CyberWiki – I wie Indicator of Compromise (IoC)

Gerade durch die MS Exchange Hackerwelle (Link zum Blogbeitrag) ist das Thema der Indicator of Compromise (IoC) wieder aufgekommen. Doch was verbirgt sich hinter dem Namen? In diesem Blogbeitrag möchte ich Ihnen das Thema IoC einmal näherbringen und den Zusammenhang mit den MS Exchange Hacks erläutern. 

Wie erkennt die Polizei, ob sich jemand unbefugt Zutritt zu einem Tatort verschafft hat? Antwort: z. B. durch ein Siegel an der Tür. Wenn das Siegel durchbrochen ist, dann weiß man, dass sich jemand Zugang zu dem Tatort verschafft hat. Das zerbrochene Siegel ist in diesem Fall der IoC (deutsch: „Kompromittierungsindikator“).  

Auch in der IT-Welt kann man feststellen, ob sich jemand unbefugten Zugriff zu einem fremden System verschafft hat. Mit Hilfe von verschiedenen Methoden lassen sich IoCs, sprich Merkmale, die auf eine Kompromittierung hindeuten, entdecken. Wenn ein IoC gefunden wurde, so ist das kein Beweis, sondern nur ein Indiz. Allerdings gibt es IoCs, ähnlich wie das Siegel der Polizei in dem Beispiel oben, die eine sehr hohe Wahrscheinlichkeit haben, dass sich der Cyberkriminelle Zugriff zum System verschafft hat.  

Dabei gibt es viele verschiedene Arten von IoCs. Um die technische Komplexität des Blogbeitrags gering zu halten, möchte ich lediglich ein Beispiel zum besseren Verständnis etwas detaillierter erklären: Wenn in einem System ein Administrator-Account existiert, der keinem Mitarbeiter zugeordnet werden kann und eine große Anzahl an Daten an ein fremdes System verschickt, dann ist davon auszugehen, dass dieser Administrator kein Mitarbeiter des Unternehmens ist, sondern ein Cyberkrimineller. Solch ein „neuer Administrator-Account“ ist typisch für Hackerangriffe, da sich die meisten Hacker durch eine Cyberattacke nur beim ersten Mal Zutritt zum System verschaffen. Wenn sie einmal auf dem System sind, probieren sie sich in der Regel einen Dauerzutritt, wie z. B. einen Benutzerzugang, zu schaffen. Denn wenn die ausgenutze Schwachstelle geschlossen wird, kann der Hacker trotzdem noch auf das System zugreifen. Diesen nachträglich eingebauten Zugriff nennt man auch Backdoor bzw. Hintertür.  

Wo liegt nun der Zusammenhang mit den MS Exchange und den IoCs? Bei der Exchange-Hackerwelle wurden nicht nur automatisiert die Mail-Server angegriffen, sondern bei Erfolg auch noch automatisiert Backdoors eingebaut. Nach diesen Backdoors kann man nun mit Hilfe von IoCs suchen. Teilweise sind diese IoCs sogar von außerhalb der IT-Infrastruktur erkennbar, sodass gute Outside-In Scans diese erkennen können. 


Linus Töbke

0 Kommentare:

Kommentar posten