Cisco Cisco ScanSafe Web Security Guía De Información
![Cisco](https://files.manualsbrain.com/attachments/7380d0050044647c30f5c24bbbf5d0c0b6d9bb84/common/fit/150/50/faa183d287233c52228cfea3dbc2a127fe780f60564fcb0955d9c3d1cd23/brand_logo.png)
© 2014 Cisco und/oder Partnerunternehmen. Alle Rechte vorbehalten. Dieses Dokument enthält öffentliche Informationen von Cisco.
Seite 3 von 8
Lösung
Cisco empfahl ein Upgrade auf CWS Premium mit CTA und AMP. Das Unternehmen erhielt somit einen
umfassenderen Einblick in sein Netzwerk, und das für die Abwehr von Bedrohungen zuständige Team konnte
Gefahren einfacher priorisieren.
Die retrospektive Analysefunktion kann Dateien aufdecken, die beim Passieren des Perimeterschutzes zwar als
„sauber“ angesehen wurden, in Wirklichkeit jedoch gut getarnte Malware sind. AMP benachrichtigt sofort den
Sicherheitsadministrator und veranschaulicht deutlich, welche Benutzer im Netzwerk möglicherweise wann infiziert
wurden.
CTA erkennt unterdessen auch besser getarnte Bedrohungen, die alle Schutzmechanismen passiert haben und im
Unternehmensnetzwerk aktiv sind. Das innovative System zur Malware-Erkennung kann befallene Geräte mithilfe
von Verhaltensanalysen und Erkennung von Unregelmäßigkeiten genau bestimmen. CTA verwendet für die
unabhängige Identifizierung neuer Bedrohungen erweiterte statistische Modellierungs- und maschinelle
Lernverfahren. Das Programm lernt aktiv dazu und passt sich mit der Zeit ohne Tuning- oder
Konfigurationsaufwand an.
CTA erkannte und meldete Belege für Malware-Aktivität im Netzwerk des Kunden. Die Malware bestand aus einer
Zusammenstellung von Modulen, die von einer Malware-Instanz gesteuert wurden. In diesem Fall war der Payload
die Ransomware Cryptolocker, eine Malware-Art, die Dateien auf den Computern der Opfer verschlüsselt und ihr
Gerät so lange sperrt, bis ein „Lösegeld“ bezahlt wird.
Wie in Abbildung 2 dargestellt, betrieb der Angreifer zur Durchführung des Angriffs eine Command-and-Control-
Infrastruktur. Diese Kampagne bestand aus vier grundlegenden Schritten:
Schritt 1. Mit einem Exploit (CVE-2012-4681) konnte der Angreifer eine Sicherheitslücke in der Java Runtime
Environment-(JRE-)Komponente von Oracle Java SE 7 Update 6 ausnutzen und Code unter
Umgehung des Sicherheitsmanagers remote ausführen.
Umgehung des Sicherheitsmanagers remote ausführen.
Schritt 2. Dann wurde das Bootkit (Rovnix.l) installiert, um den Verbleib im System sicherzustellen.
Schritt 3. Anschließend wurde der Payload für die volle Betriebsfähigkeit der Malware geliefert. (In diesem Fall
war der Payload die Ransomware Cryptolocker.)
Schritt 4. Mit der Einrichtung von Command-and-Control-Kanälen wurde die Aktivität sichergestellt.
Abbildung 2. Die vier grundlegenden Schritte des Angriffs
5
Malvertising, Online-Werbung zur Verbreitung von Malware, spielte eine Schlüsselrolle bei der Verbreitung von Cryptolocker,
das inzwischen neutralisiert wurde. Malvertising und Ransomware sind jedoch immer noch weit verbreitete Bedrohungen und
werden von Angreifern verwendet, um zielgerichtete Kampagnen über das Internet zu starten. Weitere Informationen finden Sie
im Cisco Midyear Security Report 2014:
werden von Angreifern verwendet, um zielgerichtete Kampagnen über das Internet zu starten. Weitere Informationen finden Sie
im Cisco Midyear Security Report 2014: