Angriffsvektoren, die nicht aus der Mode kommen

Auch im Jahr 2022 setzen kriminelle Hacker noch auf Angriffsvektoren, die bereits Jahrzehnte auf dem Buckel haben. Forschungsergebnisse zeigen, dass bestimmte Oldschool-Methoden immer wieder im Rahmen von Cyberangriffen auftauchen. "Cyberkriminelle neigen dazu, zu ihren alten Lieblingsmethoden zurückzukehren - vor allem, wenn neuere Vektoren wegen Strafverfolgungsbehörden oder Security-Teams abgeschaltet werden oder schwieriger zu handhaben sind", meint Jack Chapman, Vice President von Egress Threat Intelligence.

Wirtschaftlichkeit und Zielerfassung sind zwei wesentliche Gründe dafür, dass Cyberkriminelle althergebrachte Angriffsvektoren nutzen, weiß Peter Lee, Strategic Security Engineer bei Cato Networks: "Der boomende Markt für Exploits klebt allem, was Angreifer auf ihre Ziele loslassen, ein Preisschild an. Die Preise variieren dabei enorm, für Angreifer entsteht ein starker Anreiz, günstig einzusteigen und sich dann hochzuarbeiten. Warum zwei Millionen Dollar für eine iPhone-Zero-Day-Lücke ausgeben, wenn Sie dasselbe Ziel mit einem ungepatchten Webserver CVE aus dem Jahr 2017 kompromittieren können?"

Wir haben sieben der in die Jahre gekommenen Angriffsvektoren zusammengetragen, die Cyberkriminelle auch heute noch nutzen. Natürlich sagen wir Ihnen auch, wie Sie dem maliziösen Treiben entgegenwirken.

1. Physische Speichermedien

Die ersten Computerviren verbreiteten sich über Disketten - und auch heute noch werden physische Speichermedien verwendet, um Systeme zu infizieren und Malware zu verbreiten. Anfang 2022 warnte das FBI öffentlichkeitswirksam vor der BadUSB-Angriffskampagne, bei der verseuchte USB-Laufwerke an Mitarbeiter von Unternehmen aus dem Logistik-, Verteidigungs- und Versicherungssektor verschickt wurden.

Besagte USB-Sticks werden oft in Verbindung mit Lockangeboten wie Geschenkkarten verschickt und sind so konfiguriert, dass sie von Zielrechnern als Tastaturen erkannt werden. Tatsächlich schleusen sie jedoch Schadsoftware wie Credential Grabber, Backdoors und Ransomware ein. Die Kampagne war ein Versuch, den Remote-Work-Trend auszunutzen und verdeutlicht, dass moderne Betrüger gerne auch angestaubte Methoden nutzen, wenn sie sich davon Erfolg versprechen.

"Seit Mitte 2021 verzeichnen wir eine wachsende Zahl von Angriffen mit USB-Laufwerken auf Unternehmen aus einer Vielzahl von Branchen", erklärt David Liebenberg, Head of Strategic Analysis beim Sicherheitsdienstleister Cisco Talos. "Wir haben mehrere, meist ältere Malware-Varianten beobachtet, die auf diese Weise verbreitet werden: Zum Beispiel Sality und PlugX, die auf Windows-Systeme abzielen und dafür bekannt sind, sich vor allem über tragbare Laufwerke zu verbreiten."

Der Angriffsvektor physisches Laufwerk werde auch weiterhin Bestand haben - vor allem vor dem Hintergrund zunehmend hybrider Arbeitsumgebungen, meint Liebenberg: "Unternehmen, die USB- oder Wechsellaufwerke für legitime Geschäftsvorgänge nutzen, sollten das einschränken und wenn möglich unterbinden. Darüber hinaus müssen klare Richtlinien über die Verwendung solcher Laufwerke etabliert werden - auch im Home-Office. Schulungsinitiativen, die die Mitarbeiter über die Risiken physischer Laufwerke aufklären bieten sich ebenfalls an."

