Malware -Abwehr: Schützen Sie Ihre Daten mit Varonis Sicherheitsanalysen

Malware

Malware ist zum Sammelbegriff für jedes Stück Code geworden, das versucht, sich zu verbergen um dann die Absichten des Eigentümers des Computers zu untergraben. Viren, Rootkits, Lock-Screens und Trojaner sind heute genauso alltäglich wie Webbrowser und werden von Kriminellen, Regierungen und Sicherheitsforschern genutzt.

Malware-Erkennung an Endpunkten ist weit verbreitet, aber wie WannaCry und NotPetya uns gelehrt haben, kann Malware auch auf Ihren Servern landen und Schwachstellen und Hintertüren schaffen, über die der Löwenanteil Ihrer sensiblen Informationen exfiltriert werden kann. Und das ist der Punkt, an dem Varonis das Spielfeld betritt.

Wir haben über 100 Bedrohungsmodelle entwickelt, mit denen Malware, Datenlecks und potenzielle Gefährdungen Ihrer Daten erkannt und gestoppt werden. Lassen Sie uns einen Blick auf einige der gebräuchlichsten Arten von Malware und auf die Methoden werfen, mit denen Varonis Ihnen helfen kann, diese Angriffe zu erkennen und zu bekämpfen.

Virus

Viren gehören zu den ältesten Arten von Malware, die im Umlauf sind. Der Zweck ihrer Existenz besteht darin, für Chaos zu sorgen und Ihnen das Leben zu ruinieren.

Es gibt beispielsweise bestimmte Viren, die speziell NAS-Geräte angreifen. Sie sind schon einfach aufgrund der riesigen Datenmenge, die durch sie attackieren, besonders gefährlich. Am bemerkenswertesten war in diesem Bereich in letzter Zeit die SambaCry Sicherheitslücke, die von Hackern für Ransomware-, DDoS- oder Backdoor-Angriffe genutzt wurde.

Angriffe dieser Art breiten sich nicht nur auf andere Computer aus, sondern greifen auch alle angeschlossenen Datenspeicher an, wie z. B. NAS-Laufwerke, auf denen alle wirklich wichtigen Daten (Unternehmensbilanz, Personalakten) liegen oder den E-Mail-Server. Ihr gesamter Datenspeicher könnte in Windeseile verschlüsselt oder gelöscht werden.

So stoppen Sie ein Virus mit Varonis

Varonis überwacht nicht nur Dateiereignisse, sondern erstellt auch eine verhaltensbasiertes Profil der normalen Aktivität für jeden Benutzer. Mit dieser Analyse können wir Aktivitäten, die dem historischen Zugriffsmuster eines bestimmten Benutzers (menschliche Aktivität) entsprechen, von denen eines Virus (Maschinenaktivität) unterscheiden und diesen Benutzers schnell sperren, um das Virus daran zu hindern, weiteren Schaden anzurichten.

Nachfolgend stellen wir Ihnen einige Bedrohungsmodelle vor, die dazu beitragen, diese Art von Malware-Angriffen zu erkennen:

  • Bedrohungsmodell: Verschlüsselung mehrere Dateien

Funktionsweise: DatAlert löst dieses Modell aus, wenn mehrere Datei-Änderungsereignisse desselben Benutzers in kurzer Zeit auftreten UND wenn bei diesen Änderungen die Dateierweiterungen geändert werden, was vermutlich der Verschlüsselung durch Malware dient. Die bekannten Erweiterungen sind über das Wörterbuch konfigurierbar.

Bedeutung: Deutet in der Regel auf einen Malware-Angriff hin, der die Absicht verfolgt, den Zugriff auf Daten unmöglich zu machen.

Wirkungsorte: Windows, Unix, Unix SMB, SharePoint, NetApp, EMC, Hitachi NAS, HP NAS, SharePoint Online, OneDrive, Dell FluidFS, Nasuni

  • Bedrohungsmodell: Abnormales Verhalten: Löschen einer ungewöhnlich hohen Anzahl von Dateien

Funktionsweise: DatAlert löst dieses Modell aus, wenn mehrere Datei-Löschungsereignisse desselben Benutzers in kurzer Zeit auftreten.

