SSL-Bedrohungen: Angriffe per verschlüsseltem Datenverkehr

Längst findet ein Großteil des Datenverkehrs im Internet verschlüsselt statt, aus vielerlei guten Gründen. Dabei kann dieser Datenverkehr durchaus auch Unliebsames im Gepäck haben, nutzen Kriminelle doch diesen verschlüsselten Traffic, um Sicherheits-Tools umgehen zu können. So setzen die Angreifer ebenfalls auf Verschlüsselung, um ihre Schadsoftware in diesem verschlüsselten Datenverkehr zu verbergen.

Anwender werden zudem vertrauenswürdige Quellen vorgetäuscht, um sie zu Aktionen zu verleiten und dann verschlüsselt etwaige Daten nachzuladen. Phishing und Ransomware stellen für Unternehmen nach wie vor sehr große Bedrohungen dar und werden selbstredend in Kombination genutzt. Und inzwischen geht es meist nicht nur darum, die Daten der potenziellen Opfer zu verschlüsseln und so dem Zugriff zu entziehen, sondern es wird ganz nebenbei auch noch mit der Veröffentlichung der Daten gedroht – Stichwort Doxing.

Im Gespräch mit ComputerWeekly.de erläutert Deepen Desai die Herausforderungen und die aktuelle Situation im Zusammenhang mit verschlüsseltem Datenverkehr und der Sicherheit. Deepen Desai ist CISO und Vice President Security Research bei Zscaler.

Wie hat sich die Lage hinsichtlich des verschlüsselten Datenverkehrs und den Bedrohungen insgesamt entwickelt?

Deepen Desai: Unser jährlicher Bericht zeigt, dass SSL-basierte Bedrohungen auf dem Vormarsch sind und zusätzlich immer raffinierter werden. Im Jahresvergleich wurde alleine von März bis September 2020 ein Anstieg um 260 Prozent von hinter SSL-Verschlüsselung versteckten Bedrohungen verzeichnet.

Dieser Anstieg verdeutlich, dass der Datenverkehr, der über verschlüsselte Kanäle fließt, nicht grundsätzlich als sicher eingestuft werden kann. Hier muss also ein Umdenken stattfinden, denn das Vorhängeschloss-Symbol im Browser alleine garantiert keine Sicherheit mehr. Im Gegenteil: es wiegt den Anwender in trügerischer Sicherheit.

Einen massiven Anstieg von Ransomware haben wir darüber hinaus im Untersuchungszeitraum verzeichnet. Eine Zunahme um 500 Prozent spricht eine deutliche Sprache über die Trends der Angreifer, auf die Unternehmen reagieren müssen. Gleichzeitig werden eben diese Ransomware-Angriffe ausgefeilter. Nicht selten exfiltrieren Angreifer Daten ihrer Opfer, bevor sie verschlüsselt werden. Damit wird der Bestechungseffekt höher, wenn die Angreifer noch zusätzlich damit drohen können, vertrauliche Daten zu veröffentlichen.

Was wird unter dem Bereich SSL-basierte Bedrohungen zusammengefasst?

Desai: Die Verschlüsselung des Internetverkehrs über SSL (Secure Sockets Layer) und dessen modernerer Ersatz TLS (Transport Layer Security) ist der weltweite Standard für den Schutz von Daten bei der Übertragung. Mittlerweile findet über 80 Prozent des Internet-basierten Datenverkehrs verschlüsselt statt. Das Problem ist, dass auch Cyberkriminelle Verschlüsselung verwenden, um Malware jeglicher Art und andere Exploits hinter diesem verschlüsselten Traffic zu verbergen.

Was die Angriffe so gefährlich macht, ist die Tatsache, dass der Exploit oder die versteckte Malware der Entdeckung entgehen, wenn der verschlüsselte Datenverkehr nicht aufgebrochen und gescannt wird. Für die Untersuchung von verschlüsseltem Traffic sind allerdings sehr leistungsfähige und skalierbare Systeme erforderlich, um beim Anwender keine Latenz zu erzeugen. Und hier liegt für viele Unternehmen das Problem, dass ihre Systeme noch nicht auf flächendeckendes Scanning verschlüsselter Daten ausgelegt sind.

Was macht das Einfallstor SSL so interessant für Cyberkriminelle?

Desai: Während die SSL/TLS-Verschlüsselung der Industriestandard für den Schutz von Daten während der Übertragung vor neugierigen Blicken ist, ist die Verschlüsselung selbst zu einer Bedrohung geworden. Sie wird häufig von Angreifern genutzt, um Malware an Sicherheits-Tools vorbei zu schleusen, die den verschlüsselten Datenverkehr nicht vollständig kontrollieren.

Mit dem zunehmenden Maße verschlüsselter Datenströme – heute sind bereits mehr als 80 Prozent des Traffics derart verschlüsselt – steigt das Gefahrenpotenzial. Angreifer nutzen dabei die Tatsache aus, dass SSL-verschlüsselter Datenverkehr nicht vollumfänglich durchleuchtet wird.

Welche Arten von Angriffen dominieren und wie haben sich diese Angriffe verändert?

Desai: Zwei Bereiche waren besonders auffällig in der diesjährigen Untersuchung. 30 Prozent der aufgedeckten Angriffe erfolgten über Dienste zum Datenaustausch. Dazu zählen Cloud-basierte File-Sharing-Dienste, wie Google Drive, OneDrive, AWS, und Dropbox, auf die sich im untersuchten Zeitraum SSL-verschlüsselte Angriffe fast verdoppelten. Dabei kommen Downloader als Malware-Art zum Einsatz, die über Spam-E-Mail-Kampagnen verbreitet werden. Durch die Ausnutzung bekannter und häufig eingesetzter Services für den Angriff steigen die Chancen, dass Anwender auf die Links klicken und sich der Infektionszyklus in Gang setzt.

