FIREWALL

BEST PRACTICES ZUR

ABWEHR VON

Ransomware-Angriffe werden immer raffinierter und effizienter:

Sie nutzen Schwachstellen in Netzwerken und Systemen aus –
und die Unternehmen bleiben auf dem Schaden sitzen. Moderne
Firewalls wurden speziell dafür entwickelt, Systeme gegen
solche Angriffe zu schützen, allerdings müssen hierfür zunächst
die geeigneten Voraussetzungen geschaffen werden. In diesem
Whitepaper erfahren Sie, wie Ransomware-Angriffe ablaufen,
wie sie abgewehrt werden können und wie Sie sich durch
die korrekte Konfiguration Ihres Netzwerks und Ihrer Firewall
optimal vor solchen Angriffen schützen.

Sophos-Whitepaper Oktober 2018

Firewall Best Practices zur Abwehr von Ransomware

Ausbreitung von Ransomware-Angriffen

2018 erlebten wir einen neuen Trend bei Ransomware, weg von groß angelegten Brute-
Force-Angriffen hin zu gezielten, sorgfältig geplanten, manuell durchgeführten Angriffen, die
sich wesentlich schwerer erkennen und abwehren lassen. Im Folgenden sehen wir uns die
Vorgehensweise verschiedener Formen von Ransomware an und zeigen, was Ihr Unternehmen tun
kann, um die Anfälligkeit für einen Angriff zu minimieren.

Gezielte Ransomware-Angriffe
Wie der Name vermuten lässt, sind die Angreifer gut informiert: Sie kennen Sie und Ihr
Unternehmen genau und wissen, wie viel Lösegeld Sie aufbringen können und wo Ihre
Zahlungsbereitschaft endet.

Die Angreifer haben sich Zugriff auf das Netzwerk Ihres Unternehmens verschafft. So haben sie den
Schaden, den sie Ihnen zufügen, im Blick und unter Kontrolle. Und sie passen sich an. Stoßen sie
auf ein Hindernis, umgehen sie es einfach und finden einen anderen Weg. Sie haben es nicht auf
schwer erreichbare Ziele mit leistungsstarken Sicherheitstechnologien abgesehen – warum sollten
sie auch. Ihnen stehen genug leichtere Möglichkeiten zur Verfügung, schnelles Geld zu machen.

Zu den bekanntesten und erfolgreichsten Varianten dieser Form von Ransomware gehören Dharma,
SamSam und BitPaymer. Ausmaß und Komplexität sind zwar jeweils unterschiedlich, dennoch ist
die Vorgehensweise ähnlich.

Typischer Ablauf eines gezielten Ransomware-Angriffs

ÌÌ Die Angreifer dringen per Remote-Zugriff (z.B. für File Sharing, RDP oder FTP), durch Brute-
Force-Hacking oder Erraten eines schwachen Passworts in das Netzwerk ein

ÌÌ Rechteausweitung bis zur Administratorebene: Die Angreifer nutzen Schwachstellen im

System aus und verschaffen sich höhere Berechtigungen, um so die Sicherheits-Software zu
umgehen

ÌÌ Die Sicherheits-Software wird umgangen: Mit ihren ausgeweiteten Berechtigungen können

die Angreifer auf Tools wie externe Kernel-Treiber zurückgreifen. Mit diesen Tools lassen sich
Prozesse deaktivieren und das Löschen von Dateien erzwingen. So umgehen die Angreifer
Schutzmaßnahmen, die eigentlich verhindern, dass die Sicherheitssoftware direkt deinstalliert
werden kann

ÌÌ Verbreitung von Ransomware, um die Dateien des Opfers zu verschlüsseln: Die Angreifer
nutzen Schwachstellen im Netzwerk und Host oder einfache File-Sharing-Protokolle, um
weitere Systeme im Netzwerk zu kompromittieren und dateiverschlüsselnde Ransomware zu
verbreiten

ÌÌ Nach der Verschlüsselung der Dateien erhält das Opfer eine Lösegeldforderung für die
Entschlüsselung

ÌÌ Die Angreifer warten, bis der Betroffene sie wie von ihnen gefordert per E-Mail oder über eine
Website im Darknet kontaktiert

Die Folgen dieser Angriffe sind meist schwerwiegend. Neben hohen Ausfallzeiten und
Produktivitätsverlusten stellt die Lösegeldforderung selbst eine große Belastung dar. SamSam
fordert etwa 50.000 USD in Bitcoins und BitPaymer sogar eine halbe Million USD für die Freigabe
verschlüsselter Dateien.

Sophos-Whitepaper Oktober 2018 2

Firewall Best Practices zur Abwehr von Ransomware

Bereitstellung von Ransomware über RDP

Die meisten Betriebssysteme nutzen harmlose und sehr praktische Desktop-Sharing-Tools
wie RDP (Remote Desktop Protocol) und VNC (Virtual Network Computing) für den Remote-
Zugriff und die Remote-Verwaltung von Systemen. Ohne ausreichenden Schutz bieten diese
Tools allerdings eine willkommene Schwachstelle, die häufig für gezielte Ransomware-Angriffe
genutzt wird.

Sorgen Sie deshalb dafür, dass RDP und ähnliche Remote-Management-Protokolle hinter
einem VPN (Virtual Private Network) ausreichend geschützt sind oder legen Sie zumindest
fest, welche IP-Adressen zugreifen können – sonst stehen Angreifern alle Türen offen. Denn
viele Angreifer nutzen Brute-Force-Hacking-Tools, die Hunderttausende Kombinationen aus
Benutzername und Passwort ausprobieren, bis sie sich erfolgreich Zugriff verschaffen und Ihr
Netzwerk kompromittieren.

Wurmbasierte Ransomware
2017 war das Jahr der Ransomware-Angriffe durch Trojaner wie WannaCry und Petya, die
unzählige Unternehmen lahmlegten und weltweit Hunderttausende Computer infizierten.
Diese Angriffe nutzten zu ihrer Verbreitung eine Schwachstelle im SMB-Protokoll von
Microsoft zur Freigabe von Netzwerkdateien aus. Dieses Protokoll ist in Unternehmens-
LANs allgegenwärtig und ermöglicht Computern, sich zur Freigabe von Dateien und anderen
Ressourcen wie z.B. Druckern gegenseitig zu erkennen. Es kann auch zur Freigabe von Dateien
außerhalb der Firewall verwendet werden, wenn die notwendigen Ports (TCP 139 und/oder
445) geöffnet oder auf der Firewall weitergeleitet werden.

Die Sicherheitslücke, über die sich WannaCry und Petya Zugriff verschafft haben, ist bekannt
als „EternalBlue“. EternalBlue erlaubt die Remote-Ausführung von Code und verschickt
ausgeklügelte E-Mails über das Netzwerk an das anfällige SMB-Protokoll auf Microsoft
Windows-Computern.

Grundsätzlich ist jedes vernetzte System auf eine Reihe von Diensten zur Gewährleistung
der Netzwerkfunktionalität angewiesen, egal ob Windows, Linux, Mac OS oder ein anderes
Betriebssystem genutzt wird. Hin und wieder lassen diese Dienste Sicherheitslücken erkennen,
die bei Ausnutzung schlimme Folgen haben können.

Im Falle des EternalBlue-Exploits veröffenlichte Microsoft schnell einen Patch für die
Sicherheitslücke (MS17-010). Die Hacker waren jedoch schneller und schlugen vielfach vor der
Implementierung des Patches zu.

Sophos-Whitepaper Oktober 2018 3

Firewall Best Practices zur Abwehr von Ransomware

Die besten Tipps zum Schutz vor Ransomware

Selbst bei den vorsichtigsten Unternehmen besteht eine Sicherheitslücke zwischen dem
Entdecken einer Schwachstelle und der Implementierung des Patches. Deshalb ist Next-Gen-
Technologie zum Schutz Ihres Netzwerks und Ihrer Endpoints vor solchen Angriffen so wichtig.

Doch wie können Sie verhindern, dass Bedrohungen in das Netzwerk Ihres Unternehmens
gelangen? Und falls es dazu kommt, wie können Sie die Ausbreitung der Bedrohung und deren
Übergreifen auf weitere Systeme verhindern?

Lockdown Remote Management

Das Sperren des Zugriffs auf das Remote Desktop Protocol und andere Verwaltungsprotokolle
Ihres Unternehmens zählt zu den wirksamsten Mitteln zur Abwehr von gezielten Ransomware-
Angriffen. So können Sie z.B. verpflichtende VPN-Verbindungen für die RDP-Nutzung einrichten
oder den Zugriff auf bekannte IP-Adressen beschränken. Ihre Firewall sollte in der Lage sein,
beides umzusetzen.

Abwehr von Netzwerk-Exploits

IPS (Intrusion Prevention System) ist in jeder Next-Gen Firewall eine unverzichtbare
Komponente. Es nimmt eine Deep-Packet Inspection des Netzwerkverkehrs vor und kann
Schwachstellen-Exploits so bereits identifizieren und blockieren, bevor diese ihren Ziel-Host
erreichen. Das IPS sucht nach Mustern oder Unregelmäßigkeiten im Code, die entweder mit
einem spezifischen Exploit oder einer breiter gestreuten Zielschwachstelle übereinstimmen.

Wie beim EternalBlue-Exploit versuchen diese Angriffe in der Regel, schädliche Eingaben an
eine Host-Anwendung oder einen Host-Service zu senden, um diese(n) zu kompromittieren
und ein bestimmtes Maß an Kontrolle zu erlangen. Das finale Ziel dabei ist es, Code
auszuführen – im Fall von Wanna und Petya z. B. einen Ransomware Payload.

Abwehr dateibasierter Ransomware-Payloads

Während sich Wanna und Petya wie Würmer verbreiten, setzen viele Ransomware-Varianten
auf Social-Engineering-Tricks. Über Phishing-E-Mails, Spam oder Web-Downloads versuchen
sie, sich mittels eher konventioneller Methoden Zugriff zu Ihrem Netzwerk zu verschaffen.
Diese Angriffe nehmen ihren Anfang häufig als raffinierte Malware, die sich in gängigen Dateien
wie Microsoft-Office-Dokumenten, PDFs oder ausführbaren Dateien (z. B. Updates für gängige
vertrauenswürdige Anwendungen) verbirgt. Hacker sind mittlerweile sehr geschickt darin, diese
Dateien unbedenklich erscheinen zu lassen oder die Malware so zu verschleiern, dass sie von
traditioneller signaturbasierter Antivirus-Software nicht erkannt wird.

Infolge dieser neuen Generation dateibasierter Malware ist Sandboxing-Technologie

mittlerweile zum unverzichtbaren Sicherheitsfeature an Ihrer Netzwerkgrenze geworden.
Glücklicherweise muss für cloudbasiertes Sandboxing in der Regel keine zusätzliche Hardware
oder Software bereitgestellt werden – die Technologie identifiziert verdächtige Dateien einfach
am Gateway und sendet diese an eine sichere Sandboxing-Infrastruktur in der Cloud. Hier
können aktive Inhalte kontrolliert ausgeführt und ihr Verhalten überwacht werden. Sandboxing
kann unbekannte Bedrohungen wie neue Ransomware-Angriffe effektiv abwehren, bevor diese
ins Netzwerk gelangen.

Sophos-Whitepaper Oktober 2018 4

Firewall Best Practices zur Abwehr von Ransomware

Best Practices zur Firewall- und Netzwerk-Konfiguration

Es muss jedoch berücksichtigt werden, dass IPS, Sandboxing und alle anderen
Schutzmaßnahmen der Firewall nur effektiv gegen Datenverkehr sind, der die Firewall
auch tatsächlich passiert – und sie greifen nur dann, wenn geeignete Durchsetzungs- und
Schutzrichtlinien auf die Regeln angewendet werden, die den Datenverkehr steuern. Um
die Verbreitung wurmartiger Angriffe in Ihrem Netzwerk zu verhindern, sollten Sie daher die
folgenden Best Practices befolgen:

ÌÌ Sorgen Sie für den richtigen Schutz: Implementieren Sie eine moderne, leistungsstarke
Next-Gen-Firewall mit IPS-Engine und Sandboxing-Lösung.

ÌÌ Sperren Sie RDP über Ihre Firewall. Ihre Firewall sollte in der Lage sein, den Zugriff auf
VPN-Nutzer zu beschränken und erlaubte IP-Adressen auf die Whitelist zu setzen.

ÌÌ Reduzieren Sie die Angriffsfläche so weit wie möglich, indem Sie alle Regeln zur
Port-Weiterleitung erneut prüfen und alle nicht unbedingt notwendigen offenen Ports
entfernen. Jeder offene Port stellt eine potenzielle Schwachstelle für Ihr Netzwerk dar.
Nutzen Sie für den externen Zugriff auf das interne Netzwerk nach Möglichkeit VPN und
keine Port-Weiterleitung.

ÌÌ Sichern Sie offene Ports ordnungsgemäß, indem Sie auf Regeln zur Steuerung dieses
Datenverkehrs einen geeigneten IPS-Schutz anwenden.

