foto freepik

Insider-Know-how hilft Angreifern, sich der Erkennung zu entziehen und Sicherheitsrichtlinien zu umgehen.

HP Inc. veröffentlichte seinen aktuellen vierteljährlichen HP Wolf Security Threat Insights Report [1]. Der Report zeigt, Bedrohungsakteure reihen verschiedene Angriffskombinationen wie Bausteine aneinander, um sich an Erkennungstools »vorbeizuschleichen«.

HP Wolf Security isoliert diese Bedrohungen, die von Security-Tools auf PCs nicht erkannt wurden. Dadurch erhält das Unternehmen einen spezifischen Einblick in die neuesten Techniken, die Cyberkriminelle, in der sich schnell verändernden Bedrohungslandschaft einsetzen. HP Wolf Security Kunden haben bislang auf über 30 Milliarden E-Mail-Anhänge, Webseiten und heruntergeladene Dateien geklickt, ohne dass ein Verstoß gemeldet wurde.

Basierend auf den Daten von Millionen Endgeräten, auf denen HP Wolf Security läuft, fand das Threat Research-Team Folgendes heraus:

• Für Cyberkriminelle, die Angriffe mit Bausteinen entwickeln, ist es Zeit zum Spielen: Angriffsketten sind häufig formelhaft aufgebaut. Bei den kreativen QakBot-Kampagnen haben die Bedrohungsakteure jedoch verschiedene Bausteine miteinander verbunden, um Infektionsketten zu erstellen. Cyberkriminelle tauschten verschiedene Dateitypen und Techniken wie Bausteine aus und konnten so Erkennungstools und Sicherheitsrichtlinien umgehen. 32 Prozent der von HP im zweiten Quartal analysierten QakBot-Infektionsketten waren daher einzigartig.
• Den Unterschied zwischen Blogger oder Keylogger erkennen: Die Angreifer, die hinter den jüngsten Aggah-Kampagnen stecken, haben den bösartigen Code in der beliebten Blogging-Plattform Blogspot gehostet. Indem sie den Code in einer legitimen Quelle verstecken, ist es schwieriger zu erkennen, ob ein Nutzer einen Blog liest oder einen Angriff startet. Die Bedrohungsakteure nutzen dann ihr Wissen über Windows-Systeme, um einige Anti-Malware-Funktionen auf dem Computer des Benutzers zu deaktivieren, XWorm oder den AgentTesla Remote Access Trojan (RAT) auszuführen und vertrauliche Informationen zu stehlen.
• Gegen das Protokoll vorgehen: HP hat auch weitere Aggah-Angriffe identifiziert, bei denen eine DNS-TXT-Datensatzabfrage genutzt wird, um den AgentTesla-RAT zu übertragen. Diese lässt sich normalerweise dafür verwenden, um auf einfache Informationen über Domänennamen zuzugreifen. Sicherheitsteams überwachen oder schützen das DNS-Protokoll oftmals nicht – und Cyberkriminelle sind sich dessen bewusst. Daher ist dieser Angriff extrem schwer zu erkennen.
• Mehrsprachige Malware: Eine aktuelle Kampagne verwendet mehrere Programmiersprachen, um nicht entdeckt zu werden. Zunächst verschlüsseln die Cyberkriminellen die Malware mit einem in Go geschriebenen Verschlüsselungsprogramm. Das Ergebnis: Anti-Malware-Scanfunktionen, die den Angriff normalerweise erkennen würden, sind machtlos. Dann wechselt der Angriff zu C++, um mit dem Betriebssystem des Opfers zu interagieren und die .NET-Malware im Speicher auszuführen. So hinterlässt der Angriff nur minimale Spuren auf dem PC.

Patrick Schläpfer, Senior Malware Analyst des HP Wolf Security Threat Research Teams kommentiert: »Cyberkriminelle sind immer besser organisiert und informiert. Sie analysieren Betriebssystem Internals – und können so Lücken einfacher ausnutzen. Wenn sie wissen, welche Einfallspforten sie verwenden können, sind sie in der Lage, mit Leichtigkeit durch interne Systeme zu navigieren. Dazu setzen sie relativ einfache Techniken auf sehr effektive Weise ein – ohne Alarm zu schlagen.«

Der Bericht zeigt, wie cyberkriminelle Gruppen ihre Angriffsmethoden diversifizieren, um Sicherheitsrichtlinien und Erkennungsinstrumente zu umgehen. Zu den wichtigsten Ergebnissen gehören:

• Archive waren im fünften Quartal in Folge der beliebteste Malware-Typ, der in 44 Prozent der von HP analysierten Fälle verwendet wurde.
• Im zweiten Quartal stieg die Zahl der von HP Wolf Security gestoppten HTML-Bedrohungen im Vergleich zum ersten Quartal um 23 Prozent.
• Die Zahl der ausführbaren Dateien stieg von Q1 auf Q2 um vier Prozentpunkte – von 14 Prozent auf 18 Prozent. Dies ist vor allem auf die Verwendung der Datei PDFpower.exe zurückzuführen, die Software mit einer Browser-Hijacking-Malware bündelt.
• Bei Malware für Tabellenkalkulationen verzeichnete HP im ersten Quartal einen Rückgang um sechs Prozentpunkte (von 19 Prozent auf 13 Prozent) im Vergleich zum vierten Quartal. Die Angreifer wenden sich von Office-Formaten ab, in denen die Ausführung von Makros schwieriger ist.
• Mindestens zwölf Prozent der von HP Sure Click identifizierten E-Mail-Bedrohungen umgingen im zweiten Quartal einen oder mehrere E-Mail-Gateway-Scanner.
• Die wichtigsten Bedrohungsvektoren im zweiten Quartal waren E-Mails (79 Prozent) und Browser-Downloads (zwölf Prozent).

Dr. Ian Pratt, Global Head of Security for Personal Systems, HP Inc. erklärt: »Die Infektionsketten mögen zwar unterschiedlich sein, aber sie nutzen dieselben Methoden – es läuft darauf hinaus, dass der Anwender auf einen Link oder ähnliches klickt. Anstatt zu versuchen, die Infektionskette zu erraten, sollten Unternehmen riskante Aktivitäten wie das Öffnen von E-Mail-Anhängen, das Klicken auf Links und Browser-Downloads isolieren und eindämmen.«

HP Wolf Security führt risikobehaftete Aufgaben in isolierten, hardwaregestützten virtuellen Maschinen auf dem Endgerät aus. Dies schützt die Nutzer, ohne ihre Produktivität zu beeinträchtigen. Außerdem werden detaillierte Spuren von Infektionsversuchen aufgezeichnet. Die HP-Technologie zur Anwendungsisolierung entschärft Bedrohungen, die anderen Sicherheitstools entgehen. Sie bietet darüber hinaus detaillierte Einblicke in neuartige Bedrohungstechniken und das Verhalten von bösartigen Akteuren.

Über die Daten

Die Daten wurden von April bis Juni 2023 anonym in virtuellen Maschinen von HP Wolf Security- Kunden gesammelt.