Taktische Tarnung - Die versteckten Angriffsmethoden der Hacker
Veröffentlicht: 21. November 2024 von Hannah und René
Banken und kritische Infrastrukturen (KRITIS) sind zentrale Bausteine der modernen Gesellschaft und stehen zunehmend im Fadenkreuz von Cyberangriffen. Laut dem aktuellen Bitkom-Bericht „Wirtschaftsschutz 2024“ beliefen sich die Schäden allein durch Cyberkriminalität in Deutschland auf 178,6 Milliarden Euro.
Besonders gefährdet sind Banken und KRITIS-Sektoren, da sie sensible Daten und kritische Dienste verwalten. 87% der KRITIS-Unternehmen rechnen in den nächsten zwölf Monaten mit einer Zunahme von Cyberangriffen, was die Dringlichkeit für effektive Schutzmaßnahmen zusätzlich unterstreicht.
Angreifer gehen dabei immer raffinierter vor, um so lange wie möglich unentdeckt im Netzwerk eines Unternehmens zu bleiben. Ob Verzögerungen bei der Ausführung von Schadsoftware oder Verschlüsselungen – die Herausforderungen für IT-Leiter, -Sicherheitsbeauftragte und externe Dienstleister werden immer anspruchsvoller, um die immer raffinierteren Angriffsformen frühzeitig zu erkennen.
Mit Künstlicher Intelligenz (KI) ist seit neustem ein weiterer Player im Spiel, der sowohl von Unternehmen zum Schutz vor als auch von Hackern für Cyberangriffe eingesetzt wird. 83% der deutschen Unternehmen sehen laut Bitkom in KI eine Verschärfung der Bedrohungslage für die Wirtschaft, während nur 61% der Meinung sind, dass der Einsatz von KI zu einer deutlichen Verbesserung der Cybersicherheit beitragen kann.
Dieser Beitrag beschreibt die aktuell gefährlichsten und meistgenutzten technischen Methoden, mit denen Hacker versuchen in Systeme von Banken und KRITIS einzudringen.
Cryptic Services: Obfuskation und Tarnung von Malware
Cryptic Services, auch bekannt als Crypting-as-a-Service (CaaS), stellen ein erhebliches Risiko für die deutsche Wirtschaft dar. Diese Dienste bieten Cyberkriminellen die Möglichkeit, bösartige Software so zu verschleiern, dass sie von Antivirenprogrammen und anderen Sicherheitslösungen nicht erkannt wird. Durch spezielle Verschlüsselungs- und Obfuskationstechniken bleibt Schadcode unentdeckt, wenn er auf infizierte Systeme übertragen wird.
Die Anbieter von CaaS-Diensten erstellen für ihre Kunden maßgeschneiderte Verschlüsselungen und bieten kontinuierliche Updates an, um sicherzustellen, dass die Malware immer einen Schritt voraus ist. Dies macht es besonders schwierig für IT-Sicherheitsabteilungen, Bedrohungen rechtzeitig zu identifizieren und abzuwehren.
Die Anfälligkeit gegenüber solchen Tarnmethoden unterstreicht die Notwendigkeit, erweiterte Sicherheitslösungen wie Deep Packet Inspection (DPI) und Verhaltensanalysen einzusetzen, die auch die verschlüsselte Malware aufspüren können.
Time-based Evasion: Zeitverzögerte Malware
Eine besonders ausgeklügelte Technik ist die sogenannte Time-based Evasion. Hierbei handelt es sich um Schadsoftware, die ihre Aktivitäten zeitlich verzögert oder erst nach einem bestimmten Zeitraum ausführt. Diese Verzögerung hilft der Malware, die Detektion durch Echtzeit-Analyse-Tools zu umgehen. Angriffe bleiben so oft über längere Zeiträume unentdeckt, während die Malware still und leise ihre Schadfunktionen vorbereitet.
Angreifer nutzen diese Methode, um gezielt IT-Sicherheitslösungen zu überlisten, die auf schnelle Erkennung ausgelegt sind. Besonders in Branchen wie Banken und kritischen Infrastrukturen, in denen Reaktionszeiten auf Bedrohungen entscheidend sind, stellen solche Techniken eine ernsthafte Gefahr dar.
Lösungen, die auf einer dauerhaften Überwachung von Anomalien basieren, wie Endpoint Detection and Response (EDR), können helfen, selbst verzögerte Angriffe zu identifizieren.
AI-enhanced Anomaly Detection Evasion: KI zur Umgehung von Sicherheitslösungen
Mit der zunehmenden Verbreitung von KI im Bereich der IT-Sicherheit nutzen Angreifer ebenfalls KI, um ihre Angriffe zu verschleiern. AI-enhanced Anomaly Detection Evasion beschreibt den gezielten Einsatz von KI, um Malware so zu gestalten, dass sie von maschinellen Lernalgorithmen nicht erkannt wird.
Durch die Nutzung von KI können Angreifer außerdem den normalen Datenverkehr imitieren und so ungewöhnliche Muster vermeiden, die von Sicherheitslösungen erkannt werden könnten. Besonders bedrohlich ist diese Technik, da viele Systeme heutzutage auf KI-basierte Bedrohungserkennung angewiesen sind.
