Warum nehmen Phishing- und Malware-Angriffe immer noch zu? Das liegt daran, dass Bedrohungsakteure äußerst ausweichende und anpassungsfähige Techniken entwickelt haben, um den typischen Sicherheitsstapel von Unternehmen zu umgehen.
Bei hochgradig evasiven und adaptiven Bedrohungen (HEAT) handelt es sich um eine Art von Cybersicherheitsbedrohung, bei der häufig ausgeklügelte Techniken wie dynamisches Verhalten, dateilose Angriffe und verzögerte Ausführung zum Einsatz kommen, um nicht entdeckt zu werden und herkömmliche Sicherheitsmaßnahmen zu umgehen. Diese Bedrohungen sind so konzipiert, dass sie unter dem Radar bleiben und es für Sicherheitsexperten besonders schwierig sein kann, sie zu erkennen und abzuwehren. Ausweichbedrohungen gibt es schon seit einiger Zeit, da Bedrohungsakteure versuchen, ihre Erfolgsquote zu erhöhen, wenn es darum geht, ersten Zugriff auf das System eines Benutzers oder das Netzwerk einer Organisation zu erhalten. Auch wenn sich die Sicherheitskontrollen in Unternehmen ständig weiterentwickeln, beschleunigen Bedrohungsakteure ihre Ausweichtechniken, mit denen sie versuchen, unsere Benutzer und deren Systeme zu infiltrieren.
Obwohl jedes Jahr kontinuierlich in Cybersicherheit investiert wird, dringen Bedrohungen immer noch durch und Benutzer sind täglich betroffen. Tatsächlich wurde aus diesem Grund eine ganze Branche zur Phishing-Prävention gegründet. Schulungen zum Sicherheitsbewusstsein gäbe es heute nicht, wenn wir 100% der Phishing-Bedrohungen abwehren könnten. Einfache Angriffstechniken können und sind immer noch wirksam gegen häufig eingesetzte Sicherheitslösungen.
Infolgedessen ändern sich Branchen und wenden bewährte Verfahren an, um weniger anfällig zu werden. Beispielsweise hat Microsoft standardmäßig alle Makros deaktiviert, da Bedrohungsakteure sie nutzten, um der Entdeckung zu entgehen und ihre Opfer zu erreichen. Unternehmen haben in umfangreiche Tools zur Sensibilisierung der Sicherheit investiert, um die Benutzer über die Risiken von Malware und die häufigsten Anzeichen von Phishing aufzuklären, wie z. B. die Adresse eines unbekannten Absenders, dringende oder alarmierende Sprache und sogar falsche Rechtschreibung und Grammatik, in der Hoffnung, dass die Wahrscheinlichkeit, dass Benutzer gängigen Malware-Programmen zum Opfer fallen, geringer wird. Sogar die Zwei-Faktor-/Multifaktor-Authentifizierung, die seit ihrer Einführung lange als undurchdringliches System galt, wurde weithin eingeführt, um eine zusätzliche Sicherheitsebene hinzuzufügen und Änderungen durch unbefugten Zugriff auf Benutzerkonten oder den Diebstahl vertraulicher Informationen zu verhindern.
Jeder Unternehmensbenutzer hat mindestens einen Browser, auf den er angewiesen ist, um auf das Internet, Unternehmens-Cloud- und SaaS-Anwendungen und sogar E-Mails zuzugreifen. Dies hat den Browser zu einem der beliebtesten Ziele für Phishing- und Malware-Angriffe gemacht. Leider konnten bestehende Sicherheitskontrollen wie SWG, EDR und Firewalls diese Angriffe nicht abwehren, da die Bedrohungsakteure ihre Taktiken um hochgradig ausweichende und anpassungsfähige Techniken erweitert haben. Sie verstehen auf einem sehr niedrigen Niveau, wie diese gängigen Sicherheitslösungen funktionieren, und umgehen sie. Trotz der erhöhten Investitionen, die Unternehmen in ihre Sicherheitslösungen tätigen, sind ihre Benutzer also immer stärker gefährdet als je zuvor.
Hochgradig ausweichende und anpassungsfähige Bedrohungen, die auf den Webbrowser als Angriffsvektor abzielen, werden heute von Gegnern genutzt, um verschiedene Techniken einzusetzen, um häufig eingesetzte Sicherheitsvorkehrungen zu umgehen. Folglich werden diese extrem ausweichenden und adaptiven Bedrohungen verwendet, um Malware zu verbreiten, Benutzersysteme zu gefährden und sensible Daten zu stehlen.
Einige Beispiele für stark ausweichende Angriffe sind:
HeatCheck-Sicherheitsbewertung
HEAT-Bedrohungen umgehen in der Regel URL-Filterung, E-Mail-Sicherheitstools, dateibasierte Inspektionen und HTTP-Inhalts-/Seiteninspektionen.
Wie oben beschrieben, sind LURE-Websites eine gängige und einfache Methode für Bedrohungsakteure, um die URL-Filterung zu umgehen. Eine weitere gängige Taktik ist die Verwendung von Captchas. Captchas sind ein weit verbreitetes und nützliches Tool, das von Website-Administratoren verwendet wird, um zu überprüfen, ob es sich bei der Person, die mit der Website interagiert, um einen Menschen und nicht um einen Bot mit schändlichen Absichten handelt. Bedrohungsakteure können Captchas verwenden, um der LURE-Website Glaubwürdigkeit zu verleihen und URL-Crawler abzuwehren, die versuchen, die Website zu kategorisieren. Die Bedrohungsakteure planen, dass die Opfer das Vorhandensein eines Captchas erkennen und davon ausgehen, dass die Website legitim ist (wobei die Überlegung lautet: „Warum sollte sich eine illegitime Website die Mühe machen, ein Captcha zu verwenden?“) sowie verwenden Sie das Captcha, um URL-Crawler daran zu hindern, die zweifelhaften Inhalte der LURE-Website zu sehen.
Phishing war in der Vergangenheit ein hundertprozentiges E-Mail-Problem, daher finden Bedrohungsakteure neue Wege, um Benutzer anzugreifen. Bedrohungsakteure verwenden heute Ausweichtechniken, um Phishing-Angriffe zu starten. Benutzer werden über andere Kommunikationskanäle als E-Mail, z. B. soziale Medien, professionelle Webnetzwerke, Kollaborationsanwendungen, SMS, geteilte Dokumente oder andere Medien, mit bösartigen Links angegriffen (oder durchsucht). Diese bösartigen Links werden zunehmend dazu verwendet, Unternehmensanmeldedaten statt persönlicher Daten zu stehlen, um Schadsoftware an Unternehmensendpunkte zu senden und somit die Unternehmenssicherheit zu umgehen.
In einem jüngste Cyberbedrohungskampagne, wendeten Angreifer Spear-Phishing-Taktiken gegen Geschäftsleute auf LinkedIn an. Über die Direktnachrichtenfunktion der Plattform präsentierten die Angreifer gefälschte Stellenangebote mithilfe bösartiger Links, um die Benutzer letztendlich mit einem Backdoor-Trojaner zu infizieren, der den Angreifern die vollständige Fernsteuerung über den Computer des Opfers ermöglichte. Dieser Spear-Phishing-Angriff tauchte nie im E-Mail-Pfad auf und entging jeder Analyse, die dort stattgefunden hätte.
Herkömmliche Secure Web Gateway (SWG) -Antiviren- oder Sandbox-Lösungen werden in der Regel verwendet, um bösartige Inhalte zu identifizieren, indem sie nach bekannten Malware-Signaturen suchen und die Dateiausführung und Remote-Dateianfragen auf verdächtiges Verhalten überwachen.
Das Umgehen der Sandbox kann so einfach sein wie das Senden einer großen Datei — eine, die das Dateilimit der Sandbox überschreitet, oder sogar eine passwortgeschützte Archivdatei, die nicht gescannt werden kann. Das erfordert zwar ein wenig Ausprobieren auf Seiten des Bedrohungsakteurs, ist aber relativ einfach zu bewerkstelligen. Bedrohungsakteure umgehen häufig das Sandboxing, indem sie auch HTML-Schmuggel einsetzen (wie oben beschrieben). Dies ist eine sehr effektive Methode, um Ihre Inspektionswerkzeuge zu umgehen.
