Angriffs-Trends für 2024 : Seismische Verschiebungen : Die Landschaften der Cybergefahren verändern sich – Angriffs-Trends für 2024
Eine große Menge neuer Angriffstaktiken verändert derzeit die Tektonik der Cyberbedrohungslandschaft, mahnt unser Autor. Wer von kommenden „Erdstößen“ nicht unvorbereitet überrascht werden will, sollte einen Blick auf präferierte Ziele und Vorgehensweisen von Cyberkriminellen werfen.
Der entscheidende erste Schritt für den Erfolg jeden Angriffs ist letztlich immer noch, Opfernetze erfolgreich zu infiltrieren und (aus Angreifersicht) die Erfolgsschwelle dafür möglichst weit zu senken. Durch immer neue Angriffstaktiken werden Angreifer dieses Jahr in der Lage sein, eine steigende Anzahl von Endpunkten zu kompromittieren. Cyberkriminelle behalten dabei die gesamte Angriffsfläche potenzieller Opfer(-IT) im Auge, um allem voran einzelne Endpunkte sowie Cloud-Entitäten anzugreifen oder die gesamte Bandbreite ihrer Möglichkeiten optimal auszunutzen.
Angriff auf Endpunkte
Endpunkte sind weiterhin das Hauptziel der Angreifer. Sie sind der erste Eintrittsvektor und dort finden sie die meisten verwertbaren Daten, nach denen sie suchen. Daher werden Cyberkriminelle ihre Angriffe auf diese Ziele weiter intensivieren – mit den folgenden Schwerpunkten:
Living Off The Land (LOTL)
Sobald Eindringlinge ein System kompromittiert haben, wollen sie verhindern, dass die Abwehr sie entdeckt. Ein Weg, um komplexe Attacken fortzuführen, ohne allzu viele Alarme auszulösen, sind Living-off-the-Land-Techniken (aka LOLBins). Bei dieser Methode wird auf dem System installierte legitime Software genutzt, um Angriffe auszuführen, anstatt sich auf selbst eingebrachte Binaries oder Malware zu verlassen. Gerade letztere ließe sich allzu leicht sogar von traditioneller IT-Sicherheitssoftware erkennen.
Vor allem auf Windowsbasierten Geräten sind Living-off-the-Land-Techniken verbreitet: Angreifer nutzen Tools wie PowerShell, WMI, den Task-Scheduler oder andere Dienste des Betriebssystems, um bösartige Skripte auf dem Endpunkt auszulösen und ablaufen zu lassen. Sie greifen jedoch auch Linux- und MacOS-basierte Geräte an – und die Zahl solcher Angriffe wird 2024 zunehmen!
Abwehrlösungen benötigen in Zukunft einen erweiterten Endpunktschutz oder Managed-Detection-and-Response-Dienste (MDR), um auffälliges Verhalten zu identifizieren, welches auf Manöver einer bereits am Zielort installierten Software hindeutet.
Bring Your Own Vulnerable Driver (BYOVD)
Die in Nordkorea zu verortende Angreifer-Gruppe Lazarus nutzte Treiber einer Authentifizierungssoftware. Dieses Beispiel zeigt: Treiber werden 2024 verstärkt ins Visier der Angreifer geraten. Ihr umfassender Zugriff auf ein System macht sie zu einem wichtigen Ziel und Angriffsvehikel der Cyberkriminellen. Diese greifen verstärkt Treiberschwachstellen an, um privilegierten Zugang zu erhalten – anschließend können sie den Endpunktschutz umgehen und Seitwärtsbewegungen starten (Lateral Movements).
Auf diesem Weg installieren sie gern auch Ransomware, um zu einem späteren Zeitpunkt Daten zu verschlüsseln oder zu exfiltrieren. Das Nutzen eines vorhandenen Treibers ist eine gute Tarnung vor klassischen IT-Sicherheitsmechanismen und umgeht auch den auf digitalen Signaturen basierenden Schutz von Microsoft.
Heterogene Windows-Angebote
Microsoft hat für Entwickler im Oktober 2021 das Windows-Subsystem für Android eingeführt und unterstützt seit 2023 Python-Skripte, um nicht-native Applikationen in Windows zuzulassen. Doch dies erschließt auch Angreifern einen umfassenden neuen Satz Code und zusätzliche Schwachstellen – denn jede neue Software erhöht die Angriffsfläche. Diese erstreckt sich dann sowohl auf Windows- als auch auf Android-basierte Geräte.
Das Android-Subsystem auf Windows erschließt zudem das Sideloading neuer Applikationen: Angreifer infizieren dazu ausführbare Android-Package-(APK)-Dateien von Drittanbietern mit Malware. Unterstützte Python-Skripte ermöglichen überdies Angriffe auf Microsoft Office. Belegt sind schon bösartige Softwarepakete, um den Python-Package-Index (PyPl) auszubeuten.
Anwender können solche Angriffe vermeiden, indem sie den Sideload von Apps unterbinden und diese nur über den Google Play Store oder ein geschütztes Unternehmensportal beziehen.
Umgehen des Endpunktschutzes
Endpoint-Detection-and-Response-(EDR)-Lösungen haben sich 2023 steigender Beliebtheit erfreut – schließlich liefert EDR wertvolle Informationen über Risiken für Endpunkte. Cyberkriminelle haben daher zahlreiche Techniken entwickelt, damit eine Endpoint-Detection and -Response sie nicht entdecken kann: Dafür modifizieren sie Code im Arbeitsspeicher, hebeln die Funktion von User-Mode-Hooks aus oder sabotieren den Antimalware-Scan-Interface-(AMSI)-Dienst. Ohne AMSI kann die EDR den Code jedoch nicht scannen, der die Angriffe auf Windows-Systemen ausführt. Um AMSI zu stören, nutzen Cyberkriminelle unter anderem Kernel-Exploits oder manipulieren die Audit-Logs einer EDR.
Gegen diese Bedrohungen schützt nur eine umfassende Abwehr mit verschiedenen komplementären Abwehrebenen. Fähigkeiten zum Sichern von Prozessen (Process-Protection) stärken die Abwehr von Endpunkten gegen DLL-Manipulationen: Sie kombinieren die User-Mode- sowie die Kernel-Mode-Sicherheit und erkennen sowie Verhindern mit heuristischen Methoden die Techniken, um EDR zu umgehen.
Zunehmende Cloud-Gefahren
Cloud-Workloads und -Infrastrukturen haben sich für viele Organisationen immer mehr zum organisatorischen Rückgrat entwickelt. Angriffe auf Cloud-Umgebungen haben daher ein immer höheres Risikopotenzial, weil die Verfügbarkeit der Wolke immer kritischer für die Abläufe ist. Deshalb hat bereits 2023 die Zahl der Angriffe auf cloudnative Architekturen zugenommen, so etwa auf Plattformen zur Container-Orchestration wie Kubernetes. Angreifer nutzten dazu Schwachstellen in weit verbreiteten Diensten ebenso aus wie falsch konfigurierte Cloud-Workloads. Um die Abwehr zu stärken, müssen IT-Sicherheitsverantwortliche ein Verständnis dieser neuen Art von Bedrohungen haben.
Azure und Azure AD
Im letzten Jahr verbreitete sich das Angebot von Open-Source-Tools, die sich besonders dafür eignen, Public-Cloud-Workloads von Microsoft-Azure zu verwalten, zu überwachen und zu sichern. Diese Tools bieten eine Reihe von Funktionen, automatisieren Infrastrukturen oder überwachen die Performance der Cloud.