IT-Abteilungen müssen sicherstellen, dass ihre Sicherheitslösungen ebenfalls auf KI setzen, um der Dynamik solcher Bedrohungen gewachsen zu sein.
Missbrauch von Cloud-Diensten: Tarnung von Malware in der Cloud
Der Missbrauch von Cloud-Diensten wie Microsoft Office 365, Google Drive oder WeTransfer stellt eine weitere große Gefahr dar. Angreifer nutzen legitime Cloud-Anwendungen, um bösartige Software zu hosten und so Sicherheitsmaßnahmen zu umgehen. Diese Methode verschafft Cyberkriminellen den Vorteil, dass der Netzwerkverkehr zu diesen Diensten in vielen Organisationen nicht verdächtig erscheint und selten blockiert wird.
84% der Unternehmen in Deutschland nutzten 2022 Cloud-Dienste. Um sich vor Angriffen aus der Cloud zu schützen, müssen Unternehmen strengere Überwachungsmechanismen einführen, um verdächtige Aktivitäten in Cloud-Umgebungen rechtzeitig zu identifizieren.
Das Einführen von Zero-Trust-Architekturen kann dazu beitragen, dass auch der Datenverkehr in der Cloud kontinuierlich auf verdächtige Aktivitäten überprüft wird.
Device ID Evasion: Manipulation der Geräteidentität
Viele Unternehmen verlassen sich auf die Verifizierung von Device IDs als zusätzliche Sicherheitsebene, um sicherzustellen, dass nur autorisierte Geräte auf sensible Systeme zugreifen. Device ID Evasion bezieht sich auf Techniken, die es Angreifern ermöglichen, die Geräteidentifikationsprotokolle zu täuschen und unrechtmäßigen Zugang zu erlangen.
Cyberkriminelle verwenden Software zur Verschleierung der Geräte-ID, um die Sicherheitskontrollen zu umgehen. Selbst wenn die tatsächliche Identität des Geräts nicht bekannt ist, können sie Dienste aus dem Dark Web in Anspruch nehmen, um gefälschte IDs zu erstellen.
Hier sind zusätzliche Schutzmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) und verhaltensbasierte Zugriffskontrollen unerlässlich.
Prompt Injection als Mittel gegen KI-basierte Sicherheitslösungen
Eine noch recht neue Technik, die immer häufiger zur Umgehung von KI-gestützten Sicherheitslösungen verwendet wird, ist die sogenannte Prompt Injection. Diese Technik zielt darauf ab, eine KI-basierte Sicherheitslösung durch manipulierte Eingaben zu täuschen. In einem Experiment wurde beispielsweise gezeigt, wie Angreifer spezielle Befehle in eine Malware einfügen können, um die Analyse durch VirusTotal, ein KI-gestütztes Sicherheitstool, zu umgehen.
Hier beißt sich die Katze in den Schwanz: Während Banken und andere KRITIS zunehmend auf KI zur Bedrohungserkennung setzen müssen, um GEGEN Angriffe mittels KI überhaupt eine Chance zu haben, sehen sie sich umgekehrt der Manipulation eben solcher KI-Sicherheitslösungen konfrontiert – quasi ein Angriff von innen heraus.
Es wird daher immer wichtiger, dass auch KI-basierte Sicherheitslösungen robust genug sind, um gegen derartige Manipulationen geschützt zu sein. Sicherheitsanbieter müssen ihre KI-Modelle kontinuierlich testen und verbessern, um nicht Gefahr zu laufen, infiltriert zu werden.
Fazit: IT allein reicht nicht
Die technischen Angriffsmethoden der Hacker sind vielfältig. Es war schon immer ein Katz- und-Maus-Spiel zwischen den Cyberkriminellen auf der einen und den IT-Abteilungen auf der anderen Seite. Mit KI hat nun jedoch ein neuer Player das Spielfeld betreten, der vor allem die Unternehmen vor neue Herausforderungen stellt. Und das ist noch nicht alles…
Während dieser Bericht vor allem die technischen Angriffsmethoden darstellt, mit denen Hacker sich Zugriff auf Firmen verschaffen, gibt es noch zahlreiche weitere Vorgehensweisen außerhalb der IT, die Unternehmen zwingend im Blick behalten müssen. Ein prominentes Beispiel ist Social Engineering, die geschickte Manipulation von Mitarbeitern, um sich verdeckt Zugriff auf Firmennetzwerke zu verschaffen, Systeme zu kapern oder Malware zu platzieren.
Das fatale bei solchen Angriffen: Es reicht in der Regel schon ein falscher Klick, um wirtschaftlich immensen Schaden anzurichten. Es ist daher zwingend notwendig, dass Unternehmen Sicherheit ganzheitlich denken, von der Organisation, über Prozesse und IT bis hin zum Personal. Und dass ebendiese Sicherheitskonzepte regelmäßigen Stresstests – unter realen Bedingungen – unterzogen werden.