Wenn die Bösen Malware gezielt für Sie entwickeln

Wie eine Regierungsbehörde eine Katastrophe abwenden konnte

Tweet

Herkömmliche Anti-Malware-Tools halten Viren auf, die den Cybersicherheitsforschern bereits bekannt sind. Was aber geschieht, wenn staatlich finanzierte Hacker Malware modifizieren und damit gezielt ausschließlich Ihre Organisation angreifen?

Genau das passierte dem amerikanischen Amt für Personalverwaltung (US Office of Personnel Management, kurz OPM) zwischen 2013 und 2015. Der Behörde gelang es schließlich mithilfe der Firma Cylance, den Angriff zu identifizieren und zu stoppen - aber erst, nachdem mehrere Millionen Datensätze gestohlen worden waren.

Genauer gesagt wurden 4,2 Millionen Personalunterlagen, 5,6 Millionen Datensätze mit Fingerabdrücken sowie Hintergrundinformationen zu 21,5 Millionen Regierungsmitarbeitern entwendet. Ohne die Unterstützung von Cylance, einem Anbieter neuartiger Anti-Malware-Lösungen, würde die Malware, über die die Daten ausspioniert wurden, vielleicht immer noch in den OPM-Systemen sitzen.

Ein ganzer Abschnitt des Berichts an den US-Kongress zu dem OPM-Datendiebstahl widmet sich der Entdeckung der Malware mithilfe von Cylance. In dem Bericht heißt es: „Die Bedeutung der innovativen Präventivtechnologie von Cylance bei der Reaktion auf den Datendiebstahl bei OPM lässt sich gar nicht hoch genug einschätzen.“

Etwas finden, von dem man nicht weiß, dass es existiert

Die Cylance-Lösung arbeitet anders als herkömmliche Anti-Malware-Programme. Diese verfügen über eine große Datenbank mit den digitalen Fingerabdrücken von Malware-Stämmen. Viele weisen jedoch einen entscheidenden Nachteil auf: Sie haben keine Fingerabdrücke von Malware, die bisher noch nicht in Erscheinung getreten ist. Auf diese Weise sind sie verwundbar durch neuartige Angriffe.

Cylance setzt dagegen auf Künstliche Intelligenz (KI) und Maschinenlernen und analysiert Millionen von Dateien aus verschiedensten Quellen. Dabei werden aus jeder einzelnen Datei Tausende von Merkmalen extrahiert, aus denen dann ein umfassendes Modell (Deep Model) erstellt wird, das schädliche Dateien treffsicher identifizieren kann. Mithilfe dieses Modells kann die Cylance-Lösung Malware aufspüren, die noch nie zuvor jemand zu Gesicht bekommen hat.

Jeff Wagner, der für Sicherheit zuständige IT-Leiter des OPM, erklärt: „Sie setzt nicht auf eine herkömmliche Heuristiksignatur oder andere Merkmale wie Signaturen in der Vergangenheit. Sie setzt auf eine einzigartige, proprietäre Methode.“

Rettungsmission

Das OPM wandte sich im Juni 2014 an Cylance. Da waren weniger als drei Monate vergangen, seit die Behörde einen umfangreichen Angriff auf ihre Systeme erkannt hatte, bei dem Handbücher und andere Dokumente aus dem Netzwerk gestohlen worden waren. Noch während die Behörde diesen Angriff untersuchte, drang eine zweite Gruppe von Hackern in die Infrastruktur ein und bewegte sich dabei von einem Computer zum nächsten, immer auf der Suche nach Regierungsinformationen.

Die Leitung des OPM unterzeichnete eine Vereinbarung zur Produktevaluierung, um zwei Produkte von Cylance testen zu können. Das eine war CylanceV, ein Tool zur Bedrohungserkennung für Endgeräte. Das zweite war Protect, das mithilfe der KI-Technologie von Cylance alle Maschinen in einem Unternehmensnetzwerk analysiert, inklusive der Server und Endgeräte. Protect spürt schädliche Dateien auf, stellt sie automatisch unter Quarantäne und verhindert, dass sie ausgeführt werden.

Im September 2014 wandten sich die Verantwortlichen des OPM erneut an Cylance und erwarben eine Lizenz für CylanceV. Interne Regelungen verhinderten, dass sie auch Protect erwarben, allerdings belegt der Kongressbericht, dass führende Mitarbeiter der Behörde unbedingt auch Protect installieren wollten.

Ein zweiter Versuch

Erst im April 2015 erkannte das OPM, dass eine zweite Gruppe von Hackern in die Systeme eingedrungen war. Zunächst einmal musste die Behörde herausfinden, wie groß der Schlamassel war, in dem sie steckte.

