Diese 10 IT-Kommandos weisen auf Cyberattacken hin
Das schnelle Aufspüren von IT-Angriffen ist eine Grundvoraussetzung für unmittelbare Reaktionen und die Beschleunigung von Incident-Response-Prozessen. Der IT-Security-Spezialist CyberArk hat zehn IT-Kommandos identifiziert, die auf eine mögliche Insider- oder Cyberattacke hinweisen können.
Wird Ihr Unternehmen gerade angegriffen? Und wenn ja, wie erkennen Sie dies? Der IT-Security-Spezialist CyberArk hat zehn IT-Kommandos ermittelt, die häufig mit bösartigen oder unbeabsichtigt schädlichen Aktionen in Verbindung stehen.
Hier folgen also die zehn häufigsten «brisanten» Kommandos, die oft ein Indiz für einen Insider- oder Cyberangriff sind, im Überblick:
1. mmc.exe, Active-Directory-Anwender und -Computer
Über dieses Kommando kann ein Windows-Nutzer neue User-Accounts zu einer Domain hinzufügen. Die Aktion kann darauf hinweisen, dass ein Angreifer eine persistente "Hintertür" für die gesamte Windows-Domain einrichtet.
2. explorer.exe, User-Accounts
Mit diesem Kommando wird ein Fenster geöffnet, über das ein Windows-Anwender einem System neue Accounts hinzufügen kann. Auch diese Aktivität kann ein Hinweis auf die Schaffung einer persistenten «Hintertür» sein. Nächste Seite: Vom Registry Editor zum Network Policy Server
3. regedit.exe, Registry Editor
Das Kommando bietet Zugriff auf die Windows-Registry. Über die Registry können kritische Systemkonfigurationen und Sicherheitseinstellungen geändert und vertrauliche Zugangsdaten auf dem System ermittelt werden.
4. mmc.exe, Windows-Firewall mit erweiterten Sicherheitseinstellungen
Der Zugriff auf die Windows-Firewall ermöglicht die Modifikation von Sicherheitskonfigurationen auf einem System und kann ein Indiz sein, dass ein Angreifer Sicherheitskontrollen auf der Maschine deaktiviert, um die nächsten Schritte seiner Attacke zu vereinfachen.
5. mmc.exe, Network Policy Server
Über den Windows Network Policy Server können Anwender Netzwerkkonfigurationen modifizieren. Die Nutzung kann darauf hinweisen, dass ein Angreifer einen unautorisierten Zugriff auf oder von einer Maschine ermöglicht. Nächste Seite: So erkennt man eine «Forkbomb»
6. authorized_keys
Kommandos, die «authorized_keys» enthalten, können Zugriff auf «authorized_keys»-Dateien von Unix oder unixoiden Systemen bieten. Dadurch ist es möglich, einer Maschine unautorisierte SSH-Keys hinzuzufügen, die auch als persistente «Hintertür» dienen können.
7. sudoers
Kommandozeilen mit «sudoers» ermöglichen einen Zugang zum sudoers-File von Unix-Systemen. Über dieses File können Anwender User-Privilegien auf einem System manipulieren. Eine solche Aktion könnte darauf hindeuten, dass ein Angreifer einem Account unautorisierte Berechtigungen einräumt, die zu einem späteren Zeitpunkt für bösartige Aktionen genutzt werden können.
8. :(){ :|: & };:
Diese Zeichenfolge fungiert im Unix-Umfeld als Forkbomb, die alle Maschinenressourcen verbraucht und den Server nicht mehr nutzbar macht. Die Zeichenfolge wird kaum versehentlich eingegeben und bedeutet deshalb einen absichtlichen Versuch, ein Unternehmen zu schädigen. Nächste Seite: Löschen von ganzen Unix-Verzeichnissen und Fazit
9. tcpdump
Dieses Kommando ermöglicht bei Unix-Systemen und -Derivaten einen Zugriff auf Netzwerkverkehr und -pakete. Die Verwendung kann ein Indiz sein, dass ein Angreifer versucht, die Kommunikationskanäle einer Maschine kennenzulernen, um mit diesen Informationen die nächsten Schritte seiner Attacke zu planen.
10. rm
Mit der Eingabe dieses Kommandos im Unix-Bereich können Files und Directories gelöscht werden. Auch eine solche Aktion kann als möglicher Angriff auf das Unternehmensnetz gewertet werden.
Fazit
Auch wenn nach CyberArk diese Liste als erster Ansatzpunkt dienen kann, muss immer beachtet werden, dass jede Umgebung unterschiedlich ist. Wenn ein Unternehmen also die primär zu überwachenden IT-Kommandos ermittelt, muss berücksichtigt werden, welche Systeme im Einsatz sind, welche Systeme die unternehmenskritischsten Daten enthalten und welche Aktivitäten im Regelbetrieb üblich sind.
