Wie kann man Lauschangriffe auf das Netzwerk verhindern?

Radware- und ZEVENET-Vergleich

Disruptive Vision mit stabilem Wachstum als Herausforderer auf dem ADC-Markt, mit einem agilen Team und einer engagierten Community.

Innovation mit Open Source-Technologie ohne herstellerunabhängige Einbindung und umfassende Integration von Plattformen (Hardware, Virtual, Bare Metal und Cloud).

Sehr kostengünstige Lösungen ohne Einschränkung für Produkte und Dienstleistungen, die sich sowohl für mittelständische Unternehmen als auch für große Unternehmen eignen.

Investition in Forschung und Entwicklung zur Bereitstellung einer Technologie, die von Einfachheit, Leistung und Sicherheit geprägt ist.

Ist ein vollständiger ADC (Application Delivery Controller), der alle Arten von Netzwerkprotokollen (UDP, TCP, HTTP / S, SCTP, SIP, T / FTP usw.) verwalten kann, aber auch eine Kombination aus allen gleichzeitig und Multiport-Funktionen bietet. und es ist nicht auf lizenzierte Funktionen ausgerichtet.

Das Betriebssystem ist vollständig für Netzwerke optimiert, sodass es in der Schicht 7 mehr als 140 tausend gleichzeitige Benutzer und in der Schicht 4 mehr als 10 Millionen gleichzeitige Benutzer mit nur 2-dedizierten Kernen bewegen kann.

Möglichkeit zur Erstellung von Konfigurations-Backups, einfache Cluster-Konfiguration, automatische Replikation von einem Knoten zu einem anderen und Stateful-Cluster mit Echtzeit-Sitzungsreplikationen, die ein Failover zwischen Knoten ermöglichen, ohne dass eine Verbindung unterbrochen wird.

Bietet ein integriertes IPDS-Sicherheitssystem mit Echtzeit-Black-Hole-Listen, DoS-Schutz, Black / White-Listung und Schutz der häufigsten Netzwerkangriffe.

Bietet eine sehr UX-Grafikschnittstelle für Bediener und Netzwerkingenieure in der Angular 2-Technologie.

Automatisierungsfunktionen dank der voll programmierbaren REST + JSON-API.

HTTPS-Unsicherheit: Malware konzentriert sich auf verschlüsselte Verbindungen – Hartware

(Auszug aus der Pressemitteilung)

Kurz vor Ende des Jahres hat WatchGuard Technologies seinen neuesten Internet Security Report (ISR) veröffentlicht. In diesem werden in gewohnter Weise die wichtigsten Malware-Trends sowie aktuell relevante Angriffsmethoden auf Netzwerke und Endpunkte ausführlich beschrieben. Die Erkenntnisse der Forscher des WatchGuard Threat Labs zeigen, dass die größte Malware-Bedrohung für das dritte Quartal 2022 ausschließlich über verschlüsselte Verbindungen verschickt wurde. Ebenso konnten vermehrt Angriffe auf ICS- und SCADA-Systeme verzeichnet werden. Auch Computerspieler sind gefährdet, denn bei einer Minecraft-Cheat-Engine wurde eine bösartige Nutzlast entdeckt. Der ISR enthält darüber hinaus eine Vielzahl weiterer Informationen und Beispiele zur gegenwärtigen Bedrohungslage.

Anzeige

„Wir können gar nicht oft genug betonen, wie wichtig die Inspektion von HTTPS-Verbindungen ist: Unternehmen sollten die entsprechende Sicherheitsfunktion unbedingt aktivieren – selbst wenn es einige Anpassungen und Ausnahmeregeln erfordert. Denn der Großteil der Malware kommt über verschlüsseltes HTTPS. Wird dieser Angriffsvektor nicht überprüft, steht Bedrohungen jeglicher Art Tür und Tor offen“, sagt Corey Nachreiner, Chief Security Officer bei WatchGuard Technologies. „Auch sollte sich das Augenmerk verstärkt auf Exchange-Server oder SCADA-Managementsysteme richten. Sobald für diese ein Patch zur Verfügung steht, ist es wichtig, dieses Update sofort einzuspielen und die Anwendung zu aktualisieren. Angreifer profitieren von jedem Unternehmen, das Schwachstellen noch nicht gefixt hat.“

Weitere wichtige Erkenntnisse aus dem Q3 Internet Security Report sind:

