{"id":23999,"date":"2020-05-18T16:56:55","date_gmt":"2020-05-18T14:56:55","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=23999"},"modified":"2020-10-20T14:49:13","modified_gmt":"2020-10-20T12:49:13","slug":"snow-queen-cybersecurity","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/snow-queen-cybersecurity\/23999\/","title":{"rendered":"Die Schneek\u00f6nigin: Ein Cybersicherheitsbericht in 7 Geschichten"},"content":{"rendered":"

Worum geht es Ihrer Meinung nach im M\u00e4rchen Die Schneek\u00f6nigin<\/em> des d\u00e4nischen Cybersicherheitsspezialisten Hans Christian Andersen wirklich? Um ein tapferes M\u00e4dchen, das versucht, ihren geliebten Freund zu retten? Denken Sie noch einmal genauer dar\u00fcber nach.<\/p>\n

In Wirklichkeit handelt es sich hierbei um einen detaillierten Bericht \u00fcber die Untersuchung der aufstrebenden Informationssicherheitsexpertin Gerda. In ihrer Analyse berichtet sie davon, wie Kay mit dem Teil einer hochentwickelten Malware infiziert wurde. Dieses sogenannte M\u00e4rchen ist in Form von sieben Geschichten geschrieben, die eindeutig die einzelnen Phasen der Untersuchung widerspiegeln.<\/p>\n

Geschichte 1: Ein Spiegel zerbricht in tausend Teile<\/h2>\n

Wenn Sie jemals unseren Expertenblog Securelist.com<\/a> (oder eine andere gut durchgef\u00fchrte Infosec-Studie) gelesen haben, wissen Sie wahrscheinlich, dass derartige Untersuchungsberichte h\u00e4ufig mit einer Analyse der Vorgeschichte von Vorf\u00e4llen beginnen. Andersens ist nicht anders: Seine erste Geschichte befasst sich mit den Urspr\u00fcngen des Kay-Falls.<\/p>\n

Es war einmal (nach Andersens Angaben) ein Teufel, der einen Zauberspiegel schuf, der die Macht hatte, alles Sch\u00f6ne und Gute verzerrt und h\u00e4sslich aussehen zu lassen. Doch eines Tages fiel dem Teufel der Spiegel aus den H\u00e4nden und zerbrach dabei in viele tausende St\u00fccke, die die Menschen im Auge oder im Herzen trafen. Trafen die Fragmente einem im Herzen, so wurde es so kalt wie Eis, trafen sie einem im Auge, so sah man alles um sich herum nur noch h\u00e4sslich und b\u00f6se.<\/p>\n

Aus dem M\u00e4rchen Schneewittchen<\/a><\/em> wissen wir bereits, dass Geschichtenerz\u00e4hler Spiegel h\u00e4ufig als Metapher f\u00fcr Bildschirme im weiteren Sinne verwendeten: Fernseher, Computer, Tablets, Telefone \u2013 Sie wissen, was wir meinen.<\/p>\n

Die \u00dcbersetzung von Andersens Worten aus der Sprache der Allegorien in einfache Prosa ergibt also Folgendes: Ein m\u00e4chtiger Hacker erstellt ein System mit integriertem Browser, der Webseiten verf\u00e4lschen kann. Anschlie\u00dfend verwenden seine Auszubildenden Teile des Quellcodes, um eine gro\u00dfe Anzahl von Windows-Ger\u00e4ten und sogar AR-Brillen zu infizieren.<\/p>\n

In der Tat war das Ph\u00e4nomen nicht v\u00f6llig ungew\u00f6hnlich. Der EternalBlue-Exploit-Leak, der zu den Pandemien WannaCry und NotPetya<\/a> f\u00fchrte, ist das Urbeispiel. Aber wir schweifen vom Thema ab. Zur\u00fcck zu unserem M\u00e4rchen.<\/p>\n

Geschichte 2: Ein kleiner Junge und ein kleines M\u00e4dchen<\/h2>\n

In der zweiten Geschichte geht Andersen zu einer detaillierteren Beschreibung eines der Opfer und des anf\u00e4nglichen Infektionsvektors \u00fcber. Den verf\u00fcgbaren Daten nach zu urteilen, kommunizierten Kay und Gerda \u00fcber ihre angrenzenden Dachfenster (Windows-basierte Kommunikation!) miteinander. An einem kalten Wintertag sieht Kay durch sein Fenster eine seltsame, sch\u00f6ne und in weissen T\u00fcll geh\u00fcllte Frau \u2013 Kays erste Begegnung mit dem Hacker.<\/p>\n

