smart engineering - Industrie 4.0 aus einer Hand
Home> Wirtschaft + Unternehmen> Branchen, Märkte, Ausbildung> Archiv>

Diese 10 IT-Kommandos weisen auf Cyberattacken hin

Cybersecurity10 Anzeichen für Cyberattacken

Das schnelle Aufspüren von IT-Angriffen ist eine Grundvoraussetzung für unmittelbare Reaktionen und die Beschleunigung von Incident-Response-Prozessen. CyberArk hat zehn IT-Kommandos identifiziert, die auf eine mögliche Insider- oder Cyberattacke hinweisen können.

Vor Kurzem hat CyberArk seine Sicherheitssuite Privileged Account Security um eine neue Funktion zur automatischen Erkennung hochriskanter privilegierter Aktivitäten mit Echtzeit-Alarmierung erweitert. Das Unternehmen hat bei der Lösungskonzeption mit seinen Anwendern zusammengearbeitet und ihr Feedback ist unmittelbar in die neue Lösung eingeflossen. „Bei dieser engen Kooperation ist von unseren Kunden wiederholt eine für sie sehr wichtige Frage aufgeworfen worden, und zwar nach der Möglichkeit, Indizien für hochriskante Aktivitäten möglichst schnell zu erkennen. Wir haben diese Frage aufgegriffen und zehn IT-Kommandos ermittelt, die häufig mit bösartigen oder unbeabsichtigt schädlichen Aktionen in Verbindung stehen“, erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf.

Anzeige

Die zehn häufigsten „brisanten“ Kommandos, die oft ein Indiz für einen Insider- oder Cyberangriff sind, im Überblick:

1. mmc.exe, Active-Directory-Anwender und -Computer
Über dieses Kommando kann ein Windows-Nutzer neue User-Accounts zu einer Domain hinzufügen. Die Aktion kann darauf hinweisen, dass ein Angreifer eine persistente „Hintertür“ für die gesamte Windows-Domain einrichtet.

2. explorer.exe, User-Accounts
Mit diesem Kommando wird ein Fenster geöffnet, über das ein Windows-Anwender einem System neue Accounts hinzufügen kann. Auch diese Aktivität kann ein Hinweis auf die Schaffung einer persistenten „Hintertür“ sein.

3. regedit.exe, Registry Editor
Das Kommando bietet Zugriff auf die Windows-Registry. Über die Registry können kritische Systemkonfigurationen und Sicherheitseinstellungen geändert und vertrauliche Zugangsdaten auf dem System ermittelt werden.

4. mmc.exe, Windows-Firewall mit erweiterten Sicherheitseinstellungen
Der Zugriff auf die Windows-Firewall ermöglicht die Modifikation von Sicherheitskonfigurationen auf einem System und kann ein Indiz sein, dass ein Angreifer Sicherheitskontrollen auf der Maschine deaktiviert, um die nächsten Schritte seiner Attacke zu vereinfachen.

5. mmc.exe, Network Policy Server
Über den Windows Network Policy Server können Anwender Netzwerkkonfigurationen modifizieren. Die Nutzung kann darauf hinweisen, dass ein Angreifer einen unautorisierten Zugriff auf oder von einer Maschine ermöglicht.

6. authorized_keys
Kommandos, die „authorized_keys“ enthalten, können Zugriff auf „authorized_keys“-Dateien von Unix oder unixoiden Systemen bieten. Dadurch ist es möglich, einer Maschine unautorisierte SSH-Keys hinzuzufügen, die auch als persistente „Hintertür“ dienen können.

7. sudoers
Kommandozeilen mit „sudoers“ ermöglichen einen Zugang zum sudoers-File von Unix-Systemen. Über dieses File können Anwender User-Privilegien auf einem System manipulieren. Eine solche Aktion könnte darauf hindeuten, dass ein Angreifer einem Account unautorisierte Berechtigungen einräumt, die zu einem späteren Zeitpunkt für bösartige Aktionen genutzt werden können.

8. :(){ :|: & };:
Diese Zeichenfolge fungiert im Unix-Umfeld als Forkbomb, die alle Maschinenressourcen verbraucht und den Server nicht mehr nutzbar macht. Die Zeichenfolge wird kaum versehentlich eingegeben und bedeutet deshalb einen absichtlichen Versuch, ein Unternehmen zu schädigen.

9. tcpdump
Dieses Kommando ermöglicht bei Unix-Systemen und -Derivaten einen Zugriff auf Netzwerkverkehr und -pakete. Die Verwendung kann ein Indiz sein, dass ein Angreifer versucht, die Kommunikationskanäle einer Maschine kennenzulernen, um mit diesen Informationen die nächsten Schritte seiner Attacke zu planen.

10. rm
Mit der Eingabe dieses Kommandos im Unix-Bereich können Files und Directories gelöscht werden. Auch eine solche Aktion kann als möglicher Angriff auf das Unternehmensnetz gewertet werden.