ÌÌ Aktivieren Sie Sandboxing für Web- und E-Mail-Datenverkehr um sicherzustellen,

dass alle verdächtigen aktiven Dateien, die Sie über Web-Downloads und als E-Mail-
Anhänge erhalten, hinreichend auf schädliches Verhalten analysiert werden, bevor sie in
Ihr Netzwerk gelangen.

ÌÌ Minimieren Sie das Risiko lateraler Bewegungen innerhalb des Netzwerks, indem Sie
LANs in kleinere isolierte Zonen oder VLANs unterteilen, die von der Firewall geschützt
und miteinander verbunden sind. Wenden Sie unbedingt geeignete IPS-Richtlinien auf
Regeln an, über die der Datenverkehr gesteuert wird, der diese LAN-Segmente passiert.
So verhindern Sie, dass Exploits, Würmer und Bots sich zwischen LAN-Segmenten
verbreiten.

ÌÌ Automatische Isolierung infizierter Systeme. Kommt es zu einer Infektion, ist es

unerlässlich, dass Ihre IT-Sicherheitslösung kompromittierte Systeme schnell erkennt
und bis zu ihrer Bereinigung automatisch isoliert (entweder ebenfalls automatisch oder
manuell).

ÌÌ Verwenden Sie starke Passwörter für Ihre Remote-Management- und File-Sharing-

Tools, die sich nicht leicht durch Brute-Force-Hacking-Tools kompromittieren lassen.

Sophos-Whitepaper Oktober 2018 5

Firewall Best Practices zur Abwehr von Ransomware

Segmentierung von LANs zur Minimierung lateraler

Bewegungen
Leider operieren viele Unternehmen mit einer flachen Netzwerk-Topologie – sie verbinden
alle Endpoints mit einem zentralen Switch. Eine solche Topologie schwächt Ihren
Schutz: Ihre Firewall hat keine Transparenz oder Kontrolle über den Datenverkehr, der
den Switch durchläuft – dies ermöglicht laterale Bewegungen oder die Verbreitung von
Netzwerkangriffen innerhalb des Local Area Network.
Local Area Network

Infizierter Host

Internet

Firewall Switch

Infizierter Host

Eine Best Practice ist es, das LAN unter Verwendung von Zonen und VLANs in kleinere
Subnetze zu segmentieren und diese dann durch die Firewall miteinander zu verbinden. So
wird eine Anwendung von Anti-Malware- und IPS-Schutz zwischen Segmenten ermöglicht
und Bedrohungen, die versuchen, sich lateral im Netzwerk zu bewegen, lassen sich effektiv
identifizieren und abwehren.
Zone/VLAN 2

Switch Infizierter Host

Internet

Firewall

Switch Endpoint

Zone/VLAN 1

Ob Sie Zonen oder VLANs verwenden, hängt von Ihrer Segmentierungs-Strategie für
das Netzwerk und dem Umfang der Segmentierung ab. Beide Varianten bieten die
Möglichkeit, auf Datenbewegungen zwischen Segmenten geeignete Sicherheits-
und Kontrollmaßnahmen anzuwenden. Zonen sind die ideale Lösung für kleinere
Segmentierungs-Strategien oder Netzwerke mit nicht verwalteten Switches. VLANs sind
in den meisten Fällen die bevorzugte Methode zur Segmentierung interner Netzwerke und
bieten maximale Flexibilität und Skalierbarkeit. Allerdings erfordern sie den Einsatz (und die
Konfiguration) verwalteter Layer 3 Switches.

Sophos-Whitepaper Oktober 2018 6

Firewall Best Practices zur Abwehr von Ransomware

Ein Netzwerk zu segmentieren ist eine klare Best Practice. Dafür, wie das Netzwerk
segmentiert werden sollte, gibt es jedoch nicht „die eine“ beste Methode. Sie können Ihr
Netzwerk nach Benutzertyp (intern, extern, Gäste), nach Abteilung (Vertrieb, Marketing,
Engineering), nach Service, Gerät oder Rollentyp (VoIP, Wi-Fi, IoT, Computer, Server)
oder nach jeder beliebigen Kombination segmentieren, die für Ihre Netzwerkarchitektur
sinnvoll ist. Im Allgemeinen sollten Sie weniger vertrauenswürdige sowie stark gefährdete
Bereiche Ihres Netzwerks vom übrigen Netzwerk separieren und auch größere Netzwerke
in kleinere Segmente unterteilen. So senken Sie die Gefahr, dass Bedrohungen in weite
Teile Ihres Netzwerks vordringen und sich dort ausbreiten können.

