Scope Online - Industriemagazin für Produktion und Technik
Sie befinden sich hier:
Home> Betrieb + Beschaffung> Dienstleistungen>

Cyberangriff: Diese 10 Kommandos sind verdächtig

SchnelllieferserviceMaßgeschneiderte Dichtungen in nur einem Tag

Schnelllieferservice: Maßgeschneiderte Dichtungen in nur einem Tag

Mit Xpress bietet Freudenberg einen Service für die Fertigung von Ersatzteilen, Prototypen und Dichtungen in wirtschaftlichen Kleinserien. Große und kleine Einzelteile können in nur einem Tag hergestellt werden.

…mehr

DatensicherheitDiese 10 IT-Kommandos weisen auf Cyberattacken hin

Das schnelle Aufspüren von IT-Angriffen ist eine Grundvoraussetzung für unmittelbare Reaktionen und die Beschleunigung von Incident-Response-Prozessen. CyberArk hat zehn IT-Kommandos identifiziert, die auf eine mögliche Insider- oder Cyberattacke hinweisen können.

Aufspüren von IT-Angriffen

Vor Kurzem hat CyberArk seine Sicherheitssuite Privileged Account Security um eine neue Funktion zur automatischen Erkennung hochriskanter privilegierter Aktivitäten mit Echtzeit-Alarmierung erweitert. Das Unternehmen hat bei der Lösungskonzeption  mit seinen Anwendern zusammengearbeitet und ihr Feedback ist unmittelbar in die neue Lösung eingeflossen. „Bei dieser engen Kooperation ist von unseren Kunden wiederholt eine für sie sehr wichtige Frage aufgeworfen worden, und zwar nach der Möglichkeit, Indizien für hochriskante Aktivitäten möglichst schnell zu erkennen. Wir haben diese Frage aufgegriffen und zehn IT-Kommandos ermittelt, die häufig mit bösartigen oder unbeabsichtigt schädlichen Aktionen in Verbindung stehen“, erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf.

Die zehn häufigsten „brisanten“ Kommandos, die oft ein Indiz für einen Insider- oder Cyberangriff sind, im Überblick:

1. mmc.exe, Active-Directory-Anwender und -Computer

Über dieses Kommando kann ein Windows-Nutzer neue User-Accounts zu einer Domain hinzufügen. Die Aktion kann darauf hinweisen, dass ein Angreifer eine persistente „Hintertür“ für die gesamte Windows-Domain einrichtet.

2. explorer.exe, User-Accounts

Mit diesem Kommando wird ein Fenster geöffnet, über das ein Windows-Anwender einem System neue Accounts hinzufügen kann. Auch diese Aktivität kann ein Hinweis auf die Schaffung einer persistenten „Hintertür“ sein.

3. regedit.exe, Registry Editor

Das Kommando bietet Zugriff auf die Windows-Registry. Über die Registry können kritische Systemkonfigurationen und Sicherheitseinstellungen geändert und vertrauliche Zugangsdaten auf dem System ermittelt werden.

4. mmc.exe, Windows-Firewall mit erweiterten Sicherheitseinstellungen

Der Zugriff auf die Windows-Firewall ermöglicht die Modifikation von Sicherheitskonfigurationen auf einem System und kann ein Indiz sein, dass ein Angreifer Sicherheitskontrollen auf der Maschine deaktiviert, um die nächsten Schritte seiner Attacke zu vereinfachen.

5. mmc.exe, Network Policy Server

Über den Windows Network Policy Server können Anwender Netzwerkkonfigurationen modifizieren. Die Nutzung kann darauf hinweisen, dass ein Angreifer einen unautorisierten Zugriff auf oder von einer Maschine ermöglicht.

6. authorized_keys

Kommandos, die „authorized_keys“ enthalten, können Zugriff auf „authorized_keys“-Dateien von Unix oder unixoiden Systemen bieten. Dadurch ist es möglich, einer Maschine unautorisierte SSH-Keys hinzuzufügen, die auch als persistente „Hintertür“ dienen können.

7. sudoers

Kommandozeilen mit „sudoers“ ermöglichen einen Zugang zum sudoers-File von Unix-Systemen. Über dieses File können Anwender User-Privilegien auf einem System manipulieren. Eine solche Aktion könnte darauf hindeuten, dass ein Angreifer einem Account unautorisierte Berechtigungen einräumt, die zu einem späteren Zeitpunkt für bösartige Aktionen genutzt werden können.

