SentinelOne Security ABC, Folge 6: Von “Trojaner” bis “Zero Day Exploit”

geschätzter Leseaufwand: 3 Minuten

Im sechsten und letzten Teil des SentinelOne-Sicherheitsglossars stehen insgesamt sieben Security-Begriffe im Vordergrund. Das beginnt mit “Trojaner” und endet bei “Zero Day Exploit”.

Trojaner: Schadsoftware unbemerkt durch eine List einschleusen

Der Begriff Trojaner ist an das Trojanische Pferd aus der griechischen Mythologie angelehnt. Dort versteckten sich nämlich Soldaten in einem überdimensionalen Holzpferd, um mithilfe dieses Tricks in die Stadt Troja zu gelangen. In der üblen und heimtückischen Absicht, diese einzunehmen (was ihnen auch gelang).

Genau mit dieser Vortäuschung falscher Tatsachen (die Trojaner glaubten nämlich, das Pferd sei ein Geschenk der Griechen) gelangt trojanische Malware auf die Rechner ihrer Opfer, um dort ähnlich zu wüten wie einst die griechischen Soldaten. Nur dass die “Geschenke” heute nicht aus Holz, sondern aus Nullen und Einsen bestehen.

Trickbot: oft Vorhut von Emotet & Co.

Zu den bekanntesten Banking-Trojanern gehört zweifellos Trickbot, der 2016 zum ersten Mal sein Unwesen trieb. Das Perfide an Trickbot: Er agiert meist nicht alleine, sondern in unheiliger Allianz mit anderen Trojanern wie Emotet oder Ryuk. Dabei ebnet Trickbot der kooperierenden Schadsoftware quasi den Weg für weitere Cyberangriffe. Hierfür sammelt Trickbot die notwendigen Daten, die anschließend von Emotet oder Ryuk für deren Attacken verwendet werden können. Das führte in der Vergangenheit beispielsweise zu höheren Lösegeldforderungen.

Threat Intelligence: Den Hackern einen guten Schritt voraus

Jeder Angreifer verfolgt mithilfe bestimmter Techniken und Taktiken ganz bestimmte Ziele. Genau dieses Wissen wollen Threat Intelligence-Platform nutzen, um Angriffe besser erkennen zu können. Und das am besten, bevor die Cyberattacke durchgeführt werden kann. Denn Hacker und Hackergruppen haben ihre ganz bestimmten Motive, Absichten, Fähigkeiten und Tools, mit denen sie vorgehen. Je bekannter diese Faktoren sind, desto besser kann man sich gegen Angriffe zur Wehr setzen. Ein hierfür häufig genutztes Tool ist übrigens MITRE ATT&CK, die genau dieses Wissen sammeln und bereitstellen.

Threat Hunting: Die digitale Jagd nach Cyberkriminellen

Mit dem Begriff “Threat Hunting” ist nichts anderes gemeint als die Cyber-Jagd auf die Emotets und Trikbots dieser Welt. Um den Cyberangreifern möglichst schnell auf die Schliche zu kommen, müssen bestimmte Voraussetzungen geschaffen sein. Daraus lässt sich dann die passende Strategie ableiten. Das beginnt oft mit der Frage: Woher weiß ich eigentlich, wonach ich suchen soll? Damit geht dann auch das taktische Vorgehen einher, also die Entscheidung, wer wie oft auf die Cyber-Jagd gehen sollte. Aber auch weitere Fragen wie nach dem Einsatz der Künstlichen Intelligenz sind beim Threat Hunting von zentraler Bedeutung.

Whaling: Ein CEO, der keiner ist

Ein Wal wird im Allgemeinen als ein dicker Fisch wahrgenommen (selbst wenn es sich dabei um ein Säugetier handelt). Und genau diesem hinterlistigen Trick verdankt das “Whaling” seinen Namen. Denn dabei gibt ein Trickbetrüger vor, eine wichtige Person zu sein, für die er sich vermeintlich ausgibt. Damit ähnelt das Whaling in seiner Vorgehensweise dem Phising bzw. Spear-Phishing, nur eben mit dem Unterschied, mithilfe einer E-Mail von einer ganz bestimmten, hochrangigen Person zu stammen. Mithilfe dieser Vorgehensweise hat die Buchhaltung von Snapchat 2016 Lohnbuchhaltungsdaten an einen Trickbetrüger herausgegeben. Und der Spielzeughersteller Mattel wurde auf diese Weise gegen seinen Willen um fast drei Millionen US-Dollar erleichtert.

XDR: Detect & Response auf allen Ebenen

In den drei Buchstaben “XDR” steckt die Begriffskombination “Detection & Response”. Das “X” bedeutet sinngemäß “alles Mögliche”, also das Aufspüren von Malware auf jedweder Plattform und jedwedem Endgerät. Zu diesem Zweck hat übrigens SentinelOne ihr Produkt “Singularity” Anfang des Jahres auf den Markt gebracht, mit dessen Hilfe sowohl klassische Endgeräte (Endpoint Protection) als auch IoT-Gerätschaften und Cloud-Instanzen gegen allerlei Ungemach geschützt werden können.

Zero Day Exploit: Lücke gefunden und gleich ausgenutzt

In Software-Anwendungen entstehen regelmäßig Schwachstellen, die Eindringlinge geradezu auffordern, das System zu kapern, auf dem diese lückenhafte Anwendung installiert ist. Der Begriff “Zero Day” beschreibt die Tatsache, dass der Angriff genau an dem Tag erfolgt, an dem die Schwachstelle entdeckt wird. Das bedeutet nämlich im Umkehrschluss, dass der Hersteller der Software die Lücke noch nicht schließen konnte, weswegen der Angreifer ein relativ leichtes Spiel hat.

Die ersten fünf Folgen des SentinelOne Security-Glossars

SentinelOne Security ABC, Folge 1: Von “Active EDR bis “Detection & Response”

SentinelOne Security-ABC, Folge 2: Von “EPP” (Endpoint Protection Platform) bis “Honeypot”

SentinelOne Security-ABC, Folge 3: Von “Incident Response Policy (IRP)” bis “Kryptotrojaner”

SentinelOne Security-ABC, Folge 4: Von “MITRE ATT&CK” bis “Pyramid of Pain”

SentinelOne Security-ABC, Folge 5: Von “Ransomware-as-a-Service” bis “SOC”

Hörempfehlung: Erster von drei Podcasts zum Security-ABC mit Matthias Canisius

Disclaimer: Diesen Blogbeitrag habe ich im Auftrag von SentinelOne produziert. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand.