SentinelOne Security-ABC, Folge 2: Von “EPP” (Endpoint Protection Platform) bis “Honeypot”

geschätzter Leseaufwand: 4 Minuten

Letzte Woche habe ich auf diesem Blog mit einer Glossar-Serie namens SentinelOne Security-ABC begonnen. Heute setze ich diese Reihe fort mit den Buchstaben “E” bis “H”. Also von “EPP” bis “Honeypot”.

EPP (Endpoint Protection Platform): Schlaue Plattformen für die Malware-Erkennung

Den Begriff Endpoint Detection & Response habe ich bereits im ersten Teil dieses Glossar betrachtet. Und so eine EPP ist letztlich die ausführende Instanz, die sich mithilfe geeigneter Techniken um die bösen Buben in Malware-Gestalt kümmert. Da heißt es dann “erkennen”, “identifizieren”, “verhindern”, “schützen” und “lernen”. Daraus sind Systeme und Lösungen wie Singularity von SentinelOne entstanden, die mithilfe von KI-Techniken und -Methoden Krypto-Trojaner und andere bösartige Software von Endpunkten fernhalten soll. Gleichzeitig sollen diese Plattformen helfen, die Angriffe besser zu verstehen und das nächste Mal frühzeitig zu erkennen.

Fileless Malware: Unsichtbare Angreifer im Hauptspeicher

Im Gegensatz zu den “harmlosen” Malware-Attacken nistet sich Fileless Malware nicht auf der Festplatte, sondern bevorzugt im Arbeitsspeicher oder einem anderen Bereich des Rechners wie der Windows Registry ein. Also eben gerne dort, wo sie die traditionelle Antiviren-Software kaum oder gar nicht aufspüren kann. Daher ist es umso wichtiger, diesem Bedrohungstyp die volle Aufmerksamkeit zu schenken. Da Fileless Malware bevorzugt über infizierte Webseiten auf Rechner gelangt, sollte man stets auf aktualisierte Webbrowser-Versionen und eine möglichst geringe Anzahl von Browser-Addons achten.

Empfehlung >>  SentinelOne Security ABC, Folge 1: Von "Active EDR bis "Detection & Response"

False positive: Fehlalarme bei vermeintlichen Malware-Attacken

Das, womit sich Professor Doktor Christian Drosten aktuell regelmäßig beschäftigt, gibt es im Kontext von Malware genauso. Denn das Bewerten einer Schadsoftware ist weniger trivial, als man eventuell annehmen könnte. Und so kommt es auch bei Malware-Attacken genauso wie im viralen Umfeld zu Fehlalarmen, den sogenannten False Positive- oder Falsch Positiv-Annahmen. Denn eine Antiviren-Software kann eine harmlose E-Mail aufgrund eines vermeintlich infizierten Word-Anhangs als “verseucht” identifizieren, was sich im Nachhinein als falsch herausstellt. Folge: E-Mail gelöscht, System heruntergefahren, große Aufregung inklusive. Und alles das nur, weil die Anti-Malware-Software sich getäuscht hat. Aus diesem Grund gehen mehr und mehr Firmen dazu über, nicht mehr auf Anti-Viren-Programme zu setzen, sondern auf Endpoint Protection-Plattformen, die zuverlässiger und schlauer beim Erkennen von Locky & Co. sind.

GandCrab: Ransomware-as-a-Service

Für etwa ein Jahr machte der Krypto-Trojaner GandCrab von sich reden und sammelte dabei laut des Entwicklerteams etwa 2 Milliarden US-Dollar an Erpressungsgeld ein. Diese Zahl darf allerdings kritisch bewertet werden. Das “Besondere” an GandCrab war dessen “Geschäftsmodell”, da er sich als Ransomware-as-a-Service (RaaS) buchen ließ. Damit konnte dieser Trojaner gekauft werden, um von seinen Opfern Lösungsgeld zu erpressen. Hierbei floss ein Teil des Lösegeldes an die GandCrab-Entwickler zurück. Als beliebte Einfallstore nutze die Malware E-Mail-Anhänge genauso wie manipulierte Internetseiten.

Heuristik: Malware analysieren und bewerten

Das Thema EDR (Endpoint Detection & Response) ist eng verknüpft mit dem Thema Heuristik. Denn immer neue und verbesserte Malware-Varianten machen es nahezu unmöglich, die Angreifer mithilfe der herkömmlichen statischen Methoden wie signatur-basierte Antiviren-Programme zu erkennen und zu eliminieren. Heuristische Methoden sind da viel genauer, da sie eine Malware-Software auf ihre speziellen Kennzeichnen hin untersuchen und aufgrund einer Datenbank erkennen können, ob ein Angriff tatsächlich erfolgt ist oder nicht. Hierbei wird unterschieden zwischen statischer und dynamischer Heuristik, wobei die dynamischen Methoden deutlich effizienter sind als die statischen. Hierfür ist der Aufwand allerdings größer, da virtuelle Bereiche geschaffen werden müssen (sogenannte Sandboxes), in denen Malware separiert und analysiert werden kann.

Empfehlung >>  Rundumschlag gegen Hacker: So schützt SentinelOne Singularity Rechner, Cloud-Container und IoT-Netze

Honeypot: Wenn Hackern selbst eine Falle gestellt wird

Der übersetzte Begriff “Honigtopf” erlaubt bereits eine erste Idee davon, was es mit Honeypots (oder auch Honeynet) auf sich hat. Dahinter verbirgt sich nämlich ein Computer oder eine andere Netzwerkkomponente, die Malware-Angreifern oder Hackern gezielt eine Falle stellen will. Hierfür werden mitunter Software-Schwachstellen vorgegaukelt, die den Angreifer anlocken sollen. Ziel dieser Aktion ist es, mehr über mögliche Malware-Attacken zu lernen, um daraus für die Zukunft bestimmte Erkenntnisse abzuleiten. Wichtig dabei ist, dass der Trojaner oder eine andere Malware das Honeypot-System nicht von einem Produktivsystem unterscheiden kann. Andernfalls führt das “Fallenstellen” nicht  zum gewünschten Erfolg.

Disclaimer: Diesen Blogbeitrag habe ich im Auftrag von SentinelOne produziert. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand.

Alle Security-ABC-Beiträge auf einen Blick

SentinelOne Security ABC, Folge 1: Von “Active EDR bis “Detection & Response”

SentinelOne Security-ABC, Folge 2: Von “EPP” (Endpoint Protection Platform) bis “Honeypot”

SentinelOne Security-ABC, Folge 3: Von “Incident Response Policy (IRP)” bis “Kryptotrojaner”

SentinelOne Security-ABC, Folge 4: Von “MITRE ATT&CK” bis “Pyramid of Pain”

SentinelOne Security-ABC, Folge 5: Von “Ransomware-as-a-Service” bis “SOC”

SentinelOne Security ABC, Folge 6: Von “Trojaner” bis “Zero Day Exploit”