Effizientes Security Incident Response Management
Multi-Stage Attack – SOC und Defender for Endpoint verhindern Cyberangriff
Viele Unternehmen ohne ein dediziertes Security Operations Center (SOC) stehen vor erheblichen Herausforderungen bei der Erkennung und Reaktion auf Cyberbedrohungen. Ohne ein SOC fehlen oft die notwendigen Ressourcen und Fachkenntnisse, um Sicherheitsvorfälle rechtzeitig zu identifizieren und zu bewältigen. Dies führt zu verzögerten Reaktionen und erhöht das Risiko erheblicher Schäden. Ein SOC hilft uns dabei, potenzielle Risiken schnell zu bewerten und einzudämmen.
Kürzlich erkannte unser SOC eine schwerwiegende Multi-Stage Attack auf einem Endpunkt. Dieser Vorfall erforderte ein umgehendes und koordiniertes Security Incident Response Management. Dabei handelt es sich um die Organisation und Reaktion auf erkannte oder vermutete Sicherheitsvorfälle. In diesem Blogartikel erfahren Sie, wie unser SOC-Team den Vorfall entdeckte, welche Schritte zur Reaktion und Analyse unternommen wurden und welche Maßnahmen letztlich zur erfolgreichen Eindämmung der Cyberbedrohung führten.
Alarmierung und Analyse – effektives Security Incident Response Management
Manchmal führt schon ein unbedachter Klick eines Users im Internet zu einem kritischen Security-Vorfall. Wichtig ist hierbei, jederzeit darauf vorbereitet zu sein und entsprechend schnell zu reagieren.
Kürzlich machte uns ein Defender for Endpoint Alert darauf aufmerksam, dass eine verdächtige Datei namens „setup.exe“ entdeckt wurde, die über den Webbrowser Chrome heruntergeladen worden war. Der Incident Responder stufte die Datei als potenziell gefährlich ein, was den Verdacht auf einen Angriff auf den betroffenen Endpunkt lenkte.
Isolierung des Geräts und Untersuchung potenzieller Bedrohungen
Das SOC erhielt sofort einen Alarm, indem Sentinel automatisiert einen Incident erstellt hat, was wiederum einen Alarm im SOC auslöste. Ein Incident Responder des SOC-Teams analysierte den Vorfall umgehend und bestätigte, dass es sich nicht um ein False-Positive handelte. Unser Sicherheitsteam konnte den betroffenen Benutzer jedoch nicht zeitnah erreichen. Deshalb isolierten wir das Gerät, um weitere Schäden zu verhindern.
Multi-Stage Attack – Identifikation der potenziellen Bedrohung
Nach einer eingehenden Untersuchung des Endpunkts stellte sich heraus, dass der Benutzer nach Schriftarten suchte und im Anschluss eine verdächtige Datei heruntergeladen hat. Daraufhin hat das System den Prozess „fontview.exe“ gestartet, der aufgrund seiner Erstellung nach dem Download der verdächtigen Datei vom Responder als potenzieller Virus identifiziert wurde.
Des Weiteren stellte sich heraus, dass nach dem Download Onlinebanking-Webseiten und andere verdächtige Internetseiten aufgerufen wurden. Dies war ein Versuch, Anmeldedaten zu stehlen.
Aufgrund der fehlenden Reaktion des Benutzers hat das Sicherheitsteam seinen Account ebenfalls deaktiviert, um weitere Schäden zu vermeiden.
Im nächsten Schritt der Analyse zeigte sich, dass eine Verbindung mit „webcompanion.com“ hergestellt wurde. Diese Webseite bietet die Software „webcompanion“ zum Download an. Es handelt sich hierbei um eine Ad-Ware, die vorgibt den PC vor bösartigen Viren, Ransomware, Rootkits oder sonstiger Spyware zu schützen.
