Das Frühjahr ist auch immer die Zeit für Jahresrückblicke. Natürlich sind sie beschränkt auf den jeweiligen Wirkungsbereich und daher streng genommen nicht repräsentativ, aber sie ermöglichen doch, Trends und Gemeinsamkeiten zu erkennen.
Die Kollegen vom DFIR-Report (Digital Forensics and Incident Response) sammeln Artefakte und Berichte von realen Angriffen und haben vor kurzem ihre Sicht auf das Jahr 2022 zusammengefasst. Analog zu unseren Erfahrungen liegen die meisten Vorfälle im Bereich Ransomware. 69 % der Fälle ließen sich auf Phishing als initialen Zugriff zurückführen. Um sich dann von dem ersten System mit meist geringen Rechten weiter vorzuarbeiten, bedarf es weiterer Zugangsdaten. In den meisten Fällen (44 %) wurden sie aus dem LSASS-Speicher geholt. Wem das nichts sagt, der hat vermutlich schon von dem typischen Tool hierfür gehört: mimikatz. Das Auslesen im Browser gespeicherter Passwörter teilt sich bereits den zweiten Platz mit zwei weiteren Speicherauslese-Techniken. Für die Bewegung im Netz werden meist Standardprotokolle wie RDP und SMB genutzt (beide jeweils in 41 % der Fälle) – die nötigen Zugangsdaten sind dann ja bekannt. Spannend wird es bei den Tools, die zur späteren Steuerung hinterlassen werden (Command & Control, C2). Platzhirsch Cobalt Strike führt mit 29 %, direkt mit 8 % gefolgt von AnyDesk – einer ganz normalen Fernzugrifflösung.
Im Report sind noch mehr Zahlen und vor allem viel mehr technische Details sowie Beispiele enthalten: https://thedfirreport.com/2023/03/06/2022-year-in-review/