Praktisch unmittelbar nach der Entdeckung des neuen Hacks wandte sich das OPM erneut an Cylance. Cylance war bereit, Protect auf Evaluationsbasis zur Verfügung zu stellen, und unternahm einen ungewöhnlichen Schritt: Da sich die Behörde im Krisenmodus befand und damit beschäftigt war, aktive Eindringlinge zu bekämpfen, akzeptierte Cylance, dass das OPM die Software auf so vielen Computern installierte, wie es wollte.

Zentrale Mitarbeiter von Cylance unterstützten das OPM vor Ort bei der Reaktion auf Vorfälle. Während der ersten zwei Tage installierte man Protect auf über 2.000 Geräten beim OPM. Das Ergebnis war schwindelerregend. Einem Cylance-Techniker zufolge „leuchtete Protect wie ein Weihnachtsbaum“. In den OPM-Systemen wimmelte es nur so vor Schadsoftware.

Innerhalb weniger Stunden identifizierte das System vier gefährliche ausführbare Dateien, die anhand des Bewertungssystems von Cylance als unsicher eingestuft wurden. Im Anschluss entdeckte die Protect-Software 39 Installationen von bösartigen Trojanern im OPM-Netzwerk, die die schlimmstmögliche Bewertung erhielten. Das deutete darauf hin, dass sie nur dazu gedacht gewesen sein könnten, die OPM-Systeme zu infiltrieren und Daten zu entwenden.

Gefunden wurden mehrere Instanzen von Windows Credentials Editor, die sich als gefälschte Varianten eines Antiviren-Tools herausstellten, das das OPM nie verwendet hatte. Ebenfalls aufgespürt wurden schädliche Downloadsoftware und sogar Kommando-Shells, über die Angreifer ungehinderten Zugang zu den OPM-Systemen hatten. Außerdem stieß man beim Prüfen der OPM-Systeme auf einen weiteren Beweis: RAR-Dateien. Dabei handelte es sich um komprimierte und verschlüsselte Dateien, in denen sensible Daten versteckt wurden, um sie aus den OPM-Systemen herauszuschleusen.

Nur wenige Tage nach Installation der Cylance-Software entdeckten die Techniker Belege für eine RDP-Sitzung (Remote Desktop Protocol), über die die Angreifer auf eine OPM-Datenbank zugegriffen hatten, die Dokumente aus Hintergrundrecherchen enthielt. Die Cylance-Mitarbeiter konnten sogar präzise feststellen, wann die RDP-Sitzung stattgefunden hatte: im Juni 2014.

Um keine digitalen forensischen Beweise zu beeinträchtigen, ließen die OPM-Mitarbeiter Protect nur im Alert-Modus laufen. In diesem Modus muss nach einem Alarm ein Mitarbeiter die Ergebnisse des Tools analysieren und entscheiden, ob die betreffende Datei ausgeführt werden darf oder nicht. OPM war einige Zeit nicht gewillt, Protect in den höchstmöglichen Sicherheitsmodus zu versetzen, die Auto-Quarantäne. In diesem Modus hindert das Produkt schädliche Dateien automatisch an der Ausführung und stellt sie unter Quarantäne.

Erst als die OPM-Mitarbeiter schließlich den Schalter umlegten, begann die Software, die Systeme proaktiv zu schützen. Am 1. Mai 2015 informierten Cylance-Mitarbeiter die OPM-Leitung, dass Protect eine Infektion durch einen Trojanerstamm namens Upatre/Dyre verhindert hatte, der bis dahin keiner anderen Cybersicherheitsfirma bekannt war. Protect stoppte den Trojaner, bevor er Schaden anrichten konnte.

Angesichts der Situation bei OPM dehnte Cylance den Demo-Zeitraum aus, sodass die Behörde das Cylance-Produkt 74 Tage lang weitestgehend ohne Einschränkungen nutzen konnte; in dem Zeitraum nahm das OPM auch häufig die Hilfe von Cylance-Experten vor Ort in Anspruch. Am Ende des Demo-Zeitraums war Protect bei OPM auf über 10.250 Geräten installiert. Die Software hatte fast 2.000 Malware-Exemplare entdeckt und abgeblockt, darunter die Malware, die für den Einbruch 2015 verantwortlich war.

Das OPM erwarb im Juli 2015 eine unbefristete Lizenz für das Cylance-Produkt. Zwar ist es zu spät, den Diebstahl der Datensätze ungeschehen zu machen. Aber immerhin geniest die Behörde nun umfassenden Malware-Schutz.

Und die Moral von der Geschicht’? Warten Sie nicht ab, bis es zum Angriff kommt. Beugen Sie vor und installieren Sie die passenden Systeme, bevor es kritisch wird.