Elastic Global Threat Report: Fast 33 Prozent der Cyberangriffe in der Cloud passieren über „Credential Access“

Standard-Cloud-Security-Maßnahmen bieten keinen wirksamen Schutz vor Angriffen – deswegen ist Identitätsdiebstahl so erfolgreich

• Das größte Risiko für die Sicherheit in der Cloud ist menschliches Versagen – viele Nutzer überschätzen die Sicherheit ihrer Cloud-Implementierungen
  • Von den 33 Prozent der Angriffe in der Cloud, die auf Credential Access zurückgehen, sind fast 41 Prozent Versuche, Token für den Anwendungszugriff oder andere Anmeldeinformationen zu stehlen. 
• Cyberkriminelle nutzen für Security-Teams entwickelte kommerzielle Software, um deren Arbeit auszuhebeln
  • Mit einem Anteil von 35 Prozent aller entdeckten Versuche war CobaltStrike die meistgenutzte Binary oder Payload für Windows-Endpoints.
• Cyberkriminelle setzen verstärkt auf unterschiedliche Methoden, um  Endpoint-Security-Maßnahmen zu umgehen
  • Bei insgesamt 74 Prozent aller Versuche, Security-Maßnahmen zu umgehen, wird mit den Methoden „Masquerading“ (44 Prozent) und „System Binary Proxy Execution“ (30 Prozent) gearbeitet. Sie lassen Artefakte als legitim oder vertrauenswürdig erscheinen. Das zeigt, dass Cyber-Kriminelle nicht nur die Security-Maßnahmen  zu umgehen versuchen, sondern auch dafür sorgen, dass die Artefakte unsichtbar bleiben. So ermöglichen sie längere Verweildauern.

Elastic veröffentlicht seinen aktuellen „Elastic Global Threat Report“ 2022”.  Die Studie beschäftigt sich mit den Entwicklungen im Bereich der Cybersicherheit sowie der zunehmenden Komplexität von Angriffen auf Endpoints und Cloud-Implementierungen.

Die im Bericht dargelegten Trends liefern Organisationen wichtige Informationen zum Ausbau ihrer Sicherheitstechnologie und zu Strategien für die Überwachung und den Schutz unternehmenskritischer Systeme vor Cyber-Bedrohungen. Verantwortlich für den Bericht ist das Elastic Security Labs-Team, das sich bei Elastic um die Themen Threat Research, Malware-Analyse und Detection Engineering kümmert. Der Bericht basiert auf Telemetriedaten aus weltweiten Elastic Security-Deployments aus dem Zeitraum August 2021 bis August 2022.

Die wichtigsten Trends im Überblick:

Das größte Risiko für die Sicherheit in der Cloud ist menschliches Versagen – viele Nutzer überschätzen die Sicherheit ihrer Cloud-Deployments

Fast jeder dritte Angriff (33 Prozent) in der Cloud nutzt Credential Access. Dies deutet darauf hin, dass die Nutzer die Sicherheit ihrer Cloud-Umgebungen häufig überschätzen und sie folglich nicht angemessen konfigurieren und schützen.

Weitere wichtige Erkenntnisse zur Cloud Security:

• Fast 57 Prozent der Cloud-Security-Telemetriedaten stammen von AWS, 22 Prozent von Google Cloud und 21 Prozent von Azure.
  1. AWS: Mehr als 74 Prozent der Alerts bezogen sich auf Credential Access, Erstzugriff und Persistenz-Taktiken. 57 Prozent der Alerts standen mit dem versuchten Diebstahl von Zugriffstoken für Anwendungen in Zusammenhang –  eine der häufigsten Formen des Credential-Diebstahls in der Cloud.
  2. Google Cloud: Fast 54 Prozent der Alerts betrafen den Missbrauch von Geschäftskonten. Hier wurde bei 52 Prozent der Alerts mit Kontomanipulation gearbeitet. Dies deutet darauf hin, dass Geschäftskonten nach wie vor sehr gefährdet sind, wenn die Standard-Anmeldedaten nicht geändert werden.
  3. Microsoft Azure: Mehr als 96 Prozent der Alerts bezogen sich auf Authentifizierungsereignisse, wobei bei 57 Prozent gültige Konten das Ziel waren und versucht wurde, OAUTH2-Tokens abzurufen.
• Bei 58 Prozent der Erstzugriffsversuche handelte es sich um eine Kombination aus herkömmlichen Brute-Force-Versuchen und dem Ausspähen zuvor kompromittierter Passwörter.

