Wie Hacker schlechte Anwendungssicherheit für Ransomware-Angriffe ausnutzen

Druckfreundlich, PDF & E-Mail

Ransomware-Angriffe sind so weit verbreitet und gefährlich geworden, dass sie inzwischen wie Terroranschläge behandelt werden. Wie in dieser Serie bereits besprochen, ist die beste Verteidigung die vorausschauende Planung: Stellen Sie sich vor, Ihr Unternehmen ist das Opfer eines erfolgreichen Angriffs und planen Sie jetzt, was Sie tun würden, um KEIN Lösegeld zu zahlen. In diesem Beitrag behandeln wir die Wichtigkeit einer soliden Web-Application-Security, um Angriffe zu vereiteln.

Wenn es um den Schutz vor Ransomware und anderer Malware geht, ist die Anwendungssicherheit genauso wichtig wie die E-Mail-Sicherheit. Das Open Web Application Security Project (OWASP) hat zum Ziel, das öffentliche Bewusstsein für die häufigsten Schwachstellen zu schärfen, die bei einem Ransomware-Angriff ausgenutzt werden können.

Ein aktuelles Beispiel ist der REvil Ransomware Supply Chain Hack, der Anfang Juli 2021 ans Licht kam. Schwachstellen in einer öffentlich zugänglichen Internet-MSP-Anwendung wurden ausgenutzt, um Ransomware an deren Kunden zu verbreiten. In diesem Fall konnte sich die Ransomware aufgrund der tiefgreifenden Berechtigungen recht einfach ausbreiten und erheblichen Schaden anrichten, bevor sie gestoppt wurde. Alle mit dem Internet verbundenen Anwendungen sind anfällig für diese Art von Angriff. Angreifer verschaffen sich Zugang zur Anwendung und bewegen sich dann lateral, um Chaos anzurichten. Ein ähnliches Szenario kann auftreten, wenn man RDP-Systeme für das Internet offen lässt – auch dann, wenn man den Standardport ändert, denn Angreifer setzen gestohlene Zugangsdaten ein, um das gesamte Netzwerk über diesen ungeschützten Angriffsvektor mit Ransomware zu infizieren.

Welche Schritte durchläuft ein Ransomware-Angriff?

Wir behelfen uns eines realistischen, wenn auch erfundenen Ransomeware-Angriffs, um zu veranschaulichen, wie ein Angreifer schlechte Anwendungssicherheit ausnutzen könnte. Wir haben uns für einen gängigen Coupon-Betrug entschieden, d. h., der Angriff macht sich die beliebten Browser-Plug-ins für Coupons im Internet zunutze.

Schritt 1.  Der Angreifer erstellt eine Website, die eine echte Coupon-Website imitiert. Domain-Nachahmung und automatisiertes Web-Scraping sind die zwei bevorzugten Methoden, um dies mit relativ geringem Aufwand zu bewerkstelligen. Nennen wir die gefälschte Site „Website X“.

Schritt 2. Der Angreifer sondiert eine oder mehrere der Top 10 der OWASP-Schwachstellen. Das Ziel ist es, Zugangsdaten von einer echten, aber schlecht geschützten Unternehmenswebsite zu stehlen, die wir in diesem Beispiel „Website Y“ nennen. Schwachstellen wie Fehler in der Authentifizierung und Exposition sensibler Daten ermöglichen dem Hacker, Zugangsdaten und andere sensible Informationen abzugreifen.

Schritt 3. Der Angreifer setzt die gestohlenen Zugangsdaten für einen Credential-Stuffing-Angriff auf eine echte E-Commerce-Website, die wir „Website Z“ nennen, ein. Der Angriff läuft automatisiert. Es kann Wochen dauern, bis das System die Konten findet, die mit den gestohlenen Zugangsdaten übereinstimmen.

Schritt 4. Der Angreifer verschafft sich Zugang zum Konto des Opfers. Dies kann nur geschehen, wenn das System eine Übereinstimmung meldet und der Hacker sich auch beim Konto des Opfers anmelden kann. Ist das geschafft, kann der Angreifer Bewertungen beliebter Produkte auf der Website Z veröffentlichen. Häufig sieht man Sätze wie: „Das Produkt ist super! Profitieren Sie mit diesem Coupon von 50 % Rabatt. Hier klicken.“ Der Hyperlink führt Anwender zur Website X, also zur gefälschten Website.

Schritt 5. Die potenziellen Opfer melden sich bei Website Z an. Sie sehen sich die Produktbewertung an und klicken auf den Link zur Website X. Sie können nicht wissen, dass sie auf einer Betrugsseite gelandet sind, außer wenn sie sich den Domainnamen, die URL oder das Seitenzertifikat im Browser genau ansehen. Opfer, die der Seite vertrauen, geben ihre Kontaktinformationen an, um den Coupon zu erhalten. Der Angreifer ist nun im Besitz der E-Mail-Adresse des Opfers, das nun eine E-Mail der Website erwartet. Der Angreifer gewinnt das Vertrauen des Opfers, und das Opfer hält weniger nach Betrug Ausschau.