Darüber hinaus ist es nicht verwunderlich, das Ransomware-Angriffe im Untersuchungszeitraum so deutlich angestiegen sind im Vergleich zum Vorjahr. Hier stand die Gesundheitsbranche stark im Fokus. Von den untersuchten 6,6 Milliarden untersuchten Angriffen zielte mehr als ein Viertel auf das Gesundheitswesen ab (25,5 Prozent), gefolgt vom Finanz- und Versicherungswesen mit 18,3 Prozent und der Fertigungsbranche mit 17,4 prozentualem Anteil am Gesamtaufkommen.

Welche Rolle spielt Phishing? Gibt es beim Phishing Unterschiede zwischen den Branchen?

Desai: „Domain Squatting“ und „Homograph-Attacken“ die auf die Nachahmung populärer, legitimer Webseiten mit pixelgenauen Nachbildungen setzen, sind weit verbreitet. Ihr letztendliches Ziel liegt auf der Hand: das Vertrauen großer Marken ausnutzen, um Malware zum Abgreifen von Anmeldeinformationen und Bankkonto-Zugangsdaten zu verbreiten. Dementsprechend sind diese Kampagnen nicht branchenspezifisch ausgerichtet, sondern zielen auf möglichst weit verbreitete Domains und damit viele Anwender ab.

Die Technik eines homographen Angriffs beruht auf der Tatsache, dass die Benutzer nicht auf Details achten. Links zu registrierten Domains nach dem Vorbild von gmali.com und app1e.com - die den originalen Markennamen sehr ähnlich scheinen – werden bei mangelnder Aufmerksamkeit geklickt, da diese auf einen flüchtigen Blick den Originaldomains sehr ähnlich sind. Die sich hinter diesen homographen Domains verbergenden Webseiten sind kaum vom Original zu unterscheiden und setzen darüber hinaus ebenfalls auf SSL/TLS-Verschlüsselung.

Unsere Untersuchung ergab, dass die folgenden Marken von Phishing-Attacken über verschlüsselte Kanäle hoch im Kurs stehen: Microsoft führt mit 36 Prozent vor PayPal (15 Prozent) und Google (10 Prozent). Weitere Services für Betrug war der „Technischen Support“ (17 Prozent) und Webmail (12 Prozent).

„Durch die Ausnutzung bekannter und häufig eingesetzter Services für den Angriff steigen die Chancen, dass Anwender auf die Links klicken und sich der Infektionszyklus in Gang setzt.“

Deepen Desai, Zscaler

Bei der Untersuchung des Command & Control-Datenverkehrs von Botnets zeigte sich, dass verschiedene Botnet-Familien nach wie vor mit einem Branchenfokus aktiv sind, allen voran Emotet und TrickBot, gefolgt von Ursnif und Unruy.

Während Emotet industrieübergreifend aktiv ist, zielte Trickbot auf das Finanz- und Versicherungswesen sowie die öffentliche Verwaltung ab. Ursnif hingegen wurde vorrangig für Angriffe auf das Gesundheitswesen und auf Fertigungsbetriebe eingesetzt und Unruy treibt sein Unwesen häufig im Bildungssektor.

Welche Rolle spielen Angriffe, die über vertrauenswürdige Cloud-Anbieter wie Microsoft, AWS, Google und Co. durchgeführt werden? Wie kann man sich das in der Praxis vorstellen?

Desai: Unternehmen haben folgendes Dilemma: herkömmliche Sicherheitshardware ist ein limitierender Faktor für den Scan des gesamten SSL-Traffics. Sie müssen also Abstriche hinsichtlich der Untersuchung des SSL-verschlüsselten Datenverkehrs machen. Ein beliebtes Beispiel sind Cloud-basierte File-Sharing-Dienste wie AWS, Google Drive, OneDrive und Dropbox, die leistungsstarke Tools zur Förderung der Zusammenarbeit und Produktivität von Mitarbeitern sind, die gerade während der Gesundheitskrise verstärkt verwendet wurden.

Bei dieser Art von Angriffen wird durch die Erstellung von File-Sharing-URLs zu böswilligen Inhalten weitergeleitet und dabei auf Dienste, wie Google Drive oder Dropbox als Teil einer E-Mail-Phishing-Kampagne gesetzt. Durch diesen Ansatz entfällt die Notwendigkeit, infizierte Dateien an E-Mails anzuhängen, für deren verdächtige Behandlung die Nutzer geschult wurden. Da der Inhalt auf einer legitimen File-Sharing-Site gehostet wird, genießt er ein gewisses Maß an Vertrauen – und infizierte Nutzer können den Angriff schnell verbreiten, indem sie den Link im gesamten Unternehmen freigeben.

Gibt es im Kontext der Pandemie bei den Angriffen veränderte Entwicklungen zu verzeichnen?

Desai: Cyberkriminelle machen keine ethischen Ausnahmen, denn sogar während der COVID-19-Pandemie nahmen sie das Gesundheitswesen mit ihren verschlüsselten Advanced-Threat-Angriffen ins Visier. Es erstaunt nicht, dass es dann die kritischen Bereiche der Telekommunikation und Einrichtungen des Gesundheitswesens waren, die am härtesten von den zielgerichteten Angriffen betroffen waren.

Aufgrund der sensiblen Natur ihrer Daten neigen diese Unternehmensbereiche dazu, den Lösegeldforderungen nachzukommen. Ransomware-Familien wie FileCrypt/FileCoder-Varianten, Sodinokibi, Maze und Ryuk waren in unserer Forschung am häufigsten anzutreffen.