Aktuelle Bedrohungen auf dem Internet Täter, Werkzeuge, Strafverfolgung und Incident Response

Transkript

1 Informatiksteuerungsorgan Bund ISB Nachrichtendienst des Bundes NDB Melde- und Analysestelle Informationssicherung MELANI Aktuelle Bedrohungen auf dem Internet Täter, Werkzeuge, Strafverfolgung und Incident Response Reto Inversini, Berner Fachhochschule, in Zusammenarbeit mit Roman Hüssy. 19. Januar 2012

2 Inhalt Vorwort... 3 Bedrohungen... 3 Klassifizierung von Angreifern... 4 Geheimdienste advanced persistent threats... 4 Cyber Aktivisten... 5 Cyberkriminelle Organisationen gezielte Angriffe... 6 Cyberkriminelle Organisationen ungezielte Angriffe... 7 Einzeltäter... 8 Werkzeuge... 8 Crimeware Kits... 8 Botnetze... 8 Command and Control Server Infrastrukturen... 9 DDoS Werkzeuge... 9 Schutz durch CSIRT/CERT Organisationen... 9 Bekämpfung von Botnetzen durch die Strafverfolgungsbehörden /12

3 Vorwort Das Dokument richtet sich an Personen, welche mit dem Schutz von IT-Infrastrukturen und elektronischen Informationen betraut sind. In einem ersten Teil soll kurz aufgezeigt werden, welche Bedrohungen aktuell existieren, wie diese klassifiziert werden können und welche Täter hinter diesen Bedrohungen stehen. In einem zweiten Teil werden die Grundlagen für den Aufbau eines CSIRT/CERT (Computer Security Incident Response Team / Computer Emergency Response Team) erläutert. Im letzten Kapitel finden sich Ausführungen, mit welchen Mitteln Strafverfolgungsbehörden gegen Botnetze vorgehen können. Bedrohungen Die Bedrohungen, welche aus dem Internet auf Regierungen, Firmen und Privatpersonen wirken, sind sehr vielfältig. Eine grobe Kategorisierung kann durch eine Pyramidenform veranschaulicht werden. Figur 1: Bedrohungspyramide, adaptiert nach sans.org An der Spitze der Pyramide ist die am meisten gefürchtete Bedrohung, der APT (Advanced Persistent Threat). Diese Bedrohung führt zu einem sehr hohen Schaden, der auf eine einzelne Organisation oder auf ein Land wirkt. Der Angreifer ist bereit, sehr viel Zeit, Geld und Wissen in den Angriff zu investieren und verfügt in der Regel über grosse Ressourcen. Das Ziel des Angreifers ist es dabei meistens, möglichst lange unentdeckt zu bleiben und sich im Netz des Opfers festzusetzen und die für ihn interessanten Informationen zu stehlen. Es gibt aufgrund der hohen Anforderung an die Ressourcen nicht sehr viele potentielle Angreifer. Es sind jedoch verschiedenste Beispiele von erfolgreichen Angriffen der Kategorie ATP bekannt (z.b. Aurora / Angriff auf Google). In der Mitte der Pyramide liegt die Kategorie der Cyber Kriminellen sowie der Cyber Aktivisten. Auch wenn diese über signifikant geringere Ressourcen verfügen, darf die Gefährdung nicht unterschätzt werden. In der Regel ist die Ausdauer dieser Angreifer etwas geringer als bei den APT. Es muss an dieser Stelle festgehalten werden, dass die Grenzen zwischen Cyber Kriminalität und APT fliessend ist. Insbesondere ist davon auszugehen, dass Geheimdienste durchaus Zugriff auf Infrastrukturen von Kriminellen haben oder diesen Zugriff falls benötigt sehr einfach bewerkstelligen können. Zudem können auch Aufträge an solche Organisationen erteilt werden, um bei einer Entdeckung jede Beteiligung 3/12

