spear-phishing-angriffe – warum sie erfolgreich sind und ... · fireeye, inc....
TRANSCRIPT
Spear-Phishing-Angriffe – Warum sie erfolgreich sind und wie sie gestoppt werden könnenIm Kampf gegen die bevorzugte Waffe von Cyberkriminellen
Whitepaper
FireEye, Inc. Spear-Phishing-Angriffe – Warum sie erfolgreich sind und wie sie gestoppt werden können 2
Inhalt
Kurzfassung 3
Einleitung: Spear Phishing auf dem Vormarsch 3
Warum Spear Phishing vermehrt eingesetzt wird: Es lohnt sich 5
Merkmale von Spear Phishing 5
RSA: Prominentes Opfer eines APT mithilfe von Spear Phishing 6
Die Lösung: Next-Generation Threat Protection 7
Fazit 8
Whitepaper
FireEye, Inc. Spear-Phishing-Angriffe – Warum sie erfolgreich sind und wie sie gestoppt werden können 3
KurzfassungBreit gefächerte, unkoordinierte Angriffe haben klar an Bedeutung verloren – die Zukunft gehört hoch spezialisierten, gezielten Angriffen, die für betroffene Unternehmen gravierende Folge haben können. Die bekanntesten dieser sogenannten Advanced Targeted Attacks – beispielsweise auf RSA, HBGary Federal und Operation Aurora – griffen dabei auf Spear Phishing zurück. Die zunehmende Verbreitung von Spear Phishing ist eng mit der Tatsache verknüpft, dass herkömmliche Abwehrmaßnahmen diese Art von Angriffen nicht verhindern können. Dieses Whitepaper erläutert, wie Spear Phishing im Rahmen von Advanced Targeted Attacks eingesetzt wird. Im Anschluss an eine Einführung werden charakteristische Merkmale von Spear Phishing behandelt und anhand der Fall-studie eines bekannten Angriffs illustriert. Abschließend erörtert das Whitepaper die wichtigsten Mittel, die Unternehmen benötigen, um gegen neue, sich wandelnde Bedrohungen gewappnet zu sein.
Einleitung: Spear Phishing auf dem VormarschUnter Phishing-E-Mails versteht man Angriffe, mit deren Hilfe sich Kriminelle Zugang zu sensiblen Daten wie etwa personenbezogenen Informationen oder Netzwerkzugangsdaten verschaffen P|FKWHQ��'LHVH�$QJULIIH�HUP|JOLFKHQ�HLQH�ZHLWHUH�,QÀOWULHUXQJ�GHV�1HW]ZHUNV��%HWURIIHQH�ZHUGHQ�üblicherweise mithilfe von Social Engineering und anderen Strategien dazu bewegt, Dateianhänge zu öffnen, auf Links zu klicken und sensible Daten preiszugeben.
$EELOGXQJ����'LH�KlXÀJVWHQ�Taktiken in Phishing-E-Mails
FireEye, Inc. Spear-Phishing-Angriffe – Warum sie erfolgreich sind und wie sie gestoppt werden können 4
Abbildung 2: Gefälschte Website, die Benutzer durch Täuschung dazu bewegt, Anmeldedaten und personenbezogene Informationen preiszugeben
Bei Spear Phishing handelt es sich um eine gezieltere Form herkömmlicher Phishing-Angriffe: Mithilfe differenzierter Opferauswahl, personalisierter E-Mails, vorgetäuschter Identitäten und anderer 7HFKQLNHQ�ZHUGHQ�6SDPÀOWHU�XPJDQJHQ�XQG�GLH�2SIHU�GD]X�EHZHJW��HLQHQ�/LQN�DQ]XNOLFNHQ�RGHU� HLQHQ�$QKDQJ�]X�|IIQHQ��:lKUHQG�HLQ�3KLVKLQJ�$QJULII�KlXÀJ�DQ�JDQ]H�'DWHQEDQNHQ�PLW�(�0DLO� Adressen gerichtet ist, werden beim Spear Phishing gezielt bestimmte Personen innerhalb ausgewählter Organisationen ins Visier genommen. Werden zum Beispiel Daten aus sozialen Netzwerken zur Personalisierung und zum Vortäuschen falscher Identitäten verwendet, können Spear-Phishing-Mails äußerst authentisch und glaubwürdig wirken. Wird dann ein Link angeklickt oder ein Anhang geöffnet, ist der Weg ins Netzwerk geöffnet. Anschließend können Cyberkriminelle mit der Advanced Targeted Attack fortfahren.
