Wenn wir an Cyberangriffe denken, sehen wir zumeist Hacker, die versuchen, in unsere Netzwerke einzudringen und möglichst viel Schaden anzurichten. Wenn wir aber über den ganzheitlichen Schutz vor Cyberangriffen sprechen, dürfen wir nicht nur den Weg ins Netzwerk betrachten. Wer den Weg hinaus ignoriert, macht es Hackern einfach, Kapital aus einer erfolgreichen Attacke zu schlagen.
Insights von Security-Spezialist Steffen Eid, Manager Solution Architects bei Infoblox.
Datenexfiltration - Pay-Off für Kriminelle auf mehreren Ebenen
Sind die Hacker erst einmal im Netzwerk, suchen sie nach den besten Möglichkeiten, ihren Angriff zu vergolden. Dabei kommt häufig der klassische Weg über die Verschlüsselung der vorhandenen Daten zum Einsatz. Die Erpresser verschlüsseln hierbei wichtige Teile des Netzwerks und fordern Lösegeld für den Decodierungsschlüssel. Mithilfe von Datenexfiltration heben die Kriminellen ihre Erlöse aber auf ganz neue Ebenen.
Sind sie beispielsweise in das Netzwerk einer Technologie- oder Industriefirma gelangt? Dann ist die Chance groß, dass sie Zugang zu geheimen Bauplänen oder Technologien erhalten. Diese aus dem Netzwerk herauszuholen ist für die Angreifer bares Geld wert. Und auch Kundendaten stehen bei den Hackern hoch im Kurs.
Diese lassen sich in kriminellen Kreisen gut verkaufen und erhöhen den Druck auf das Opfer des Angriffs, die Forderungen zu zahlen. Stellen Sie sich beispielsweise eine Gesundheitseinrichtung vor, der angedroht wird, dass die Patientendaten nicht nur verschlüsselt bleiben, sondern auch geleaked werden, wenn das Lösegeld nicht bezahlt wird. Der Image-Verlust für die Einrichtung wäre enorm.
Wie funktioniert Datenexfiltration?
Die Exfiltration selbst ist relativ einfach und fast nicht zu erkennen, wenn das DNS (Domain Name System) nicht geschützt wird. Als erstes registrieren die Hacker eine Domain und erstellen einen autoritativen DNS-Server. Dieser dient als Endpunkt der Kommunikation und Exfiltrationstaktik außerhalb des angegriffenen Netzwerks. Mit der Malware innerhalb des Netzwerks suchen die Angreifer dann nach wichtigen Daten und verschlüsseln diese mit Algorithmen wie Hex oder Base32.
Dieser verschlüsselte Datensalat wird dann in kleinste Bruchstücke von maximal 63 Zeichen aufgeteilt – das ist das Zeichenlimit für die folgenden Anfragen. Diese Bruchstücke werden dann in vielen kleinen Queries nach draußen gesendet. Verschlüsselt und zerteilt sehen diese DNS-Anfrage fast normal aus und erregen häufig keine Aufmerksamkeit.
Die Kriminellen können dann aber die Zeichenabfolgen, die bei ihnen als Queries ankommen, zusammensetzen und mit ihrem Schlüssel decodieren. Und schon haben sie die Daten aus dem Firmennetzwerk in ihren Händen.
Einsicht in Netzwerkaktivitäten – DNS zur Abwehr von Datenexfiltration
Das DNS ist aber nicht nur Einfallstor für diese Angriffsart – richtig genutzt kann es diese Version des Datendiebstahls einfach abwehren. Eine Möglichkeit zur Abwehr ist, die Kommunikation mit bösartigen Domains zu verbieten. Aber dazu müssen diese erst als problematisch erkannt werden. Zusätzlich werden intelligente Kriminelle ihre Zieldomains häufig wechseln, damit das eben nicht passiert.
Viel wichtiger ist also die Überwachung der Queries selbst. Natürlich ist das für menschliche Sicherheitsexperten nicht zu schaffen, wenn man betrachtet, wie viele Queries in einem Netzwerk jeden Tag anfallen. Hier kommen Machine Learning und Rechenleistung zum Einsatz. Dedizierte Systeme zur DNS-Absicherung helfen, solchen schadhaften Traffic zu erkennen und zu blockieren.
Diese Systeme schauen sich nicht nur die einzelnen Queries an, sondern nutzen Echtzeit-Streaming- Analysen der aktuellen DNS Queries, um Muster im Datenchaos zu erkennen und so zuverlässig aufzuzeigen, wo Daten exfiltriert werden. Das Beste: Das DNS ist in diesem Fall schon da. Es braucht also keine neuen Log-Daten oder ähnliches.
Allein durch die umfängliche Einsicht in die komplette Kommunikation über das DNS können die Muster durch die Maschinen erkannt und schadhafte Kommunikation unterbunden werden. Die Absicherung des Netzwerks vor Datenexfiltration ist also nicht schwer. Man darf es nur nicht vergessen – sonst sind die eigenen Daten schneller in den Händen der Kriminellen, als diese gebraucht haben, um überhaupt in das Netzwerk einzudringen!