spear-phishing-angriffe ¢â‚¬â€œ warum sie erfolgreich sind und...

Download Spear-Phishing-Angriffe ¢â‚¬â€œ Warum sie erfolgreich sind und ... FireEye, Inc. Spear-Phishing-Angriffe

Post on 30-Aug-2019

0 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • Spear-Phishing-Angriffe Warum sie erfolgreich sind und wie sie gestoppt werden knnenIm Kampf gegen die bevorzugte Waffe von Cyberkriminellen

    Whitepaper

  • FireEye, Inc. Spear-Phishing-Angriffe Warum sie erfolgreich sind und wie sie gestoppt werden knnen 2

    Inhalt

    Kurzfassung 3

    Einleitung: Spear Phishing auf dem Vormarsch 3

    Warum Spear Phishing vermehrt eingesetzt wird: Es lohnt sich 5

    Merkmale von Spear Phishing 5

    RSA: Prominentes Opfer eines APT mithilfe von Spear Phishing 6

    Die Lsung: Next-Generation Threat Protection 7

    Fazit 8

    Whitepaper

  • FireEye, Inc. Spear-Phishing-Angriffe Warum sie erfolgreich sind und wie sie gestoppt werden knnen 3

    KurzfassungBreit gefcherte, unkoordinierte Angriffe haben klar an Bedeutung verloren die Zukunft gehrt hoch spezialisierten, gezielten Angriffen, die fr betroffene Unternehmen gravierende Folge haben knnen. Die bekanntesten dieser sogenannten Advanced Targeted Attacks beispielsweise auf RSA, HBGary Federal und Operation Aurora griffen dabei auf Spear Phishing zurck. Die zunehmende Verbreitung von Spear Phishing ist eng mit der Tatsache verknpft, dass herkmmliche Abwehrmanahmen diese Art von Angriffen nicht verhindern knnen. Dieses Whitepaper erlutert, wie Spear Phishing im Rahmen von Advanced Targeted Attacks eingesetzt wird. Im Anschluss an eine Einfhrung werden charakteristische Merkmale von Spear Phishing behandelt und anhand der Fall-studie eines bekannten Angriffs illustriert. Abschlieend errtert das Whitepaper die wichtigsten Mittel, die Unternehmen bentigen, um gegen neue, sich wandelnde Bedrohungen gewappnet zu sein.

    Einleitung: Spear Phishing auf dem VormarschUnter Phishing-E-Mails versteht man Angriffe, mit deren Hilfe sich Kriminelle Zugang zu sensiblen Daten wie etwa personenbezogenen Informationen oder Netzwerkzugangsdaten verschaffen

    blicherweise mithilfe von Social Engineering und anderen Strategien dazu bewegt, Dateianhnge zu ffnen, auf Links zu klicken und sensible Daten preiszugeben.

    Taktiken in Phishing-E-Mails

  • FireEye, Inc. Spear-Phishing-Angriffe Warum sie erfolgreich sind und wie sie gestoppt werden knnen 4

    Abbildung 2: Geflschte Website, die Benutzer durch Tuschung dazu bewegt, Anmeldedaten und personenbezogene Informationen preiszugeben

    Bei Spear Phishing handelt es sich um eine gezieltere Form herkmmlicher Phishing-Angriffe: Mithilfe differenzierter Opferauswahl, personalisierter E-Mails, vorgetuschter Identitten und anderer

    Adressen gerichtet ist, werden beim Spear Phishing gezielt bestimmte Personen innerhalb ausgewhlter Organisationen ins Visier genommen. Werden zum Beispiel Daten aus sozialen Netzwerken zur Personalisierung und zum Vortuschen falscher Identitten verwendet, knnen Spear-Phishing-Mails uerst authentisch und glaubwrdig wirken. Wird dann ein Link angeklickt oder ein Anhang geffnet, ist der Weg ins Netzwerk geffnet. Anschlieend knnen Cyberkriminelle mit der Advanced Targeted Attack fortfahren.

