KI-unterstützter Blick in den Tunnel macht Cyberangreifer auf Banken sichtbar

Könnte ein Datenraub im großen Stil – wie 2017 bei Equifax – erneut auftreten? Cyber-Angreifer nutzen verborgene Tunnel auffällig oft in der Finanzbranche als Kanäle für ihre kriminellen Aktivitäten. KI-gestützte Bedrohungserkennung macht diese Anomalien sichtbar.

von Gérard Bauer, Vice President EMEA Vectra

Finanzdienstleister verfügen über die höchsten Cyber-Sicherheitsbudgets in der Wirtschaft, nur Institutionen im öffentlichen Sektor investieren teilweise noch mehr in die Sicherheit ihrer IT. Die Großbanken in den USA übertrumpfen sich hier regelrecht. Die Bank of America lässt sich die Cyber-Sicherheit jährlich über 600 Millionen US-Dollar kosten und hat erklärt, dass sie über ein „unbegrenztes Budget“ verfügt, um Cyber-Angriffe zu bekämpfen. JPMorgan Chase gibt jährlich 500 Millionen US-Dollar für Cyber-Sicherheit aus.

Die Investitionsbereitschaft kommt nicht von ungefähr. Beim US-Finanzkonzern Equifax hatten Hacker im Herbst 2017 persönliche Daten von bis zu 147 Millionen Verbrauchern gestohlen, vor allem besonders sensible Sozialversicherungsnummern. Equifax hat ebenfalls ein beträchtliches Cyber-Sicherheitsbudget in Höhe von immerhin 85 Millionen US-Dollar pro Jahr, was 12 Prozent der gesamten IT-Ausgaben entspricht.

Große Finanzunternehmen bleiben lukrative Ziele für anspruchsvolle Cyber-Angreifer – auch in Europa. Vor etwa einem Jahr war die italienische UniCredit Opfer eines Hackerangriffs, von dem möglicherweise bis zu 400.000 Kunden betroffen waren. Finanzinstitute in Deutschland blieben bislang von erfolgreichen großen Cyber-Angriffen verschont. Doch wie ist die Sicherheitslage einzuschätzen? Der ehemalige FBI-Direktor James Comey brachte es mit seiner vielzitierten Aussage vor einigen Jahren auf den Punkt:

Es gibt zwei Arten von Unternehmen: Die einen sind gehackt worden. Die anderen wissen es nur noch nicht.“

Klar ist, wenn bei einem großen Finanzdienstleister etwas passiert, kann der Schaden immens sein. So wurden bei Equifax 145,5 Millionen Sozialversicherungsnummern, rund 17,6 Millionen Führerscheinnummern, 20,3 Millionen Telefonnummern und 1,8 Millionen E-Mail-Adressen gestohlen. Trotz aufwändiger Sicherheitsvorkehrungen der größten Wirtschaftsauskunftei der USA gelang den Cyber-Kriminellen der Mega-Hack.

Nüchterne Rekonstruktion eines spektakulären Cyber-Angriffs

An einem durchschnittlichen Tag im Jahr 2017 erfasste das Cyber Threat Center von Equifax etwa 2,5 Milliarden Protokolle, überwachte mehr als 50.000 Sicherheitsereignisse pro Sekunde, erhielt über 43.000 Zustandsschecks für Sicherheitsgeräte, analysierte über 250 Internetdomains und befragte über 2.200 Cyber-Intelligence-Foren nach den aktuellen Bedrohungen. Trotz dieser Bemühungen blieb die verhängnisvolle Sicherheitsverletzung 78 Tage lang unentdeckt.

Die erste Infektion trat auf, als die Cyber-Angreifer einen Webserver ausnutzten, um auf das Netzwerk des Unternehmens zuzugreifen. Sicherheitslücken sind in jedem großen Netzwerk alltäglich und letztlich kaum zu beheben. Deswegen sollte die Sicherheitsstrategie auf die Aktivitäten und Verhaltensweisen der Angreifer ausgerichtet sein, die es „irgendwie“ immer schaffen können, ins Netzwerk zu gelangen. In diesem Fall haben es die Angreifer vermieden, bestimmte Hacker-Tools zu verwenden, die sie einer möglichen Erkennung durch das Sicherheitsteam aussetzen würden. Eines der Tools, das die Angreifer benutzten, ermöglichte es ihnen schließlich, versteckte Command-and-Control-Tunnel einzurichten.

So gingen die Angreifer vor:

1. Infektion: Am 10. März 2017 nutzten die Angreifer eine Schwachstelle im Apache Struts Web Framework aus, um Root-Zugriff auf Online-Dispute-Webanwendungen zu erhalten.