2. Makro-Viren

Seit dem Melissa-Virus aus dem Jahr 1999 zielen Angreifer auf Unternehmen mit Viren, die in Macro-Sprache geschrieben und in Dokumenten versteckt sind. Melissa infizierte Computer vor mehr als zwei Dekaden mit bösartigen E-Mail-Anhängen, verschickte dann Massen-E-Mails an die Kontaktliste der Nutzer und deaktivierte mehrere Schutzfunktionen.

"Trotz aller Möglichkeiten, die Unternehmen offenstehen, um sich zu schützen und allen Bemühungen von Organisationen wie NIST zum Trotz, ist es immer noch schwierig Makros vollständig abzuwehren", meint Piers Wilson, Head of Projectmanagement bei Huntsman Security. "Viele der Vektoren im Zusammenhang mit Makros beruhen auf Social Engineering. Der Inhalt eines Dokuments kann beispielsweise zunächst wie eine zufällige Zeichenfolge erscheinen - die Begleit-E-Mail dann beispielsweise darauf hinweisen, dass das Dokument entschlüsselt werden kann, wenn der Benutzer Makros aktiviert."

Angreifer könnten Makros für diverse bösartige Zwecke nutzen - die besten Schutzmaßahmen bestünden jedoch in der Aufklärung der Benutzer und der Einrichtung entsprechender Kontrollmaßnahmen an Gateway und Endpunkt. Allerdings biete auch das keinen hundertprozentigen Schutz, wie Wilson einschränkt: "Da jedoch viele Dokumente immer noch Makros verwenden - ironischerweise auch Supplier Security Questionnaires - besteht immer das Risiko, dass ein Angriff durchkommt."

3. Ungepatchte Schwachstellen

Bekannte Schwachstellen auszunutzen, ist eine weit verbreitete und bewährte Taktik krimineller Hacker. Solche Sicherheitlücken können auch noch Jahre nach ihrer Entdeckung verwendet werden, wenn sie nicht gepatcht wurden, wie Forrester-Analystin Allie Mellen erklärt: "Ein klassisches Beispiel dafür ist EternalBlue. Obwohl im März 2017 Patches für die Schwachstelle veröffentlicht wurden, wurde sie sowohl im Mai 2017 bei der WannaCry-Ransomware-Kampagne als auch im Juni 2017 im Rahmen der NotPetya-Angriffswelle ausgenutzt. Das unterstreicht, warum es so wichtig ist, Systeme schnell und effektiv zu patchen."

"EternalBlue (CVE-2017-0144) macht Unternehmen auch heute noch angreifbar", stimmt Ryan Linder, Risk and Vulnerability Engineer beim Sicherheitsanbieter Censys, zu. "Die Schwachstelle macht sich das SMB-Protokoll zunutze. Unseren Daten zufolge gibt es immer noch über 200.000 Systeme, die mit dem Internet verbunden sind und das 1983 entwickelte SMBv1 unterstützen. Viele Unternehmen versäumen es, ihre Software auf dem neuesten Stand zu halten, was sie anfällig für kritische Sicherheitslücken macht und selbst wenn solche öffentlich bekannt werden, versäumen es immer noch viele, ihre Systeme zu patchen."

Konsequent zu patchen, sei in großen, komplex strukturierten Unternehmen allerdings auch sehr schwierig, meint Analystin Mellen: "Deshalb ist es auch so wichtig, dem Patch Management Priorität einzuräumen und es zu einer unternehmensweiten Aufgabe zu machen."

4. SQL Injection

Um Webanwendungen und Webseiten zu manipulieren oder auf die dahinterliegenden Datenbanken zuzugreifen, setzen Cyberkriminelle schon seit mehr als zwanzig Jahren auf SQL-Injection-Angriffe. In der aktuellen OWASP-Top-Ten der Web-Schwachstellen rangieren SQL-Injection-Angriffe auf dem dritten Rang.

"Das ist kein neuer oder besonders innovativer Ansatz, aber die Angreifer wissen, dass sie das Rad nicht neu erfinden müssen, um die gewünschten Ergebnisse zu erzielen", meint Chapman. "SQL-Injection funktioniert immer noch, weil Entwickler ohne ausreichendes Sicherheitsbewusstsein Code einfügen. Unternehmen können diese Angriffe aber mit Dynamic Application Security Testing und Static Application Security Testing verhindern."