    Spear-Phishing-Angriffe mssen im Kontext von Advanced Targeted Attacks betrachtet werden, die auch als Advanced Persistent Threats (APTs) bezeichnet werden. Heutzutage werden APT-Angriffe von Cyberkriminellen (und Regierungen) mithilfe von Advanced Malware und langfristig angelegten,

    APT-Angriffe sollen den Ttern langfristigen Zugang zu geschftskritischen Netzwerken, Daten und Ressourcen eines Unternehmens verschaffen.

  • FireEye, Inc. Spear-Phishing-Angriffe Warum sie erfolgreich sind und wie sie gestoppt werden knnen 5

    Warum Spear Phishing vermehrt eingesetzt wird: Es lohnt sichAdvanced Targeted Attacks mithilfe von Spear Phishing sind inzwischen zur Normalitt geworden und stellen einen neuen Ansatz dar, mit dem Cyberkriminelle ihre Ziele verfolgen.

    Spear-Phishing-Angriffe durch, da sich diese als uerst effektiv erwiesen haben.

    Eine aktuelle Studie zu diesem Thema kommt zu folgenden Ergebnissen:

    darin enthaltene Links, und damit zehnmal so oft wie Empfnger von Massenmails.

    Allerdings generiert jedes Spear-Phishing-Opfer vierzigmal so viel Erls wie ein gewhnliches Phishing-Opfer.

    Phishing-Kampagne mit 1 Million Adressaten erzielen.

    Merkmale von Spear PhishingSpear-Phishing-Angriffe sind durch folgende Hauptmerkmale gekennzeichnet:

    Kombinierte Multi-Vector Threats. Spear-Phishing nutzt eine Kombination aus Mail

    Sicherheitsvorrichtungen zu umgehen.

    Ausnutzen von Zero-Day-Schwachstellen. Komplexe Spear-Phishing-Angriffe nutzen Zero-Day-Schwachstellen in Browsern, Plugins und Desktopanwendungen aus, um sich Zugang zum gewnschten System zu verschaffen.

    Der Exploit stellt nur die erste Stufe eines APT-Angriffs dar. Anschlieend kann Malware mit externen Systemen kommunizieren, Binrdateien herunterladen und Daten extrahieren.

    Spear-Phishing-Mails sind auf bestimmte Personen oder Personenkreise zugeschnitten. Sie hneln in keiner Weise herkmmlichem Spam, der allgemein gehalten und nicht individualisiert ist. Deshalb ist es unwahrscheinlich, dass diese Nachrichten von

  • FireEye, Inc. Spear-Phishing-Angriffe Warum sie erfolgreich sind und wie sie gestoppt werden knnen 6

    RSA: Prominentes Opfer eines APT mithilfe von Spear Phishing

    Spear Phishing den Ausgangspunkt eines verheerenden und folgenreichen Angriffs auf ein Unternehmen und seine Kunden bilden kann.

    Im Rahmen des Angriffs wurde ausgesuchten Opfern zunchst eine E-Mail mit einer angehngten Microsoft Excel-Datei zugesendet, die eine Zero-Day-Schwachstelle in Adobe Flash ausnutzte. Der Angriff war nicht nur ganz gezielt auf RSA ausgerichtet, er hatte nur vier Mitarbeiter des Unternehmens zum Ziel. Nur einer von ihnen musste die E-Mail einschlielich ihres Anhangs ffnen, um einen Trojaner auf seinen PC herunterzuladen.

    Dieser erfolgreiche Spear-Phishing-Angriff war Teil einer weitaus komplexeren Advanced Targeted Attack. Nach der Installation der Malware auf dem Computer des Opfers konnten die Tter das Unternehmensnetzwerk durchforsten, Kennwrter von Administratoren aussphen und sich Zugang zu einem Server verschaffen, auf dem geschftskritische Daten zur Zweifaktor-

    Doch damit war der Angriff noch lngst nicht abgeschlossen. Vielmehr war dies nur der Auftakt zu einer noch greren Offensive, die auf den Zugang zu den Netzwerken von RSA-Kunden abzielte, vor allem im Bereich der Rstungsindustrie. Mithilfe der gestohlenen Daten wurden einige renommierte SecurID-Kunden wie die Rstungskonzerne Lockheed Martin, L-3 und Northrop Grumman ins Visier genommen.

    koordinierter und verheerender Verbrechen mnden knnen. Zu beachten ist ferner, dass auch Advanced Targeted Attacks, die scheinbar nur gegen unbedeutende Ressourcen oder Mitarbeiter mit geringen Befugnissen gerichtet sind, den Zugang zu wertvollen Daten ermglichen und gravierende Schden verursachen knnen.