Die überwiegende Mehrheit der Malware kommt über verschlüsselte Verbindungen – Obwohl die Malware „Agent.IIQ“ in der Zeit von Juli bis September 2022 den dritten Platz in der regulären Top-10-Malware-Liste belegte, landete sie auf Platz 1 der Aufstellung für verschlüsselte Schadsoftware. Denn alle Agent.IIQ-Erkennungen wurden in HTTPS-Verbindungen gefunden. Wie die Analysen zeigen, kamen 82 Prozent der gesamten Malware über gesicherte Verbindungen, aber nur 18 Prozent unverschlüsselt. Wird der HTTPS-Datenverkehr auf der Firebox nicht überprüft, ist es sehr wahrscheinlich, dass ein großer Teil der Malware unentdeckt bleibt. In diesem Fall können Unternehmen nur darauf hoffen, dass ein wirksamer Endpunktschutz implementiert ist, um wenigstens die Chance zu haben, die Malware an einer anderen Stelle der sogenannten Cyber Kill Chain abzufangen.

ICS- und SCADA-Systeme sind weiterhin beliebte Angriffsziele – Neu in der Liste der zehn häufigsten Netzwerkangriffe im dritten Quartal 2022 ist eine Attacke vom Typ SQL-Injection, die gleich mehrere Anbieter traf. Eines dieser Unternehmen ist Advantech, dessen WebAccess-Portal den Zugriff auf SCADA-Systeme einer Vielzahl von kritischen Infrastrukturen ermöglicht. Ein weiterer schwerwiegender Angriff im dritten Quartal, der ebenfalls zu den Top 5 der einschlägigen Netzwerkbedrohungen gehörte, betraf die Builder-Software von Schneider Electric, Version 1.2.1 und früher. Dies ist ein deutlicher Hinweis darauf, dass Angreifer weiterhin aktiv versuchen, Systeme zu kompromittieren, wo immer dies möglich ist.

Schwachstellen in Exchange-Servern stellen weiterhin ein Risiko dar – Die jüngste CVE-Schwachstelle (CVE-2021-26855), die das Threat Lab entdeckte, betrifft die Remote-Code-Ausführung (RCE) von Microsoft Exchange Server bei On-Premise-Servern. Diese RCE-Schwachstelle, die eine CVE-Bewertung von 9,8 erhielt, wurde bekanntermaßen bereits ausgenutzt. Das Datum und der Schweregrad dieser Sicherheitslücke lassen ebenfalls aufhorchen, da es sich um eine von der Gruppe HAFNIUM ausgenutzte Schwachstelle handelt. Auch wenn die meisten der betroffenen Exchange-Server inzwischen gepatcht worden sein dürften, sind manche noch gefährdet und das Risiko besteht weiter.

Bedrohungsakteure, die es auf Nutzer kostenloser Software abgesehen haben – Der Trojaner Fugrafa lädt Malware herunter, die bösartigen Code einschleust. Im 3. Quartal 2022 untersuchten die WatchGuard-Analysten eine Variante, die in einer Cheat-Engine für das beliebte Spiel Minecraft gefunden wurde. Die Datei, die hauptsächlich auf Discord geteilt wurde, gibt vor, die Minecraft Cheat Engine Vape V4 Beta zu sein – aber das ist nicht alles, was sie enthält. Agent.FZUW weist einige Ähnlichkeiten mit Variant.Fugrafa auf, doch anstatt sich über eine Cheat-Engine zu installieren, scheint die Datei selbst geknackte Software zu enthalten. Im konkreten Fall zeigten sich zudem Verbindungen zu Racoon Stealer: Dabei handelt es sich um eine Kryptowährungs-Hacking-Kampagne, mit der Kontoinformationen von Kryptowährungsdiensten entwendet werden.

LemonDuck-Malware ist jetzt mehr als ein Cryptominer – Auch wenn die Zahl der blockierten oder verfolgten Malware-Domänen im dritten Quartal 2022 zurückgegangen ist, lässt sich unschwer erkennen, dass die Zahl der Angriffe auf ahnungslose Nutzer weiterhin hoch ist. Mit drei Neuzugängen in der Liste der Top-Malware-Domains – zwei gehörten zu ehemaligen LemonDuck-Malware-Domains und der dritte war Teil einer Emotet-klassifizierten Domain – gab es mehr neue Malware-Sites als üblich. Dieser Trend wird sich im Hinblick auf die Kryptowährungslandschaft voraussichtlich weiter verstärken, da Angreifer nach neuen Möglichkeiten suchen, um Nutzer zu täuschen. Ein wirksames Mittel dagegen ist ein aktiver Schutz auf DNS-Ebene. Damit können die Systeme der Benutzer überwacht und Hacker daran gehindert werden, Malware oder andere ernsthafte Probleme in das Unternehmen einzuschleusen.

JavaScript-Verschleierung in Exploit-Kits – Die Signatur 1132518 – als Indikator für JavaScript-Verschleierungsangriffe auf Browser – war der einzige Neuzugang in der Liste der am weitesten verbreiteten Signaturen für Netzwerkangriffe. JavaScript ist seit längerem ein gängiger Angriffsvektor und Cyberkriminelle verwenden immer wieder JavaScript-basierte Exploit-Kits, unter anderem für Malvertising und Phishing-Angriffe. Im Zuge verbesserter Verteidigungsmechanismen der Browser intensivieren auch Angreifer ihre Bemühungen, bösartigen JavaScript-Code zu verschleiern.

Anatomie der standardisierten Adversary-in-the-Middle-Angriffe – Die Multifaktor-Authentifizierung (MFA) ist zwar unbestreitbar eine immens wichtige Maßnahme im Zuge von IT-Sicherheit, aber auch kein Allheilmittel. Bestes Beispiel dafür sind der rasche Anstieg und die Kommerzialisierung von Adversary-in-the-Middle (AitM)-Angriffen. Die Untersuchung des Threat Labs zeigt, wie böswillige Akteure sich auf immer ausgefeiltere AitM-Techniken umstellen. Ähnlich wie beim zunehmend frequentierten Ransomware-as-a-Service-Angebot hat auch die Veröffentlichung des AitM-Toolkits namens EvilProxy im September 2022 die Einstiegshürde für entsprechend ausgeklügelte Angriffe erheblich gesenkt. Deren Abwehr kann nur durch die Kombination aus technischen Tools und einer Sensibilisierung der Benutzer erfolgreich aufgegleist werden.

Malware-Familie mit Verbindungen zu Gothic Panda – Bereits im Bericht des Threat Labs für das zweite Quartal 2022 fiel die Sprache auf Gothic Panda – eine Cyberspionage-Gruppe mit enger Verbindung zum chinesischen Ministerium für Staatssicherheit. Interessanterweise enthält die Top-Liste der verschlüsselten Malware für das dritte Quartal eine Malware-Familie namens Taidoor, die nicht nur von Gothic Panda entwickelt wurde, sondern auch nur von Angreifern einschlägig chinesischer Herkunft eingesetzt wurde. Während sich die entsprechende Malware bisher in der Regel auf Ziele in Japan und Taiwan konzentrierte, wurde das analysierte Generic.Taidoor-Beispiel vor allem bei Organisationen in Frankreich gefunden – möglicherweise ein klarer Hinweis auf einen spezifischen, staatlich gesponserten Cyberangriff.

Neue Ransomware- und Erpressergruppen in freier Wildbahn – Ab sofort widmet sich das WatchGuard Threat Lab noch stärker dem Aufspüren von Ransomware-Initiativen. Dafür wurden die zugrundeliegenden Threat-Intelligence-Möglichkeiten gezielt erweitert. Im dritten Quartal 2022 führt LockBit die Liste mit über 200 einschlägigen Vorfällen an – fast viermal mehr als die Ransomware-Gruppe Basta, die von Juli bis September 2022 am zweithäufigsten von sich reden machte.

Die vierteljährlichen Forschungsberichte von WatchGuard basieren auf anonymisierten Firebox-Feed-Daten von aktiven WatchGuard-Fireboxen, deren Besitzer sich für die Weitergabe von Daten zur direkten Unterstützung der Forschungsarbeit des Threat Labs entschieden haben. Im dritten Quartal blockierte WatchGuard insgesamt mehr als 17,3 Millionen Malware-Varianten (211 pro Gerät) und mehr als 2,3 Millionen Netzwerkbedrohungen (28 pro Gerät). Der vollständige Bericht enthält Details zu weiteren Malware- und Netzwerktrends aus dem 3. Quartal 2022, empfohlene Sicherheitsstrategien, wichtige Verteidigungstipps für Unternehmen aller Größen und Branchen und vieles mehr.

