PoS-Cyber-Attacken: Malware ist nicht, wofür Sie sie halten

EIN BLOGBEITRAG VON ANDY GREEN, VARONIS Die Schlagzeilen der letzten Monate haben gezeigt, dass Hacker immer erfinderischer werden, wenn es darum geht, Firewalls zu umgehen und Verkaufsterminals sowie Backend-PoS-Server direkt...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 28. Oktober 2021

EIN BLOGBEITRAG VON ANDY GREEN, VARONIS

Die Schlagzeilen der letzten Monate haben gezeigt, dass Hacker immer erfinderischer werden, wenn es darum geht, Firewalls zu umgehen und Verkaufsterminals sowie Backend-PoS-Server direkt anzugreifen. Wenn die IT Angreifer nicht daran hindern kann, durch die Haustür hereinzuspazieren, gibt es dann eine zweite Verteidigungslinie, die den Schaden zumindest begrenzt?

Die Vorgehensweise bei den großen Hacker-Attacken auf PoS-Systeme war relativ einfach. Mithilfe von Phishing oder dem Erraten von Passwörtern gelangten die Angreifer auf den Desktop oder Laptop eines Nutzers. In einem Fall war wohl auch SQL-Injection mit im Spiel. Ebenfalls eine Methode, die sich bewährt hat.

Bei sämtlichen Angriffen dieser Art ist es den Cyber-Kriminellen gelungen, die Penetrationstests und Abwehrmaßnahmen zu umschiffen, für die Unternehmen hunderte Millionen Dollar bzw. Euro ausgegeben hatten.

Wie ich bereits in einem meiner letzten Blog-Einträge erläutert habe, kommt herkömmliche Antiviren-Software mit aktuellen Signaturen nicht mehr hinterher. In manchen Fällen verfügt die Malware über integrierte Tarnfunktionen, an denen grundlegende Strategien zum Aufspüren von Schadprogrammen scheitern.

Doch hinter diesen Attacken verbirgt sich noch mehr.

Die Kunst der Tarnung
Bei der Analyse zahlreicher Fälle aus der Praxis konnte ich beobachten, dass Hacker schon fast reflexartig nach Schwachstellen bei der Authentifizierung suchen, sobald sie in ein Netzwerk gelangen – und zwar mithilfe von Pass the Hash, Rainbow Tables usw.

Der „Data Breach Investigations-Report“ von Verizon liefert harte Zahlen dazu: Bei etwa 80 % der Hacking-Angriffe kommen passwortbasierte Verfahren in irgendeiner Form zum Einsatz.

Die Strategie der Hacker besteht darin, sich die Zugangsdaten möglichst vieler Nutzer unter den Nagel zu reißen. Während sie also ein System durchforsten und von Server zu Server springen, nimmt die Überwachungssoftware sie lediglich als ganz normale Nutzer wahr. Das übergeordnete Ziel: die Zugangsdaten eines Power-Users mit erweiterten Zugriffsrechten zu ergattern und so an die Server mit den wertvollsten Daten heranzukommen.

Aktuell ist die Befehlszeile das bevorzugte Malware-Tool der Hacker: Sie kopieren die Dateien auf einen bestimmten Server, von dem die Kreditkartendaten schließlich entwendet werden (lesen Sie dazu auch unseren Blog-Eintrag zum unbemerkt ablaufenden Export von Daten).

Was genau ist Malware?
Das führt uns zu einem der größten Probleme: Die Grenze zwischen Malware und IT-Software verschwimmt. Einmal erfolgreich im System angekommen verwenden Hacker nicht selten dieselbe Software wie die IT-Sicherheitsteams selbst.

In der Hacker-Trickkiste befinden sich Tools wie PWDump (zum Extrahieren von Hash-Werten), NetView (zum Mappen von Netzwerkverbindungen), Psll (zum Auflisten von Prozessen) und CheckSQL (zum Hacken von SQL-Konten mittels Brute-Force-Attacken). Diese Tools fallen in eine Grauzone und gehören häufig genauso zum Repertoire von Systemadministratoren. Ihre Existenz ist also nicht unbedingt ein Signal dafür, dass ein System angegriffen wurde.