5. E-Mail-Betrug

Betrügereien, die mit Geschichten von reichen verschollenen Verwandten beginnen, die angeblich gestorben sind und einen großen Geldbetrag hinterlassen haben, gehen bis ins 19. Jahrhundert zurück - und werden auch heute noch von Cyberkriminellen genutzt. Ein wesentliches Merkmal solcher Kampagnen: Sie setzen auf die "Fear of missing out" und versprechen enorme Renditen bei minimalem Aufwand.

"Die E-Mail vom toten, reichen Onkel macht auch heute noch die Runde, wird inzwischen aber zunehmend im Rahmen von Kryptowährungs-Scams, Geschenkkartenbetrug oder im Zusammenhang mit gefälschten Rechnungen und Bußgeldbescheiden eingesetzt", erklärt Casey Ellis, Gründer der Crowdsourcing-Sicherheitsplattform Bugcrowd. "Diese Betrügereien sind effektiv, weil sie mit menschlicher Gier und Verlustängsten spielen. Wird ein Opfer erfolgreich ausgenutzt, versuchen Angreifer oft, noch mehr herauszuholen."

Die soziale Isolation und die durch die COVID-19-Pandemie verursachten Verschiebungen in der sozialen Dynamik hätten Betrugsmaschen dieser Art begünstigt, da die Folgen ihrer Handlungen für potenzielle Opfer in dieser Situation schwieriger einzuschätzen seien, so der Security-Experte. "In Unternehmens kann die Förderung einer Vertrauenskultur - bei gleichzeitigen Überprüfungen - in Kombination mit einer Zero-Blame-Maßgabe ein effektiver Weg sein, um die Belegschaft auf diese Art von Angriffen vorzubereiten."

6. RDP-Angriffe

RDP-Schwachstellen sind schon seit Jahren ein Thema. Dennoch beginnt laut Ray Canzanese, Director des Threat Labs von Netskope, etwa ein Drittel aller Cyberangriffe mit einem Windows-Computer, der über Remote Desktop Protocol (RDP) mit dem Internet verbunden ist.

"Die Angreifer haben ihre Prozesse, um exponierte Dienste wie RDP zu entdecken und anzugreifen vollständig automatisiert. RDP sollte niemals dem Internet ausgesetzt werden - und wenn Sie RDP-Zugang benötigen, sollten Sie VPN- oder ZTNA-Lösungen einsetzen, um das auf sichere Art und Weise zu bewerkstelligen."

7. Phishing

Cast-Netting-Phishing-Angriffe sind nach einer traditionellen Technik aus der Fischerei benannt, bei der ein vergleichsweise kleines Netz in einem bestimmten, limitierten Gebiet ausgeworfen wird. Welcher Fisch im Netz landet, ist dabei egal - auf das Gebiet kommt es an. "Im Gegensatz zum Spear Phishing, das sich auf eine bestimmte Person konzentriert, zielt Cast-Netting auf jeden in einer bestimmten Organisation ab", erklärt Mike Parkin, Senior Technical Engineer bei Vulcan Cyber. "Dem Angreifer ist es egal, wer in der Organisation den Köder schluckt, solange er nur jemanden im Zielbereich erwischt."

Obwohl auch diese Angriffsmethode seit Jahren eingesetzt wird, gehöre sie nicht zum alten Eisen. Das liege daran, dass sie in den "Sweet Spot" zwischen Aufwand und Effektivität fällt, meint Parkin: "Diese Angriffe können einen zeitlich passenden Aufhänger haben, etwa ein lokales Sportereignis oder die Eröffnung eines neuen Restaurants in der Nähe, das die anvisierte Organisation für plausibel hält und das es durch die Spam-Filter schaffen würde. So eine Kampagne aufzusetzen, erfordert weit weniger Nachforschungen als die Entwicklung eines Spear-Phishing-Köders. Hat ein Angreifer erst einmal Fuß gefasst, kann er sich in der Umgebung des Unternehmens weiter ausbreiten."

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.