8. :(){ :|: & };:

Diese Zeichenfolge fungiert im Unix-Umfeld als Forkbomb, die alle Maschinenressourcen verbraucht und den Server nicht mehr nutzbar macht. Die Zeichenfolge wird kaum versehentlich eingegeben und bedeutet deshalb einen absichtlichen Versuch, ein Unternehmen zu schädigen.

9. tcpdump

Dieses Kommando ermöglicht bei Unix-Systemen und -Derivaten einen Zugriff auf Netzwerkverkehr und -pakete. Die Verwendung kann ein Indiz sein, dass ein Angreifer versucht, die Kommunikationskanäle einer Maschine kennenzulernen, um mit diesen Informationen die nächsten Schritte seiner Attacke zu planen.

10. rm

Mit der Eingabe dieses Kommandos im Unix-Bereich können Files und Directories gelöscht werden. Auch eine solche Aktion kann als möglicher Angriff auf das Unternehmensnetz gewertet werden.

Auch wenn nach CyberArk diese Liste als erster Ansatzpunkt dienen kann, muss immer beachtet werden, dass jede Umgebung unterschiedlich ist. Wenn ein Unternehmen also die primär zu überwachenden IT-Kommandos ermittelt, muss berücksichtigt werden, welche Systeme im Einsatz sind, welche Systeme die unternehmenskritischsten Daten enthalten und welche Aktivitäten im Regelbetrieb üblich sind.

Hat ein Unternehmen diese Basisarbeit geleistet, steht mit der Sicherheitssuite Privileged Account Security von CyberArk eine Lösung zur Verfügung, die eine automatische Echtzeit-Erkennung gefährlicher Aktivitäten bietet und Unternehmen damit eine schnelle Reaktion auf laufende Attacken ermöglicht.

Konkret unterstützt die Lösung etwa die Definition hochriskanter Aktivitäten in Abhängigkeit von den Unternehmensanforderungen, die Identifizierung von gefährlichen Aktivitäten mit sofortiger Alarmierung und die Priorisierung von Incident-Response-Maßnahmen auf Basis der konkreten Gefahrensituation. cs

Anzeige
Anzeige

Weitere Beiträge zum Thema

Automatisierungstechnik: Fünf Supertrends in der Industrie 2017

AutomatisierungstechnikFünf Supertrends in der Industrie 2017

Leroy Spence ist Sales und Business Manager beim Zulieferer für Industriebauteile EU Automation. Im folgenden erörtert er die Supertrends der Industrie, die die Fertigungsindustrie 2017 verändern werden.

…mehr
Arbeiter mit Tablet

Industrie 4.010 goldene Regeln für die Mobile Factory

Was genau bedeutet die digitale Revolution am Fließband und was muss beachtet werden, damit sie auch wirklich zur unternehmerischen Revolution und nicht zum kostenfressenden Rohrkrepierer wird? Dr. Hubert Weid, Geschäftsführer der Kölner Full-Service App Agentur mobivention, definiert 10 goldene Regeln, mit denen die Vernetzung von Mensch, Maschine und Wissen zum Vorteil für Produktionskette, Unternehmen und Mitarbeiter wird.

…mehr

StudieManager bei Datensicherheit überfordert

Eine Umfrage zu Informationsmanagement und Sicherheitspraktiken im Mittelstand, durchgeführt von Iron Mountain, einem Unternehmen für Informationsmanagement und Archivierung, ergab, dass Manager am fahrlässigsten mit sensiblen Unternehmensinformationen umgehen und möglicherweise das schwächste Glied sind, wenn es um die Sicherung solcher Informationen geht.

…mehr
CmStick im Metallgehäuse

Automatisierungstreff 2015Anwender-Workshops zum Thema Softwareschutz mit Wibu Systems

Wibu-Systems bietet Herstellern beim diesjährigen Automatisierungstreff zwei Anwender-Workshops am 26. März mit hochaktuellen Themen für die Praxis. Die Schwerpunkte liegen beim Schutz der Maschinensoftware vor Reverse-Engineering und vor Kopieren als auch beim Integritätsschutz der Embedded-Software über Secure Boot.

…mehr
Podiumsdiskussion auf der IT & Business: Experten diskutieren das Märchen von der Datensicherheit

Podiumsdiskussion auf der IT & BusinessExperten diskutieren das Märchen von der Datensicherheit

Sichere Daten - frommer Wunsch oder Wirklichkeit? So lautet das Thema der Podiumsdiskussion im Rahmen der Fachmesse IT & Business am 9. Oktober in Stuttgart.

…mehr
Anzeige
Anzeige
Anzeige

Neue Stellenanzeigen

Direkt zu:


ExtraSCOPE


TrendSCOPE


Robotik in der industriellen Fertigung