zuruck zur Themenseite

Artikel und Hintergründe zum Thema

Security

Günter Herkommer,

Diese IT-Kommandos weisen auf Cyberattacken hin

Das schnelle Aufspüren von IT-Angriffen ist eine Grundvoraussetzung für unmittelbare Reaktionen und die Beschleunigung von Incident-Response-Prozessen. Cyberark hat zehn IT-Kommandos identifiziert, die auf eine mögliche Insider- oder Cyberattacke hinweisen können.

Cyberark ist auf den Schutz vor Cyber-Attacken spezialisiert, die Schwächen in der Berechtigungsvergabe für privilegierte Zugriffe auf IT-Systeme ausnutzen.

© Fotolia - Andrey Popov

Die zehn häufigsten „brisanten“ Kommandos, die oft ein Indiz für einen Insider- oder Cyberangriff sind, im Überblick:

1. mmc.exe, Active-Directory-Anwender und -Computer

Über dieses Kommando kann ein Windows-Nutzer neue User-Accounts zu einer Domain hinzufügen. Die Aktion kann darauf hinweisen, dass ein Angreifer eine persistente „Hintertür“ für die gesamte Windows-Domain einrichtet.

2. explorer.exe, User-Accounts

Mit diesem Kommando wird ein Fenster geöffnet, über das ein Windows-Anwender einem System neue Accounts hinzufügen kann. Auch diese Aktivität kann ein Hinweis auf die Schaffung einer persistenten „Hintertür“ sein.

3. regedit.exe, Registry Editor

Das Kommando bietet Zugriff auf die Windows-Registry. Über die Registry können kritische Systemkonfigurationen und Sicherheitseinstellungen geändert und vertrauliche Zugangsdaten auf dem System ermittelt werden.

4. mmc.exe, Windows-Firewall mit erweiterten Sicherheitseinstellungen

Der Zugriff auf die Windows-Firewall ermöglicht die Modifikation von Sicherheitskonfigurationen auf einem System und kann ein Indiz sein, dass ein Angreifer Sicherheitskontrollen auf der Maschine deaktiviert, um die nächsten Schritte seiner Attacke zu vereinfachen.

5. mmc.exe, Network Policy Server

Über den Windows Network Policy Server können Anwender Netzwerkkonfigurationen modifizieren. Die Nutzung kann darauf hinweisen, dass ein Angreifer einen unautorisierten Zugriff auf oder von einer Maschine ermöglicht.

6. authorized_keys

Kommandos, die „authorized_keys“ enthalten, können Zugriff auf „authorized_keys“-Dateien von Unix oder unixoiden Systemen bieten. Dadurch ist es möglich, einer Maschine unautorisierte SSH-Keys hinzuzufügen, die auch als persistente „Hintertür“ dienen können.

7. sudoers

Kommandozeilen mit „sudoers“ ermöglichen einen Zugang zum sudoers-File von Unix-Systemen. Über dieses File können Anwender User-Privilegien auf einem System manipulieren. Eine solche Aktion könnte darauf hindeuten, dass ein Angreifer einem Account unautorisierte Berechtigungen einräumt, die zu einem späteren Zeitpunkt für bösartige Aktionen genutzt werden können.

8. :(){ :|: & };:

Diese Zeichenfolge fungiert im Unix-Umfeld als Forkbomb, die alle Maschinenressourcen verbraucht und den Server nicht mehr nutzbar macht. Die Zeichenfolge wird kaum versehentlich eingegeben und bedeutet deshalb einen absichtlichen Versuch, ein Unternehmen zu schädigen.

9. tcpdump

Dieses Kommando ermöglicht bei Unix-Systemen und -Derivaten einen Zugriff auf Netzwerkverkehr und -pakete. Die Verwendung kann ein Indiz sein, dass ein Angreifer versucht, die Kommunikationskanäle einer Maschine kennenzulernen, um mit diesen Informationen die nächsten Schritte seiner Attacke zu planen.

10. rm

Mit der Eingabe dieses Kommandos im Unix-Bereich können Files und Directories gelöscht werden. Auch eine solche Aktion kann als möglicher Angriff auf das Unternehmensnetz gewertet werden.

Auch wenn nach CyberArk diese Liste als erster Ansatzpunkt dienen kann, müsse immer beachtet werden, dass jede Umgebung unterschiedlich ist. Wenn ein Unternehmen also die primär zu überwachenden IT-Kommandos ermittelt, ist zu berücksichtigen, welche Systeme im Einsatz sind, welche Systeme die unternehmenskritischsten Daten enthalten und welche Aktivitäten im Regelbetrieb üblich sind.

Anzeige
  • Xing Icon
  • LinkedIn Icon
Anzeige
zurück zur Themenseite
Anzeige

Das könnte Sie auch interessieren

Anzeige

Cisco / IBM

Gemeinsam gegen Cyberkriminalität

Zwei große Player im IT-Sicherheitsmarkt – Cisco und IBM – beabsichtigen, durch Technologieintegration, kombinierte Services und Zusammenarbeit bei Threat Intelligence die Effizienz von IT-Security für ihre Kunden zu verbessern.

mehr...

Sichere Automation

Generationswechsel bei Pilz

Erstmals hat Pilz in 2016 die Umsatzmarke von 300 Mio. Euro überschritten. 2017 steht im Zeichen des Generationswechsels: Zum Jahresende wird Renate Pilz die operativen Geschäfte komplett in die Hände ihrer Kinder Susanne Kunschert und Thomas Pilz...

mehr...
Anzeige
Anzeige
Anzeige

Security

Forschungsprojekt zu sicheren Updates

Unter der Projektleitung von Infineon wird im BMBF-geförderten Projekt 'Alessio' untersucht, wie vernetzte Maschinen und langlebige Geräte mit updatefähigen Sicherheitsmechanismen ausgestattet werden können.

mehr...

Industrial Security

Der sichere Service-Zugang

Die Anzahl verknüpfter Produktionsnetzwerke wird im Zeitalter von Industrie 4.0 stetig steigen. Allerdings stellt der Zugriffsschutz komplex vernetzter Maschinen und Anlagen die Betreiber vor große Herausforderungen – unter anderem was den...

mehr...
Anzeige
Anzeige
Anzeige

IT-Security

Welche Cyber-Bedrohungen erwarten uns 2017?

Ransomare – Malware, die den Computer infiziert und Geld für die Entsperrung verlangt – entwickelt sich 2017 rasant weiter. Vor allem der Business-Bereich, das IoT und das Industrielle Internet der Dinge stehen im Visier der Hacker. Diesen Ausblick...

mehr...
Jetzt Newsletter abonnieren