Angreifer werden versuchen, diese Werkzeuge für ihre Zwecke zu kapern. Dadurch wollen sie unautorisiert auf Cloud-Workloads zugreifen. Durch das „Hooking“ (in der Definition des MITRE-Katalogs der Angriffstechniken) der Application-Programming-Interfaces (APIs) dieser Tools oder durch den Exploit verwundbarer Treiber können Cyberkriminelle die durch die Schnittstellen verbundenen Cloud-Umgebungen exponieren und so Zugriff auf das Azure Active Directory (AD) erlangen. Sie legen dann Nutzerkonten mit erhöhten Privilegien an, um so die Abwehr durch Aufheben einer Multi-Faktor-Authentifizierung zu schwächen.
Angreifer können auch eine existierende Management-Infrastruktur wie Intune manipulieren, um Malware auf den Hosts laufen zu lassen. Um solche Gefahren zu erkennen, müssen Tools zum Erkennen und Abwehren von Gefahren Cloud-Workloads- und Plattformlösungen zum Identitätsmanagement beobachten.
Cloudnative Würmer
Die steigende Beliebtheit von Dev-Ops in der Cloud oder von Container-Plattformen wie Kubernetes, Docker oder Open-Shift erweitern ebenfalls die Angriffsoberfläche für Cyberkriminelle. Diese nutzen weiterhin Fehlkonfigurationen aus, um Zugriff auf die Netze von Organisationen zu erlangen.
Experten von Bitdefender erwarten einen Zuwachs Cloudnativer Würmer, die Malware über die gesamte Cloud hinweg ausspielen können: Diese nutzen die ineinander verwobene Architektur der verschiedenen Plattformen aus, um innerhalb kurzer Zeit großen Schaden anzurichten. Sich selbst replizierende Varianten solcher Würmer sind bereits aufgetaucht und werden in Zukunft sicher von weiteren Angreifern kopiert.
Unternehmen mit Cloud-Infrastrukturen sollten dringend einen professionellen Dienst zum Cloud-Security-Posture-Management in Anspruch nehmen, um Schwachstellen aus falsch konfigurierten Cloud-Infrastrukturen zu schließen.
Neue Angriffspunkte
Wie angemerkt bleiben Endpunkte und Cloud-Workloads auch 2024 weiterhin die wichtigsten Ziele für Cyberattacken. Deren Urheber gehen jedoch auch neue Wege, um diese Assets anzugreifen.
Kommunikations-Apps
2024 werden Cyberkriminelle verstärkt weitverbreitete Kommunikations-Apps wie Slack oder Teams angreifen und diese Plattformen als neuen Schauplatz für ihre Attacken erobern. Einfach zu bedienen und oft ohne weitere Sicherheits-Checks sind solche Apps ein bevorzugtes Ziel.
Schon 2023 beschrieben Experten Schwachstellen in Teams, die den Urhebern von Angriffen ermöglicht haben, über die Plattform bösartige Dateien an ihre Opfer zu senden. Einen Höhepunkt stellte das Ausspielen der Dark-Gate-Malware über Skype und Teams dar.
Einen Schutz vor diesen gefährlichen Angriffsvektoren bieten Multi-Level-Lösungen auf Endpunkten – einschließlich einer effizienten Netzwerksicherheit, um den Transfer von Daten zu verhindern.
Nicht-verwaltete Hardware
Studien in Bitdefenders Security-Operations-Zentren (SOCs) haben schon für das abgelaufene Jahr gezeigt, dass 70 % der Sicherheitsereignisse ihren Anfang auf nicht-verwalteten Geräten nahmen. Diese stellen für Angreifer ein sehr effektives Einfallstor dar.
Kriminelle werden zunehmend die hybride Arbeitswelt nutzen, um die Interaktion mit Anwendern auf schwächer kontrollierte und verwaltete Umgebungen sowie Systeme zu lenken. Dazu nutzen sie unterschiedliche Geräte und Plattformen. Cyberkriminelle werden die Angriffstools in diesem Bereich weiterentwickeln: Dazu gehören Phishing-Attacken über QR-Codes oder die Kontaktaufnahme mit Opfern unter Rückgriff auf gekaperte Telefonnummern oder User-Accounts.