4 erfolgreich abstreiten zu können. Die unterste Stufe der Pyramide wird durch Massenangriffe sowie durch Einzeltäter gebildet. Alleine durch die enorme Menge an solchen Angriffen muss diese Bedrohung ernst genommen werden, trotz der limitierten Ressourcen, die dafür eingesetzt werden. Auch hier ist die Grenze zur oberen Stufe durchlässig, da insbesondere Massenangriffe häufig durch Cyberkriminelle Organisationen durchgeführt oder zumindest beauftragt werden. Klassifizierung von Angreifern Im Folgenden werden Angreifer auf ihre Möglichkeiten und ihre Motivation hin klassifiziert. Dies hilft zu erkennen, welche Ziele ein Angreifer mit welchen Ressourcen und welcher Ausdauer verfolgen könnte. Es soll an dieser Stelle festgehalten werden, dass dies nur eine sehr grobe Näherung ist. Geheimdienste advanced persistent threats Name Beschreibung Motivation Technische Ressourcen Finanzielle Ressourcen Rationales Vorgehen Ausdauer Ansatzpunkte für die Verteidigung Ansatzpunkte für die Verfolgung Widerstandsfähigkeit gegen Strafverfolgung Geheimdienste / Staatliche Organisationen / Advanced Persistent Threat Eine Regierungsorganisation kann selbst als Angreifer auftreten oder sie kann den Angriff in Auftrag geben. In der Regel ist das Ziel die Informationsbeschaffung (klassische Spionage oder Industriespionage). In Fällen einer Krise oder erhöhten Spannungen können auch kritische Infrastrukturen angegriffen werden oder gezielt Falschinformationen in Umlauf gesetzt werden. Informationsgewinnung, Störung kritischer Infrastrukturen, Falschinformation Es ist davon auszugehen, dass alles, was technisch machbar ist, durch eine Regierungsorganisation auch ausgeführt werden kann. Die Ressourcen sind sehr hoch und Spezialisten für alle möglichen Arbeiten stehen zur Verfügung oder können rekrutiert werden. Unlimitiert, zumindest so lange das Ergebnis des Angriffes aus Sicht des Angreifers zu rechtfertigen ist. Hoch Hoch Klassifizierung der Daten, gut geschützte Systeme. Abschottung von Netzzonen mit sehr heiklen Daten vom Internet. Zugang nur auf der Basis von Least Privilege vergeben. Analyse der verwendeten Malware, enge Zusammenarbeit mit anderen Polizeiorganisationen sowie mit nachrichtendienstlichen Methoden. Monitoring des ein- und ausgehenden Netzverkehrs. Sehr hoch 4/12

5 Wahrscheinliche Angriffsziele Systeme mit schützenswerten Informationen Kritische Informationen Systeme von Schlüsselpersonen oder Entscheidungsträgern Hintertüren in unauffälligen Systemen, die nur schwer entdeckt werden können Zielt oft gegen die Vertraulichkeit und Integrität von Systemen Gezielte Angriffe auf die Vertraulichkeit und Integrität von Systemen. DDoS Angriffe, im Falle von hohen politischen Spannungen oder Krisen. Diese werden jedoch meist von parastaatlichen oder nicht staatlichen Organisationen mit Duldung oder im Auftrag eines Staates ausgeführt Kritische Infrastrukturen Cyber Aktivisten Name Beschreibung Motivation Technische Ressourcen Finanzielle Ressourcen Rationales Vorgehen Ausdauer Ansatzpunkte für die Verteidigung Cyber Aktivisten Cyber Aktivisten protestieren mit digitalen Mitteln gegen Entscheidungen von Regierungen oder Firmen, die nicht mit den Idealen der Angreifer übereinstimmen. Beispiele für solche Gruppierungen sind Anonymous oder LULZ. Es werden an dieser Stelle nur illegale Mittel behandelt und es soll eine klare Abgrenzung gegen den wichtigen und berechtigten digitalen Protest festgehalten werden, der mit legalen Mitteln stattfindet. Das primären Beweggründe sind ein Statement abzugeben, Aufmerksamkeit zu erlangen und/oder dem Angriffsziel Schaden zuzufügen. Die technischen Ressourcen und Fähigkeiten variieren sehr stark. Im Falle von grossen Aktionen mit hohem Aufmerksamkeitsgrad können diese jedoch sehr beträchtliche Ausmasse annehmen (beispielsweise anlässlich der Angriffe im Zusammenhang mit der Veröffentlichung der Depeschen der US Botschaften auf Wikileaks). Limitiert. Aber da diese Aktivitäten in der Regel auf freiwilliger Basis geschehen, ist dies nicht von grosser Bedeutung für den Angreifer. Tief bis Mittel. Es hängt von der Organisationsform der Gruppe ab. Mittel Gut geschützte Systeme. Schutz der Integrität von Systemen mit hoher Sichtbarkeit. Vorbereitung auf 5/12

