Managed Cyber Defence

Wie das Cybersecurity-Team von PwC einen Cyberangriff neuen Typs in wenigen Minuten stoppte

Als eine Reihe von Kunden, die unsere Managed Cyber Defence Services (MCD) nutzen, im September 2020 von dem als TA505 bekannten Threat Actor attackiert wurden, war dies für uns im Grunde genommen nichts Neues. Denn das im Bereich Cybergefahren aktive Experten-Team von PwC nimmt es regelmässig mit einem vielfältigen Gemisch potenzieller Spione und Cyberkrimineller auf.

Zudem war es aufgrund früherer Konfrontationen mit dem Threat Actor TA505 vertraut, zumal dieser seit 2014 eine prominente Rolle bei der Verbreitung von Malware für andere Angreifer spielt. In letzter Zeit hat sich TA505 von der Verbreitung von Malware im Auftrag Dritter zum Initiator von Kampagnen weiterentwickelt, in deren Rahmen er von ihm selbst entwickelte Spam-Malware versendet. In der zweiten Hälfte des Jahres 2019 ergänzte er sein Arsenal um eine Ransomware namens CL0P. Wie andere Ransomware Akteure kreierte auch er eine so genannte Leak Site, auf der Daten veröffentlicht werden, die bei den Opfern kopiert und anschliessend verschlüsselt werden.  

Human-operated ransomware attacks: Wie resilient sind Sie?

Erfahren Sie mehr in unserem White paper. 

Mehr erfahren

Alarm!

Anfang September 2020 wurde einer unserer Kunden zum ausgesuchten Ziel wiederholter E-Mail-Phishing-Kampagnen von TA505. Keiner dieser Angriffe vermochte die automatisierten Abwehrmechanismen dieser Organisation vorerst zu überwinden. Doch am 11. September, zwei Minuten vor 11.30 Uhr, schien eine Kampagne die E-Mail-Filter zu umgehen und Endpunkte zu erreichen, die durch den MCD-Dienst von PwC überwacht wurden. Schon in diesem frühen Stadium konnte das Team erkennen, dass der Gegner aufgerüstet hatte. So war es ihm gelungen, die primären präventiven Kontrollmechanismen des Teams von PwC zu umgehen und gleichzeitig anderen präventiven Kontrollmechanismen auszuweichen. 

Zum Glück war das Cybersecurity-Team von PwC dem Gegner jedoch einen Schritt voraus: Unsere Experten hatten bereits Payloads von TA505 entdeckt und dessen charakteristischen Techniken, Taktiken und Verfahren (TTPs) gespiegelt. Das MCD-Team von PwC nutzte diese Informationen, um Indicators of Compromise (IOCs) zu generieren, welche die «Fingerabdrücke» von TA505 widerspiegelten. Dieser User Entity and Behaviour Analytics (UEBA) genannte Regelansatz löste die Erfassung des Angreifers aus. PwC war in der Lage, schnell die gesamten Systeme des Kunden zu scannen. Und da war es keine Überraschung, dass dadurch weitere Versuche von TA505 entdeckt wurden, die allgemeineren Abwehrmechanismen zu überwinden. 

Rasche Reaktion

Wenn PwC keine schnelle Gegenmassnahme ergriffen hätte, wäre es dem Gegner gelungen, festen Fuss in der Organisation zu fassen. Das Cybersecurity-Team von PwC nutzte seine ausgefeilten, automatisierten Enrichment and Triage Bots, um autonom die bei der Ersterfassung gewonnenen Daten zu selektieren. In Sekundenschnelle konnten so die Warnmeldungen mit Threat Intelligence angereichert und mit anderen Indikatoren abgeglichen werden. Zugleich konnten die Payloads in Cloud-Sandbox-Systeme hochgeladen und mittels einer Verdict Engine analysiert werden. Innerhalb von nur wenigen Minuten konnten so die Analysten im Team von PwC bestätigen, dass die Bedrohung durch TA505 real und aktiv war. 

Während der gesamten Zeit hielt das Cybersecurity-Team von PwC den Kunden über seine integrierten Messaging-Umgebungen in Echtzeit auf dem Laufenden. Um die interne Weiterverbreitung der Malware zu verhindern und Datendiebstahl oder jede bereits stattfindende Spionage zu blockieren, isolierten die Analysten zügig das betroffene System. Um 11.35 Uhr, d. h. nur sieben Minuten nach dem ersten Alarm, was dieser Prozess abgeschlossen und hatte somit die unmittelbare Bedrohung gestoppt.

Verstärkung der Abwehrmechanismen

Die Isolation des ersten Systems, in das eingedrungen worden war, hätte den gesamten Angriff abwehren können, doch für PwC war die Arbeit damit noch nicht getan, denn es galt für umfassende Sicherheit zu sorgen. Zu diesem Zweck konnte das MCD-Team auf reichhaltige telemetrische Daten zurückgreifen, um den gesamten Vorfall gründlich aus allen Blickwinkeln zu analysieren. Dies geschah in weniger als einer dreiviertel Stunde.

Danach fügten die Cyberexperten weitere Gefährdungsindikatoren sowie aus den Systemen des Kunden gewonnene Erkenntnisse zu den Erkennungsregeln hinzu. Ziel dieser Massnahmen war es, auf die Umleitungen auf die verschiedenen Malware-Webseiten des Gegners und andere taktische Änderungen im Rahmen dieser oder anderer Kampagnen zu reagieren. So sollte sichergestellt werden, dass erneute Angriffsversuche schon im Keim erstickt würden. Als die Experten von PwC eine weitere infizierte Workstation entdeckten, isolierten sie diese unverzüglich. 