Bedeutung: Weist darauf hin, dass ein einzelner Benutzer in kurzer Zeit viele Dateien auf einem überwachten Speichergerät gelöscht hat. Es könnte sich dabei um einen Benutzer handeln, der Bereinigungsarbeiten durchführt, aber auch um Malware.

Wirkungsorte: Windows, Unix, Unix SMB, SharePoint, NetApp, EMC, Hitachi NAS, HP NAS, SharePoint Online, OneDrive, Dell FluidFS, Nasuni

  • Bedrohungsmodell: Abnormales Verhalten: Löschen einer ungewöhnlich hohen Anzahl sensibler Dateien

Funktionsweise: DatAlert löst dieses Modell aus, wenn mehrere Datei-Löschungsereignisse desselben Benutzers in kurzer Zeit auftreten und diese Dateien von der Varonis Datenklassifizierungs-Engine als sensibel gekennzeichnet wurden.

Bedeutung: Weist wie das vorherige Bedrohungsmodell darauf hin, dass ein einzelner Benutzer in kurzer Zeit viele Dateien auf einem überwachten Speichergerät gelöscht hat. Es könnte sich dabei um einen Benutzer handeln, der Bereinigungsarbeiten durchführt, aber auch um Malware.

Wirkungsorte: Windows, Unix, Unix SMB, SharePoint, NetApp, EMC, Hitachi NAS, HP NAS, SharePoint Online, OneDrive, Dell FluidFS, Nasuni

Varonis erkennt das Virus und sperrt den Benutzer. Danach kann der SOC Maßnahmen ergreifen, um den entstandenen Schaden zu begrenzen oder zu reparieren und das Virus unter Kontrolle zu bringen.

Zeit spielt jedem Virus in die Hände. Je mehr Zeit es hat, sich ungestört auszutoben, desto häufiger kann es sich vervielfältigen und Daten zerstören. Varonis löst eine sofortige, automatische Reaktion aus und stoppt das Virus, bevor es Zeit hat, wesentlichen Schaden anzurichten.

Trojaner

Trojaner-Angriffen haben ihren Namen von der berühmten Erzählung aus der Antike übernommen. Diese Angriffe ähneln einem Virus insofern, dass sie sich in anderen Downloads verbergen, aber die Payload ist üblicherweise eine andere.

Trojaner versuchen, Backdoors oder Rootkits auf Ihrem Computer zu installieren, was Hackern Zugang zu diesem Computer und allen anderen Systemen, auf den der Computer ebenfalls zugreifen kann verschafft.

So stoppen Sie einen Trojaner mit Varonis

Varonis wehrt einige Trojaner ab, indem es die Startordner überwacht, in denen diese Schadprogramme ihre Payload installieren wollen.

  • Bedrohungsmodell: Verdächtige Zugriffsaktivität: Zugriff ohne Administratorrolle auf Startdateien und -skripte

Funktionsweise: DatAlert stuft jede Dateiaktivität eines Benutzers ohne Administratorrolle in Ordnern, die als Startordner identifiziert wurden, als verdächtig ein.

Bedeutung: Aktivitäten von Benutzern ohne Administratorrolle in Startordnern sind verdächtig: Benutzer sollten nicht auf diese Ordner zugreifen. Bei dem Angriff könnte es sich um einen Trojaner handeln, es könnte auch ein Versuch vorliegen, von einem bereits übernommenen Computer aus Dateien manuell in diesem Ordner zu installieren.

Wirkungsorte: Windows, Unix, Unix SMB, HP NAS

Trojaner versuchen, auch das Herunterfahren eines Rechners zu überdauern. Sie werden also versuchen, sich in diese Ordner einzubetten und sich hinter anderen ausgeführten Prozessen zu verstecken, um eine Erkennung zu vermeiden.

Wenn der Trojaner nun aus irgendeinem Grund versucht, intelligent zu sein, und deshalb nicht auf den Startup-Ordner zuzugreifen versucht sondern stattdessen seine Payload an anderer Stelle ablegt, wird er dennoch durch ein anderes Bedrohungsmodell abgefangen.