6 DDoS Angriffe, Bereitstellen entsprechender Tools und Infrastrukturen (z.b. Quarantänezone) Ansatzpunkte für die Verfolgung Widerstandsfähigkeit gegen Strafverfolgung Wahrscheinliche Angriffsziele Zusammenarbeit mit Polizeiorganisationen sowie mit Nachrichtendiensten. Ausfindig machen von Mittätern, häufig reicht das Zeichen, dass die Taten geahndet werden, um einen Angriff abzuschwächen. Mittel Systeme mit hoher Sichtbarkeit/Aufmerksamkeit Die Angriffe zielen häufig auf die Verfügbarkeit, teilweise auf die Integrität (Defacements von Websites) Cyberkriminelle Organisationen gezielte Angriffe Name Beschreibung Motivation Technische Ressourcen Finanzielle Ressourcen Rationales Vorgehen Ausdauer Ansatzpunkte für die Verteidigung Ansatzpunkte für die Verfolgung Widerstandsfähigkeit gegen Strafverfolgung Cyberkriminelle Organisationen gezielte Angriffe Cyberkriminelle Organisationen können gezielte Angriffe durchführen, die nahe an einen advanced persistent threat kommen. Sie können staatliche oder private Organisationen angreifen, mit dem Ziel Informationen zu beschaffen und diese weiterzuverkaufen oder zu ihrem Vorteil zu nutzen. Sehr häufige Ziele sind dabei Finanztransaktionssysteme. Ein gutes Beispiel sind die Angriffe auf die nationalen CO2 Register Anfang Primäre Ziele sind Daten zu gewinnen und weiterzuverkaufen (Industriespionage) oder Finanztransaktionssysteme für eigene Zwecke zu nutzen. Mittel bis hoch, je nach Organisation Mittel bis hoch, je nach Organisation Hoch Mittel Gut geschützte Systeme. Abschottung von Netzzonen mit sehr heiklen Daten vom Internet. Zugang nur auf der Basis von Least Privilege vergeben. Monitoring des einund ausgehenden Netzverkehrs. Analyse der verwendeten Malware, enge Zusammenarbeit mit zuständigen Polizeiorganisationen und Nachrichtendiensten. Beobachten der aktuellen Cyberkriminellen Organisationen. Mittel bis hoch. Eine Strafverfolgung stört jedoch die Aktivitäten der Angreifer, weshalb diese versuchen, unter dem Radar von Strafverfolgungsbehörden zu 1 siehe MELANI Halbjahresbericht Kapitel 3.1: 6/12

7 bleiben. Wahrscheinliche Angriffsziele Systeme mit vertraulichen Informationen, die einen hohen Wiederverkaufswert haben. Systeme mit Finanzinformationen Cyberkriminelle Organisationen ungezielte Angriffe Name Beschreibung Motivation Technische Ressourcen Finanzielle Ressourcen Rationales Vorgehen Ausdauer Ansatzpunkte für die Verteidigung Ansatzpunkte für die Verfolgung Widerstandsfähigkeit gegen Strafverfolgung Cyberkriminelle Organisationen, nicht gezielte Angriffe Dies ist Cyberkriminalität in seiner klassischen Form. Die Angreifer versuchen, finanziellen Gewinn aus dem Angriff auf Endbenutzergeräten zu schlagen. Sie versuchen Zugangsdaten zu erlangen, mit DDoS Angriffen Erpressungen durchzuführen oder via den infizierten Geräte Spam zu verschicken. Das Mittel der Wahl sind häufig Crimeware Kits, mit Hilfe derer Botnetze aufgebaut werden können. Ausschliesslich finanziell Mittel, häufig werden die Crimeware Kits eingekauft Mittel bis hoch Hoch Tief gegen ein einzelnes Ziel Monitoring des ein- und ausgehenden Netzverkehrs im Falle von Firmen und Regierungsorganisationen. Monitoring in Netzen der ISPs, Information der Endbenutzer, wenn ein infiziertes Gerät auftaucht. Bereitstellen von Informationen für Endbenutzer. Sinkholing von entsprechenden Domains, die für cyberkriminelle Organisationen verwendet werden. Analyse der Botnetze sowie der verwendeten Malware. Analyse und Verhinderung der entsprechenden Geldflüsse. Monitoring von Money Mules, um diese Geldflüsse besser erfassen zu können. Mittel bis hoch. Eine Strafverfolgung stört jedoch das Geschäft und wird von den Kriminellen möglichst vermieden. Wahrscheinliche Angriffsziele Schlecht geschützte Geräte von Endbenutzern ebanking Applikationen 7/12