Spear-Phishing-Angriffe müssen im Kontext von Advanced Targeted Attacks betrachtet werden, die auch als Advanced Persistent Threats (APTs) bezeichnet werden. Heutzutage werden APT-Angriffe von Cyberkriminellen (und Regierungen) mithilfe von Advanced Malware und langfristig angelegten, PHKUVWXÀJHQ�7DNWLNHQ�XQWHU�(LQVDW]�YHUVFKLHGHQHU�%HGURKXQJVYHNWRUHQ�GXUFKJHI�KUW��'LH�PHLVWHQ�APT-Angriffe sollen den Tätern langfristigen Zugang zu geschäftskritischen Netzwerken, Daten und Ressourcen eines Unternehmens verschaffen.
FireEye, Inc. Spear-Phishing-Angriffe – Warum sie erfolgreich sind und wie sie gestoppt werden können 5
Warum Spear Phishing vermehrt eingesetzt wird: Es lohnt sichAdvanced Targeted Attacks mithilfe von Spear Phishing sind inzwischen zur Normalität geworden und stellen einen neuen Ansatz dar, mit dem Cyberkriminelle ihre Ziele verfolgen. 6WDWW�JUR�ÁlFKLJHU�3KLVKLQJ�$QJULIIH�VHW]HQ�VLFK�]XQHKPHQG�GLH�JH]LHOWHUHQ�XQG�GXUFKGDFKWHUHQ�Spear-Phishing-Angriffe durch, da sich diese als äußerst effektiv erwiesen haben.
Eine aktuelle Studie¹ zu diesem Thema kommt zu folgenden Ergebnissen:
��� =ZLVFKHQ������XQG������VDQN�GHU�-DKUHVHUO|V��GHU�GXUFK�$QJULIIH�PLWKLOIH�YRQ�0DVVHQPDLOV�HU]LHOW�ZXUGH��YRQ�����0LOOLDUGHQ�DXI�����0LOOLRQHQ�86�'ROODU��,P�JOHLFKHQ�=HLWUDXP�ÀHO�GDV�6SDPYROXPHQ�YRQ�����0LOOLDUGHQ�DXI����0LOOLDUGHQ�1DFKULFKWHQ�SUR�7DJ�
��� ,P�JOHLFKHQ�=HLWUDXP�QDKPHQ�6SHDU�3KLVKLQJ�$QJULIIH�XP�GDV�'UHLIDFKH�]X��
��� �����DOOHU�6SHDU�3KLVKLQJ�(�0DLOV�ZXUGHQ�JH|IIQHW�²�LP�9HUJOHLFK�]X�����EHL�KHUN|PPOLFKHP�6SDP�SHU�0DVVHQPDLO��=XGHP�NOLFNHQ������GHU�(PSIlQJHU��GLH�6SHDU�3KLVKLQJ�(�0DLOV�|IIQHQ��DXFK�DXI�darin enthaltene Links, und damit zehnmal so oft wie Empfänger von Massenmails.
��� 9HUJOLFKHQ�PLW�EUHLW�JHVWUHXWHQ�(�0DLOV�NRVWHW�6SHDU�3KLVKLQJ�SUR�$QJULIIV]LHO�GDV�=ZDQ]LJIDFKH��Allerdings generiert jedes Spear-Phishing-Opfer vierzigmal so viel Erlös wie ein gewöhnliches Phishing-Opfer.
��� (LQH�6SHDU�3KLVKLQJ�.DPSDJQH�PLW�������1DFKULFKWHQ�NDQQ�GDV�=HKQIDFKH�GHV�(UO|VHV�HLQHU�Phishing-Kampagne mit 1 Million Adressaten erzielen.
Merkmale von Spear PhishingSpear-Phishing-Angriffe sind durch folgende Hauptmerkmale gekennzeichnet:
�� Kombinierte Multi-Vector Threats. Spear-Phishing nutzt eine Kombination aus Mail 6SRRÀQJ��=HUR�'D\�([SORLWV��G\QDPLVFKHQ�85/V�XQG�'ULYH�E\�'RZQORDGV��XP�KHUN|PPOLFKH�Sicherheitsvorrichtungen zu umgehen.
�� Ausnutzen von Zero-Day-Schwachstellen. Komplexe Spear-Phishing-Angriffe nutzen Zero-Day-Schwachstellen in Browsern, Plugins und Desktopanwendungen aus, um sich Zugang zum gewünschten System zu verschaffen.
�� 0HKUVWXÀJH�$QJULIIH� Der Exploit stellt nur die erste Stufe eines APT-Angriffs dar. Anschließend kann Malware mit externen Systemen kommunizieren, Binärdateien herunterladen und Daten extrahieren.