  • Bedrohungsmodell: Zugriff auf Exploit-Software

Funktionsweise: DatAlert erkennt Dateiereignisse mit Dateinamen, die als Teil des Hacker-Toolkits – einer sich ständig weiterentwickelnden Liste – bekannt sind.

Bedeutung: Dies könnte bedeuten, dass ein Benutzer ein Hacker-Tool für ein zulässigen Zweck heruntergeladen hat, aber höchstwahrscheinlich handelt es sich um einen Versuch, das Netzwerk zu infiltrieren, der gestoppt werden muss.

Wirkungsorte: Windows, Unix, Unix SMB, SharePoint, NetApp, EMC, Hitachi NAS, HP NAS, SharePoint Online, OneDrive, Dell FluidFS

Rootkits und Backdoors

Rootkits und Backdoors sind Payloads, die es Hackern ermöglichen, auf einen Computer und sein angeschlossenes Netzwerk zuzugreifen und Befehle auszuführen, um das System zu infiltrieren und Daten zu stehlen. Rootkits sind in der Regel vorkonfigurierte ausführbare Dateien, während Backdoors Einfallswege für Hacker sind, mit denen sie die Standardauthentifizierung im Netzwerk umgehen können.

Sobald ein Hacker ein Rootkit oder eine Backdoor installiert hat und Zugang zum Netzwerk hat, beginnt er, sich umzusehen und nach den wertvollen Dingen zu suchen, das er stehlen kann – heutzutage reicht das von einer Sozialversicherungsnummer über Kreditkartennummern bis hin zu E-Mails.

So stoppen Sie einen Rootkits und Backdoors Hackerangriff mit Varonis

Hacker nutzen häufig Dienstkonten, um sich im Netzwerk zu bewegen: Ein Dienstkonto hat oft einen privilegierten Zugang und damit Zugang zu wertvolleren Daten.

  • Bedrohungsmodell: Ungewöhnliches Dienstverhalten: Zugriff auf atypische Dateien

Funktionsweise: Dienstkonten zeichnen sich in der Regel ein sehr gleich bleibendes Verhalten aus – sie führen immer wieder dieselben Aktionen aus. Wenn ein Dienstkonto beginnt, Dateitypen zu bearbeiten, die außerhalb des üblichen Verhaltensmusters liegen, geht wahrscheinlich etwas Verdächtiges vor. Da Varonis alle AD-Accounts als Administrator, Führungskraft, Dienst oder Benutzer klassifiziert, können wir erkennen, wenn ein als Dienst klassifiziertes Konto beginnt, auf Dateien zuzugreifen, die außerhalb des üblichen Verhaltensmusters liegen.

Bedeutung: Jemand missbraucht dieses Dienstkonto, um andere Dateien zu untersuchen. Dabei handelt es sich höchstwahrscheinlich um den Versuch, die Privilegien des Dienstkontos auszunutzen, um durch die Dateistruktur zu navigieren. Ein Dienstkonto hat nie einen triftigen Grund, auf vom Normalbetrieb abweichende Dateien zuzugreifen. Das Konto sollte also gesperrt und seine Anmeldeinformationen geändert werden.

Wirkungsorte: Windows, Unix, Unix SMB, SharePoint, NetApp, EMC, Hitachi NAS, HP NAS, SharePoint Online, OneDrive, Dell FluidFS

Eine andere mit dieser Art von Angriffen verbundene Taktik ist Brute Force – die Varonis mit Bedrohungsmodellen verhindern kann, die sich auf Sperrereignisse konzentrieren.

  • Bedrohungsmodell: Abnormales Admin-Verhalten: Kumulativer Anstieg der Zugangssperren für einzelne Admin-Accounts

Funktionsweise: DatAlert erkennt statistisch signifikante Zunahmen der Sperrereignisse – und erkennt, wenn bei einem Admin-Konto eine ungewöhnliche Anzahl von Sperrereignissen im Vergleich zum typischen Verhalten auftritt.

