{"id":145881,"date":"2021-06-28T08:29:22","date_gmt":"2021-06-28T08:29:22","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/die-unterbrechung-von-cyber-attack-chains-mit-5-windows-tools-auf-die-sie-bereits-zugriff-haben\/"},"modified":"2025-06-11T21:22:27","modified_gmt":"2025-06-11T21:22:27","slug":"die-unterbrechung-von-cyber-attack-chains-mit-5-windows-tools-auf-die-sie-bereits-zugriff-haben","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/de\/blog\/die-unterbrechung-von-cyber-attack-chains-mit-5-windows-tools-auf-die-sie-bereits-zugriff-haben\/","title":{"rendered":"Die Unterbrechung von Cyber Attack Chains mit 5 Tools – auf die Sie bereits Zugriff haben"},"content":{"rendered":"

\"Breaking<\/p>\n

Haben Sie Kunden, die nicht f\u00fcr Sicherheitssoftware von Drittanbietern bezahlen m\u00f6chten oder sich zus\u00e4tzlichen Schutz erhoffen? Wir verraten Ihnen, wie Sie viele Angriffstaktiken mit integrierten Windows-Werkzeugen blockieren oder \u00fcberwachen k\u00f6nnen.<\/strong><\/p>\n

Die gro\u00dfe Attacke auf einen bekannten IT-Anbieter und dessen Kunden Ende letzten Jahres hat das Thema ins \u00f6ffentliche Interesse ger\u00fcckt. Kein Wunder, denn dieser Angriff bot alle Merkmale, um maximale Aufmerksamkeit zu erregen: Opfer mit gro\u00dfen Namen; Angreifer, die sehr wahrscheinlich von einem Staat finanziert wurden; hochmoderne Angriffsmethoden; Bedrohungen der nationalen Sicherheit anderer Staaten und nicht zuletzt gravierende Auswirkungen auf die zuk\u00fcnftige politische Cyberstrategie der USA, die entsprechende Gegenma\u00dfnahmen einleiten d\u00fcrften.<\/p>\n

Doch w\u00e4hrend nach und nach immer weitere Details in den News-Feeds auftauchen und Unternehmen dar\u00fcber nachdenken, wie sie mit einem \u00e4hnlichen Angriff umgehen w\u00fcrden, geht das weniger spektakul\u00e4re Gesch\u00e4ft gew\u00f6hnlicher cyberkrimineller Akteure still und leise weiter. Jeden Tag fangen Horden von Malspam-Aktivit\u00e4ten neue Opfer. Ransomware mag sich in der ungewohnten Position befinden, nicht mehr die IT-Bedrohung Nummer Eins zu sein, aber sie f\u00fcllt weiterhin die Geldb\u00f6rsen krimineller Akteure mit frischen Bitcoins. <\/p>\n

Chris Krebs, ehemaliger Director der U.S. Agency f\u00fcr Cyber- und Infrastruktursicherheit und Katie Nickels, Director of Threat Intelligence bei Red Canary , machen darauf aufmerksam<\/a>, dass eine beunruhigende Tendenz zu beobachtet ist, dass sich allein auf staatliche Akteure konzentriert wird und das \u201elangweilige, kriminelle Zeug\u201c dabei vernachl\u00e4ssigt w\u00fcrde. <\/p>\n

Diese \u201elangweilige Kriminalit\u00e4t\u201c ist f\u00fcr die Mehrzahl der Gefahren verantwortlich, mit denen es MSP\u2019s und ihre Kunden zu tun bekommen. In den letzten Jahren wurde viel in die Entwicklung sicherer Unternehmensnetzwerke und in Trainings f\u00fcr Mitarbeiter investiert, trotzdem finden Angreifer weiterhin Wege, um gro\u00dfen Schaden anzurichten. Schlimmer noch: Diese Sch\u00e4den werden umfangreicher und verursachen mehr und mehr Kosten. <\/p>\n

Laut dem Ransomware Incident Response Anbieter Coveware<\/strong> stieg die durchschnittliche Summe f\u00fcr gezahlte L\u00f6segelder im 3. Quartal 2020 auf 196.624 Euro<\/a> an. Das entspricht einer Steigerung um 31% gegen\u00fcber dem 2. Quartal. Die durchschnittliche Ausfallzeit, die von Ransomware verursacht wurde, stieg ebenfalls auf 19 Tage an.<\/p>\n

\"coveware<\/p>\n

Quelle: <\/span><\/i>Coveware Q3\/2020 Ransomware Report<\/span><\/i><\/a><\/p>\n

 <\/p>\n

Coveware berichtet f\u00fcr das 3. Quartal 2020 auch von einer ansteigenden Zahl an F\u00e4llen (50% aller Ransomware Attacken, mit denen das Unternehmen befasst ist), bei denen Angreifer mit der Ver\u00f6ffentlichung der gestohlenen Daten drohten.<\/p>\n

