Die Technik des Deception-Engineering wird von Sicherheits-Researchern verwendet, um Angreifer gezielt zu täuschen. Hinter dem Begriff verbirgt sich ein Wortspiel in Analogie zum Detection-Engineering, bei dem die Verteidiger von Netzwerkinfrastrukturen ihr Wissen und ihre Kontrolle über die eigene IT-Umgebung zu ihrem Vorteil nutzen. Zusätzlich zum Schreiben von Richtlinien zur Erkennung einer bestimmten Angriffsart oder Bedrohungstechnik konzentrieren sich Sicherheitsresearcher dabei auf das Auslegen von Fallen und Ablenkungsmanövern gegen Cyberangreifer. Zu diesem Zweck müssen sämtliche Fachkräfte die Taktiken, Techniken und Programme von Hackern kennen und beherrschen, um diese durch eine Täuschung in ihrem Angriff zu stören.
Täuschung als Störaktion
Die Sicherheitsforscher des Zscaler-ThreatLabZ-Teams definieren den Begriff wie folgt: Deception-Engineering ist der Prozess des Aufbaus, des Testens und des Implementierens von auf Täuschung basierenden Sicherheitsmaßnahmen innerhalb des Unternehmens, um die Aktionen und Playbooks des Gegners zu stören. Damit können IT-Teams ihr Portfolio zur Erkennung von Sicherheitsvorfällen erweitern, indem sie die Angreifer zu einem bestimmten Verhalten zwingen. Der Vorteil dieses Täuschungsansatzes liegt in seiner Einfachheit. IT-Mitarbeiter legen dafür beispielsweise Köder in ihrer IT-Umgebung aus und kontrollieren die Verbindungen zu diesen Honigtöpfen. Durch dieses Täuschungsmanöver der Angreifer wollen sie von anderen unerwünschten Zugriffen auf das Netzwerk ablenken.
Der Deception-Engineering-Prozess orientiert sich an den folgenden Schritten:
- Erstellen eines für das Unternehmen kritischen Anwendungsfalles.
- Vorhersage der Schritte eines möglichen Angriffspfades durch Kenntnis der Techniken und Taktiken der Angreifer.
- Analyse der Täuschungsmöglichkeiten im Angriffspfad und Auslegen des Köders.
- Gewinnen von Anaysledaten durch Beobachten von Angriffsversuchen auf den Köder.
- Rückschlüsse für die allgemeine IT-Sicherheitsstrategie des Unternehmens aus den gewonnenen Daten ziehen.
- Implementierung der Deception-Engineering-Möglichkeiten als Gegenschlag, ohne die täglichen Abläufe zu stören.
Täuschungsmanöver für GPP-Attacken der Conti-Ransomware-Gruppe
Ein konkretes Anwendungsszenario für Deception-Engineering ist die Täuschung von Hackern, die einen Angriff auf das Group-Policy-Preferences-Saved-Password (GPP) ausrichten. Das GPP-Saved-Passwords-Problem gibt es seit fast einem Jahrzehnt. Die Funktion ermöglicht es Active-Directory-Administratoren, lokale Administrator-Kennwörter über Gruppenrichtlinien zu verwalten. Die XML-Datei zur Richtlinien-Konfiguration mit den Einzelheiten der Richtlinie speichert ebenfalls das Kennwort für das lokale Administratorkonto verschlüsselt in der Datei. Das hat zur Folge, dass jeder Domainbenutzer mit einem zur Verfügung gestellten Entschlüsselungs-Code unabhängig von seinen Berechtigungen nach der Datei suchen, das Kennwort entschlüsseln und Administrator-Zugriff auf alle Rechner erhalten könnte, für die diese Richtlinie gilt. IT-Experten wissen mittlerweile, dass besonders die Conti Ransomware-Gruppe diese GPP-Passwortextraktion als wichtigen Teil ihres Technik-Arsenals nutzte, wie aus deren Playbook hervorgeht. Wenn ein Angreifer auf der Suche nach diesem Ziel auf den Köder stößt, wird das IT-Team auf die Präsenz des Angreifers im System aufmerksam und kann Abwehrmaßnahmen ergreifen.
Fazit
Deception-Engineering gibt Verteidigern die Möglichkeit, die Aktivitäten und Wege von Angreifern in ihrem Netzwerk ein Stück weit zu kontrollieren – auf eine einfache und kluge Weise. Folglich wird seltener Fehl-Alarm gegeben und kritische Bereiche des Netzwerks lassen sich besser schützen, weil von ihnen abgelenkt werden kann. Außerdem fungieren die Täuschungen wie ein Gegenschlag, weil der Angreifer, wenn er auf einen Honigtopf hereinfällt, sofort als solcher erkannt wird und unschädlich gemacht werden kann.
Von Sudarshan Pisupati, Principal Security Research Engineer bei Zscaler
#Zscaler
