Praxisbeispiel: Bedrohung auf Windows-PCs erkennen und beseitigen mit Nexthink

Mit immer aggres­siverer Schad­soft­ware und ge­ziel­ten Attacken erhö­hen Cyber-Krimi­nelle die Be­dro­hung für Unter­nehmen. Ihre Aktivi­täten wer­den durch die Kom­plexi­tät der IT-Umgebung be­gün­stigt, die etwa auf­grund der größeren Mobilität von Clients immer schwerer zu kontrollieren ist.*

Rein passive Schutzschilde wie Virenscanner, Firewalls und Verschlüsselung greifen häufig zu kurz. So sagt Gartner in einem aktuellen Bericht eine strategische Trendwende voraus, wonach 80 Prozent aller Security-Lösungen bis zum Jahr 2018 um Monitoring von Benutzeraktivitäten und um forensische Funktionalität erweitert würden. Dieser Anteil lag 2013 bei lediglich 5 Prozent.

Proaktives Security- und Risk Management

Nexthink adressiert mit seinen Client-Analysetools diese neuen Anforderungen an die IT-Security durch einen proaktiven Client-orientierten Analyseansatz:

• Prävention zur Vermeidung von Attacken
• Erkennen von Angriffen für rasches Handeln
• Schließen von Lücken durch Analysieren der Einbruchswege

Nexthink sammelt fortwährend Daten über jede Programm-, User- und Netzwerk-Aktivität auf sämtlichen Clients. Diese werden unter anderem kontinuierlich auf ungewöhnliche und potenziell bedrohliche Ereignisse, den Missbrauch von Anwendungen und Berechtigungen sowie unerwünschte Veränderungen in Konfiguration und Setup hin untersucht.

Praxisbeispiel: Malware-Infektion erkennen und eliminieren

Das folgende Praxisbeispiel zeigt, wie Nexthink vorhandene Sicherheits­software ergänzt. Im beschriebenen Fall kompensiert es das Versagen einer Virenschutz­software und gibt den Administratoren forensische Tools an die Hand.

Angenommen, im Finder, dem Echtzeit-Analyse­werkzeug von Nexthink, wird ein Security-Alert gemeldet: auf vier Clients wurde vom Nexthink Collector verdächtiges Verhalten erkannt.

Der Finder meldet mittels Alert einen Security-Vorfall

Mit einem Klick kann der Administrator die betroffenen Clients auflisten und die Ursache identifizieren, die den Alert auslöste. Das Kontextmenü One-Click-Investigations => Dangerous binaries on these devices fördert ein Malware-Programm als Auslöser zutage.

Mit einem Klick lässt sich das Schadprogramm über alle Rechner hinweg identifizieren

Der Finder offenbart, dass es sich um ein Hintergrund­programm (User Interface: no) handelt, welches vom Nexthink-System als sicherheits­kritisch erkannt wurde (Threat Level high) und inzwischen schon 4 MB Daten aus dem Netz heraus verschickt hat.

Der Nexthink Finder liefert Informationen über den Schädling und die Bedrohungslage.

Nexthink kennt auch die zugehörige Netzwerk-Aktivität und zeigt im Finder an, dass auf den betroffenen Clients das Programm sendme.exe über Port 80 Daten an die Domain onedrive.com sendet.

Der Finder stellt die zugrunde liegenden Netzwerkverbindungen dar.

Diese unmittelbar verfügbaren Informationen versetzen den Administrator in die Lage, die Situation zu bereinigen: Deinstallation der Schadsoftware sowie bei Bedarf Sperrung der Domain im Proxy. Um hierzu die betreffenden Informationen weiterzugeben, kann er alle relevanten Analyse­ergebnisse in eine Excel-Datei exportieren. Dazu wählt er im Kontextmenü Drilldown-to => Activities => Connections.

Ursachenforschung mit forensischer Analyse

Nexthink bietet der IT darüber hinaus weitere Handlungs­möglichkeiten. So muss der Administrator lediglich den Finder konsultieren, um nachvollziehen, wie es zur Infektion mit der Malware kam.

