Das National Cybersecurity and Communications Integration Center (NCCIC) hat letzte Woche eine Warnung bezüglich einer aufkommenden ausgeklügelten Kampagne herausgegeben, die auf Schlüsselsektoren wie Informationstechnologie, Energie, Gesundheitswesen und öffentliche Gesundheit, Kommunikation und kritische Fertigung abzielt.
Die Bedrohung, die mindestens seit Mai 2016 auftritt, scheint gestohlene administrative Anmeldeinformationen (lokal und Domäne) und Zertifikate zu nutzen und raffinierte Malware-Implantate auf kritischen Systemen zu platzieren.
Dem Bericht zufolge „könnte der Angreifer abhängig von den vorhandenen Abwehrmaßnahmen möglicherweise vollen Zugriff auf Netzwerke und Daten erhalten, und zwar auf eine Weise, die für bestehende Überwachungstools legitim erscheint.“ Das primäre und vielleicht einzigartigste Implantat, das in dieser Kampagne beobachtet wurde, ist die REDLEAVES-Malware. Das REDLEAVES-Implantat besteht aus drei Teilen: einer ausführbaren Datei, einem Ladeprogramm und dem Implantat-Shellcode. Das REDLEAVES-Implantat ist ein Remote-Administrations-Trojaner (RAT), der in Visual C++ erstellt wurde und während seiner Ausführung intensiven Gebrauch von der Thread-Generierung macht. Das Implantat enthält eine Reihe von Funktionen, die für RATs typisch sind, einschließlich der Systemaufzählung und der Erstellung einer Remote-Shell zurück zum C2.
Es ist eine ominöse Warnung des Heimatschutzministeriums und eine, die Netzwerkteams ernst nehmen sollten. Wie in der Warnung des NCCIC erwähnt, kann ein erfolgreiches Eindringen in das Netzwerk schwerwiegende Auswirkungen haben, insbesondere wenn die Kompromittierung öffentlich wird und vertrauliche Informationen offengelegt werden. Mögliche Auswirkungen sind:
Es gibt Schritte, die Netzwerkteams unternehmen sollten, um sicherzustellen, dass das Risiko begrenzt ist und potenzielle Angriffe in kurzer Zeit gelöst werden können. Insbesondere stellt das NCCIC fest, dass alle Teams „Netzwerk- und Systemdokumentation vervollständigen und pflegen sollten, um eine rechtzeitige Reaktion auf Vorfälle zu unterstützen“.
Wie bei jedem Angriff ist die Sichtbarkeit des Netzwerks von entscheidender Bedeutung, und je schneller ein Netzwerktechniker eine Echtzeitansicht des Netzwerks erstellen kann, desto schneller kann jeder Angriff abgewehrt werden. Dynamic Maps sind ein entscheidender Vorteil für jedes Unternehmen, das einer Netzwerkbedrohung ausgesetzt ist, da die Fähigkeit zu verstehen, welche Bereiche des Netzwerks angegriffen werden, wertvolle Analysestunden sparen kann.
Um noch einen Schritt weiter zu gehen, verlassen sich die meisten Netzwerkteams bei der Fehlersuche bei einem Netzwerkangriff auf statische Playbooks und verwenden vielleicht sogar den Leitfaden, den das NCCIC in seiner jüngsten Warnung bereitgestellt hat. Das Referenzieren dieser Dokumente kann nützlich sein, aber es kostet auch Zeit und kann nicht automatisiert werden. Implementieren Ausführbar Runbooks kann sicherstellen, dass Netzwerkingenieure bereit sind, beim ersten Anzeichen eines Angriffs Fehler zu beheben, was wiederum kostspielige Ausfallzeiten einspart.
Wenn schließlich Sicherheitsangriffe in Echtzeit stattfinden, sind Netzwerk- und Sicherheitsteams möglicherweise nicht darauf vorbereitet, die Bedrohung abzuschwächen. Entweder sind sie mit anderen Fällen beschäftigt oder der Angriff hat sich einfach nicht als vorrangig erwiesen. Durch die Aktivierung der Erstellung und Diagnose des Angriffspfads – ausgelöst von Systemen wie a Sicherheitsinformations- und Ereignismanagement (SIEM) Lösung – Netzwerkingenieure können den schädlichen Datenverkehr zum Zeitpunkt des Angriffs visualisieren und Einblicke in ihn gewinnen. Dieses Ergebnis? Vollständigere und genauere Informationen zur Verteidigung des Netzwerks.
Die jüngste Warnung des Heimatschutzministeriums erinnert daran, dass Netzwerke ständig bedroht sind und dass die Ausstattung mit den richtigen Tools sicherstellen kann, dass Sie auf diese Situationen vorbereitet sind.
Weitere Informationen zum NCCIC Warnung hier sind die vollständigen Details. Um mehr über Netzwerkautomatisierung zu erfahren und dynamic mapping, sieh dir unsere an kürzliche Diskussion mit Move, Inc. zu Netzwerkherausforderungen und den richtigen Tools.