Ein Hacker-Angriff !!! Jetzt alles Abschalten???
Verdachtsfall eines Angriffes bzw. Kompromittierung eines oder gar mehrer meiner Systeme.
Die Panik und der Adrenalinpegel steigt in den Kopf. - Jetzt am besten alles schnell ausschalten oder wenigstens vom Netz trennen !!!
Aber HALT. Erstmal nachdenken was das bewirkt und bedeutet.
Ein Angreifer ist bereits so weit eingedrungen, dass es Auswirkungen seiner Existenz bis zur Erkennung durch die Anwender geschafft haben.
Der Angriff ist so weit fortgeschritten, dass mit Sicherheit schon weitere Systeme infiziert sind, die aktuell noch nicht bemerkt wurden.
In diesem Stadium des Angriffes (vergl. die Cyber-Killchain) gibt es bereits mehrere Wege des Angreifers in das Netzwerk. Ergo, das Deaktivieren eines Systems ändert an der Zugangsmöglichkeit des Angreifers nicht allzu viel.
Der vermeintliche Nutzen eines Deaktivieren des Systems ist also gemessen am Angriffsszenario eher gering.
Wertvolle Artefakte im RAM des System bewahren.
Während die genutzten Tools und Techniken des Angreifers (wenn überhaupt) meist verschlüsselt auf dem System abgelegt sind und für eine genaue Analyse dadurch nicht zur Verfügung stehen, sind im Hauptspeicher des Systems die Daten und Programme unverschlüsselt verfügbar.
Vermeintlich z.B. wichtige Verschlüsselungs-Keys, Befehle und Parameter der Aktionen des Angreifers stehen dort ggf. ebenso zur Verfügung wie Informationen zu Herkunft und Attribution des Angreifers.
Schalte ich die Maschine stumpf ab, sind alle diese Informationen unwiederbringlich verloren.
Der Angreifer erkennt, dass er erkannt wurde.
Abhängig von dem aktuellen Fortschritt des Angriffes mag ein Angreifer erkennen, dass er entdeckt wurde. Da auch dieser Angreifer gewisse "Geheimnisse" hat die er nicht auf dem System hinterlassen möglichte beginnt er wenigstens seine Spuren und Hinterlassenschaften zu löschen.
Auch ist es möglich, dass der Angreifer durch seine Erkennung mittels der Verschlüsselung der Systeme beginnt, sein Ziel zu erreichen UND damit auch gleich seine Spuren verwischt.
Also einfach Zuschauen wie ich kompromittiert werde?
Im Prinzip JA.
Aber!
So genau wie möglich "zuschauen" und jeden Schritt (Ihren und des Angreifers) DOKUMENTIEREN.
(Nur im Notfall)
ei Gefahr im Verzug oder ähnlichen gravierenden Umständen kann/muss eine komplette Deaktivierung des gesamten (wichtig!) Internetzugangs erwägt werden. (Pressemitteilung nicht vergessen)
Der Nachteil, ich verliere die Informationen der Herkunft und der Aktivität des Angreifers. ("Mirror-Port" am InternetBreakout")
Je nach Angriff schützt das nicht vor einer Verschlüsselung meines Netzwerks. (DeadMan-Switch)
Planvolles Vorgehen statt blinder Aktionismus.
- Hände langsam von der Tastatur heben und "blinden Aktionismus" einstellen.
- Der Angreifer liest alle Aktionen mit (Passwörter, Daten, Geschäftsdokumente)
- Snapshots von allen virtuellen Server Servern erstellen (Festplatten UND RAM)
- Kontrolle des Backups nach möglichen Wiederherstellungszeitpunken.
- Reine Plattenbackups vom Netzwerk trennen.
- Sichern ALLER relevanter Logfiles auf ein externes Speichermedium. Firewall, Domaincontroler, WebServer, Router, Switche, DNS, DHCP, Mailserver, Zugangskontrollen, etc.)
- Etablierung eines "Mirror-Ports" wenigstens am Internet-Breakout und Capture ALLER Daten (Snaplength = 1500 Bytes)
- Out-of-Band Kommunikation mit Stakeholdern etablieren. z.B. SMS, Signal o.Ä. (interne Mails liest der Angreifer ja mit)
- Wenn möglich ein isoliertes BAD-VLAN erstellen (Nur Internetzugriff) um später einzelne verifiziert kompromittierte Systeme dorthin zu verschieben.
- Personalplanung bedenken. Max. 10h für Mitarbeiter.
- Verpflegung für Core-Team einplanen
Analysieren: "WTF is going on"
- Analyse des aktiven Netzwerkverkehrs am Internet-Breakout durch Fachpersonal auf dedizierten offline-Geräten (das Netzwerk gilt ja als kompromittiert).
- OSINT einsetzen (MISP, Alienvault OTX, IBM-XForce, etc.)
- Vorsicht bei Virustotalm ANY.RUN, etc. - Der Angreifer hat darauf ebenfalls Zugriff weil öffentlich Verfügbar.
- Analyse der MEM-Snapshots durch Fachpersonal nach "Bosheiten".
Identifizieren der Kompromittierten Systeme
Aus obiger "WTF-Analyse" haben sich Indikatoren (IOC) ergeben.
- Mittels Software (z.B. Nextron-Thor) kann nach weiterer Existenz auf anderen Systemen gesucht werden.
- AdHoc-Analysen der Logfiles und Systeme durch sog. APT-Scanner (z.B. Nextron-Thor, Loki, o.Ä.)
Ein Angriff !!! Jetzt alles Abschalten?
Fazit: NEIN.
Jedoch ist jetzt erstmal alles in einem gesicherten aber nicht Nutzbaren Zustand.
Jetzt kommt der "angenehme" Teil. - Meetings, Meetings, Meetings ....
Die Produktion, der Betrieb - Alles steht still. Mitarbeiter können nicht Arbeiten, die Firma verliert jede Stunde xxx-Tausend Euro.Ja - korrekt.
Und /ganz ehrlich und direkt) wer nicht in Planung und Krisenmanagement im Cyberbereich investiert und sich das Geld "spart", gibt eben am Ende wesentlich mehr aus.
Wie geht es jetzt weiter.
Je nach Umfang der kompromittierten Systeme können Sie mehr oder weniger in Fachpersonal investieren.
Prinzipiell haben Sie aktuell den Brand erstmal gelöscht. Jetzt auf die Suche nach weiteren Brandnestern und wenn diese ebenfalls alle gelöscht sind brauchen Sie einen Architekten, Maurer, Zimmermann, Elektriker, etc. um ihr Haus wieder "bewohnbar" zu machen.