Erkennung von Ransomware: Bewährte Methoden
Zusammenfassung: Angreifer verwenden bösartige Software (Malware), um Computersysteme zu infizieren und verschiedene bösartige Aktivitäten durchzuführen. Ransomware beschreibt eine besondere Art von Malware, die darauf abzielt, Computersysteme zu infizieren, Dateien zu verschlüsseln und dann Lösegeld im Austausch für Entschlüsselungsschlüssel zu verlangen. Zuverlässige Erkennung von Ransomware kann durch ein effektives Security Operations Center erfolgen.
Dominik Münsterer
In diesem Artikel:
- Techniken zur Erkennung von Ransomware
- 1. Signaturbasierte Erkennung
- 2. Verhaltensbasierte Erkennung
- Auffällige Änderungen im Dateisystem
- Analyse von Netzwerkaufrufen und Datenfluss
- Aufrufe von Betriebssystem APIs
- 3. Täuschungsbasierte Erkennung
- Minimierung des Angriffsvektors mit Zero-Trust
- Weiterführende Artikel
Techniken zur Erkennung von Ransomware
Möglichkeiten zur Erkennung von Ransomware umfassen folgende drei, verbreitete Methoden:
- Signaturbasierte Erkennung
- Verhaltensbasierte Erkennung
- Täuschungsbasierte Erkennung
1. Signaturbasierte Erkennung
Eine Signatur ist eine Art Fingerabdruck, ein eindeutiger Hash-Wert, der auf der Grundlage des Inhalts einer bestimmten Datei berechnet wird. Unterscheiden sich zwei Dateien selbst nur durch einen Bit, also eine 0 oder 1, entsteht ein völlig anderer Hash.
Bei der signaturbasierten Ransomware-Erkennung wird eine Probe des Ransomware-Codes genommen, der Hash berechnet, und mit bekannten Dateisignaturen verglichen. Dies ermöglicht eine schnelle statische Analyse von Dateien in der Umgebung und ist nützlich für die Erkennung bekannter Schadsoftware. Herkömmliche Antiviren-Software nutzt Signaturen, um Daten von ausführbaren Dateien zu erfassen und die Wahrscheinlichkeit zu bestimmen, dass es sich bei einer Datei um Malware handelt.
Signaturbasierte Erkennung von Schadsoftware ist die primitivste Schicht der Verteidigung - sie kann dabei helfen, bekannte Bedrohungen zu finden, kann aber keine neuartigen Viren erkennen. Angreifer nutzen dies aus, indem sie Viren entwickeln, die bei jedem Opfer minimale Unterschiede beinhalten und damit eine andere Signatur besitzen. Trotzdem verbreitet sich herkömmliche, eigentlich bekannte Ransomware weiterhin, weswegen eine signaturbasierte Erkennung trotzdem eine effektive Methode ist, um einfache Arten von Malware zu erkennen.
2. Verhaltensbasierte Erkennung
Sicherheitsexperten nutzen verhaltensbasierte Erkennungsmethoden, die neue Verhaltensweisen detektieren und sie mit bekannten Daten vergleichen, um Anzeichen für eine Kompromittierung zu entdecken. Dies ermöglicht es, auch neuartige, nicht bekannte Ransomware schnell und effizient zu identifizieren.
Drei gängige Methoden zur verhaltensbasierten Erkennung sind:
Auffällige Änderungen im Dateisystem
Eine Möglichkeit, Ransomware zu erkennen, ist die Suche nach abnormalen Dateiausführungen, einschließlich zu vieler Dateiumbenennungen. So sollten beispielsweise Hunderte von Dateien, die innerhalb eines kurzen Zeitraums umbenannt wurden, einen Alarm auslösen. Andere verdächtige Dateiverhaltensweisen sind neue Kopien von Dateien mit einer größeren Entropie als die Originaldatei (was auf Verschlüsselung hindeuten kann), ungewöhnliche Verschlüsselungsvorgänge im Betriebssystem, verdächtige Dateierweiterungen und verdächtige Dateiaufzählungen.
Analyse von Netzwerkaufrufen und Datenfluss
Unübliche Datenflüsse können auf Ransomware-Angriffe hinweisen. So können beispielsweise große Datenmengen, die an externe Server übertragen werden, auf einen Angriff hindeuten. Ransomware benötigt außerdem Netzwerkverbindungen zu externen Servern, um Entschlüsselungsschlüssel auszutauschen und Befehls- und Steuerungsanweisungen zu erhalten. Auch diese können erkannt werden.