8 Einzeltäter Name Beschreibung Motivation Technische Ressourcen Finanzielle Ressourcen Rationales Vorgehen Ausdauer Ansatzpunkte für die Verteidigung Ansatzpunkte für die Verfolgung Widerstandsfähigkeit gegen Strafverfolgung Wahrscheinliche Angriffsziele Einzeltäter Der Einzeltäter handelt auf eigene Faust, mit limitierten Mittel. Hängt vom Angreifer ab Tief Tief Hängt vom Angreifer ab Tief bis hoch, je nach Angreifer Gut geschützte Systeme Normale, strafrechtliche Verfolgung Tief Schwach geschützte Systeme im Falle von "Script Kiddies Gut sichtbare Ziele mit hoher Aufmerksamkeit im Falle von Racheaktionen Werkzeuge Nebst einer Vielzahl von Werkzeugen (Portscanner, Penetration Testing Tools, etc.), die ebenso sehr legalen Zwecken dienen können, gibt es vier spezifisch kriminelle Instrumente, die kurz beleuchtet werden sollen. Allen gemeinsam ist, dass sie ihre Verwendung auf allen Stufen der Pyramide (s. Kapitel Bedrohungen) finden. Crimeware Kits Unter einem Crimeware Kit ist eine Werkzeugsammlung für elektronische Angriffe zu verstehen. Crimeware Kits dienen der Erstellung von Malware und der für das Funktionieren nötigen Infrastruktur, beispielsweise dem Aufsetzen von Command and Control Servern. Botnetze Botnetze bestehen aus verschiedenen, infizierten Rechnern, welche via Command and Control Server ein mächtiges Angriffswerkzeug für APTs wie auch für kriminelle Organisationen darstellen. Es ist ebenfalls sehr wahrscheinlich, dass staatliche Angreifer in einzelnen Fällen auf die Dienste von kriminellen Organisationen und deren Botnetze zurückgreifen, um Angriffe durchzuführen. Ein Botnetz kann bis zu mehreren Millionen infizierten Rechnern umfassen. 8/12

9 Command and Control Server Infrastrukturen Unabhängig davon, für welche Daten sich ein Angreifer interessiert, ob er Spam versenden möchte, Bankdaten stehlen, Spionage betreiben will, er muss den infizierten Geräten Befehle erteilen können und Daten abholen können. Dazu dienen Command and Control Server Infrastrukturen. Ebendiese Struktur stellt häufig auch den grössten Schwachpunkt der Botnetze dar, weshalb an dieser Stelle sowohl die strafrechtliche Verfolgung wie auch die Observierung zu Abwehrzwecken ansetzen sollte. DDoS Werkzeuge Es gibt prinzipiell zwei Typen von Werkzeugen, wie sie für DDoS Angriffe verwendet werden können: Integriert in Botnetze, meist als ladbares Modul, das von einem Command and Control Server gesteuert wird. Benutzergesteuerte Software, welche meist auf legalen Stress Test Tools beruhen. Das typische Beispiel dazu ist LOIC 2, welche gerne von Cyber Aktivisten wie anonymous verwendet werden. Schutz durch CSIRT/CERT Organisationen Grosse Unternehmen werden zunehmend sowohl gezielt wie auch breitflächig angegriffen. Deshalb müssen Sicherheitsorganisationen und architekturen aufgebaut werden, um diese Bedrohungen abwehren zu können. Um adäquat auf Angriffe reagieren zu können, sollten mittlere bis grosse Unternehmen oder Unternehmen mit besonderer Exposition (z.b. Hochtechnologie Unternehmen) über eine Organisation zur Behandlung von Security Incidents verfügen. Eine mögliche Form ist ein sogenanntes CSIRT (Computer Security Incident Response Team) oder CERT (Computer Emergency Response Team), welches sich um sicherheitsrelevante Vorfälle in der firmeneigenen IT Infrastruktur kümmert. Ein CISRT/CERT arbeitet in der Regel nach den drei Hauptprozessen Vorbereitung (Preparation) Erkennen und Reagieren (Detect/React) sowie Schützen (Protection): 2 9/12