Auch wenn nach CyberArk diese Liste als erster Ansatzpunkt dienen kann, muss immer beachtet werden, dass jede Umgebung unterschiedlich ist. Wenn ein Unternehmen also die primär zu überwachenden IT-Kommandos ermittelt, muss berücksichtigt werden, welche Systeme im Einsatz sind, welche Systeme die unternehmenskritischsten Daten enthalten und welche Aktivitäten im Regelbetrieb üblich sind.

Hat ein Unternehmen diese Basisarbeit geleistet, steht mit der Sicherheitssuite Privileged Account Security von CyberArk eine Lösung zur Verfügung, die eine automatische Echtzeit-Erkennung gefährlicher Aktivitäten bietet und Unternehmen damit eine schnelle Reaktion auf laufende Attacken ermöglicht.

Konkret unterstützt die Lösung etwa die Definition hochriskanter Aktivitäten in Abhängigkeit von den Unternehmensanforderungen, die Identifizierung von gefährlichen Aktivitäten mit sofortiger Alarmierung und die Priorisierung von Incident-Response-Maßnahmen auf Basis der konkreten Gefahrensituation.

Weitere Beiträge zum Thema

McAfee Labs: Austausch von Bedrohungsintelligenz

McAfee LabsAustausch von Bedrohungsintelligenz

McAfee stellt im aktuellen McAfee Labs Threats Report Herausforderungen vor, die beim Austausch von Bedrohungsintelligenz auftreten. Außerdem untersucht der Bericht die Architektur und Arbeitsweise von Mirai-Botnetzen, wertet industrieübergreifend dokumentierte Angriffe aus und zeigt Wachstumstrends von Malware, Ransomware, mobiler Malware und anderen Bedrohungen aus dem letzten Quartal (Q4) von 2016 auf.

…mehr

Weitere Beiträge in dieser Rubrik

HANNOVER MESSE 2017: fleXstructures gewinnt ROBOTICS AWARD 2017

HANNOVER MESSE 2017fleXstructures gewinnt ROBOTICS AWARD 2017

Die Entscheidung ist gefallen, der Sieger wurde gebührend gefeiert. Der ROBOTICS AWARD 2017 geht an die fleXstructures GmbH aus Kaiserslautern. Die Jury wählt damit ein vergleichsweise junges Unternehmen auf den ersten Rang, das sich mit einer smarten Softwarelösung beworben hatte.

…mehr
HANNOVER MESSE 2017: Der digitale Werkzeugkasten

HANNOVER MESSE 2017Der digitale Werkzeugkasten

"Digitalisierung. Einfach. Machen.“: Auch in diesem Jahr bleibt die Telekom ihrem Motto treu und zeigt sich ab dem 24. April auf der Hannover Messe als Digitalisierungspartner für Industrie und Mittelstand.

…mehr
Hannover Messe 2017: Roboter ab 5.000 Euro frei konfigurieren

Hannover Messe 2017Roboter ab 5.000 Euro frei konfigurieren

Einfach konfigurieren und kostengünstig automatisieren – Igus präsentiert auf der Hannover Messe neue Robolink Komponenten für individuelle Robotik-Lösungen.

…mehr
Virtuelle Realität: Engineering durch die VR-Brille

Virtuelle RealitätEngineering durch die VR-Brille

Virtuelle Realität im Maschinen- und Anlagenbau: Aktuell geben hochauflösende VR-Brillen vor allem den täglich neu auf den Markt kommenden Computerspielen den besonderen Kick. Lenze nutzt diese Technik hingegen als effektives Werkzeug im Engineering und Training.

…mehr
Anzeige
Anzeige

PLM-Jahrbuch 2017

Mediadaten 2017

Anzeige

White Papers auf smart engineering


In unserer neuen White Paper Sektion finden Sie lösungsorientierte White Paper unserer Partner zu IT-Standards, Anwendungshinweisen, Leistungsübersichten uvm. Jetzt kostenfrei downloaden.

Künstliche Intelligenz: Forschungsroboter “Roboy“ und Martina Mara

Video- Künstliche Intelligenz: Forschungsroboter “Roboy“ und Martina Mara


Welche Wirkung hat der Anblick von Robotern auf Menschen? Mit dieser Frage befasst sich das Team um Professor Markus Appel vom Campus Landau in einem aktuellen Forschungsprojekt. Mit ihrer Studien wollen die Forscher herausfinden, inwieweit wir Menschen künstliche Intelligenz als helfende Hand im Alltag akzeptieren oder ablehnen.

smart engineering in Social Networks

smart engineering Newsletter

smart engineering Newsletter kostenfrei abonnieren

Unser Newsletter informiert Sie über die wichtigsten Neuigkeiten, Produktentwicklungen und Trends aus der Branche. Jetzt kostenlos registrieren.

SCOPE Newsticker