�� 1LFKW�HLQGHXWLJ�DOV�6SDP�HUNHQQEDU� Spear-Phishing-Mails sind auf bestimmte Personen oder Personenkreise zugeschnitten. Sie ähneln in keiner Weise herkömmlichem Spam, der allgemein gehalten und nicht individualisiert ist. Deshalb ist es unwahrscheinlich, dass diese Nachrichten von 5HSXWDWLRQVÀOWHUQ�JHNHQQ]HLFKQHW�XQG�YRQ�6SDPÀOWHUQ�DEJHIDQJHQ�ZHUGHQ��
��KWWS���ZZZ�VFPDJD]LQH�FRP�FURRNV�RSW�IRU�VSHDU�SKLVKLQJ�GHVSLWH�KLJKHU�XSIURQW�FRVW�DUWLFOH��������
FireEye, Inc. Spear-Phishing-Angriffe – Warum sie erfolgreich sind und wie sie gestoppt werden können 6
RSA: Prominentes Opfer eines APT mithilfe von Spear Phishing'LH�$QJULIIH�DXI�GHQ�,7�6LFKHUKHLWVVSH]LDOLVWHQ�56$�LP�-DKU������KDEHQ�GHXWOLFK�JHPDFKW��GDVV� Spear Phishing den Ausgangspunkt eines verheerenden und folgenreichen Angriffs auf ein Unternehmen und seine Kunden bilden kann.
Im Rahmen des Angriffs wurde ausgesuchten Opfern zunächst eine E-Mail mit einer angehängten Microsoft Excel-Datei zugesendet, die eine Zero-Day-Schwachstelle in Adobe Flash ausnutzte. Der Angriff war nicht nur ganz gezielt auf RSA ausgerichtet, er hatte nur vier Mitarbeiter des Unternehmens zum Ziel. Nur einer von ihnen musste die E-Mail einschließlich ihres Anhangs öffnen, um einen Trojaner auf seinen PC herunterzuladen.
Dieser erfolgreiche Spear-Phishing-Angriff war Teil einer weitaus komplexeren Advanced Targeted Attack. Nach der Installation der Malware auf dem Computer des Opfers konnten die Täter das Unternehmensnetzwerk durchforsten, Kennwörter von Administratoren ausspähen und sich Zugang zu einem Server verschaffen, auf dem geschäftskritische Daten zur Zweifaktor-$XWKHQWLÀ]LHUXQJVSODWWIRUP�6HFXU,'�JHVSHLFKHUW�ZDUHQ�
Doch damit war der Angriff noch längst nicht abgeschlossen. Vielmehr war dies nur der Auftakt zu einer noch größeren Offensive, die auf den Zugang zu den Netzwerken von RSA-Kunden abzielte, vor allem im Bereich der Rüstungsindustrie. Mithilfe der gestohlenen Daten wurden einige renommierte SecurID-Kunden wie die Rüstungskonzerne Lockheed Martin, L-3 und Northrop Grumman ins Visier genommen.
'LHVH�)DOOVWXGLH�LOOXVWULHUW��GDVV�VHOEVW�UXGLPHQWlU�HUVFKHLQHQGH�$QJULIIH�LQ�HLQHU�5HLKH�PHKUVWXÀJHU��koordinierter und verheerender Verbrechen münden können. Zu beachten ist ferner, dass auch Advanced Targeted Attacks, die scheinbar nur gegen unbedeutende Ressourcen oder Mitarbeiter mit geringen Befugnissen gerichtet sind, den Zugang zu wertvollen Daten ermöglichen und gravierende Schäden verursachen können.
Abbildung 3: Spear-Phishing-E-Mail, die für einen gezielten APT-Angriff auf RSA eingesetzt wurde
FireEye, Inc. Spear-Phishing-Angriffe – Warum sie erfolgreich sind und wie sie gestoppt werden können 7
Die Lösung: Next-Generation Threat ProtectionUnternehmen und andere Organisationen benötigen Sicherheitssysteme, die auch Advanced Targeted Attacks erkennen und abwehren – inklusive Spear Phishing. Im Folgenden erfahren Sie mehr über die Lösung von FireEye, die umfassenden Schutz vor Advanced Targeted Attacks bietet.
(LQH�]HQWUDOH��LQWHJULHUWH�/|VXQJ�I�U�PHKUHUH�%HGURKXQJVYHNWRUHQ�FireEye bietet integrierten Schutz für die Angriffsvektoren Web und E-Mail, die bei Advanced Targeted Attacks genutzt werden. Bei der Abwehr von Spear-Phishing-Angriffen ist es beispielsweise erforderlich, Webangriffe in Echtzeit zu erkennen, sie zurückzuverfolgen und zu analysieren, ob weitere Personen im Unternehmen betroffen sind. Nur mithilfe dieser Echtzeit-Cyberabwehr können Advanced Targeted Attacks abgewehrt werden.
