeiterin oder -Mitarbeiter tagtäglich IT-Systeme gegen Cyber-Angriffe und deren Nutzer verteidigen oder einfach neugierig sind, wie digitale Forensik funktioniert und Informationssicherheitsvorfälle bewältigt werden: Hier sind Sie richtig! Unter dem Titel «DFIR, einfach» veröffentlichen unsere Expertinnen und Experten des Oneconsult International Computer Security Incident Response Team (OCINT-CSIRT) Beiträge, die Sie als freiwillige IT-Security-Feuerwehr in Ihrem Unternehmen weiterbilden. Jeder Beitrag bringt Ihnen ein Werkzeug, einen Prozess oder Erkenntnisse aus den Informationssicherheitsvorfällen anderer Unternehmen näher. Mit grundlegendem IT-Verständnis und einer guten Prise Neugier sind Sie hier richtig. Übrigens, «DFIR» steht für «Digital Forensics & Incident Response» und unsere Beiträge fokussieren sich auf pragmatische, im Alltag anwendbare und kostengünstige Ansätze – ganz im Sinne der Blog-Reihe: DFIR, einfach.

Über den Autor

Nach Abschluss seiner Informatiklehre mit Schwerpunkt Applikationsentwicklung bei einem Schweizer Finanzdienstleister entschloss sich Gregor Wegberg für ein Informatikstudium an der ETH Zürich. Während seines Studiums spezialisierte er sich auf Informationssicherheit und betreute die Vorlesung «Applied Security Lab». Zudem arbeitete Gregor Wegberg Teilzeit als Software Engineer, wobei er unter anderem für die Requirements-Analyse und Implementierung einer Lösung für eine grosse Privatbank verantwortlich war. Nach seinem Masterabschluss in Informatik (MSc ETH CS) nahm er im Januar 2017 seine Tätigkeit als Penetration Tester und Security Consultant bei der Oneconsult auf, wo er im Dezember 2017 zum Senior Security Consultant & Penetration Tester befördert wurde. Seit Februar 2020 ist er Head of Digital Forensics & Incident Response. Gregor Wegberg hat ein Certificate of Advanced Studies in Leadership vom IAP der ZHAW, ist zertifizierter ISO 27001 Senior Lead Auditor, ISO 27035 Lead Incident Manager, Offensive Security Certified Professional (OSCP), OSSTMM Professional Security Tester (OPST), OSSTMM Professional Security Analyst (OPSA), eLearnSecurity Certified Digital Forensics Professional (eCDFP), Professional Scrum Master I (PSM I), Professional Scrum Product Owner I (PSPO I), Oracle Certified Associate sowie Java SE 8 Programmer (OCAJP8) und besitzt ausserdem ein Microsoft Certified Azure Fundamentals-Zertifikat.

Über Oneconsult

Die Oneconsult-Unternehmensgruppe ist seit 2003 Ihr renommierter Schweizer Cybersecurity Services Partner mit Büros in der Schweiz und Deutschland und 2000+ weltweit durchgeführten Security-Projekten.

Erhalten Sie kompetente Beratung vom inhabergeführten und herstellerunabhängigen Cybersecurity-Spezialisten mit 40+ hochqualifizierten Cybersecurity Experten, darunter zertifizierte Ethical Hacker / Penetration Tester (OPST, OPSA, OSCP, OSCE, GXPN), IT-Forensiker (GCFA, GCFE, GREM, GNFA), ISO Security Auditoren (ISO 27001 Lead Auditor, ISO 27005 Risk Manager, ISO 27035 Incident Manager) und dedizierte IT Security Researcher, um auch Ihre anspruchsvollsten Herausforderungen im Informationssicherheitsbereich zu bewältigen. Gemeinsam gehen wir Ihre externen und internen Bedrohungen wie Malware-Infektionen, Hacker-Attacken und APT sowie digitalen Betrug und Datenverlust mit Kerndienstleistungen wie Penetration Tests / Ethical Hacking, APT Tests unter Realbedingungen und ISO 27001 Security Audits an. Bei Notfällen können Sie rund um die Uhr (24 h x 365 Tage) auf die Unterstützung des Digital Forensics & Incident Response (DFIR) Expertenteams von Oneconsult zählen.

www.oneconsult.com


[1]https://www.nextron-systems.com/?s=antivirus
[2]https://www.oneconsult.com/wp-content/uploads/2020/10/ix.2020.11.094_100.pdf_kiosk.pdf

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

qr_code_emergency_2022
CSIRT zu den Kontakten hinzufügen