Kein Unternehmen ist gegen Cyberangriffe immun. Aber dank der schnellen Reaktion des Managed Detection and Response (MDR) Service war der Schaden eines kürzlich erfolgten Phishing-Angriffs minimal.

Das Ziel: ein globaler Hersteller von Geräten für den privaten und kommerziellen Gebrauch, den wir Grumbach nennen (in der Regel möchten Unternehmen anonym bleiben, wenn sie ihre Cybersicherheitsvereinbarungen diskutieren und Grumbach ist keine Ausnahme).

Open Systems erbringt seit Anfang 2021 den MDR-Service für Grumbach. Grumbach nutzt auch die Services zu Endpoint- und Network Detection and Response (EDR und NDR) des Anbieters.

Open Systems arbeitet mit Microsoft hinsichtlich der Bereitstellung von MDR als auch EDR-Services zusammen. MDR nutzt die eigens zusammenstellten Workbooks von Microsoft Sentinel und Open Systems, um potenzielle Probleme aufzudecken. EDR nutzt die Vorteile von Microsoft Defender for Endpoint, das Schutz, Erkennung und -reaktion für Endgeräte sowie Schwachstellenmanagement bietet.

Cybersicherheit-Tools sind jedoch nur ein Teil des Gesamtbilds. Durch das schnelle Eingreifen der Ingenieure des Security Operations Center (SOC) von Open Systems konnte dieser Angriff abgefangen und verhindert werden. Ohne dass er den Systemen von Grumbach immensen Schaden zufügte.

Der Angriff

Am 10. Juni 2021 um 11:50 Uhr Ortszeit erkannte Microsoft Defender verdächtiges Verhalten auf der Workstation eines Grumbach-Mitarbeiters. Daraufhin wurde automatisch ein Ticket erstellt und eine Warnung im SOC-Portal von Open Systems ausgelöst.

Ein SOC-Ingenieur bei Open Systems untersuchte das Problem und identifizierte schnell die böswillige Absicht hinter dieser Warnung: eine verdächtige PowerShell-Routine, die auf dem Computer des Grumbach-Mitarbeiters ausgeführt wurde.

Der Ingenieur isolierte den Host sofort, wie es die Einsatzregeln, die Grumbach und Open Systems gemeinsam festgelegt hatten, vorschrieben. Diese Regeln ermöglichen es Open Systems, je nach Schweregrad der Situation, eine bestimmte Anzahl von Gegenmassnahmen ohne vorherige Genehmigung zu ergreifen.

Die Isolierung des Hosts verhinderte, dass er weiteren Schaden verursachte und eine erste Bewertung ergab, dass der Angriff eingedämmt war und keine Auswirkungen auf andere Hosts hatte. Der Techniker konnte sich nun eingehend mit der Untersuchung befassen, um dem Angriff auf den Grund zu gehen.

Diese bösartige Routine befand sich in der „Erkundungsphase“ und sammelte Informationen über die Systeme von Grumbach, um den primären Angriff zu starten. Dazu gehörte die Ermittlung der öffentlichen IP-Adresse, des Hostnamens und der Administrator-ID für die Arbeitsstation des Mitarbeiters.

Nachdem diese Erkundung abgeschlossen war, versuchte das bösartige PowerShell-Skript, Malware aus dem Google Apps Skript-Service herunterzuladen – konnte aber glücklicherweise nicht fortfahren, da die angeforderte bösartige Datei nicht vorhanden war.

Open Systems bat dann den Administrator von Grumbach, die Anmeldeinformationen des Zielbenutzers auf seinem kompromittierten Computer zurückzusetzen und empfahl, das Gerät neu zu starten (das Gerät zu löschen und dann aus einem Master-Image neu aufzubauen), um die Beseitigung jeglicher Bedrohung sicherzustellen.

Der Angriffspunkt

Nach dem Angriff führten die Spezialisten von Open Systems eine Untersuchung durch und stellten fest, dass der ursprüngliche Einstieg erfolgte, als der Grumbach-Mitarbeiter auf einen bösartigen Link in einer Phishing-E-Mail klickte.

Die E-Mail gab vor, von einem Bundeszollbeamten zu stammen und behauptete, dass ein Paket für den Mitarbeiter an der Grenze beim Zoll liegt. Anschliessend wurde das Opfer angewiesen, auf den bösartigen Link zu klicken, um das Problem zu beheben.

Fast gleichzeitig mit dem Empfang der bösartigen E-Mail durch den Mitarbeiter erhielt er auch einen Anruf von einem angeblichen Zollbeamten. Dieser informierte ihn über die E-Mail und wies ihn erneut an, auf den Link zu klicken.

Selbst bei diesem ungewöhnlichen Dual-Vektor-Angriff wäre der Mitarbeiter vielleicht misstrauisch geworden, wenn er nicht tatsächlich ein Paket aus dem Ausland erwartet hätte. Ob die Angreifer von dem Paket wussten oder in diesem Fall einfach nur Glück hatten, ist nicht bekannt.

Diese Art von Angriffen war Open Systems bereits bekannt. Tatsächlich war es auch das örtliche Zollamt, das auf seiner Website eine Warnung darüber veröffentlicht hatte.

Die bösartige E-Mail konnte den Phishing-Schutz von Microsoft 365 umgehen. Leider hatte sich Grumbach nicht für ein Upgrade auf Microsoft 365 Advanced Protection entschieden, wodurch die Phishing-E-Mail wahrscheinlich abgefangen und gefiltert worden wäre.

Die Ansicht von Intellyx

Die Techniken, die dieser Angreifer verwendete – eine Phishing-E-Mail, ein böswilliger Telefonanruf, ein bösartiges PowerShell-Skript und Google Apps Script-Service heruntergeladene Malware – sind weit verbreitet, einfach und relativ anspruchslos.

Die Entschärfung dieses Angriffs erforderte daher von den Open Systems-Ingenieuren keine besonders fachkundige Reaktion im Vergleich zu komplexeren Angriffen. Im Wesentlichen waren die Aktionen der Techniker Routine.

Man könnte sich daher fragen, ob Grumbach besser dran wäre, ein eigenes SOC zu besetzen. Könnte das Unternehmen nicht einfach seine eigenen Cybersicherheitsingenieure einstellen?

Die Antwort: Eine interne Reaktion auf Cybersicherheit wäre nicht kosteneffizient. Für SOCs ist es wichtig, rund um die Uhr zu arbeiten, was angesichts des Mangels an Fachkräften mit Cybersicherheitskompetenz teuer ist – und Grumbach brauchte eine schnelle Reaktion auf diese Bedrohung, was typisch für solche Fälle ist.

Zu diesen Kosten kommen die Tools hinzu, die solche Fachleute benötigen, um die Sicherheitsanforderungen des Unternehmens und die Anforderungen an eine zentrale Konsole angemessen zu erfüllen. Die Auslagerung von MDR und EDR an ein Unternehmen wie Open Systems ist heute eine einfache Entscheidung.

Copyright © Intellyx LLC. Open Systems ist ein Kunde von Intellyx. Und Microsoft ist ein ehemaliger Kunde von Intellyx. Intellyx hat die redaktionelle Kontrolle über diesen Artikel inne.