In einem kürzlich durchgeführten, ausgeklügelten Cyberangriff nutzte die Ransomware-Gruppe Akira eine ungesicherte Linux-basierte Webcam, um ein Unternehmensnetzwerk zu infiltrieren. Indem sie dieses übersehene IoT-Gerät ausnutzten, umgingen die Angreifer erfolgreich klassische Endpoint Detection and Response (EDR)-Lösungen, verschlüsselten schließlich Netzwerkfreigaben und verursachten weitreichende Schäden. Dieser Vorfall unterstreicht das wachsende Risiko von IoT-basierten Angriffsvektoren und die dringende Notwendigkeit für Unternehmen, robuste Sicherheitsmaßnahmen für ihre verbundenen Geräte zu implementieren.
Da Unternehmen immer mehr IoT-Geräte in ihre Infrastruktur integrieren, ist die Absicherung dieser Endpunkte von entscheidender Bedeutung, um Seitwärtsbewegungen von Angreifern zu verhindern. Erfahren Sie, wie Angreifer ein IoT-Gerät ausnutzen, welche Auswirkungen ein solcher Angriff hat und wie First Seen– und Outlier-Regeln von Sumo Logic verwendet werden können, um diese Bedrohungen zu erkennen, bevor sie zu einem Ransomware-Vorfall eskalieren.
Die Bedrohung verstehen
Wie die Akira-Gruppe die Webcam kompromittiert hat
Der Angriff begann, als die Ransomware-Betreiber eine ungesicherte Linux-basierte Webcam innerhalb des Unternehmensnetzwerks identifizierten. Durch die Ausnutzung von Standard- oder schwachen Anmeldedaten verschafften sich die Angreifer einen ersten Zugang zum Gerät. Sobald sie drin waren, nutzten sie die kompromittierte Webcam, um:
- Windows Server Message Block (SMB)-Freigaben von anderen Geräten innerhalb des Netzwerks zu mounten.
- ihren Linux-basierten Ransomware-Verschlüsseler direkt auf dem IoT-Gerät einzusetzen.
- auf Netzwerkfreigaben gespeicherte Daten zu verschlüsseln, ohne EDR-Lösungen auszulösen, die für die Überwachung herkömmlicher Endgeräte konzipiert sind.
Da IoT-Geräte oft nicht über robuste Protokollierungs- und Überwachungsfunktionen verfügen, konnten die Angreifer unbemerkt operieren und die Sicherheitsmaßnahmen für Endgeräte umgehen, die die Ausführung von Ransomware erkennen und verhindern sollen.
Auswirkungen von IoT-basierten Angriffen auf die Unternehmenssicherheit
Dieser Vorfall wirft mehrere kritische Fragen für Unternehmen auf:
- Unüberwachte Angriffsflächen: Viele IoT-Geräte werden ohne angemessene Sicherheitskontrollen eingesetzt, was sie zu idealen Einstiegspunkten für Angreifer macht.
- Seitwärtsbewegungen: Sobald ein Angreifer ein IoT-Gerät kompromittiert hat, kann er sich innerhalb des Netzwerks bewegen, um hochwertige Vermögenswerte ins Visier zu nehmen.
- Tote Winkel des EDR: Herkömmliche Lösungen zum Schutz von Endgeräten sind nicht für die Überwachung von IoT-Geräten ausgelegt, was Angreifern die Möglichkeit bietet, die Erkennung zu umgehen.
- Erhöhtes Risiko durch Ransomware: Da die Betreiber von Ransomware immer ausgefeiltere Techniken einsetzen, müssen Unternehmen darauf vorbereitet sein, Anomalien im Netzwerkverhalten zu erkennen, anstatt sich ausschließlich auf endpunktbasierte Abwehrmaßnahmen zu verlassen. Dieser proaktive Ansatz ermöglicht die Korrelation unterschiedlicher Indikatoren und verbessert so die Fähigkeit, komplexe Ransomware-Bedrohungen zu erkennen und effektiv darauf zu reagieren.
Sumo Logic für die Erkennung nutzen
Ausreißer-Regel: Überwachung von ungewöhnlichem SMB-Datenverkehr von IoT-Geräten
Einer der Hauptvorteile der ausreißerbasierten Erkennungen in Sumo Logic Cloud-SIEM ist die Flexibilität bei der Erkennung von anomalem Verhalten über verschiedene Entitäten wie Benutzer, IP-Adressen oder Geräte hinweg, ohne die klassische Komplexität bei diesen Arten von Anwendungsfällen.
Die Kenntnis Ihrer IoT-Geräte ist der Schlüssel zur effektiven Erkennung verdächtiger Aktivitäten im Umfeld dieser Geräte. Um das Rauschen zu reduzieren und die Erkennungsgenauigkeit zu erhöhen, können wir die Abgleichslisten von Sumo Logic nutzen, die entwickelt wurden, um bekannte IoT-Geräte-IPs zu verfolgen. So kann Ihr Sicherheitsteam echte Anomalien priorisieren und gleichzeitig den gutartigen Datenverkehr von autorisierten Geräten herausfiltern.