Cyberkriminelle nutzen für Security-Teams entwickelte kommerzielle Software, um deren Arbeit auszuhebeln

Kommerzielle Angriffssimulationssoftware wie CobaltStrike ist zwar für viele Teams beim Schutz ihrer Umgebungen hilfreich. Sie wird allerdings auch als Werkzeug für die massenhafte Einschleusung von Malware genutzt. Den Erkenntnissen von Elastic Security Labs zufolge war CobaltStrike mit einem Anteil von 35 Prozent aller entdeckter Versuche die am weitesten verbreitete Schad-Binary oder ‑Payload für Windows-Endpoints – gefolgt von AtentTesla mit einem Anteil von 25 Prozent und RedLineStealer mit 10 Prozent.

Weitere wichtige Erkenntnisse zu Malware:

• Mehr als 54 Prozent aller weltweiten Malware-Infektionen wurden auf Windows-Endpoints identifiziert. Auf Linux-Endgeräten waren es 39 Prozent
• Fast 81 Prozent der weltweit beobachteten Malware basiert auf Trojanern, gefolgt von Kryptominern mit elf Prozent.
• MacKeeper stellte mit knapp 48 Prozent aller Entdeckungen die größte Bedrohung für macOS dar. Auf Platz zwei lag XCSSet mit fast 17 Prozent.

Zur Umgehung von Endpoint-Security-Maßnahmen wird verstärkt auf unterschiedliche Methoden gesetzt

Cyber-Kriminelle setzen mehr als unterschiedliche 50 Methoden zur Infiltration von Endpoints ein. Dies deutet darauf hin, dass Endpoint-Security gut funktioniert, sodass Hacker ständig neue oder besonders ausgefeilte Angriffsmethoden finden müssen.

Drei MITRE ATT&CK-Taktiken machen 66 Prozent aller Methoden zur Endpoint-Infiltration aus:

• Insgesamt 74 Prozent aller Techniken, die Abwehr zu umgehen, bestanden aus Masquerading (44 Prozent) sowie der Ausführung von binären System-Proxys (30 Prozent). Das zeigt, dass Cyber-Kriminelle nicht nur die Security-Maßnahmen als solche zu umgehen versuchen, sondern auch dafür sorgen, dass Artefakte unsichtbar bleiben, um so längere Verweildauern zu ermöglichen.
• 59 Prozent der Execution-Methoden standen im Zusammenhang mit Befehls- und nativen Skriptinterpretern, gefolgt von 40 Prozent, bei denen die Windows-Verwaltungsinstrumentierung missbraucht wurde. Die ist ein Hinweis darauf, dass sich Angreifer PowerShell, Windows Script Host und Windows-Verknüpfungsdateien zunutze machen, um Befehle, Skripts oder Binärdateien auszuführen.
• Fast 77 Prozent aller Credential-Access-Methoden stehen mit dem Dumping der Anmeldeinformationen von Betriebssystemen mit allgemein bekannten Dienstprogrammen in Zusammenhang. Das passt zum Trend, aktive Konten zu nutzen, damit Administrator:innen in Umgebungen mit hybriden Implementierungen zwischen On-Premise-Hosting und Cloud-Service-Providern nicht misstrauisch sind.

Während Credential-Access-Methoden lange im Fokus von Cyber-Kriminellen standen, deuten die verstärkten Investitionen in Techniken zur Umgehung von Security-Maßnahmen auf Verbesserungen bei den Sicherheitstechnologien der Unternehmen hin. Durch die Kombination mit Execution-Methoden sind Angreifer in der Lage, moderne Endpoint-Security-Maßnahmen zu umgehen und in den Unternehmensumgebungen unentdeckt zu bleiben.

Lesen Sie den vollständigen 2022 Elastic Global Threat Report

*****************

Dieser Beitrag wurde nachträglich korrigiert!!