    Abbildung 3: Spear-Phishing-E-Mail, die fr einen gezielten APT-Angriff auf RSA eingesetzt wurde

  • FireEye, Inc. Spear-Phishing-Angriffe Warum sie erfolgreich sind und wie sie gestoppt werden knnen 7

    Die Lsung: Next-Generation Threat ProtectionUnternehmen und andere Organisationen bentigen Sicherheitssysteme, die auch Advanced Targeted Attacks erkennen und abwehren inklusive Spear Phishing. Im Folgenden erfahren Sie mehr ber die Lsung von FireEye, die umfassenden Schutz vor Advanced Targeted Attacks bietet.

    FireEye bietet integrierten Schutz fr die Angriffsvektoren Web und E-Mail, die bei Advanced Targeted Attacks genutzt werden. Bei der Abwehr von Spear-Phishing-Angriffen ist es beispielsweise erforderlich, Webangriffe in Echtzeit zu erkennen, sie zurckzuverfolgen und zu analysieren, ob weitere Personen im Unternehmen betroffen sind. Nur mithilfe dieser Echtzeit-Cyberabwehr knnen Advanced Targeted Attacks abgewehrt werden.

    Unternehmen und Organisationen vertrauen FireEye, da die Lsung eine Echtzeitanalyse von E-Mail-Links, E-Mail-Anhngen und Webobjekten bietet. Nur so kann ein lckenloser Schutz vor Spear Phishing und anderen E-Mail-gesttzten Angriffsstrategien gewhrleistet werden, da Zero-Day-Taktiken mhelos signatur- und reputationsabhngige Analysen umgehen. Um Unternehmensnetzwerke effektiv zu schtzen, werden Systeme bentigt, die eine Vielzahl von Protokollen im gesamten Protokoll-Stack berwachen. Dies umfasst die Netzwerkschicht, Betriebssysteme, Anwendungen, Browser und Plug-ins wie Flash.

    Die Lsungen von FireEye bieten dynamische Echtzeit-Exploit-Analysen von Dateianhngen und

    setzen. Diese signaturunabhngige Analyse ist ein zentraler Bestandteil zum Schutz vor komplexen Angriffstaktiken, da diese auf Zero-Day-Exploits basieren. Dank einer effektiven Exploit-Erkennung kann Advanced Malware abgewehrt werden, die sich in Dateianhngen verbirgt. Gleiches gilt fr

    Neben der Exploit-Erkennung kann FireEye die Schdlichkeit verdchtiger Dateianhnge und anderer Objekte erkennen. Auerdem wird geprft, ob daraus resultierende Callback-Verbindungen ihrer Art nach schdlich sind. Dazu zhlt die Echtzeitberwachung ausgehender Hostverbindungen

    anhand der besonderen Merkmale des jeweiligen Kommunikationsprotokolls gestoppt werden, nicht nur anhand der Ziel-IP-Adresse oder des Domain-Namens.

    Nach dem Kennzeichnen des schdlichen Codes und der daraus resultierenden Verbindungen mssen die Ports, IP-Adressen und Protokolle blockiert werden, um eine bertragung geschftskritischer Daten zu verhindern. So wird verhindert, dass weitere Malware-Binrdateien heruntergeladen werden und sich das Datenleck im gesamten Unternehmen ausbreitet.

  • FireEye, Inc. Spear-Phishing-Angriffe Warum sie erfolgreich sind und wie sie gestoppt werden knnen 8

    Nach der ausfhrlichen Analyse von Advanced Malware mssen die gesammelten In

Recommended

View more >