10 Figur 2: CSIRT/CERT Prozesse, adaptiert nach cert.org Die Behandlung des eigentlichen Security Incidents geschieht dabei im Bereich Erkennung/Reaktion, wobei dies immer dem Muster Erkennen-Triage-Reaktion-Lernen folgt. Insbesondere das Lernen aus Security Incidents darf in seiner Wichtigkeit nicht unterschätzt werden, bietet es doch die Möglichkeit anhand konkreter Zwischenfälle das Abwehrdispositiv kritisch zu hinterfragen und wo nötig Verbesserungen anzubringen. Die Information aus effektiv eingetretenen Sicherheits-Zwischenfällen ist eine der wichtigsten Inputquellen für ein Risikomanagement in einer Firma. Es gibt kein allgemein gültiges Rezept, wie Incidents behandelt werden müssen. In der Regel ist auch jeder Sicherheitszwischenfall anders. Es ist daher wichtig, folgende Punkte in genauer Reihenfolge zu beachten: 1. Müssen forensische Abbilder des kompromittierten Systems gemacht werden? Das bedingt ein Mindestmass an Ausrüstung (Write Blocker) und Ausbildung des Incident Response Teams. 2. Ist es nötig oder sinnvoll, dem Angreifer einige Geräte zu lassen, um ihn nicht misstrauisch zu machen, dass er entdeckt worden ist? Gibt es Befürchtungen, dass der Angreifer sich rächen könnte, wenn er entdeckt worden ist? 3. Wie kann der Angriff eingegrenzt werden? Was braucht es dazu? Wie können weitere Infektionen oder weiterer Datenabfluss vermieden werden? 4. Wer muss informiert werden? 5. Eingrenzung des Angriffs (Isolation, Blockierung auf Gateway Systemen, Blockierung von Dateien, usw.). 10/12