Für Sie heißt das: Wenn Sie Standard-Intrusion-Detection-Systeme zum Aufspüren der oben genannten „Malware“-Liste verwenden verfolgen Sie möglicherweise viele falsche Spuren.

Machen Sie den ersten Schritt
Wie so oft gibt es auch hier unterschiedliche Ansätze, um das Risiko zu minimieren. Wenn die Cyber-Diebe einmal die erste Schutzmauer durchbrochen haben, sehen manche die Situation als ein ganz normales Perimeterproblem – und zwar als ein internes, das sich am besten mit einer besseren Netzwerkarchitektur lösen lässt (d. h. die PoS-Server und -Terminals werden von allem anderen getrennt).

Andere – mich eingeschlossen – sind der Ansicht, dass sich die Sicherheitsmaßnahmen darauf konzentrieren sollten, die Betriebssystemebene zu verteidigen.

In Gesprächen mit Sicherheitsexperten eines Antiviren-Software-Herstellers habe ich festgestellt, dass hinsichtlich einiger Maßnahmen zur Schadensbegrenzung allgemeine Übereinstimmung herrscht.
Nach der Durchsetzung strenger Passwortrichtlinien steht als nächstes auf der To-do-Liste, den Remote-Zugriff auf die Computer normaler Nutzer einzuschränken.

Warum sollte man das tun?
remote desktop
Es geht darum, die Eindringlinge daran zu hindern, sich im Netzwerk zu bewegen. Leider sind die Remote-Desktop-Dienste in vielen Windows-Umgebungen ständig aktiviert, so dass Hacker sie bequem nutzen und sogar über die Befehlszeile starten können.

Das Risiko lässt sich allerdings senken, indem man die Anzahl der Nutzer und Computer, die sich über RDP verbinden können, eingeschränkt. Administratoren können dazu mit dem Gruppenrichtlinienobjekt-(GPO-)Editor zu Windows-Komponenten | Remotedesktop-Sitzungshost | Verbindungen navigieren (siehe Grafik). Zusätzlich sollten sie eine Netzwerkrichtlinie für das Zuweisen von Benutzerrechten konfigurieren. Wie das genau funktioniert, erfahren Sie hier.

The post PoS-Cyber-Attacken: Malware ist nicht, wofür Sie sie halten appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

ihr-dateisystem-audit-beansprucht-zu-viel-speicherplatz?-dann-lesen-sie-weiter…
Ihr Dateisystem-Audit beansprucht zu viel Speicherplatz? Dann lesen Sie weiter…
von David Gibson Im Februar war ich als Referent zur Tech-Security Conference von Data Connectors in Houston eingeladen. Dabei wurde ich mehrfach gefragt, wie viel Speicherplatz denn „all diese Audit-Protokolldaten“...
sieben-empfehlungen-zum-datenschutz-von-andras-cser-(forrester)
Sieben Empfehlungen zum Datenschutz von Andras Cser (Forrester)
von David Gibson Letzte Woche moderierte ich zusammen mit Andras Cser von Forrester ein Varonis-Webinar, bei dem es um die Verwendung von Identitätskontext zum Schutz von Daten ging. Andras schilderte...
vom-chaos-zur-ordnung-–-oder-was-kinderzimmer-aufräumen-mit-berechtigungsmanagement-zu-tun-hat
Vom Chaos zur Ordnung – oder was Kinderzimmer aufräumen mit Berechtigungsmanagement zu tun hat
Von David Lin, Enterprise Sales Manager bei Varonis Systems „Sperrgebiet für Eltern“,„Zutritt verboten“ – vertraute Sprüche an Kinderzimmertüren. Und wer kennt ihn nicht, den Satz „Jetzt räum’ doch endlich mal...
neue-pii-entdeckt:-aufnahmen-von-nummernschildern
Neue PII entdeckt: Aufnahmen von Nummernschildern
von Andy Green Nachdem ich meine Auswertung von personenbezogenen, identifizierbaren Informationen (PII) endlich abgeschlossen hatte, ging ich fälschlicherweise davon aus, mit den exotischsten Formen von PII inzwischen vertraut zu sein. Dazu...