Silicon.de-Blogger Detlef Eppig ist in den vergangenen Monaten tief in die Welt der opportunistischen Attacken eingetaucht. Herausgekommen sind überraschende Einblicke dazu, woher diese opportunistischen Pakete kommen (Teil 1) und – im heutigen Beitrag – mit welchen Methoden die Absender solcher Pakete arbeiten.
Bevor ich mich mit unseren Entdeckungen befasse, möchte ich nochmals betonen, dass dies eine total simple Datensammlung ist, die nicht schwierig herzustellen ist. Wir loggen ganz einfach Quell- und Destinations-IP, Ports und Protokolle und wann immer Pakete an einer Vielzahl von IP-Adressen auftauchen. Das kann jeder oder jedes Unternehmen mit einer oder mehreren IP-Adressen im Internet.
Wie viele Ports werden von einer einzelnen IP gescannt?
Ich habe früher einmal für einen Internet-Serviceprovider gearbeitet und dort eine Überwachungs-Routine geschrieben, mit der man Scans an unserem System erkennen und Alarme auslösen konnte. Sobald mehr als eine vorgegebene Anzahl Ports an einem Host gescannt wurde, löste die Anwendung einen Alarm zu möglicherweise bösartigem Traffic aus, was recht häufig vorkam (obwohl wir ein kleiner ISP waren). Mit entsprechender Erwartung machte ich mich an die Analyse. Ich war neugierig, auf welche Ports die Angreifer ihre Scans vorrangig ausrichten. Vielleicht gibt es ja einige wenige Standard-Tools, die sich routinemäßig bestimmte Ports vornehmen. Dieses Muster würde sich in den Daten widerspiegeln. Das war allerdings ziemlich naiv von mir, und ein Kollege erinnerte mich später daran, dass der Plural von “Überlieferung” nicht unbedingt “Fakten” ist.
Nach dem Kompilieren der Daten habe ich die Grafik links erstellt: Ich konnte kaum glauben, was ich da sah. Werfen Sie auch mal einen Blick darauf. 97,4 Prozent der IP-Adressen, die Pakete geschickt hatten, haben nur jeweils einen Port gecheckt. Ich dachte, irgendetwas mit meiner Analyse sei falsch, also habe ich zwei- und dreimal nachgeprüft, denn dass 97,4 Prozent der IP-Adressen nur einen Port testen, stimmte nicht mit dem überein, was ich in der Vergangenheit erlebt hatte. Aber genau das passierte hier!
Das lässt mehrere Schlüsse zu. Zum einen kann man mit relativer Sicherheit annehmen, dass opportunistische Angreifer nach einer einzelnen Schwachstelle suchen. Es muss also deutlich einfacher sein, eine Schwachstelle an einer Vielzahl von Hosts zu suchen, als einen Host auf mehrere Schwachstellen zu überprüfen. Man könnte es aber auch so sehen: Angreifer sind – wie viele andere auch – von Grund auf faul. Sobald sie etwas gefunden haben, das sie zum Ziel führt, bleiben sie dabei. Zum anderen gibt es keinen Schwellenwert (wenigstens nicht an einem einzelnen Host), der Alarm auslösen könnte, es sei denn, der Wert wäre auf 1 gesetzt. Die Überwachungssoftware, die ich vor Jahren geschrieben hatte, würde praktisch stumm bleiben. Auffällig ist, dass von den über 8.000 aufgezeichneten IP-Adressen eine Quell-Adresse 904 Ports ausprobiert hat, eine weitere 204 und eine dritte 43; das sind die Top 3.
Wie intensiv waren die Anstrengungen?
