Manualsbrain.com
  1. Manuales
  2. Marcas
  3. Cisco
  4. Cisco ScanSafe Web Security
  5. Guía De Información

Cisco Cisco ScanSafe Web Security Guía De Información

Descargar
Página de 8
 
 
© 2014 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco. 
Seite 3 von 8 
Lösung 
Cisco empfahl ein Upgrade auf CWS Premium mit CTA und AMP. Das Unternehmen erhielt somit einen 
umfassenderen Einblick in sein Netzwerk, und das für die Abwehr von Bedrohungen zuständige Team konnte 
Gefahren einfacher priorisieren.  
Die retrospektive Analysefunktion kann Dateien aufdecken, die beim Passieren des Perimeterschutzes zwar als 
„sauber“ angesehen wurden, in Wirklichkeit jedoch gut getarnte Malware sind. AMP benachrichtigt sofort den 
Sicherheitsadministrator und veranschaulicht deutlich, welche Benutzer im Netzwerk möglicherweise wann infiziert 
wurden. 
CTA erkennt unterdessen auch besser getarnte Bedrohungen, die alle Schutzmechanismen passiert haben und im 
Unternehmensnetzwerk aktiv sind. Das innovative System zur Malware-Erkennung kann befallene Geräte mithilfe 
von Verhaltensanalysen und Erkennung von Unregelmäßigkeiten genau bestimmen. CTA verwendet für die 
unabhängige Identifizierung neuer Bedrohungen erweiterte statistische Modellierungs- und maschinelle 
Lernverfahren. Das Programm lernt aktiv dazu und passt sich mit der Zeit ohne Tuning- oder 
Konfigurationsaufwand an. 
CTA erkannte und meldete Belege für Malware-Aktivität im Netzwerk des Kunden. Die Malware bestand aus einer 
Zusammenstellung von Modulen, die von einer Malware-Instanz gesteuert wurden. In diesem Fall war der Payload 
die Ransomware Cryptolocker, eine Malware-Art, die Dateien auf den Computern der Opfer verschlüsselt und ihr 
Gerät so lange sperrt, bis ein „Lösegeld“ bezahlt wird.
 
Wie in Abbildung 2 dargestellt, betrieb der Angreifer zur Durchführung des Angriffs eine Command-and-Control-
Infrastruktur. Diese Kampagne bestand aus vier grundlegenden Schritten: 
Schritt 1.    Mit einem Exploit (CVE-2012-4681) konnte der Angreifer eine Sicherheitslücke in der Java Runtime 
Environment-(JRE-)Komponente von Oracle Java SE 7 Update 6 ausnutzen und Code unter 
Umgehung des Sicherheitsmanagers remote ausführen.  
Schritt 2.    Dann wurde das Bootkit (Rovnix.l) installiert, um den Verbleib im System sicherzustellen. 
Schritt 3.    Anschließend wurde der Payload für die volle Betriebsfähigkeit der Malware geliefert. (In diesem Fall 
war der Payload die Ransomware Cryptolocker.) 
Schritt 4.    Mit der Einrichtung von Command-and-Control-Kanälen wurde die Aktivität sichergestellt. 
Abbildung 2.    Die vier grundlegenden Schritte des Angriffs 
 
                                                 
5
 Malvertising, Online-Werbung zur Verbreitung von Malware, spielte eine Schlüsselrolle bei der Verbreitung von Cryptolocker, 
das inzwischen neutralisiert wurde. Malvertising und Ransomware sind jedoch immer noch weit verbreitete Bedrohungen und 
werden von Angreifern verwendet, um zielgerichtete Kampagnen über das Internet zu starten. Weitere Informationen finden Sie 
im Cisco Midyear Security Report 2014: 
.