Unternehmen und Organisationen vertrauen FireEye, da die Lösung eine Echtzeitanalyse von E-Mail-Links, E-Mail-Anhängen und Webobjekten bietet. Nur so kann ein lückenloser Schutz vor Spear Phishing und anderen E-Mail-gestützten Angriffsstrategien gewährleistet werden, da Zero-Day-Taktiken mühelos signatur- und reputationsabhängige Analysen umgehen. Um Unternehmensnetzwerke effektiv zu schützen, werden Systeme benötigt, die eine Vielzahl von Protokollen im gesamten Protokoll-Stack überwachen. Dies umfasst die Netzwerkschicht, Betriebssysteme, Anwendungen, Browser und Plug-ins wie Flash.
6LJQDWXUXQDEKlQJLJH��G\QDPLVFKH�6LFKHUKHLW�]XU�$EZHKU�YRQ�=HUR�'D\�([SORLWVDie Lösungen von FireEye bieten dynamische Echtzeit-Exploit-Analysen von Dateianhängen und 85/V��DQVWDWW�OHGLJOLFK�&RGHDEVFKQLWWH�PLW�6LJQDWXUHQ�]X�YHUJOHLFKHQ�RGHU�DXI�5HSXWDWLRQVÀOWHU�]X�setzen. Diese signaturunabhängige Analyse ist ein zentraler Bestandteil zum Schutz vor komplexen Angriffstaktiken, da diese auf Zero-Day-Exploits basieren. Dank einer effektiven Exploit-Erkennung kann Advanced Malware abgewehrt werden, die sich in Dateianhängen verbirgt. Gleiches gilt für 0DOZDUH��GLH�YRQ�G\QDPLVFKHQ��VLFK�KlXÀJ�lQGHUQGHQ�'RPDLQV�JHKRVWHW�ZLUG�
6FKXW]�YRU�VFKlGOLFKHP�&RGH�XQG�%ORFNLHUXQJ�YRQ�&DOOEDFNVNeben der Exploit-Erkennung kann FireEye die Schädlichkeit verdächtiger Dateianhänge und anderer Objekte erkennen. Außerdem wird geprüft, ob daraus resultierende Callback-Verbindungen ihrer Art nach schädlich sind. Dazu zählt die Echtzeitüberwachung ausgehender Hostverbindungen �EHU�PHKUHUH�3URWRNROOH�KLQZHJ��XP�LQÀ]LHUWH�6\VWHPH�LP�1HW]ZHUN�]X�HUNHQQHQ��&DOOEDFNV�N|QQHQ�anhand der besonderen Merkmale des jeweiligen Kommunikationsprotokolls gestoppt werden, nicht nur anhand der Ziel-IP-Adresse oder des Domain-Namens.
Nach dem Kennzeichnen des schädlichen Codes und der daraus resultierenden Verbindungen müssen die Ports, IP-Adressen und Protokolle blockiert werden, um eine Übertragung geschäftskritischer Daten zu verhindern. So wird verhindert, dass weitere Malware-Binärdateien heruntergeladen werden und sich das Datenleck im gesamten Unternehmen ausbreitet.
FireEye, Inc. Spear-Phishing-Angriffe – Warum sie erfolgreich sind und wie sie gestoppt werden können 8
$NWXHOOH��VRIRUW�QXW]EDUH�,QIRUPDWLRQHQ��EHU�%HGURKXQJHQ�XQG�0DOZDUH�)RUHQVLNNach der ausführlichen Analyse von Advanced Malware müssen die gesammelten Informationen effektiv eingesetzt werden. Mithilfe von FireEye können diese Informationen zu verschiedenen Zwecken genutzt werden:
�� 6\VWHPH�YRQ�)LUH(\H�HUVWHOOHQ�HLQHQ�)LQJHUSULQW�GHV�VFKlGOLFKHQ�&RGHV�]XU�DXWRPDWLVFKHQ� (UVWHOOXQJ�YRQ�6FKXW]GDWHQ�XQG�PDFKHQ�EHWURIIHQH�6\VWHPH�DXVÀQGLJ��XP�HLQH�ZHLWHUH�$XVEUHLWXQJ�zu verhindern.
�� 'DV�)RUHQVLN�7HDP�NDQQ�'DWHLHQ�PLWKLOIH�DXWRPDWLVLHUWHU�2IÁLQH�7HVWV�SU�IHQ��XP�VFKlGOLFKHQ�&RGH�zu bestätigen und zu analysieren.