Kurze Zeit sp\u00e4ter sp\u00fcrt Kai ein stechendes Gef\u00fchl mitten in seinem Herzen und auch sein Auge beginnt zu schmerzen. Auf diese Weise beschreibt Andersen den Moment der Infektion. Nachdem der Schadcode in sein Herz (OS-Kernel) und sein Auge (Dateneingabeger\u00e4t) eingedrungen ist, \u00e4ndert sich Kay\u2019s Reaktion auf externe Reize radikal und er scheint alle eingehenden Informationen vollkommen verzerrt wahrzunehmen.<\/p>\n

Einige Zeit sp\u00e4ter verl\u00e4sst Kay sein Zuhause und h\u00e4ngt sich an den Schlitten der Schneek\u00f6nigin. Aus irgendeinem Grund vertraut Kay der b\u00f6sen Schneek\u00f6nigin und erz\u00e4hlt ihr, wie gut er im Kopfrechnen ist und dass er die Gr\u00f6\u00dfe und Bev\u00f6lkerung jedes Landes kenne. Obwohl diese Details auf den ersten Blick unwichtig erscheinen, sind es genau diese Informationen, an denen der Angreifer interessiert ist.<\/p>\n

Geschichte 3: Im Blumengarten<\/h2>\n

Zur selben Zeit beginnt Gerda ihre eigenen Ermittlungen und trifft zuf\u00e4llig auf eine Frau, die aus irgendeinem Grund ihre Untersuchung behindert. Um auf den Punkt zu kommen: Wir sind besonders an dem Moment interessiert, in dem die Zauberin Gerdas Locken k\u00e4mmt und sie so jegliche Erinnerungen an Kay vergessen l\u00e4sst.<\/p>\n

Mit anderen Worten, die Hexe hat die Daten der Untersuchung verf\u00e4lscht. Beachten Sie, dass uns ihre Cyberwaffe, ein Kamm, bereits bekannt ist. Im Bericht der Br\u00fcder Grimm \u00fcber den Vorfall von Schneewittchen<\/a><\/em> verwendete die Stiefmutter ein \u00e4hnliches Tools, um ihr Opfer zu blockieren. Zufall? Oder h\u00e4ngen diese Vorf\u00e4lle vielleicht doch zusammen?<\/p>\n

Wie auch bei Schneewittchen ist die kamminduzierte Blockade allerdings auch hier nicht dauerhaft \u2013 die Daten k\u00f6nnen wiederhergestellt und Gerdas Untersuchung fortgesetzt werden.<\/p>\n

Am Ende des dritten Teils des Berichts fragt Gerda die Blumen im Hexengarten, ob sie Kay gesehen h\u00e4tten. Dies ist h\u00f6chstwahrscheinlich eine Anspielung auf den damaligen ICQ-Messenger, der eine Blume als Logo (und als Benutzerstatusanzeige) hatte. \u00dcber die Kommunikation mit den Kontakten der Hexe versucht Gerda, zus\u00e4tzliche Informationen \u00fcber den Vorfall in Erfahrung zu bringen.<\/p>\n

Geschichte 4: Der Prinz und die Prinzessin<\/h2>\n

Die 4. Phase der Untersuchung scheint nicht besonders relevant zu sein. Gerda versucht Kay in der Datenbank der Regierung zu finden. Der Zugang zum Geb\u00e4ude (dem Schloss) gelingt ihr durch die Hilfe einiger Raben.<\/p>\n

Obwohl die Suche zu keinem Ergebnis f\u00fchrt, informiert Gerda die Regierung pflichtbewusst \u00fcber die Schwachstelle (die Raben). Der Prinz und die Prinzessin patchen die Schwachstellen, indem sie den Raben sagen, dass soetwas nicht noch einmal vorkommen darf. Mit anderen Worten: sie haben die V\u00f6gel nicht bestraft, sondern sie lediglich darum gebeten, ihr Verhalten zu \u00e4ndern.<\/p>\n

Als Belohnung versorgen der Prinz und die Prinzessin Gerda mit Ressourcen (eine Kutsche, warme Kleidung, etc.). Dies ist ein gro\u00dfartiges Beispiel daf\u00fcr, wie ein Unternehmen reagieren sollte, wenn Forscher eine Schwachstelle melden. Wir k\u00f6nnen nur hoffen, dass es sich hierbei nicht um eine einmalige Belohnung handelte, sondern ein ganzes Bug-Bounty-Programm<\/a> dahinter steht.<\/p>\n

Geschichte 5: Das kleine Roboterm\u00e4dchen<\/h2>\n

In dieser Geschichte f\u00e4llt Gerda scheinbar Banditen zum Opfer. Andersen verwendet hier eine weitere Allegorie, um zu erkl\u00e4ren, dass Gerda, nachdem sie in der vorherigen Phase der Untersuchung eine Sackgasse erreicht hat, gezwungen ist, die Hilfe von Kr\u00e4ften in Anspruch zu nehmen, die, sagen wir, nicht ganz gesetzestreu sind.<\/p>\n