2. Command-and-Control: Die Eindringlinge installierten mehr als 30 Web-Shells mit jeweils einer anderen Webadresse. Eine Web-Shell oder Backdoor-Shell ist ein Skript für Fernzugriff und Administration, das in der unterstützten Sprache eines Ziel-Webservers geschrieben wird. Damit standen verborgene Tunnel ins Netzwerk bereit. Das Kalkül dabei: Wenn einer dieser 30 Tunnel entdeckt werden würde, könnten die anderen weiterhin genutzt werden. Diese Angriffsphase wird als Command-and-Control bezeichnet, was für die Einrichtung der Befehls- und Steuerungsinfrastruktur zur Ausübung der bösartigen Aktivitäten steht.

3. Auskundschaftung: Einmal im Netzwerk, hatten die Angreifer genügend Zeit, um ihre Hacking-Tools anzupassen und sich im Netzwerk „umzusehen“. Es gelang ihnen offenbar, Dutzende von Datenbanken abzufragen und zu analysieren, um festzustellen, welche die wertvollsten Daten enthielten. Diese Angriffsphase wird im IT-Security-Jargon als Reconnaissance, also Aufklärung oder Auskundschaftung bezeichnet.

4. Seitwärtsbewegung: Die Angreifer nutzten weitere spezielle Tunneling-Tools, um Firewalls zu umgehen, eine Datenbank nach der anderen zu analysieren und zu knacken, während sie – besonders dreist – die geraubten Daten in den firmeneigenen Speichersystemen zwischenlagerten. Diese Angriffsphase, in der sich die Angreifer vorarbeiten zu den Datenressourcen, wird als Seitwärtsbewegung im Netzwerk definiert.

5. Datenexfiltration: Die riesige Menge an erbeuteten Daten musste auf kleinere Pakete aufgeteilt werden, um die Anomalie-Erkennungs- und Data-Loss-Prevention-Systeme zu umgehen. Sobald dies geschehen war, machten sich die Angreifer mit den Daten aus dem Staub. Für diese finale Angriffsphase steht der Begriff Datenexfiltration.

Wie ist die Finanzbranche aufgestellt nach dem Fall Equifax?

Einen guten Einblick in die Sicherheitslage von Unternehmen verschiedener Branchen liefern die Beobachtungen und Daten aus dem aktuellen Attacker Behavior Industry Report von Vectra. Das Unternehmen ist spezialisiert auf die KI-gestützte Erkennung bereits stattfindender Cyber-Angriffe. Der Bericht enthüllt das Verhalten von Angreifern und beschreibt Bedrohungstrends in den Netzwerken von 246 Opt-in-Kunden im Finanzumfeld und 13 anderen Branchen. Von August 2017 bis Januar 2018 überwachte die Cyber-Sicherheitsplattform Cognito von Vectra hierzu den Netzwerkverkehr und sammelte umfangreiche Metadaten von mehr als 4,5 Millionen Geräten und Workloads aus Clouds, Rechenzentren und Unternehmensumgebungen.

Die Analyse dieser Metadaten liefert ein besseres Verständnis des Verhaltens und der Verhaltenstrends von Angreifern sowie der branchenspezifischen Geschäftsrisiken, um katastrophale Datenverluste zu vermeiden. So fand Vectra in der Finanzdienstleistungsbranche in mehreren Unternehmen die gleiche Art von Angreiferverhalten wie bei Equifax vor.

Jede Branche hat ein Profil von Netzwerk- und Nutzerverhalten, das sich auf bestimmte Geschäftsmodelle, Anwendungen und Benutzer bezieht. Durch sorgfältige Beobachtung können Angreifer diese Verhaltensweisen nachahmen, wodurch es schwierig wird, bösartige Aktivitäten aufzudecken. Dies betrifft insbesondere verborgene Tunnel, die dazu dienen, in Netzwerken zu agieren, die über eine starke Zugangskontrolle verfügen. Die gleiche Taktik ermöglicht es den Angreifern, sich wiederum mit den gestohlenen Daten unbemerkt aus dem Netzwerk zu schleichen.

Unauffällig im dichten Netzwerkverkehr mitschwimmen, ist die gängige Strategie der Cyber-Bösewichte. Mit dem Aufkommen von Webanwendungen hat sich der Einsatz von SSL/TLS-Verschlüsselung durchgesetzt. Heute ist HTTPS-Traffic die Norm und HTTP-Traffic die Ausnahme. Das hohe Verkehrsaufkommen von webbasierten Unternehmensanwendungen bietet dennoch eine perfekte Möglichkeit, um Command-and-Control-Funktionen, Datenexfiltration und andere Kommunikationskanäle vor Netzwerksicherheitstools zu verbergen. Während viele Angreifer SSL/TLS selbst verwenden, erstellen die erfahrensten Akteure auch ihre eigenen Verschlüsselungssysteme. Benutzerdefinierte Verschlüsselung ist besonders schwierig zu erkennen, da das Protokoll möglicherweise nicht identifizierbar ist und jeden verfügbaren Port verwenden könnte.

