Bedrohungsakteure nutzen Internetdienste, um Datendiebstahl zu verstärken und Sicherheitsvorkehrungen zu schwächen

Eine neue Studie von Insikt hebt einen neuen Trend hervor: Bedrohungsakteure nutzen zunehmend vertrauenswürdige Plattformen wie Google Drive, OneDrive, Notion und GitHub, um bösartige Aktivitäten im normalen Internetverkehr zu verbergen. Diese Taktik steigert ihre Effizienz beim Datendiebstahl und bei Operationen und schwächt gleichzeitig herkömmliche Abwehrmaßnahmen. Bei dieser Strategie stehen Advanced Persistent Threat (APT)-Gruppen an der Spitze, wobei weniger versierte Gruppen diesem Beispiel folgen. Dies unterstreicht die Notwendigkeit anpassbarer Verteidigungsstrategien, die sich parallel zu den Innovationen der Bedrohungsakteure weiterentwickeln.

Der Bericht schließt eine entscheidende Verständnislücke, indem er einen systematischen Überblick über den Missbrauch legitimer Internetdienste (LIS) in verschiedenen Malware-Kategorien bietet. Es wird ein weiterer Anstieg des LIS-Missbrauchs prognostiziert, der auf die Vorteile zurückzuführen ist, die die Bedrohungsakteure genießen, und auf die Herausforderungen, denen die Verteidiger gegenüberstehen. Da es keine umfassenden Berichte gibt, lässt sich dieser Trend nur schwer eindeutig quantifizieren. Doch die Häufigkeit des LIS-Missbrauchs durch etablierte Malware-Familien, die Übernahme dieser Methoden durch neuere Varianten und die schnellen Innovationen von APT-Gruppen deuten allesamt auf einen zunehmenden Trend des LIS-Missbrauchs für die Infrastruktur gegnerischer Systeme hin.

Übersicht über die Einrichtung einer vollständigen C2-Infrastruktur mit LIS

Da die Bedrohungsakteure ihre Taktiken ständig weiterentwickeln, verlieren herkömmliche Abwehrmaßnahmen wie das Blockieren von Indikatoren für Kompromittierungen (IOC) und grundlegende Erkennungsmethoden an Wirksamkeit. Es wird ein vielschichtiger Ansatz vorgeschlagen, der netzwerk-, datei- und protokollbasierte Erkennungsmethoden umfasst. Verteidiger sollten zudem proaktiv potenziell anfällige Internetdienste identifizieren und Angriffssimulationen durchführen, um die Nase vorn zu behalten.

Aus der im Bericht durchgeführten Analyse von über 400 Malware-Familien geht hervor, dass 25 % von ihnen LIS in irgendeiner Form missbrauchen, wobei 68,5 % dieser Familien mehr als ein LIS missbrauchen. Infostealer nutzen LIS am häufigsten aus (37 %), was auf ihre Ziele bei der Datenexfiltration und die einfache Einrichtung der Infrastruktur zurückzuführen ist. Verschiedene Malware-Kategorien übernehmen unterschiedliche Infrastrukturschemata. Am häufigsten werden Cloud-Speicherplattformen wie Google Drive missbraucht, gefolgt von Messaging-Apps wie Telegram und Discord.

Kurzfristig wird Verteidigern geraten, LIS zu identifizieren und zu blockieren, die nicht in ihrer Umgebung verwendet werden, von denen aber bekannt ist, dass sie sie für böswillige Zwecke einsetzen. Um die Sicherheit langfristig zu gewährleisten, sollten Unternehmen Ressourcen investieren, um sowohl die legitime als auch die böswillige Nutzung bestimmter Dienste zu verstehen. Dieses Verständnis wird die Entwicklung effektiverer und differenzierterer Nachweismethoden erleichtern. Technologien wie das Abfangen von TLS-Netzwerken gewinnen im Hinblick auf eine verbesserte Sichtbarkeit an Bedeutung, bringen jedoch auch Datenschutz- und Compliance-Bedenken mit sich.

Trotz dieser Herausforderungen können Verteidiger Maßnahmen wie das Blockieren oder Markieren böswilliger LIS-Nutzung, die proaktive Suche nach Bedrohungen und den Einsatz eines breiten Spektrums an Erkennungsmethoden ergreifen. Die Entwicklung eines umfassenden Verständnisses der legitimen und böswilligen Dienstnutzung ist für wirksame Erkennungsmechanismen und einen umfassenden Schutz von entscheidender Bedeutung. Der nächste Bericht der Reihe befasst sich mit dem Missbrauch einer bestimmten LIS-Kategorie, die als bösartige Infrastruktur verwendet wird.

Um die gesamte Analyse mit Endnoten zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.