Die Cyberkriminellen bringen Gerda mit Informanten, die genau wissen, wer f\u00fcr den Kay-Vorfall verantwortlich ist, und mit einem Rentier in Kontakt, das die Adressen einiger n\u00fctzlicher Darknet-Kontakte besitzt. Doch ganz billig ist die Hilfe nicht. Denn Gerda muss einen gro\u00dfen Teil der Ressourcen, die sie in der vorherigen Geschichte gewonnen hatte, wieder abgeben.<\/p>\n

Um die Integrit\u00e4t der jungen Forscherin nicht zu untergraben, versucht Andersen, ihren Umgang mit den Kriminellen als unvermeidlich zu beschreiben \u2013 sie haben sie zuerst ausgeraubt, sagt er, und ihr erst dann, aus Mitleid, Informationen geliefert. Das klingt nicht wirklich \u00fcberzeugend. Wahrscheinlich handelte es sich hierbei vielmehr um eine vorteilhafte Vereinbarung zwischen beiden Parteien.<\/p>\n

Geschichte 6: Die Lappin und die Finnin<\/h2>\n

Als n\u00e4chstes folgt die letzte Phase des Sammelns von Informationen, die f\u00fcr die Untersuchung \u00fcber die von den Banditen bereitgestellten Darknet-Kontakte ben\u00f6tigt werden. Das Rentier macht Gerda mit einer bestimmten lappl\u00e4ndischen Frau bekannt, die ein Empfehlungsschreiben an den n\u00e4chsten Informanten, eine finnische Frau, schreibt.<\/p>\n

Die Finnin wiederum gibt ihr die Adresse der Schneek\u00f6nigin \u2013 in unserem Fall offensichtlich den Namen des Command&Control-Servers. Nachdem sie die Nachricht gelesen hat, vernichtet sie jegliche Spuren, und befolgt somit die Regeln der Sicherheitsoperationen sorgf\u00e4ltig. Ein Zeichen, dass sie ein alter Profi ist.<\/p>\n

Geschichte 7: Was im Schloss der Schneek\u00f6nigin geschah<\/h2>\n

Die 7. Geschichte erz\u00e4hlt, warum die Schneek\u00f6niging Kay \u00fcberhaupt entf\u00fchrt hat. Als Gerda am Schloss eintrifft, versucht dieser aus Eisplatten das Wort \u201eEwigkeit\u201c zu formen. Verr\u00fcckt? Nein, nicht wirklich. Werfen Sie am besten selbst einen Blick auf diesen Beitrag<\/a>, in dem wir erkl\u00e4ren, dass Kryptominer Informationsbl\u00f6cke neu anordnen, um nicht nur irgendeinen Hash zu erhalten, sondern den \u201esch\u00f6nsten\u201c aller Hashes.<\/p>\n

In dieser Phase wird klar, warum sich Andersen in der zweiten Geschichte auf Kay\u2019s Kopfrechenk\u00fcnste konzentrierte. Denn nach eben dieser F\u00e4higkeit suchte die Schneek\u00f6nigin, und Kai wurde ausschlie\u00dflich zu Kryptomining-Zwecken infiziert.<\/p>\n

Gerda gelingt es Kay\u2019s vereistes Herz mit ihren Tr\u00e4nen aufzutauen (bzw. sie l\u00f6scht den Schadcode mit verschiedenen Tools und erlangt die Kontrolle \u00fcber den Systemkern zur\u00fcck). Kay bricht daraufhin in Tr\u00e4nen aus, was bedeutet, dass er sein integriertes Antivirus (das zuvor durch das infizierte Modul in seinem Kernel blockiert wurde) aktivieren und auf diese Weise den zweiten Teil des Schadcodes aus seinem Auge entfernen konnte.<\/p>\n

Das Ende des Berichts ist nach heutigen Ma\u00dfst\u00e4ben ziemlich seltsam. Anstatt Tipps f\u00fcr potenzielle Opfer oder andere n\u00fctzliche Informationen bereitzustellen, geht Andersen stattdessen auf die Heimreise der Charaktere ein. Vielleicht war das schlichtweg eine Eigenart der Infosec-Berichte aus dem neunzehnten Jahrhundert.<\/p>\n

Wie wir bereits am Anfang gesagt haben, sind M\u00e4rchenautoren tats\u00e4chlich die \u00e4ltesten Sicherheitsexperten der Branche. Der Fall der Schneek\u00f6nigin best\u00e4rkt uns nur noch mehr in unserer Annahme. Wie oben beschrieben, handelt es sich bei der Geschichte um eine detaillierte Darstellung einer Untersuchung eines komplexen Vorfalls. Wer jetzt Lust auf weitere M\u00e4rchen bekommen hat, kann einen Blick auf folgende Erz\u00e4hlungen werfen:<\/p>\n