MUHAMMAD - stock.adobe.com

Laufende Ransomware-Angriffe erkennen und begrenzen

Bei Ransomware ist das Thema Vorbeugung zwar wichtig, dennoch wird es irgendwann zu einem Angriff kommen. Dann gilt es den Schaden durch bewährte Erkennungsmethoden zu begrenzen.

Bei Ransomware ist Prävention entscheidend. Genauso wichtig ist es jedoch, zu wissen, wie man Ransomware erkennt, wenn sie ein Netzwerk infiziert – bevor sie geschäftskritische Daten verschlüsselt und exfiltriert. Wenn eine Lösegeldforderung eintrifft, ist der Schaden bereits angerichtet.

Die frühzeitige Erkennung umfasst eine Kombination aus Automatisierung und Malware-Analyse, um schädliche Dateien frühzeitig in der Kill Chain zu entdecken. Malware ist jedoch nicht immer leicht zu aufzuspüren. Um einer Erkennung zu entgehen, verstecken Angreifer Ransomware häufig in legitimer Software wie PowerShell-Skripten, VBScript und PsExec. Außerdem geht es bei der Erkennung manchmal nicht nur um die Malware selbst, sondern auch um die Auswertung von Hinweisen aus der Netzwerkaktivität, um zu verstehen, ob ein Angriff bevorsteht.

Sehen wir uns vier Methoden zur Erkennung von Ransomware genauer an: signaturbasierte, verhaltensbasierte, verkehrsbasierte und täuschungsbasierte Erkennung.

1. Signaturbasierte Erkennung

Bei der signaturbasierten Ransomware-Erkennung wird der Hash einer Ransomware-Probe mit bekannten Signaturen verglichen. Sie ermöglicht eine schnelle statische Analyse von Dateien in einer Umgebung. Sicherheitsplattformen und Antivirensoftware erfassen Daten innerhalb einer ausführbaren Datei, um die Wahrscheinlichkeit zu ermitteln, dass es sich um Ransomware und nicht um eine autorisierte ausführbare Datei handelt. Die meisten Antivirenprogramme führen diesen Schritt beim Scannen nach Malware durch.

Sicherheitsteams können auch das Windows PowerShell-Cmdlet Get-FileHash oder Open-Source-Informationstools wie VirusTotal verwenden, um den Hash einer Datei zu ermitteln. Mit aktuellen Hash-Algorithmen können Sicherheitsexperten den Hash einer Datei mit bekannten Malware-Mustern vergleichen. Sicherheitsteams können dann mithilfe von Antiviren- und Antimalware-Tools bestimmte Dateitypen auf eine Blockliste setzen. Dadurch wird verhindert, dass Benutzer versehentlich Malware per E-Mail oder über das Internet herunterladen.

Signaturbasierte Ransomware-Erkennungstechniken bilden die erste Verteidigungsstufe. Sie sind zwar nützlich, um bekannte Bedrohungen zu finden, können jedoch neuere oder Zero-Day-Bedrohungen nicht immer identifizieren. Beispielsweise aktualisieren Angreifer ihre Malware-Dateien regelmäßig, um einer Erkennung zu entgehen. Durch Hinzufügen eines einzigen Bytes zu einer Datei wird ein neuer Hash erstellt, wodurch die Erkennbarkeit der Malware allein anhand der Signatur verringert wird.

Trotz ihrer Einschränkungen ist die signaturbasierte Erkennung nach wie vor nützlich, um ältere Ransomware-Varianten zu identifizieren.

2. Verhaltensbasierte Erkennung

Verhaltensbasierte Ransomware-Erkennungsmethoden vergleichen neue Verhaltensweisen mit historischen Daten, um Sicherheitsexperten und -tools bei der Suche nach Indikatoren für eine Kompromittierung zu unterstützen. Diese Methoden können beispielsweise erkennen, ob jemand von einem anderen Staat aus per Fernzugriff auf einen Unternehmensdesktop zugreift, obwohl sich der Mitarbeiter am selben Tag vom Büro aus angemeldet hat.

Die verhaltensbasierte Erkennung umfasst die folgenden Schritte:

Überwachung von Dateisystemänderungen. Sicherheitsteams sollten auf ungewöhnliche Dateiausführungen achten, zum Beispiel auf eine übermäßige Anzahl von Dateiumbenennungen. An einem normalen Arbeitstag kommen einige wenige vor, aber Hunderte innerhalb kurzer Zeit sind ein Warnsignal. Ransomware kann eine Zeit lang in Systemen verborgen bleiben, bevor sie ausgeführt wird. Daher sollten Sicherheitsteams auch auf die Erstellung einer Datei mit größerer Entropie als die Originaldatei sowie auf die Aufzählung und Verschlüsselung von Dateien achten.