Die folgende Regel überwacht den anomalen Server Message Block (SMB)-Verkehr, der von IoT-Geräten im Netzwerk ausgeht. IoT-Geräte nehmen normalerweise nicht an der SMB-Kommunikation teil, da sie für bestimmte, eingeschränkte Funktionen wie Umgebungsüberwachung, Automatisierung oder vernetzte Geräte konzipiert sind. Ungewöhnlicher SMB-Datenverkehr von diesen Geräten kann auf potenzielle Sicherheitsrisiken hinweisen, wie z. B. unbefugte Dateizugriffsversuche, Seitwärtsbewegungen oder Kompromittierung durch Malware.
First-seen-Regel: Unerlaubtes Mounting von Netzwerkfreigaben erkennen
Die nachstehende Regel überwacht nicht autorisierte Netzwerkfreigaben, die ein Indikator für potenzielle Datenexfiltrationen, Seitwärtsbewegungen oder unautorisierte Zugriffsversuche sein können. Netzwerkfreigaben (z. B. SMB- oder NFS-Verbindungen) werden häufig für die Speicherung von Dateien und die Zusammenarbeit verwendet. Ungewöhnliche Verbindungen – insbesondere von zuvor nicht sichtbaren Geräten, Dienstkonten oder externen Quellen – können jedoch auf eine Fehlkonfiguration, den Missbrauch von Logindaten oder einen aktiven Bedrohungsakteur hindeuten, der versucht, auf sensible Daten zuzugreifen.
Ausreißer-Regel: Erkennen von abnormalem Anstieg des Netzwerkverkehrs von IoT-Geräten
Es wurde beobachtet, dass von einem IOT-Gerät eine größere Datenmenge als üblich nach außen gesendet wurde. Es wird empfohlen, das mit dieser IP verbundene Gerät, die Internet-Ziele und den mit diesem anomalen Verhalten verbundenen Datenverkehr zu untersuchen. Eine normalisierte Datensatzsuche nach der Quell-IP und dem externen Netzwerkverkehr innerhalb des Erkennungszeitraums hilft, verdächtige Aktivitäten zu identifizieren.
First-seen-Regel: Markierung der Ausführung von nicht erkannten Prozessen auf IoT-Geräten
Die nachstehende Regel überwacht die Ausführung von bisher nicht gesehenen oder nicht autorisierten Prozessen auf IoT-Geräten. Dies kann ein starker Indikator für eine Kompromittierung, nicht autorisierte Software-Installationen oder Exploitversuche sein. Im Gegensatz zu herkömmlichen Endgeräten führen IoT-Geräte in der Regel eine begrenzte und vorhersehbare Anzahl von Prozessen aus, die für ihre spezifischen Funktionen wie Automatisierung, Überwachung oder Kommunikation entwickelt wurden. Das Vorhandensein neuer oder unerkannter Binärdateien, die auf diesen Geräten ausgeführt werden, kann auf eine Malware-Infektion, eine nicht autorisierte Änderung der Firmware oder auf einen Angreifer hindeuten, der versucht, Persistenz herzustellen.
Abschließende Gedanken und nächste Schritte
Das Ransomware-Exploit Akira zeigt das wachsende Risiko, das ungesicherte IoT-Geräte für die Unternehmenssicherheit darstellen. Da Angreifer ihre Taktik weiterentwickeln und IoT-Endpunkte als heimliche Einstiegspunkte nutzen, um herkömmliche Verteidigungsmaßnahmen zu umgehen, benötigen Sie Erkennungsstrategien, die über das Vertrauen in EDR-Lösungen hinausgehen. Anstatt sich mit der Komplexität herkömmlicher Sicherheitsanalysen herumzuschlagen, benötigen Sicherheitsteams eine flexible Plattform, die diese Bedrohungen in Echtzeit identifizieren kann, ohne dass umfangreiche Regelanpassungen oder manuelle Korrelationen zwischen verschiedenen Datenquellen erforderlich sind.
Die Sumo Logic-Grundregeln „First Seen“ und „Ausreißer“ bieten einen leistungsstarken, flexiblen Ansatz, um Frühindikatoren für eine Kompromittierung zu identifizieren, anomales Verhalten zu erkennen und IoT-basierte Bedrohungen zu entschärfen, bevor sie eskalieren. Egal ob:
- Ausreißer-Regeln, die ungewöhnlichen SMB-Datenverkehr oder anormale Netzwerkspitzen von IoT-Geräten identifizieren
- First-seen-Regeln zur Erkennung von nicht autorisierten Netzwerkfreigaben oder der Ausführung von zuvor nicht gesehenen Prozessen
Diese Erkennungstechniken helfen Sicherheitsteams dabei, Einblick in nicht-klassische Angriffsflächen zu erhalten, Seitwärtsbewegungen frühzeitig zu erkennen und kritische Sicherheitslücken zu schließen.
Durch den Einsatz von Sumo Logic können Kunden schnell wirksame Erkennungsregeln einführen, die sich an neu auftretende Bedrohungen anpassen, ohne die betriebliche Komplexität, die normalerweise mit traditionellen UEBA-Lösungen verbunden ist. Im Gegensatz zu älteren SIEMs, die auf manuellen, komplexen Prozessen (Lookups, mehrfache Abfragen und andere) beruhen und oft eine aufwendige Datenmodellierung und ein umfangreiches Tuning erfordern, bieten die Grundregeln „First seen“ und „Ausreißer“ von Sumo Logic eine leichtgewichtige, skalierbare Anomalieerkennung!
Kontaktieren Sie uns für eine Live-Demo von Cloud SIEM oder beurteilen Sie, ob Ihre SIEM-Lösung Ihre Umgebung schützt.