Es gibt viele legitime Websites, die ihr Scripting verschleiern, sodass ihr Scripting-Quellcode nicht eingesehen werden kann.
Bedrohungsakteure nutzen auch die Codeverschleierung, um Browser-Exploits und Phishing-Kit-Code zu verbreiten und so einer Entdeckung zu entgehen. Der bösartige Code (in der Regel Javascript) wird dann zur Laufzeit im Browser aufgedeckt und führt seinen aktiven Inhalt auf dem Endpunkt aus. Angreifer nutzen auch Manipulationen an Websites, um Imitationslogos hinter verformten Bildern zu verstecken, um visuelle Erkennungen durch Inspektionsmaschinen zu vermeiden.
Viele, wenn nicht sogar die Mehrheit der Sicherheitsanbieter, nutzen Funktionen, die auf künstlicher Intelligenz (KI) basieren, um die Effizienz ihrer Lösungen zu verbessern, und das mit tiefgreifenden Ergebnissen. Die Prämisse ist einfach: KI wird die entwickelten Funktionen erweitern und erweitern und anhand von Produktionsdaten und Telemetrie neue Bedrohungen erkennen. Das ist das wahre Versprechen von KI in der Cybersicherheit und in anderen Branchen. Es ist jedoch wichtig zu beachten, dass KI nur so gut ist wie die Daten, mit denen sie trainiert wurde. Der übliche Sicherheitsstack — Firewall, SWG, CASB, DLP — kann das KI-Modell nur mit den Daten, der Protokollierung und der Telemetrie trainieren, die diese Komponenten generieren. Bei Phishing- und Malware/Ransomware-Angriffen, bei denen das Ziel der Browser ist, ist Telemetrie aus dem Browser nicht nur nützlich, sondern auch unverzichtbar, wenn KI-Modelle trainiert werden, wie sie browserbasierte Bedrohungen besser erkennen können. Dem üblichen Sicherheits-Stack fehlen die Hooks in den Browser, um diese Telemetrie zu empfangen und zu nutzen. Daher bieten die KI-Lösungen nur einen vernachlässigbaren bis schrittweisen Nutzen und Verbesserungen. Die KI-Modelle, auf denen das HEAT-Portfolio basiert, trainieren auf der Deep-Browser-Telemetrie, die auf dem Isolation Core von Menlo Security basiert. Dies macht HEAT Shield und HEAT Visibility so leistungsstark und effektiv bei der Verhinderung und Blockierung von Zero-Hour-Phishing- und Malware-Angriffen.
Unternehmen haben begonnen, die Auswirkungen generativer KI-Plattformen und Chatbots wie ChatGPT auf die Cybersicherheit zu erkennen. Viele Menschen sind zu Recht nervös, dass diese Tools es jedem mit einer Internetverbindung und einem böswilligen Motiv ermöglichen, Entwickeln Sie ausweichende Bedrohungen in alarmierendem Ausmaß. Stellen Sie sich vor, Sie könnten auf Knopfdruck innerhalb weniger Minuten Tausende von individuell auf sie zugeschnittenen Schadprogrammen, Phishing-E-Mails und anderen Bedrohungen erstellen und veröffentlichen. Noch beängstigender ist die Tatsache, dass Bedrohungsakteure mithilfe von KI sogar Codezeilen innerhalb einer bestimmten Nutzlast ändern können, wodurch ein kontinuierlicher Strom neuer und noch nie dagewesener Zero-Day-Phishing- und Malware-Bedrohungen entsteht, was es für die Unternehmenssicherheit extrem schwierig macht, diese Angriffe abzuwehren.
Es gibt drei Stufen eines extrem ausweichenden und adaptiven Bedrohungsangriffs:
Die Stufen zwei und drei hängen vollständig von der ersten Phase ab — dem ersten Zugang.
Menlo Security konzentriert sich darauf, extrem ausweichende und anpassungsfähige Bedrohungen abzuwehren, bevor sie den ersten Zugriff erhalten, und blockiert so effektiv Phishing-Angriffe und Malware. Ohne Zugriff kann sich Malware nicht im Netzwerk ausbreiten, die Kontrolle erlangen, Daten exfiltrieren oder Systeme als Lösegeld erpressen.