11 6. Analyse des Angriffs (Logfile Analyse um möglichst alle infizierten Geräte zu entdecken, Reverse Engineering der Malware). 7. Erkundigungen bei externen Informationsquellen (z.b. MELANI) 8. Regelmässige Austauschmeetings durchführen, am Anfang alle 6 Stunden, später alle 12 bis 24 Stunden. Die Punkte 3 bis 8 sind als Zyklus zu verstehen, welcher so lange durchlaufen wird, bis der Incident gelöst ist. Die benötigten Arbeitsmittel für ein CSIRT/CERT sind Systeme zur Überwachung von Netzwerkverkehr, System- und Anwendungslogs. Ebenfalls hilfreich kann der Einsatz von Intrusion Detection Systemen (IDS) oder Integritätsprüfungssystemen sein. Um einen genügend hohen Schutz vor Angreifern zu erhalten, sind besondere Schutzmechanismen für den Internetzugang unumgänglich. So können beispielsweise Blocklisten und zentrale Virenscanner eingesetzt werden. Bei allen Schutzvorkehrungen muss aber anerkannt werden, dass Angriffe dennoch erfolgreich sein können. In einem solchen Fall ist ein schnelles Erkennen eines erfolgreichen Angriffes und eine gute Reaktion entscheidend, um den Schaden auf einem möglichst kleinen Mass zu halten. Da sich die Gefahren im Umgang mit Informationstechnologie ständig verändern, müssen die Schutzmechanismen laufend geprüft, aktualisiert und angepasst werden. Zudem ist eine entsprechende Aus- und Weiterbildung der Mitarbeitenden der CSIRT/CERT Mitarbeitenden von grosser Bedeutung. Betreiber kritischer Infrastrukturen in der Schweiz werden über den geschlossenen Kundenkreis von MELANI über aktuelle Bedrohungen informiert. Bekämpfung von Botnetzen durch die Strafverfolgungsbehörden Nebst den bereits etablierten Verteidigungsstrategien wie dem Aufbau und Betrieb von Computer Emergency Response Teams (CERTs) oder Computer Security Incident Response Teams (CSIRTs) Organisationen ist die Strafverfolgung von grosser Wichtigkeit. Der Bankenplatz Schweiz ist eines der Markenzeichen der Schweiz. Gerade auch deshalb gilt es, diesen speziell zu schützen, um ein hohes Vertrauen in Schweizer Banken sicherzustellen. Mit dem Beginn des Internetzeitalters finden Banküberfälle mehr und mehr online statt. Seit einigen Jahren zeichnet sich im Bezug auf die gegen Banken, resp. deren Kunden gerichteten cyberkriminellen Handlungen ein stark zunehmender Trend ab. Eine Vielzahl westlicher Länder war bereits von solchen Angriffen betroffen - auch die Schweiz. In den vergangenen Monaten haben kriminelle Gruppierungen zunehmend gezielt Finanzinstitute in einzelnen Ländern sequentiell angegriffen. Interessant ist die Tatsache, dass nach Bekanntwerden einer Angriffswelle und entsprechenden Medienmitteilungen die Kriminellen ihr Ziel wechseln und mit demselben Angriffsmuster Banken in einem anderen Land angreifen. So attackierte beispielsweise eine kriminelle Gruppierung die Kunden mehrerer Banken in genau einem Land. Nachdem die Banken und die Medien auf die anhaltenden Angriffe aufmerksam gemacht haben, wechselten die Kriminellen das Land und nahmen dort ansässige Banken ins Visier. Die Information der Bevölkerung ist bei einem grossflächigen Cyberangriff auf Schweizer Infrastrukturen von grösster Wichtigkeit. Diese Aufgabe wird bereits heute durch MELANI wahr genommen. Ebenso koordiniert MELANI die Information zwischen den einzelnen betroffenen Firmen. Um die Cyberkriminalität jedoch wirksam bekämpfen zu können braucht es die Zusammenarbeit mit Interpol, Europol und den Behörden der betroffenen Länder. Eine gute Koordination auf Bundesebene ist sehr wichtig, da sich die infizierten Computer (Bots) in verschiedensten Ländern befinden und meist durch einen oder mehrere Command 11/12

12 & Control Server gesteuert werden. Die Command & Control Server werden in fast allen Fällen im Ausland (Deutschland, Niederlande oder Osteuropa) betrieben. Um diese vom Netz trennen zu können, müssen rasch entsprechende Prozesse etabliert werden. Nebst der eigentlichen Strafverfolgung, die sich manchmal sehr schwierig gestaltet, ist das Trennen von aufgefundenen Command & Control Server Infrastrukturen, sowie das Sinkholing von bekanntermassen bösartigen Domains ein Mittel, den Preis für erfolgreiche Angriffe zu erhöhen. Das reibungslose Zusammenspiel der Strafverfolgungsbehörden, von privaten und staatlichen CERTs/CSIRTs, Nachrichtendiensten, Organisationen für die Verteidigung von kritischen Infrastrukturen (Cyber Defense) muss im Zentrum stehen, da die Aufgabe nur von verschiedenen, voneinander unabhängigen Organisationen gemeinsam gemacht werden kann. Es ist dabei zu beachten, dass diese einzelnen Organisationen zwar unterschiedliche Methoden einsetzen und verschiedene Sichten auf die Problematik haben, dass es aber alle das gemeinsame Ziel haben, das Internet nicht zu einem rechtsfreien Raum verkommen zu lassen, in dem nur das Recht des Stärkeren gilt. 12/12