Hacker finden Wege, um den neuesten Cybersicherheitstools auszuweichen

(Bloomberg) – Da Hacking immer zerstörerischer und allgegenwärtiger wird, ist ein leistungsstarkes Tool von Unternehmen wie CrowdStrike Holdings Inc. und Microsoft Corp. zu einem Segen für die Cybersicherheitsbranche geworden.

Am meisten gelesen von Bloomberg

China nutzt den Yuan Global, um einen bewaffneten Dollar abzuwehren

Selenskyj bestreitet, dass die Ukraine Drohnen zum Angriff auf Putin und den Kreml geschickt habe

TD, First Horizon beendet 13-Milliarden-Dollar-Fusion, da die Regulierungsbehörden ins Stocken geraten

PacWest wägt strategische Optionen ab, einschließlich eines möglichen Verkaufs

Bank-Drama tobt weiter; Apple steigt im späten Handel: Markets Wrap

Die so genannte Endpoint Detection and Response-Software ist darauf ausgelegt, frühe Anzeichen bösartiger Aktivitäten auf Laptops, Servern und anderen Geräten – „Endpunkten“ in einem Computernetzwerk – zu erkennen und sie zu blockieren, bevor Eindringlinge Daten stehlen oder die Maschinen sperren können.

Experten sagen jedoch, dass Hacker Workarounds für einige Formen der Technologie entwickelt haben, die es ihnen ermöglichen, an Produkten vorbeizukommen, die zum Goldstandard für den Schutz kritischer Systeme geworden sind.

Beispielsweise hat Mandiant, das zur Google Cloud-Abteilung von Alphabet Inc. gehört, in den letzten zwei Jahren 84 Verstöße untersucht, bei denen EDR oder andere Endpunktsicherheitssoftware manipuliert oder deaktiviert wurden, sagte Tyler McLellan, ein leitender Bedrohungsanalyst bei das Unternehmen.

Die Ergebnisse stellen die neueste Entwicklung eines jahrzehntelangen Katz-und-Maus-Spiels dar, bei dem Hacker ihre Techniken anpassen, um die neuesten Cybersicherheitsmaßnahmen zu überwinden, so Mark Curphey, der leitende Positionen bei McAfee und Microsoft innehatte und jetzt für Cybersicherheit zuständig ist Unternehmer im Vereinigten Königreich.

„Das Hacken von Sicherheitsschutztools ist nichts Neues“, sagte er und fügte hinzu, dass „der Preis im Erfolgsfall der Zugriff auf alle Systeme ist, die sie verwenden, per Definition Systeme, die es wert sind, geschützt zu werden.“

Ermittler mehrerer Cybersicherheitsfirmen sagten, dass die Zahl der Angriffe, bei denen EDR deaktiviert oder umgangen wird, gering ist, aber zunimmt, und dass Hacker immer einfallsreicher werden, wenn es darum geht, Wege zu finden, um die stärkeren Schutzmaßnahmen zu umgehen, die es bietet.

Microsoft gab im Dezember in einem Blogbeitrag bekannt, dass Hacker das Unternehmen dazu verleitet hätten, sein Echtheitssiegel auf Malware anzuwenden, die dann dazu verwendet wurde, das EDR des Unternehmens und andere Sicherheitstools in den Netzwerken der Opfer zu deaktivieren. Microsoft sperrte die an der List beteiligten Drittentwicklerkonten und sagte, das Unternehmen arbeite „an langfristigen Lösungen, um diese betrügerischen Praktiken zu bekämpfen und künftige Auswirkungen auf die Kunden zu verhindern“.

Im Februar schilderte Arctic Wolf Networks einen Fall, den das Unternehmen Ende letzten Jahres untersuchte und bei dem Hacker der Lorenz-Ransomware-Gruppe zunächst durch den EDR des Opfers ausgebremst wurden. Die Hacker gruppierten sich neu und setzten ein kostenloses digitales Forensik-Tool ein, das es ihnen ermöglichte, direkt auf den Speicher der Computer zuzugreifen und ihre Ransomware unter Umgehung des EDR erfolgreich einzusetzen, so das Unternehmen. Arctic Wolf hat weder das Opfer noch den betroffenen EDR identifiziert.

Und im April enthüllte die Sophos Group eine neue Malware, die das in Großbritannien ansässige Unternehmen entdeckt hatte und die dazu verwendet wurde, EDR-Tools von Microsoft, Sophos selbst und mehreren anderen Unternehmen zu deaktivieren, bevor die Ransomware Lockbit und Medusa Locker eingesetzt wurde. „EDR-Umgehung und Deaktivierung von Sicherheitssoftware sind eindeutig eine Taktik auf dem Vormarsch“, sagte Christopher Budd, Senior Manager für Bedrohungsforschung. „Aufgrund der Art dieser Art von Angriff ist es besonders schwierig, sie zu erkennen, da sie genau auf die Tools abzielt, die Cyberangriffe erkennen und verhindern.“

Laut IDC wuchs der Markt für EDR und andere neue Endpunktsicherheitstechnologien im vergangenen Jahr weltweit um 27 % auf 8,6 Milliarden US-Dollar, angeführt von CrowdStrike und Microsoft.