Aufrufe von Betriebssystem APIs
Ein anderer Ansatz zur Erkennung von Ransomware besteht darin, API-Aufrufe des Betriebssystems zu untersuchen und nach verdächtigen oder legitimen Befehlen zu suchen, die jedoch in einem ungewöhnlichen Umfang oder Kontext ausgeführt werden. Ransomware verwendet beispielsweise oft die Windows-APIs wie CryptDeriveKey und CryptDecodeObject, um die eigentliche Verschlüsselung durchzuführen. Wenn festgestellt wird, dass eine ausführbare Datei entsprechende Muster von Betriebssystem APIs aufruft, ist dies ein Warnzeichen für Malware.
3. Täuschungsbasierte Erkennung
Eine wirksame Methode zur Erkennung von Ransomware besteht darin, einen “Köder” (auch bekannt als Honeypot) zu erstellen. Es handelt sich dabei um gefälschte Dateien, die absichtlich erstellt und an einem sichtbaren Ort im Netzwerk platziert werden, um Angreifer anzulocken. Sobald Ransomware diese Dateien identifiziert und versucht, sie zu verschlüsseln, gibt der Angreifer seine Absichten preis, löst einen Alarm aus, und kann von Sicherheitstools gestoppt werden. Dies ist eine wirksame Gegenangriffsstrategie. Es besteht die Möglichkeit, automatisch gefälschte Netzwerke zu erstellen und attraktive Köder zu verteilen, die sich nicht vom Datenverkehr und den Ressourcen im echten Netzwerk des Unternehmens unterscheiden lassen. Diese gefälschten Netzwerke fügen sich nahtlos in Ihre bestehende IT/OT-Infrastruktur ein.
Cyber-Täuschungslösungen sind nicht nur ein wirksames Erkennungsinstrument, sondern haben auch den Vorteil, dass sie die Techniken, Tools und Verfahren des Angreifers offenlegen. Dies liefert wertvolle Informationen über den Angreifer, die mit kontextbezogener Bedrohungsintelligenz kombiniert werden können und so wirksame Abhilfestrategien ermöglichen.
Minimierung des Angriffsvektors mit Zero-Trust
Neben der Erkennung von Ransomware ist es außerdem wichtig, den Angriffsvektor zu minimieren und somit die Auswirkungen einer Attacke, falls nicht erkannt, zu minimieren.
Eine fortschrittliche Technologie hierfür ist Zero-Trust. Es handelt sich hierbei, wie der Name bereits aussagt, um ein Konzept, in dem niemandem vertraut wird. Es wird stetig davon ausgegangen, dass ein Netzwerk, PC, Server oder Nutzer nicht vertrauenswürdig ist und deshalb keinen Zugriff auf das gesamte Netzwerk haben darf.
Das Konzept ist einfach: Statt jedem Mitarbeiter Zugriff auf das Unternehmensnetzwerk zu geben, erhält jeder Nutzer ausschließlich Zugriff auf die Ressourcen, die er tatsächlich benötigt. Ein Zugriff kann ausschließlich verschlüsselt und mit gegenseitiger Authentisierung an genau die jeweilige Netzwerkressource und ausschließlich den jeweiligen Port erfolgen.
In einem herkömmlichen Netzwerk müsste eine sehr komplexe Netzwerksegmentierung anhand der Ressourcen erfolgen, was einen enormen Verwaltungsaufwand erzeugt. Die Praxis zeigt, dass die meisten Netzwerke deshalb nicht ausreichend segmentiert sind und einem Angreifer, der sich im Unternehmensnetzwerk befindet, Zugriff auf alles bietet.
Die Möglichkeit der fast unbegrenzt lateralen Ausbreitung ohne die Nutzung von Zero-Trust ist es, was herkömmliche Netzwerke so angreifbar macht.
Weiterführende Artikel
- Was ist ein SIEM System? – Wie SIEM-Systeme bei der Erkennung von Ransomware helfen.
- Geklauter Microsoft Master Key – Ein konkreter Fall: Wie Angreifer Cloud-Dienste kompromittieren.