Da wir wissen, dass der überwältigende Teil (97,4 Prozent) dieser opportunistischen Pakete es nur bei einem Port versucht hat, spielt es vielleicht eine Rolle, wie häufig der Versuch gestartet wurde. Ich wusste nicht, was ich erwarten sollte, denn schon die erste Frage hatte mich aus der Bahn geworfen. Allerdings haben wir für geschlossene Ports (und sie waren alle zu) Reset-Pakete zurückgeschickt, also bin ich nicht von einer hohen Wiederholungsquote ausgegangen. Und tatsächlich gab es bei 81,3 Prozent der angefragten Ports nur einen Versuch (siehe Abbildung). Ich habe darauf verzichtet, mir den Zeitunterschied zwischen diesen Versuchen anzuschauen, denn die wesentliche Erkenntnis ist, dass die Zahl aufgezeichneter opportunistischer Angriffe unglaublich klein ist und dass …
97 Prozent der opportunistischen Angreifer es nur an einem Port versuchen; 81 Prozent schicken lediglich ein Paket.
Pardon, ich möchte hier keinen meiner Leser ausgrenzen, also wiederhole ich das nochmal aus qualitativer Sicht:
Die Chance, dass opportunistische Angreifer es nur an einer sehr kleinen Anzahl Ports versuchen und dabei nur sehr wenige Pakete schicken, ist sehr groß.
Und das bringt uns zum nächsten Punkt. Diese Daten besagen, dass Systeme oder Applikationen, die opportunistisch versuchen, an fremde Daten zu gelangen, keinen Wert auf sorgfältige Emulation von Betriebssystemen legen müssen. Wir könnten zwar beispielsweise behaupten, dass “Angreifer häufig entfernt Betriebssysteme simulieren”, jedoch scheint dies (zumindest bei opportunistischen Angreifern) eigentlich nicht der Fall zu sein. Stattdessen suchen sie nach einer spezifischen Schwachstelle und ziehen dann weiter, ganz als ob das Simulieren eine Verschwendung wertvoller Scanning-Zeit wäre. Das bedeutet zugleich, dass das Erfassen dieser Daten ziemlich simpel ist … einfach lauschen, aufzeichnen und zählen.
Und schließlich: Falls die Mehrheit der Angreifer nur ein Mal nach einem einzigen Port Ausschau hält und dann weiterzieht, so ist dies das komplette Gegenteil eines advanced threat. Als Gruppe lässt sich ihnen ein eindeutiges wiederholbares Muster nachweisen, das leicht zu erkennen ist. Ich möchte deshalb den Begriff “Simple Consistent Threat” (SCT) prägen. Er beschreibt einen Gegner, der überaus simple Techniken verwendet, die nicht an ihr Ziel angepasst sind, sondern schlicht ein Ziel finden, das für ihren einmaligen Angriffsstil anfällig ist. Als Gemeinschaft von Threat Agents scheinen sie darin übereinzustimmen, wen sie angreifen (jeden) und wie sie dies versuchen (einmaliger Versuch). Das Gute daran ist, dass sie als Gegner durch einfaches Beobachten dieser Muster durchschaubar und ziemlich leicht abwehrbar werden.
Datenverletzungen mit dem Simple Consistent Threat
Die Daten, die wir für den DBIR gesammelt haben, lassen eine eindeutige Beziehung zwischen der Größe der Organisation (gemessen anhand der Mitarbeiterzahl) und der Anzahl Simple Consistent Threats erkennen, die eine Datenverletzung verursachten. Mit zunehmender Größe eines Unternehmens nahmen Verletzungen durch SCTs ab, und wir können davon ausgehen, dass dies nicht daran liegt, dass mystischerweise größere Unternehmen gemieden werden. Die Abnahme ist eher auf eine ausgereiftere Security in größeren Organisationen zurückzuführen. Angriffsversuche von SCTs sind simpel in ihrer Art und lassen sich durch wenige grundlegende Sicherheitskontrollen und -praktiken minimieren. Warum also können wir diesen Angriffsstil bei über 70 Prozent der erfolgten Datenverletzungen beobachten, die wir in den letzten beiden Jahren analysiert haben?
Das frage ich mich wirklich.
Verpassen Sie nicht der dritten Teil der Posting-Serie! Dieser wird mit einer gewagten These beginnen: “Ein System wird 11 Minuten, nachdem es mit dem Internet verbunden wurde, angegriffen.”