Prüfung von API-Aufrufen. Sicherheitsteams sollten API-Aufrufe untersuchen, um zu erfahren, welche Befehle Dateien ausführen und ob diese verdächtig sind. Spyware und Keylogger verwenden beispielsweise GetWindowDC, um Informationen aus einem ganzen Fenster zu erfassen, oder IsDebuggerPresent, um festzustellen, ob ein Debugger auf einem System aktiv ist. Ein weiterer Trick von Ransomware ist die Verwendung von GetTickCount, um auf die Millisekunde genau festzustellen, wie lange ein System eingeschaltet war. Eine kurze Zeitspanne könnte darauf hinweisen, dass sich die Ransomware in einer VM befindet und daher keine bösartigen Aktionen ausführt.

3. Traffic-basierte Erkennung

Die Traffic-basierte Erkennung umfasst die Überwachung des Netzwerkverkehrs auf verdächtige Aktivitäten oder Muster, wie beispielsweise einen plötzlichen Anstieg des ausgehenden Datenverkehrs. Dies könnte darauf hindeuten, dass ein erfolgreicher Cyberangriff sensible Daten exfiltriert, was zu einem Anstieg des ausgehenden Datenverkehrs führt.

Sicherheitsteams sollten den Datenverkehr auf Anomalien untersuchen, beispielsweise ob Software Verbindungen zu verdächtigen Filesharing-Seiten herstellt, und die Zeiten solcher Aktionen protokollieren. Außerdem sollten sie prüfen, ob das Datenverkehrsvolumen kürzlich angestiegen ist und wohin dieser Datenverkehr fließt, und die Ziele mit bekannten verdächtigen IP-Adressen vergleichen. Ransomware benötigt eine Netzwerkverbindung zu externen Servern, um Befehle zu empfangen und Entschlüsselungscodes auszutauschen.

Beachten Sie, dass diese Erkennungsmethode zwar hilfreich ist, jedoch zu Falsch-Positiv-Meldungen führen kann und Analysezeit erfordert. Angreifer könnten auch legitime Filesharing-Websites nutzen, die von dem infizierten Unternehmen auf die Allowlist gesetzt wurden, um so unentdeckt zu bleiben.

4. Täuschungsbasierte Erkennung

Bei den auf Täuschung (Deception) basierenden Ransomware-Erkennungstechniken werden die Angreifer ausgetrickst, während sie im System des Unternehmens nach Daten suchen, die sie verschlüsseln oder exfiltrieren können. Sicherheitsteams verwenden Täuschungstechniken, um böswillige Angreifer dazu zu bringen, mit gefälschten Ressourcen im Netzwerk zu interagieren. Legitime Benutzer werden diese gefälschten Ressourcen nicht berühren, so dass Sicherheitsteams einen zuverlässigen Hinweis auf verdächtige Aktivitäten erhalten. Sicherheitsteams können Köder wie Honeynets, Honeypots und Honey Tokens einsetzen und sie ignorieren, solange kein Alarm protokolliert wird. Im Folgenden werden einige Merkmale dieser Arten von Lockvögeln beschrieben:

  • Honeynets sind Netze aus Honeypots und Honey Tokens.
  • Honeypots sind absichtlich verwundbare, mit dem Netzwerk verbundene Systeme, wie zum Beispiel ein Computer, eine VM, eine Anwendung, ein Dateispeicher oder ein Server.
  • Honey Tokens sind einzelne Dateien, E-Mail-Adressen oder Benutzerkonten, die Angreifer anlocken sollen.
Die Einhaltung dieser Schritte kann dazu beitragen, die Reaktion auf einen Vorfall im Falle eines Ransomware-Angriffs zu beschleunigen.
Abbildung 1: Die Einhaltung dieser Schritte kann dazu beitragen, die Reaktion auf einen Vorfall im Falle eines Ransomware-Angriffs zu beschleunigen.

Einen mehrschichtigen Ansatz gegen Ransomware verfolgen

Bei der Erkennung von Ransomware gibt es keine einheitliche Vorgehensweise. Durch die Kombination mehrerer Methoden haben Sicherheitsteams bessere Chancen, einen Ransomware-Angriff zu erkennen, zu überwachen und zu isolieren, bevor er zu großen Schaden anrichten kann.

Unternehmen müssen mehr tun, als nur Antivirensoftware zu installieren und auszuführen. Neben einer Kombination der oben genannten Ransomware-Erkennungstechniken sollten Sicherheitsteams auch nach Angriffen Ausschau halten, die durch die Vordertür hereinkommen. Insider-Bedrohungen wie die Wiederverwendung von Anmeldedaten und Social Engineering können Angreifern leicht Zugang zu einem System verschaffen.

Erfahren Sie mehr über Bedrohungen