Adam Meyers, Senior Vice President of Intelligence bei CrowdStrike, sagte, die wachsende Zahl von Angriffen auf EDR-Software zeige, dass Hacker „sich weiterentwickelt haben“. Viele der Angriffe, die CrowdStrike verfolgt hat – gegen seine Produkte und die von Wettbewerbern angebotenen –, beinhalten Fehlkonfigurationen von Client-Systemen oder Schwachstellen tief in der Software oder Firmware, Anzeichen dafür, dass Hacker härter arbeiten müssen, um in Zielnetzwerke zu gelangen, sagte er.

„Dies ist ein Wettlauf bis zum Ende des Stapels“, sagte Meyers. „Wir versuchen, tiefer und tiefer und immer näher an die Hardware vorzudringen, und je näher man der Hardware kommt, desto schwieriger ist es, einen Angriff zu stoppen.“

Ein Microsoft-Vertreter lehnte eine Stellungnahme zu dieser Geschichte ab.

Vor einem Jahrzehnt waren Hersteller von Antivirensoftware die dominierenden Anbieter von Sicherheitsprodukten für PCs und andere Endpunkte. Ihre Beliebtheit nahm ab, da immer ausgefeiltere Angriffe die Schwächen von Technologien aufdeckten, die laut Cybersicherheitsexperten darauf beruhten, dass Analysten manuell digitale „Signaturen“ neuer Malware-Stämme erstellten, um sie zu blockieren.

Die Zunahme von Ransomware und anderen zerstörerischen Angriffen hat die Nachfrage nach EDR und ähnlichen Technologien angekurbelt, die darauf abzielen, Infektionen früher zu erkennen und zu blockieren. Die Tools suchen nach weiteren Anzeichen böswilliger Aktivitäten und automatisieren viele der zeitaufwändigen Aufgaben der Untersuchung und Behebung von Verstößen.

Ein bisher nicht gemeldeter Vorfall, den Bloomberg News aufdeckte, ereignete sich im Oktober, als die in Kopenhagen, Dänemark, ansässige CSIS Security Group den Verstoß gegen ein europäisches Produktionsunternehmen untersuchte.

Die Hacker nutzten eine bisher unbekannte Schwachstelle im EDR von Microsoft aus und verpackten die Malware so, dass sie vom Sicherheitstool erkannt wurde – was das IT-Team des Opfers darüber informierte, dass der Angriff blockiert wurde, so Jan Kaastrup, Chief Innovation Officer für CSIS, der die Untersuchung beaufsichtigte. Aber die Hacker wurden nicht gestoppt und konnten das Netzwerk drei Wochen lang durchstreifen, sagte er. Der Verstoß wurde erst entdeckt, als das Opfer bemerkte, dass Daten sein Unternehmensnetzwerk verließen, und das dänische Sicherheitsunternehmen kontaktierte. Kaastrup lehnte es ab, das Opfer zu identifizieren, erlaubte Bloomberg jedoch, eine anonymisierte Kopie des Vorfallberichts einzusehen. Das Unternehmen meldete das Problem an Microsoft, das sich gegenüber Bloomberg weigerte, sich zu der Angelegenheit zu äußern.

Die Lehre aus den jüngsten Vorfällen, sagte er, sei einfach: Technologie könne gegen entschlossene Hacker nur begrenzt viel ausrichten.

„Sicherheitssoftware kann nicht alleine bestehen – man braucht einen Blick auf den Bildschirm, gepaart mit Technologie“, sagte er. EDR „ist viel besser als Antivirensoftware. Sie brauchen es also auf jeden Fall. Es ist einfach nicht das Allheilmittel, für das manche es halten.“

Am meisten gelesen von Bloomberg Businessweek

Die unbezahlten Rechnungen von Twitter drohen für Elon Musk ein noch größeres Problem zu werden

Wie ein Geschirrspüler-Ingenieur Elon Musks Einfluss auf Gewerbeflächen herausforderte

Zu groß, um zu scheitern, aber nicht zu groß, um andere Banken zu retten

Das Unternehmen hinter Ben Shapiro versucht, ein rechtes magisches Königreich aufzubauen

Cadillacs Lyriq EV könnte ein Gewinner sein, wenn GM genug davon bauen kann

©2023 Bloomberg LP

Verwandte Zitate