Er öffnet dazu die Timeline zu einem der betroffenen Devices, die sämtliche Ereignisse enthält. Hier erkennt er auf einen Blick, dass zum Zeitpunkt, als die Aktivitäten der Malware erstmalig auffielen, zeitgleich ein verdächtiges Programm installiert wurde. Dieses führt zwei Binaries aus, darunter das schon als Malware identifizierte Hintergrund­programm sendme.exe.

Die Auswertung zeigt den Zusammenhang zu anderen Binaries auf

Die Finder-Daten offenbaren einen Fall von Schatten-IT: Das zugehörige Setup-Programm wurde von einem Removable Device, also vermutlich einem USB-Stick, installiert.

Nexthink kennt den ursprünglichen Ausführungsort und entlarvt einen USB-Stick als Einfallstor.

Die Ansicht Web Activity zeigt zudem, dass das Setup-Programm sich einmalig mit einer externen Domain verband, von welcher vermutlich das eigentliche die Malware nachgeladen wurde. Diese Domain kann der Admin direkt aus dem Nexthink Finder analysieren, indem er dazu über das Kontextmenü Informationen bei Virustotal anfordert.

Der Nexthink-Administrator ist nun gefordert, die Lücken in den Clients aufzuspüren, die das Einschleusen der Malware zugelassen haben. Im Finder vergewissert er sich zunächst, dass eine aktuelle Antivirus- und Antispyware-Software auf den betreffenden Clients wie vorgesehen installiert ist und dass die Internet-Sicherheits-Einstellungen der internen Security Policy entsprechen.

Nexthink identifiziert die auf den Clients installierte Security-Software und deren Zustand

Bleibt noch die Frage zu beantworten, warum die vorhandenen Schutz­mechanismen nicht gegriffen haben. Mit der Custom Action Lookup binary on virustotal.com kann er sich anhand des gespeicherten Hashwertes alle bekannten Informationen zum Programm ansehen und so feststellen, dass dieses spezielle Programm dem eingesetzten Antivirus­programm nicht bekannt war.

Schatten-IT wirkungsvoll erkennen und eindämmen

Das Praxisbeispiel zeigt, wie Nexthink die IT wirkungsvoll dabei unterstützen kann, die Einhaltung der Sicherheitsvorgaben durch die Anwender zu kontrollieren und umzusetzen.

Da der Administrator einen USB-Stick als Ursprung der Malware-Infektion identifizieren konnte, ist es sinnvoll, wenn er sich einen Alert einrichtet, der immer denn Alarm schlägt, wenn ein Netzwerk­zugriff von einem Programm auf einem USB-Gerät aus erfolgt.

Der entsprechende Report existiert bereits im Settings-Bereich unter Global Alerts und muss noch nur bei Bedarf individuell angepasst werden. Wenn gewünscht, kann er sich den Report in einem definierten Intervall per E-Mail zuschicken lassen.

Portal informiert über Kennzahlen und Entwicklungen

Darüber hinaus können die von diesem Report gemeldeten kritischen Aktivitäten auch im Nexthink Portal dargestellt werden. Damit lassen sich solche Informationen einem weiteren Personenkreis zugänglich machen, zum Beispiel anderen Abteilungen oder Personen im Management.

Im Nexthink Portal werden Analysedaten für alle Beteiligten aufbereitet und zur Verfügung gestellt

Hierzu erstellt der Administrator im Finder zunächst eine neue Metrik, welche die gewünschten Ereignisse erfasst. Anschließend meldet er sich per Browser im Portal an, erstellt ein neues Dashboard und fügt die erstellte Metrik dem Dashboard hinzu.

Alternativ gibt er ein vorhandenes Dashboard frei, beispielsweise Malware Activity / Suspicous Binaries.

*Dieser Text ist ein von Nexthink bezahlter Beitrag.