Zur Verhinderung weiterer Sicherheitsverletzungen stellte das MCD-Team am Schluss sicher, dass sämtliche mit der Angriffskette zusammenhängenden Dateien restlos von den betreffenden Systemen entfernt wurden. Gemäss Best Practice empfahl PwC dem Kunden zudem, die Zugangsdaten aller betroffenen Benutzerkonten zurückzusetzen. 

Visualisierung der siebenminütigen Reaktion

Das folgende Diagramm zeigt, wie TA505 seinen Angriff durchführte. Als der Mitarbeitende des Kunden, für den PwC tätig ist, das infizierte Word-Dokument öffnete, muss TA505 gedacht haben, dass dies sein Glückstag sei. Doch da sollte er sich irren!

Der Angriff wurde erstmals am Freitagmorgen entdeckt. Bis Ende der Mittagspause hatten die Experten von PwC die sechs Hauptschritte der Incident Response bereits erfolgreich durchgeführt:

11.28 Uhr Selektion: Das automatisierte System von PwC empfängt und analysiert die IOC-Warnmeldung, kennzeichnet die Priorität des Falls als «hoch» und eskaliert ihn an das Analystenteam von PwC.

11.32 Uhr Untersuchung: Einer der MCD-Analysten von PwC nimmt sich des Falls an und startet unverzüglich die Analyse der Angriffskette und der Telemetriedaten.

11.35 Uhr Eindämmung: Der Analyst bestätigt die Bedrohungsaktivität, warnt die Sicherheitsspezialisten des Kunden, isoliert die infizierten Endpunkte und fährt mit der Ursachenanalyse sowie der Anwendung spezifischer IOCs fort, um mögliche weitere Aktivitäten zu verfolgen.

12.17 Uhr Scoping: Laufende Untersuchung und Überwachung zur Lokalisierung einer zweiten Workstation, die auf ein mit Malware infiziertes Word-Dokument zugreift. Die Host-Workstation wird unverzüglich isoliert.

12.33 Uhr Ermittlung: Das Analystenteam von PwC erhält beispielhafte Dateien und sonstige Artefakte, die gesammelt wurden. Sie nehmen den Angriff unter die Lupe und liefern zahlreiche zusätzliche IOCs für die Überwachung und Blockierung. 

13.54 UhrProblembehebung: Der Vorfall gilt als erfolgreich behoben und abgeschlossen, wobei kein Datenverlust oder weiterer Schaden festgestellt werden konnte.

Eine derart schnelle Reaktion war nur möglich, weil die automatisierten Systeme von PwC bereits weitere 50 falsch-positive Meldungen in den 24 Stunden vor dem beschriebenen Angriff automatisch geschlossen hatten und in der Lage waren, gleichzeitig 85 weitere Warnmeldungen mit «tiefem Vertrauensniveau» zu verarbeiten. Diese falsch-positiven und «Störgeräusche» verursachenden Meldungen machen jedem SOC (Security Operations Center) das Leben extrem schwer. PwC reagierte auf dieses Problem mit der Entwicklung komplexer Bots, die diese fundamentalen Analysefunktionen auf automatisierter Basis übernehmen. 

Richtig vorbereiten – und auf der Hut bleiben

Und die Moral von unserer Geschichte? Es gibt Mittel, um einen solch raffinierten Angriff abzuwehren und seine Schadenwirkung einzudämmen, bevor er sich zu einer umfassenden Sicherheitsverletzung inklusive Datendiebstahl entwickelt. Das Cybersecurity-Team von PwC kann Sie bei der erfolgreichen Abwehr unterstützen, indem es hochentwickelte Inhalte zur Erkennung von Eindringlingen und Ausführung schneller Eindämmungsmassnahmen anwendet, optimiert durch umfassende Automatisierung. 

Erfahren Sie mehr über unseren Managed Cyber Defence Service.

Kontaktieren Sie uns

Managed Cyber Defence Webinar

Managed Cyber Defence Webinar

In dieser Online-Veranstaltung beleuchten unsere deutschen Experten, welche IT-Risiken mit Homeoffice einhergehen und wie Sie Ihr Unternehmen mit „Managed Cyber Defence“ davor schützen können.

Recording anschauen

#social#

Webinar recording

Managed Cyber Defence: Schützt, wenn es eigentlich zu spät ist 

In unserem Webinar beleuchten unsere deutschen Kollegen, welche Risiken Homeoffice mit sich bringt und wie Sie sich mithilfe von Managed Cyber Defence dagegen wehren können. Wir stellen Ihnen den Managed Security Service von PwC vor, der bekannte Angriffe frühzeitig blockt und Transparenz in Ihrem Netzwerk schafft, um verborgene Hacker ausfindig zu machen.

Interessiert? Dann schauen Sie sich das Recording an. 

 

Managed Cyber Defence: Schützt, wenn es eigentlich zu spät ist

Kontaktieren Sie uns

Johannes Dohren

Johannes Dohren

Partner, Cybersecurity and Privacy, PwC Switzerland

Tel.: +41 58 792 22 20