Zum ersten Mal hat BeyondTrust den Malware Threat Report 2021 veröffentlicht, der in Zusammenarbeit mit Kunden und Incident-Response-Teams unter Verwendung von BeyondTrust-Lösungen entstanden ist. Die Sicherheitsstudie wertet reale IT-Attacken aus, die zwischen dem ersten Quartal 2020 und 2021 stattgefunden haben. Insgesamt wurden 150 aktuelle Angriffsketten untersucht, die im MITRE ATT&CK-Framework aufgeführt werden.
Wichtige Ergebnisse der Studie im Überblick:
- Fileless-Malware-Bedrohungen für IT-Umgebungen werden als Ausgangspunkt für weitere Angriffe genutzt und sollen Hackern einen dauerhaften Zugriff zu Unternehmensnetzen verschaffen.
- Malware-as-as-service (MaaS) mit spezialisierten Angriffswerkzeugen wird zur Aushebelung von IT-Schutzvorkehrungen kommerziell angeboten und in unterschiedlichen Bedrohungsszenarien eingesetzt.
- Das MITRE ATT&CK-Framework bietet eine effektive Methodik zur rechtzeitigen Erkennung und Abwehr eines breiten Spektrums von Malware-Stämmen und Cyberattacken.
- BeyondTrusts vordefinierte IT-Sicherheitsrichtlinien unterbrachen proaktiv alle 150 Angriffsketten, die im Rahmen der Sicherheitsanalyse untersucht wurden.
- Die Entfernung von Adminrechten und die Implementierung von Applikationskontrollen verhindern die aktuell häufigsten Cyber-Risiken und -Bedrohungen durch Schadsoftware.
Weitere Highlights des Berichts über häufig auftretende Sicherheitsthemen und Berechtigungsmanagement als wirksame Gegenmaßnahme zur Abwehr von Cyberbedrohungen finden Sie in diesem Blogbeitrag. Hier steht der vollständige Report zudem als Download zur Verfügung.
Der Reifegrad von Malware-Technologien
Cyberkriminalität ist ein wachstumsstarkes Geschäftsmodell, das sich in Bezug auf Malware-Technologien und Finanzierungsmodelle ständig weiterentwickelt. So ist der aktuelle IT-Trend einer wachsenden Popularität von SaaS-Lösungen auch in der kriminellen Parallelwelt spürbar, wo Angriffswerkzeuge verstärkt als Malware-as-a-Service (MaaS) offeriert werden. Waren früher noch ausgewiesene Spezialisten für die Aushebelung von IT-Sicherheitstechnologien erforderlich, können heute unterschiedliche Malware-Bestandteile in einer einzigen Kampagne zusammengefasst werden. Die Angreifer operieren dabei als digitale Dienstleister.
Heutzutage gibt es eine Vielzahl an unterschiedlichen Schadprogrammen, die sich im Rahmen eines Angriffs kombinieren lassen. Ein typischer Ransomware-Angriff mehrerer Bedrohungsakteure, Tools und Plattformen könnte zum Beispiel folgendermaßen aussehen:
- Die Angreifer mieten das Necurs-Botnet und setzen es zur Verteilung von Spam-Nachrichten ein.
- Die Spam-Mails enthalten mit Schadcode versehene Dokumente, um eine Trickbot-Infektion auszulösen.
- Das Schadprogramm Trickbot sammelt Anmeldedaten, greift auf E-Mails zu and bewegt sich per „Network Lateral Movement“ im gesamten Netzwerk. Gestohlene Daten werden zum Verkauf angeboten oder für weitere Attacken genutzt.
- Nach umfassender Kompromittierung eines Unternehmensnetzes verkaufen Hacker den Backdoor-Zugang zum Netzwerk an den Meistbietenden.
- Der Käufer verteilt die Ransomware RYUK anschließend über Trickbot-Command-and-Control-Server.
Angreifer wollen den maximalen Schaden und die höchsten Lösegeldeinnahmen erzielen. Deshalb werden Ransomware-Attacken von mehreren Bedrohungsakteuren, IT-Werkzeugen und Plattformen ausgeführt, die ganze Unternehmensumgebungen unter Beschuss nehmen. In der Regel ist der Ausgangspunkt einer Attacke nicht mehr die Programmierung eines automatisierten Wurms, der sich selbst über das Netzwerk verbreitet. Die neueste Generation geht zielgerichtet und heimlich mit Ransomware-as-a-Service (RaaS) vor, um eine Tür ins Netzwerk einer großen Organisation öffnen zu können. Im nächsten Schritt wird ein infiltriertes Netzwerk mit gängigen Pentest-Werkzeugen wie Cobalt Strike oder PowerShell Empire durchleuchtet. Nach erfolgreicher Deaktivierung der Sicherheitskontrollen hebelt man den Schutz von Endpunkten aus und dringt mit erhöhten Nutzerrechten per Network Lateral Movement weiter in das Firmennetz vor. Die Angreifer erhalten so die Kontrolle über kritische IT-Systeme, verschlüsseln und exfiltrieren sensible Daten.
PAM – Eine leistungsstarke, kombinierte Sicherheitsplattform gegen aktuelle Malware-Bedrohungen
Aktuelle Malware-Programme setzen häufig Verschleierungstechniken ein, die eine Erkennung erschweren. Außerdem nutzen sie zu weit gefasste Nutzerprivilegien aus, um Sicherheitseinstellungen zu ändern oder ganz abzuschalten, was bisherige Abwehrmaßnahmen und Sicherheitsinvestitionen vollständig untergräbt.
Zwei Drittel der 58 im MITRE ATT&CK-Framework empfohlenen Technologien setzen auf die Verwendung von Privileged Account Management, User Account Management und Applikationskontrolle zur Risikominderung oder verweisen auf Administrator-/SYSTEM-Konten als wichtige Voraussetzung für eine erfolgreiche Abwehr. Die Kontrolle von Berechtigungen und die Unterbindung ungeprüfter Anwendungen sind demnach wichtige Sicherheitsvorkehrungen, um Cobalt Strike, andere Tools oder vergleichbare Schadprogramme abwehren zu können. Auf diese Weise lassen sich die Angriffsfläche reduzieren, die Code-Ausführung stoppen und privilegierte Zugriffsrechte unterbinden.
BeyondTrust Labs testet Wirksamkeit von Trusted Application Protection gegen Top-Malware
Die BeyondTrust-Lösung Privilege Management for Windows wurde entwickelt, um unnötige Berechtigungen zu vermeiden, privilegierte Zugriffe streng zu kontrollieren und eine wirksame Anwendungskontrolle zur proaktiven Verringerung der Angriffsfläche zu erreichen. Das Produkt verfügt über die einzigartige Funktion Trusted Application Protection (TAP) mit sofort einsatzbereiten IT-Richtlinien. Diese sind auf die Abschwächung und Abwehr gängiger Angriffstechniken – einschließlich dateiloser Bedrohungen – ausgerichtet und schützen vor Anwendungen mit hohem Schadenspotential wie Webbrowser, PDF-Viewer, Outlook und Microsoft Office.
Trusted Application Protection verwendet Funktionen zur Privilegienverwaltung und Applikationskontrolle, um die Ausführung von riskanten Applikationen und Malware-Payloads zu unterbinden. Das Feature schützt zudem vor hochgefährlichen DLL-Angriffstechniken wie DLL-Injection, DLL-Hijacking und DLL-Plugins.
Die Wirksamkeit von Trusted Application Protection wurde im Feldversuch getestet, indem BeyondTrust Labs die Angriffsketten von Tausenden der Malware-Muster (Samples) im vergangenen Jahr untersuchte. Diese Angriffsketten weisen weniger Veränderungen auf als Schadprogramme, die Inhalte von Phishing-E-Mails kontinuierlich abändern, zur Umgehung von Antivirenprogrammen die Nutzlasten neu kodieren, und immer wieder neue Skripttechniken zur Verschleierung einsetzen.
Ein Bedrohungsakteur kann beispielsweise verschiedene Dokumenttypen verwenden und Hunderte Varianten mit klar identifizierbaren Dateisignaturen erstellen. Jede dieser Varianten versucht jedoch CMD-Befehle auszuführen und ein Skript zu starten, das einen benutzerdefinierten Payload ablegt und automatisch ausführt. Die manipulierten Dokumente, die eingesetzten Skripte, die Website zum Herunterladen einer ausführbaren Datei oder die hinterlegte Nutzlast ändern sich also immer wieder — die Angriffskette bleibt indes gleich.
Bei unserer Sicherheitsanalyse haben wir 150 Malware-Beispiele identifiziert, eine repräsentative Auswahl der häufigsten Malware-Bedrohungen seit 2020. Wie erwartet, neigen die erfolgreichsten Malware-Familien dazu, ihre Angriffsketten zu variieren, was zu einer höheren Anzahl von Samples führt.

Endpoint Privilege Management: Der Malware Threat Report 2021 dokumentiert die Effizienz der BeyondTrust-Lösungen Privilege Management Windows & Mac und Privilege Management Unix & Linux bei der proaktiven Abwehr unterschiedlicher Bedrohungen.
Grundsätzlich kann eine bestimmte Lösung indes nicht die einzige Grundlage für eine starke Endpoint-Security-Strategie sein — notwendig ist eine gesamte Palette an Lösungen, die effektiv zusammenarbeiten.
Weitere Informationen über BeyondTrusts Sicherheitstechnologien für den Einsatz gegen die gefährlichsten Malware-Bedrohungen sind im Malware Threat Report 2021 von BeyondTrust Labs einsehbar.
Weitere Informationen
How to Protect against EMOTET - “The World’s Most Dangerous Malware” (Blog)
5 Critical Steps to Complete Endpoint Security (Whitepaper)
2021 Microsoft Vulnerabilities Report (Whitepaper)
KuppingerCole Executive Review: BeyondTrust Endpoint Privilege Management (Analystenstudie)
2021 Gartner Magic Quadrant for Privileged Access Management (Analystenstudie)