Die sich versch\u00e4rfende Bedrohungslage, erfordert von MSP\u2019s, nach besseren Wegen zur Verteidigung zu suchen. Dabei geht es nicht allein um das Blockieren von Schadsoftware, sondern um das Suchen, Blockieren und Beantworten von Hinweisen auf Cyberattacken, die am Anfang des Cyber Attack Chain zu beobachten sind.<\/strong><\/p>\n

Verbesserung der Verteidigung durch die Kalibrierung von Werkzeugen auf den Cyber Attack Chain<\/h2>\n

Das folgende Diagramm wurde vom Microsoft 365 Defender Intelligence Team im April 2020 erstellt. Die Grafik bietet einen guten \u00dcberblick, welche charakteristischen Aktivit\u00e4ten IT-Experten nach einem Angriff beobachten. Diebstahl von Zugangsdaten, Seitw\u00e4rtsbewegungen innerhalb der IT-Umgebung und Persistance-Strategien (zielgerichtete, andauernde Angriffsmethoden) \u2013 neben der T\u00e4tigkeit, auf die sich Laien am meisten fokussieren: dem letztendlichen Zugriff und der Ausf\u00fchrung der Schadsoftware. <\/p>\n

\"microsoft<\/p>\n

Quelle: <\/span><\/i>Microsoft 365 Defender Intelligence Team<\/span><\/i><\/a><\/p>\n

 <\/p>\n

Das Diagramm veranschaulicht, wie sehr sich die Angriffsmuster \u00e4hneln. Anfangs versuchen die Angreifer einen Fu\u00df in die T\u00fcr zu bekommen, um sich tiefer in das System vorzuarbeiten, Backups und andere Verteidigungsma\u00dfnahmen zu deaktivieren, damit sie (oder ein anderer Akteur, dem sie den Zugang verkaufen) die Ransomware ausf\u00fchren k\u00f6nnen. So erzeugt der erpresserische Angriff die gr\u00f6\u00dftm\u00f6gliche Wirkung und die Opfer haben kaum mehr Optionen, als das L\u00f6segeld zu bezahlen.<\/p>\n

Das Unterteilen des Cyber Attack Chains in einzelne Kettenglieder mag den ein oder anderen fachkundigen Leser an das MITRE ATT&CK Framework<\/a> erinnern, dass deutlich tiefer ins Detail geht und zahlreiche weitere Angriffstaktiken beleuchtet.<\/p>\n

Mir gef\u00e4llt diese vereinfachte Herangehensweise. Die ATT&CK Matrix ist inzwischen un\u00fcbersichtlich geworden, daher dachte ich mir, ich w\u00fcrde lieber einen eigenen Versuch wagen, ein zug\u00e4nglicheres Attack-Chain-Modell zu erstellen. Mein Ansatz geht jedoch etwas in eine andere Richtung: Ich m\u00f6chte mich auf 5 Werkzeuge von Microsoft konzentrieren, zu denen Unternehmen bereits einen Zugang haben sollten. Damit lassen sich die meisten der gebr\u00e4uchlichen Angriffstaktiken blockieren, oder zumindest erkennen. Bei den 5 Werkzeugen handelt es sich um folgende: <\/p>\n

    \n
  1. Regeln zur Reduzierung der Angriffsfl\u00e4che (ASR rules)<\/strong><\/li>\n
  2. Autoruns<\/strong><\/li>\n
  3. PowerShell<\/strong><\/li>\n
  4. RD Gateway<\/strong><\/li>\n
  5. Windows Firewall<\/strong><\/li>\n<\/ol>\n

    Neben der Vermeidung von Zusatzkosten f\u00fcr Drittanbieter von Sicherheitssoftware, bietet sich mit diesen Werkzeugen der zus\u00e4tzliche Vorteil, dass die meisten der Verteidigungsstrategien, die wir unten behandeln, zentral \u00fcber Ihr RMM oder Intune bereitgestellt und\/oder konfiguriert werden k\u00f6nnen.<\/p>\n

    Hinweis zum Haftungsausschluss:<\/strong> Diese Liste erhebt beim besten Willen keinen Anspruch auf Vollst\u00e4ndigkeit. Sie soll vielmehr einige grundlegende Informationen auf eine etwas neue Art und Weise pr\u00e4sentieren, die MSP’s zum Nachdenken anregt. Wir hoffen, dass sie Ihnen helfen kann, zus\u00e4tzliche, relativ einfache M\u00f6glichkeiten zu identifizieren, um Ihre Sicherheitsma\u00dfnahmen und die Ihrer Kunden zu verbessern, indem Sie Angreifern das Leben ein wenig schwerer machen.<\/p>\n

     <\/p>\n

    \"Cyber<\/p>\n

     <\/p>\n

    Besch\u00e4ftigen wir uns intensiver mit dem dargestellten Diagramm und versuchen wir zu verstehen, welche M\u00f6glichkeiten zur Identifikation fragw\u00fcrdigen Verhaltens oder zum Unterbrechen des Attack Chains Ihnen die jeweiligen Werkzeuge anzubieten haben.<\/p>\n

    Werkzeug #1: RD Gateway<\/h2>\n

    Entsch\u00e4rft folgende Taktik: <\/strong><\/p>\n