Sophos XG Firewall

In der Sophos XG Firewall sind alle Technologien enthalten, die Sie benötigen, um
Ihr Unternehmen effektiv vor Ransomware-Angriffen zu schützen. Wie erst kürzlich
von den NSS Labs bestätigt, verfügt die Sophos XG Firewall über eine der marktweit
leistungsstärksten und effektivsten IPS Engines. Unsere IPS-Muster werden zur
Erkennung der neuesten Schwachstellen regelmäßig aktualisiert. Im Fall von Wanna und
Petya standen bereits lange vor den Angriffen Muster-Updates zur Verfügung. Seit der
ersten Angriffswelle wurden zudem weitere Muster ergänzt, um neue Varianten abfangen
zu können.

Die Sophos XG Firewall bietet exzellenten Schutz vor der Ausbreitung von Angriffen in
Ihrem Netzwerk. Wie bei jedem Sicherheitsprodukt müssen hierfür jedoch zunächst die
geeigneten Voraussetzungen geschaffen werden. Eine ordnungsgemäße Bereitstellung
und Konfiguration sind entscheidend, um die Angriffsfläche zu verringern und das
Risiko einer Ausbreitung zu minimieren. Die Sophos XG Firewall bietet flexible, leicht zu
bedienende Tools zur Segmentierung Ihres Netzwerks in Zonen und VLANs. So schützen
Sie Ihr LAN und verringern das Risiko lateraler Bewegungen.

Sophos-Whitepaper Oktober 2018 7

Firewall Best Practices zur Abwehr von Ransomware

Synchronized Security – einzigartiger Schutz

Häufig bahnen sich Ransomware, Botnets und andere komplexe Angriffe ihren Weg durch
Ihre gesamte IT-Infrastruktur. Die XG Firewall ist Teil des Sophos-Synchronized-Security-
Systems, in dem Sicherheitsprodukte aktiv zusammenarbeiten, um komplexe Angriffe zu
stoppen. Das Ergebnis: besserer Schutz – und einfachere IT-Sicherheitsverwaltung.

So arbeitet die Sophos XG Firewall beispielsweise mit Sophos Intercept X zusammen,

unserer Anti-Ransomware- und Anti-Exploit-Lösung, die Ransomware auf Endpoint-Ebene
nachweislich stoppen kann. Die XG Firewall und Sophos Intercept X tauschen über unseren
patentierten Security Heartbeat™ Echtzeit-Bedrohungsdaten und Statusinformationen
aus und reagieren automatisch auf Sicherheitsvorfälle: Sie erkennen und isolieren infizierte
Systeme im Netzwerk sofort bis zu deren Bereinigung.

Lateral Movement Protection, eine neue Funktion von Synchronized Security, isoliert
kompromittierte Systeme an der Firewall und greift zudem auf die nicht betroffenen
Endpoints im Netzwerk zurück, um einen infizierten Host zu isolieren. Dadurch wird der
infizierte Host komplett isoliert, sogar im selben Netzwerksegment oder in einem Subnetz.
Quasi die perfekte Segmentierungs-Strategie – eine Isolierung auf der Ebene individueller
Endpoints.
Local Area Network

Infizierter Host

Internet

Firewall Switch

Endpoint

Um die leistungsstarken Funktionen der XG Firewall sowie von Intercept X und Synchronized
Security nutzen zu können, müssen Sie Ihre bisherige IT-Infrastraktur nicht erneuern oder
ersetzen. Sie können die Sophos XG Firewall gemeinsam mit Ihrer vorhandenen Firewall
bereitstellen und Intercept X parallel zu Ihrem bestehenden Desktop Antivirus Client.
Zusammen bieten sie Ihnen einzigartigen Schutz vor Ransomware und anderen komplexen
Bedrohungen.

Mehr erfahren
und kostenlos testen unter
Sales DACH (Deutschland, Österreich, Schweiz) www.sophos.de/xgfirewall
Tel.: +49 611 5858 0 | +49 721 255 16 0
E-Mail: [email protected]

Copyright 2019, Sophos Ltd. Alle Rechte vorbehalten.

Eingetragen in England und Wales, Nr. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, GB
Sophos ist eine eingetragene Marke von Sophos Ltd. Alle anderen genannten Produkt- und Unternehmensnamen sind Marken oder eingetragene Marken ihres jeweiligen
Inhabers.

04.04.2019 WP-DE (NP)