Verborgene Tunnel erschweren die Erkennung bösartiger Aktivitäten

Im Vergleich zum Branchendurchschnitt gibt es bei den Finanzdienstleistungen insgesamt weniger Command-and-Control-Verhalten. Verdächtige HTTP-Command-and-Control-Kommunikation tritt bei Finanzdienstleistern ebenfalls seltener auf. Vectra Cognito erkannte jedoch deutlich mehr versteckte Tunnel pro 10.000 Geräte als in allen anderen Branchen zusammen.

Auf jeweils 10.000 Geräten in allen Branchen wurden 11 versteckte HTTPS-Tunnel erkannt. Bei den Finanzdienstleistern war diese Zahl mit 23 mehr als doppelt so hoch. Die Zahl der versteckten HTTP-Tunnel betrug 16 gegenüber 7 pro 10.000 Geräte im Branchenschnitt. Versteckte Tunnel sind schwer zu erkennen, da die Kommunikation über Verbindungen abläuft, die normale, allgemein zulässige Protokolle verwenden. Beispielsweise kann die Kommunikation als Text in HTTP-GET-Requests sowie in Header, Cookies und andere Felder eingebettet werden. Die Anfragen und Antworten sind innerhalb des erlaubten Protokolls unter den Nachrichten versteckt.

Sobald die Angreifer die wertvollen Datenbestände finden, verlagert sich der Schwerpunkt auf die Anhäufung und das Herausschmuggeln dieser Daten. In dieser Exfiltrationsphase kontrollieren Angreifer die Übertragung großer Datenmengen aus dem Netz heraus. Hierzu dienen ebenfalls verborgene HTTPS-Tunnel. Vectra Cognito hat pro 10.000 Geräte in allen Branchen zwei versteckte HTTPS-Tunnel zur Datenexfiltration erkannt, in der Finanzbranche aber fünf und damit mehr als doppelt so viele. Verborgene HTTP-Tunnel zur Datenexfiltration tauchten im Rahmen der Analyse in der Finanzbranche (vier) doppelt so häufig wie in anderen Branchen (zwei) auf.

In vielen Fällen können diese verborgenen Tunnel auch Anwendungen sein, die für legitime Zwecke verwendet werden, wie etwa Börsenticker-Feeds, interne Finanzmanagementdienste, Finanzanalyse-Tools von Drittanbietern und andere Cloud-basierte Finanzanwendungen. Diese legitimen Anwendungen verwenden ebenfalls versteckte Tunnel, um Sicherheitskontrollen zu umgehen, die sonst ihre Funktionsfähigkeit einschränken würden.

Effektivere Bedrohungsjagd mittels KI und Algorithmen

Finanzdienstleister weisen laut Analyse von Vectra bei versteckten Tunneln auffällig höhere Raten als im Branchendurchschnitt auf. Diese sind mit herkömmlichen Mitteln wie Signaturen, Reputationslisten, Sandboxing und Systemen zur Anomalie-Erkennung jedoch kaum zu identifizieren. Erschwerend hinzu kommt, dass „gutartige“ versteckte Tunnel den Datenverkehr von legitimen Anwendungen übertragen. Somit lässt sich der normale Datenverkehr nur schwer von der Kommunikation der Angreifer unterscheiden, die darunter verborgen ist.

Anspruchsvolle mathematische Algorithmen, wie sie Vectra nutzt, können versteckte Tunnel innerhalb von HTTP-, HTTPS- und DNS-Verkehr jedoch sichtbar machen. Obwohl der Netzwerkverkehr auf den ersten Blick normal zu sein scheint, gibt es Anomalien, wie etwa leichte Verzögerungen oder ungewöhnliche Muster in Anfragen und Antworten, die auf verdeckte Kommunikation hindeuten können. Diese subtilen Hinweise zu erfassen, richtig zu deuten und darauf zu reagieren, ist eine komplexe Aufgabe, die Unterstützung durch künstliche Intelligenz erfordert. Sicherheitsanalysten können auf diese Weise konkreten Hinweisen auf Anomalien nachgehen, statt in einer Flut von Informationen manuell nach der Stecknadel im Heuhaufen zu suchen.aj