Die URL „webcompanion.com“ hat die Datei „setup.exe“ heruntergeladen, welche den Alert auslöste. Die Datei wurde ausgeführt und anschließend gelöscht. Nach weiteren Analysen kann angenommen werden, dass die Setup.exe lediglich als Ablenkung für verdächtiges Verhalten diente. Nach der Ausführung wurden nicht nur der „webcompanion“ und mehrere andere Programme installiert, sondern auch Dateien erstellt, die anschließend umbenannt wurden. Die hierbei gestarteten Prozesse haben dann Informationen über das Gerät gesammelt. Die schnelle Netzwerkisolierung durch unser SOC konnte das Übertragen der Daten an dritte Systeme verhindern. Damit die EDR-Lösung (Endpoint Detection and Response-Lösung) gar nicht erst tätig werden muss, ist auch der Einsatz von z. B. Windows Defender Application Control sinnvoll. Hier wird die Ausführung einer unbekannten Datei direkt verhindert. Auch die Ausführung von Dateien im administrativen Kontext wird im besten Fall durch Lösungen wie Endpoint Privilege Management oder Local Admin Password Solution (LAPS) eingeschränkt.
Der Incident Responder hatte eingangs das Gerät mit Defender isoliert, jedoch die Kommunikationswege für Outlook und Teams explizit hiervon ausgenommen, um die Kommunikation mit dem User zu ermöglichen. Da aber der Virus die Netzwerkeinstellungen geändert hat, konnte der User nicht über Outlook und Teams kontaktiert werden. Seitens Defender hat somit also die vollständige Netzwerkisolation gegriffen.
Bedeutung von Defender for Endpoint Integration und Security Incident Response Management
Der Multi-Stage Attack Cyberangriff verdeutlicht die Vielschichtigkeit von Sicherheitsvorfällen und die Bedeutung einer schnellen Reaktion. Durch die Integration von Defender for Endpoint kann der Vorfall effektiv untersucht werden, potenzielle Risiken bewertet und angemessene Maßnahmen ergriffen werden, um das betroffene System zu isolieren und weitere Schäden zu verhindern. Dieser Vorfall unterstreicht die Notwendigkeit kontinuierlicher Überwachung und Verbesserung der Sicherheitspraktiken, um sich mit Security Incident Response Management gegen komplexe Cyberbedrohungen zu verteidigen. Unser SOC integriert sich optimal in Microsoft Security Produkte und bietet die notwendige schnelle und professionelle Analyse der Defender Ereignisse. Unsere Erfahrungen im Microsoft Security Umfeld führen nicht nur zu einer schnellen Reaktion auf Sicherheitsvorfälle, sondern sorgen auch für die optimale Konfiguration der Dienste, sodass potenzielle Bedrohungen proaktiv abgewehrt werden.
Fazit
Ein Alert von Defender for Endpoint machte auf eine verdächtige Datei aufmerksam, die über den Webbrowser Chrome heruntergeladen wurde. Unsere Lösung bestand darin, sofortige Maßnahmen zur Isolierung des betroffenen Geräts zu ergreifen und eine detaillierte Untersuchung der Bedrohung durchzuführen. Dies ermöglichte es uns, die Schadsoftware schnell zu identifizieren und die Verbreitung des Angriffs zu stoppen.
Ohne unser SOC mit Echtzeitschutz wäre eine effiziente Incident Response bei dieser Multi-Stage Attack nicht möglich gewesen. Im schlimmsten Fall hätten die Angreifer vertrauliche Dateien und Bankdaten stehlen und sich im Netzwerk auf weitere Rechner ausbreiten können, bevor jemand den Cyberangriff überhaupt bemerkt hätte.
Vor diesen und weiteren Worst-Case-Szenarios schützen wir unsere Kunden mit dem Net at Work SOC. Als zertifizierter Microsoft Solutions Partner for Security kennen wir uns mit Microsoft Defender und allen integrierten Microsoft Lösungen bestens aus. Unsere SOC-Kunden profitieren daher von effizientem Incident Response Management.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Net at Work Security Operations Center (SOC)
In unserem Security Operations Center unterstützen wir Sie beim ganzheitlichen Schutz Ihrer Unternehmensdaten mit erweiterten Servicezeiten und M365-Alarmierung, vereinfachter Überwachung digitaler Assets sowie effizienter Strukturierung und übersichtlicher Darstellung von Informationen – ein zuverlässiger Echtzeitschutz vor potenziellen Bedrohungen.