Bedeutung: Das Konto versucht sich wiederholt anzumelden, ohne Erfolg zu haben. Ursache könnte ein falsch konfiguriertes Passwort für einen ordnungsgemäßen Benutzer sein, oder es könnte sich um einen Brute-Force-Angriff bzw. den Versuch eines Außenstehenden handeln, das Passwort zu erraten. Dieses Konto ist wahrscheinlich das Ziel eines schleichenden Brute-Force-Angriffs, der darauf abzielt, Admin-Zugangsdaten zu stehlen oder den Zugriff zu sperren.

Wirkungsorte: Directory-Dienste

Eine dritte mit solchen Angriffen verbundene Taktik ist die Berechtigungseskalation: Hacker versuchen dabei, die Berechtigungen eines Benutzers, auf dessen Konto sie bereits Zugriff haben, zu erweitern, um besseren Zugang auf sensiblere Daten zu erhalten.

  • Bedrohungsmodell: Mitgliedschaftsänderungen: Admin-Gruppe

Funktionsweise: Varonis überwacht die Mitgliedschaftsänderungen und kann darauf hinweisen, wenn Mitglieder zu einer Admin-Gruppe hinzugefügt oder aus ihr entfernt werden.

Bedeutung: Wenn die Änderung von den planmäßigen Änderungen abweicht, handelt es sich bei ihr wahrscheinlich ein Versuch, Daten mithilfe eines privilegierten Kontos zu stehlen.

Wirkungsorte: Directory-Dienste

Remote Access-Trojaner (RATs)

Remote Access-Trojaner (RATs) sind eine andere Art von Malware, die eine Backdoor einrichtet, um Hackern einen Zugang zum System zu öffnen. Eigentlich ein Überbleibsel aus den 1990er Jahren, sie sind aber immer noch im Einsatz.

So stoppen Sie Remote Access-Trojaner (RATs) mit Varonis

Varonis Edge analysiert Perimeter-Geräte wie VPNs, Web-Proxies und DNS (z. B. in der in DNS Messenger genutzten Form). Sie können dann Bedrohungsmodelle anwenden, die speziell für verdächtige DNS-Aktivitäten oder Fernzugriffsverhalten entwickelt wurden.

  • Bedrohungsmodell: Abnormales Verhalten: Aktivität von einem neuen Geostandort der Organisation

Funktionsweise: Dieses Bedrohungsmodell wird von jeder Aktivität, die außerhalb der bekannten Geostandorte durchgeführt wird, ausgelöst.

Bedeutung: Es wurde der Versuch unternommen, von einem neuen Geostandort aus über das VPN in das Netzwerk einzudringen.

Wirkungsorte: VPN

Eine weitere Taktik, die mit dieser Art von Malware in Verbindung gebracht wird, ist das DNS-Tunneling. Dabei werden Daten oder Protokolle in DNS-Abfragen und -Antworten kodiert.

  • Bedrohungsmodell: Daten-Exfiltration durch DNS-Tunneling

Funktionsweise: Varonis überwacht DNS und erkennt Befehle, die über den DNS-Kanal gesendet werden und keine DNS-Anfragen sind. Beim DNS-Tunneling ist der Angreifer darauf angewiesen, das DNS-Protokoll zu verwenden, um Befehle an das Ziel zu übermitteln und dort auszuführen. Sobald Varonis eine nicht standardmäßige DNS-Anfrage erkennt, wird dieses Bedrohungsmodell ausgelöst.

Bedeutung: Jemand versucht, DNS zu verwenden, um Befehle auszuführen, die keine DNS-Anfragen sind. Dabei handelt es sich höchstwahrscheinlich um einen Hacking-Versuch.

Wirkungsorte: DNS

Habe ich etwas übersehen?

Dies sind nur einige Beispiele dafür, wie Sie mit unseren Bedrohungsmodellen verdächtige Aktivitäten erkennen und sich gegen drei Arten gängiger Malware schützen können. Haben Sie einen Vorfall untersuchen müssen, bei dem Malware eine Rolle spielte? Wenn Sie anderen davon erzählen möchten, hinterlassen Sie unten einen Kommentar – wir würden uns freuen.

Sie können außerdem selbst DatAlert ausprobieren und die Bedrohungsmodelle in Aktion beobachten. Oder Sie sichern sich eine kostenlose 30-tägige Datensicherheits-Risikobeurteilung.