�� ,QIRUPDWLRQHQ�N|QQHQ�PLWKLOIH�]HQWUDOHU�,QIRUPDWLRQVV\VWHPH�DXVJHWDXVFKW�ZHUGHQ��GDPLW�DQGHUH�Experten und Unternehmen jederzeit auf dem neuesten Stand sind.
Fazit0HKUVWXÀJH�$QJULIIH��GLH�PHKUHUH�%HGURKXQJVYHNWRUHQ�QXW]HQ��KDEHQ�VLFK�]XP�(LQGULQJHQ�LQ�1HW]ZHUNH�DOV�lX�HUVW�ZLUNXQJVYROO�HUZLHVHQ�²�REZRKO�MlKUOLFK����0LOOLDUGHQ�86�'ROODU�LQ�,7�6LFKHUKHLW�LQYHVWLHUW�ZHUGHQ��6SHDU�3KLVKLQJ�ZLUG�LPPHU�KlXÀJHU�LP�5DKPHQ�YRQ�$GYDQFHG�7DUJHWHG�Attacks eingesetzt, da es in vielen Fällen zum Erfolg führt. Cyberkriminelle werden weiterhin auf Spear Phishing setzen, solange Unternehmen und Organisationen über einen unzureichenden Sicherheitsgrad verfügen. Um Advanced Targeted Attacks abzuwehren, ist ein Schutz vor Next-Generation-Angriffen erforderlich, der verschiedene Bedrohungsvektoren und sämtliche Phasen eines Angriffs abdeckt.
Durch kombinierte Web- und E-Mail-Sicherheit, den Schutz vor schädlichen Binärdateien und Malware-Callbacks sowie die Nutzung signaturunabhängiger, dynamischer Codeausführung zur Erkennung von Zero-Day-Exploits bietet FireEye einen solchen Schutz vor Next-Generation-Angriffen, der zur Abwehr von Advanced Targeted Attacks erforderlich ist. Mit FireEye erhalten Unternehmen eine kontextbezogene Echtzeitübersicht über Bedrohungen per Web und E-Mail. Ein webgestützter Zero-Day-Angriff kann in Echtzeit erkannt und abgewehrt werden. Der Angriff wird anschließend auf die ursprüngliche Spear-Phishing-Mail zurückverfolgt, um festzustellen, ob weitere Personen im Unternehmen betroffen sind. Nur mithilfe dieser kontextbezogenen Sicherheitsanalyse können aktuelle, sofort nutzbare Informationen zu Advanced Targeted Attacks und ihrer Abwehr gewonnen werden.
FireEye, Inc. Spear-Phishing-Angriffe – Warum sie erfolgreich sind und wie sie gestoppt werden können 9
,QIRUPDWLRQHQ�]X�)LUH(\HFireEye ist führend beim Schutz vor Advanced Targeted Attacks, die Advanced Malware, Zero-Day-Exploits und APT-Taktiken nutzen. Die Lösungen von FireEye ergänzen herkömmliche und Next-Generation Firewalls sowie Intrusion-Prevention-Systeme, Antiviruslösungen und Gateways, die gegen moderne Bedrohungen machtlos sind und nicht alle Sicherheitslücken im Netzwerk schließen können. FireEye bietet die branchenweit einzige Lösung, die sowohl Angriffe per Web und E-Mail als auch in Dateien verborgene Malware erkennt und abwehrt. Alle Phasen eines Angriffs werden mithilfe einer signaturunabhängigen Engine überwacht, die dank Stateful Inspection aller Arten von Zero-Day-Bedrohungen erkennt. Das in Milpitas im US-Bundesstaat Kalifornien ansässige Unternehmen wird von renommierten Finanzpartnern wie Sequoia Capital, Norwest Venture 3DUWQHUV�XQG�-XQLSHU�1HWZRUNV�XQWHUVW�W]W�
FireEye, Inc |������0F&DUWK\�%OYG��0LOSLWDV��&$�������|�����������������|�'$&+#ÀUHH\H�FRP�| www.FireEye.com
�������)LUH(\H��,QF��$OOH�5HFKWH�YRUEHKDOWHQ��)LUH(\H�LVW�HLQH�0DUNH�YRQ�)LUH(\H��,QF��$OOH�DQGHUHQ�0DUNHQ��3URGXNWH�RGHU� 6HUYLFHQDPHQ�VLQG�0DUNHQ�RGHU�'LHQVWOHLVWXQJVPDUNHQ�GHU�MHZHLOLJHQ�(LJHQW�PHU��²�:3�63�'(�������