Schritt 6. Das Opfer erhält eine personalisierte E-Mail zum Produkt sowie den versprochenen Gutschein. Das Opfer wird zudem aufgefordert, den E-Mail-Anhang herunterzuladen und zu installieren, um auf den Coupon zugreifen zu können. Bei diesem Anhang kann es sich um eine ausführbare Datei oder eine Browser-Erweiterung handeln, die JavaScript verwendet, um den Angriff auszuführen. Da diese E-Mail vollständig personalisiert und vom Empfänger erwartet wurde, ist sie wahrscheinlich durch traditionelle E-Mail-Abwehrmaßnahmen nicht zu stoppen. Das Betriebssystem des Opfers zeigt zwar den Warnhinweis, keine nicht vertrauenswürdigen ausführbaren Dateien zu installieren, aber zu diesem Zeitpunkt hat das Opfer wahrscheinlich volles Vertrauen in den Angreifer und klickt sich durch den Installationsprozess.

Schritt 7. Das Opfer installiert den Anhang und der Ransomware-Angriff wird gestartet. Es können mehrere Arten von Angriffen ausgeführt werden, sobald eine ausführbare Datei installiert wurde. Zum Beispiel kann der Master Boot Record (MBR) infiziert oder die Systemtabelle der Datei verschlüsselt werden. Sogar der Versuch, das Betriebssystem zu booten, kann blockiert werden. Kurz darauf wird die Zahlungsaufforderung dem Opfer zugestellt. Der Angreifer wird in der Regel versuchen, diesen Angriff auszuweiten und weitere Zugangsdaten sowie alle anderen Informationen, die im Netzwerk gefunden werden können, zu sammeln. Ist dieser Schritt abgeschlossen, verschlüsselt die Ransomware die Netzwerkdaten.

In diesem Beispiel ist die Ransomware nur deshalb erfolgreich, weil Schwachstellen in der Anwendungssicherheit auf mehreren Websites das überzeugende Szenario überhaupt ermöglichten, vom Web-Scraping einer legitimen Website in Schritt eins und den gestohlenen Zugangsdaten in Schritt zwei über das Credential-Stuffing in Schritt drei, der falschen Produktbewertung und der bösartigen URL in den Schritten vier und fünf bis hin zur Installation der ausführbaren Datei in Schritt sechs und sieben. Die richtige Anwendungssicherheit hätte diesen Angriff an jedem Punkt in der Kette stoppen können.

Ransomware ist nur deshalb erfolgreich, weil Schwachstellen in der Anwendungssicherheit das überzeugende Szenario überhaupt ermöglichen.Twittern

Verteidigung gegen Ransomeware-Angriffe

Eine Web Application Firewall (WAF) ist eine der besten Möglichkeiten, die Anwendungssicherheit zu erhöhen. Eine gute Firewall hat außerdem folgende Eigenschaften:

  • Einfach zu implementieren und an Ihre Umgebung anzupassen: Eine WAF kann Sie nicht vollständig schützen, wenn Sie nicht in der Lage sind, sie für Ihre Umgebung zu konfigurieren.
  • Skalierbar: Unternehmenswachstum, digitale Transformation und andere Faktoren können die Ansprüche an Ihre Anwendungen und Websites erhöhen. Ihre WAF sollte dynamisch mit Ihrem Unternehmen wachsen können.
  • Umfassender Schutz vor ausgefeilten Bedrohungen: Die Grundpfeiler, die man von einer guten WAF erwarten sollte, stopfen die Top 10 OWASP-Sicherheitslücken und schützen vor DDoS-Angriffen auf Anwendungsebene. Für einen umfassenden Schutz sollten Sie jedoch nach einer Lösung suchen, die auch Zero-Day-Angriffe, Credential Stuffing, Datenlecks, bösartige Bots und mehr abwehrt.
  • Einfach zu aktualisieren: Eine WAF sollte über regelmäßige Firmware-Updates verfügen, um die Sicherheit und die Fähigkeiten des Geräts zu verbessern. Ideal ist eine gehostete Lösung, die automatisch ohne Eingriff des Administrators aktualisiert wird.
  • Kontinuierliche Bedrohungsanalyse: Jeden Tag werden neue Angriffsarten erdacht, die sich innerhalb weniger Stunden weltweit verbreiten können. Ihre WAF sollte Echtzeit-Updates zu diesen Angriffen erhalten und maschinelles Lernen einsetzen, um sich an Varianten anzupassen.

Die Web Application Firewall von Barracuda und WAF-as-a-Service decken alle diese Anforderungen ab. Zudem ist die Benutzeroberfläche intuitiv im Gebrauch und benutzerfreundlich. Die flexible Deployment-Architektur sorgt dafür, dass Sie Ihre Anwendungen in wenigen Minuten gesichert haben. Um Barracuda WAF-as-a-Service schnell und ohne Wartezeit oder Verkaufsgespräche auszuprobieren, starten Sie unseren Test Drive auf dem Azure Marketplace. Der Test Drive ermöglicht es Kunden von Microsoft Azure, das Produkt und die Funktionen ohne Abonnement oder Demo-Lizenz zu erkunden.

Um den Test Drive zu starten, besuchen Sie die WAF-as-a-Service-Seite im Azure Marketplace. Wählen Sie „Test Drive“ und füllen Sie das Formular zum Einrichten aus. Dadurch wird ein neues WAF-as-a-Service-Konto mit einem Handbuch und einer voll ausgestatteten Testumgebung eingerichtet, die Sie erkunden können. Der Vorgang nimmt ungefähr eine Stunde in Anspruch, aber Sie haben vier Stunden Zeit, bevor der Test Drive abläuft. Wenn Sie mehr Zeit benötigen, können Sie auf der Seite WAF-as-a-Service im Azure Marketplace eine kostenlose 30-Tage-Testversion mit einer Demo-Lizenz anfordern.

Nach oben scrollen
Twittern
Teilen
Teilen