Schutz versprechen strenge Bring-Your-Own-Device-(BYOD)- Richtlinien oder robuste Lösungen für eine mobile Sicherheit, die über Mobile-Device-Management (MDM) hinausgehen und bösartige Nachrichten erkennen können.
Plattformunabhängige Programmiersprachen
Cyberkriminelle suchen sich einen möglichst großen Opferkreis für ihre Angriffe aus. Dieses Ziel beeinflusst auch böswillige Entwickler: Sie schreiben daher ihre Angriffe verstärkt in plattformunabhängigen Programmiersprachen wie Rust, Go und Swift. Rust ist vor allem wegen seiner Sicherheit (für die Angreifer), Zuverlässigkeit und Geschwindigkeit sehr beliebt. Zugleich wächst die Rolle von Open-Source-Frameworks wie Havok und Sliver, welche die Angreifer zur Command-and-Control- (C&C)-Konnektivität einsetzen – so lässt sich jede Betriebssystemumgebung angreifen.
CPUs im Visier
Bereits im Vorjahr entdeckten Sicherheitsforscher zahlreiche bedeutsame Schwachstellen in Prozessoren (CPUs,) wie etwa für Intel die Redundant-Prefix-Issue (CVE-2023-23583) oder das Gather-Data-Sampling (GDS, CVE2022-40982) sowie bei AMD die Inception- (CVE-2023-20569) oder ZenBleed-Bugs (CVE-2023-20593).
Über solche Lücken können Angreifer sensible Informationen, auf die nur privilegierte Nutzer zugreifen können, offenlegen oder sogar Denial-of-Service-(DoS)-Attacken auf Opfersysteme starten. Viele dieser Schwachstellen verlangen eine völlige Neukompilation von Anwendungen – noch warten daher viele Schwachstellen auf zukünftige Exploits. Es liegt durchaus im Rahmen des Möglichen, dass cyberkriminelle Gruppen 2024 hier angreifen werden.
Weltweite Konflikte und zunehmender Hacktivismus
Die wachsende Anzahl globaler Konflikte wird die Cyberkriminalität im negativen Sinne fördern. Cyberkrieg wird ein effizientes Tool bleiben, um politische, soziale oder nationale Ziele zu erreichen. Krisengebiete wie der Nahe Osten, aber auch das Baltikum und andere Regionen dürften 2024 Schauplätze verstärkter Cyberangriffe werden. Nationalstaaten werden entsprechende Aktivitäten entweder direkt unterstützen oder den Akteuren stillschweigend den Rücken stärken – hinter vielen Aktionen stecken aber auch unabhängige nationalistische Gruppen.
Angreifer werden – wie schon in den letzten Jahren – versuchen, kritische Infrastrukturen lahmzulegen, sensible Daten zu stehlen oder die öffentliche Diskussion zu beeinflussen. Viele der Angreifer sind mitunter von starken Emotionen angetrieben, was ihre einzelnen Aktionen unvorhersehbar macht.
Raum für Optimismus
2024 finden schwerwiegende tektonische Umwälzungen in der Cybergefahrenlandschaft statt. Weitere Herausforderungen sind missbrauchsanfällige Tools der künstlichen Intelligenz (KI), intensivierte Angriffe auf die Cloud und eine durch neue Arbeitsweisen und heterogene Plattformen vergrößerte Angriffsoberfläche.
Trotz enormer Herausforderungen gibt es aber hinreichende Gründe für Optimismus: Denn auch die Abwehr profitiert vom technischen Fortschritt und kann zukünftig mit resilienteren und komplexeren Werkzeugen arbeiten. Regierungen, Organisationen und Cybersicherheitsexperten verstärken überdies ihre Zusammenarbeit und teilen Wissen und Ressourcen. Cyberresilienz ist – bestehend aus Prävention, Schutz, Erkennung und Reaktionsfähigkeit – dabei für alle eine zentrale Aufgabe und wird das auch bleiben.
Richard De La Torre ist IT-Sicherheitsexperte bei Bitdefender.