Wie kann man Lauschangriffe auf das Netzwerk verhindern?

Lauschangriffe im Netzwerk werden auch als Network Sniffing oder Network Snooping Attacks bezeichnet. Sie treten etwa dann auf, wenn böswillige Akteure nicht ausreichend gesicherte Netzwerkverbindungen ausnutzen, um Daten während ihrer Übertragung abzufangen und aus dem Netz zu schleusen.

Ähnlich wie beim Belauschen eines Gesprächs zwischen zwei Personen werden auch bei Lauschangriffen in einem Netzwerk vertrauliche Kommunikationen zwischen unterschiedlichen Komponenten wie Servern, Computern, Smartphones und anderen angeschlossenen Geräten ausspioniert.

Wie Lauschangriffe in einem Netzwerk funktionieren Hacker suchen zunächst nach offenen Schwachstellen in einem Netzwerk, wenn sie darüber ablaufende Kommunikationen ausspionieren wollen. Das ist etwa dann relativ leicht möglich, wenn die Verbindungen nicht oder nur mangelhaft verschlüsselt wurden, wenn Anwendungen oder Geräte verwendet werden, die nicht auf dem aktuellen Stand sind, oder wenn sie Malware enthalten, die etwa über Social Engineering eingeschleust wurde. Indem sie unsichere Verbindungen ausnutzen, können die Angreifer Datenpakete abfangen, die das Netzwerk durchqueren. Jeder nicht oder nur ungenügend verschlüsselte Traffic in einem Netzwerk kann prinzipiell von einem Hacker gelesen werden. In vielen Fällen setzen die Hacker dedizierte Sniffing-Tools ein. Viele von diesen Werkzeugen wie Wireshark, Snort oder tcpdump sind allgemein bekannt und werden auch von Administratoren genutzt, um das ihnen anvertraute Netzwerk zu überwachen und um Schwachstellen sowie technische Probleme zu entdecken. Diese Anwendungen können jedoch auch von Angreifern verwendet werden, um ihrerseits eben diese Sicherheitslücken aufzuspüren, die sie dann für ihre Zwecke nutzen.

Unterschiedliche Kategorien von Lauschangriffen auf Netzwerke Die Attacken auf fremde Netze können entweder passiv oder aktiv erfolgen. Bei einem passiven Lauschangriff sammelt der Hacker beziehungsweise sein Sniffing-Tool nur Informationen über das Ziel. Dabei werden zu keinem Zeitpunkt Daten manipuliert. Lauschangriffe gegen VoIP-Systeme (Voice over IP) sind ein Beispiel für solche passiven Attacken. Dabei dringt der Hacker in das Netzwerk ein und belauscht dann mit einem geeigneten Tool nicht ausreichend verschlüsselte VoIP-Gespräche. Dazu nutzt er zum Beispiel ein kompromittiertes VoIP-Gerät oder einen anderen Teil der intern verwendeten Infrastruktur wie einen Switch, an dem er ansetzt. Der Angriff kann aber auch bei der Übertragung im Internet erfolgen. Bei aktiven Lauschangriffen schleichen sich die Angreifer dagegen in ein attackiertes Netzwerk ein und geben sich als legitime Teilnehmer aus. Bei dieser Art von Attacken fügen sie dann zum Beispiel Daten in die Verbindungen ein, ändern bestimmte Pakete oder fangen sie ab und löschen sie. Die am häufigsten zu beobachtenden aktiven Netzwerkangriffe sind MitM-Attacken (Man-in-the-Middle). Dabei dringen die Hacker meist mit Hilfe von Malware oder per Spoofing in die Systeme ein. Von Spoofing spricht man, wenn Lücken oder Fehler im Address Resolution Protocol, DNS (Domain Name System) oder bei der DHCP-Konfiguration (Dynamic Host Configuration Protocol) genutzt werden, um sich hinter einer anderen IP- oder MAC-Adresse zu verstecken. Sobald es einem Angreifer per MitM-Attacke gelungen ist, in ein Netzwerk einzudringen, kann er nicht nur Daten mitschneiden, sondern sie auch manipulieren oder an andere Geräte und Nutzer senden. Auf diese Weise kann er sich als legitimer Teilnehmer im Netzwerk ausgeben. Abbildung 1: Bei einer erfolgreichen Man-in-the-Middle-Attacke kann der Angreifer unter anderem Daten mitschneiden.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels