Unveränderlichkeit von Betriebssystem- und Anwendungsdateien überwachen

Mehr Cybersicherheit durch Binärintegrität auf Dateiebene mittels Prüfsummen schaffen

Free trial In a nutshell NIS2 🇩🇪
In diesem Blogbeitrag erfahren Sie:
  • Warum die Manipulation von Binärdateien für Ihre Unterhemens-IT ein Sicherheitsrisiko ist?
  • Wie Sie die Manipulation von Binärdateien überwachen können?
  • Wie Sie die Überwachung der Unveränderlichkeit mit Versio.io in 5 Minuten umsetzen?

Manipulation von Binärdateien = Sicherheitsrisiko

Binärintegrität von Betriebssystem- und Anwendungsdateien überwachen Die Manipulation von Betriebssystemdateien oder Anwendungen stellt ein erhebliches Sicherheitsrisiko dar, da sie unberechtigten Zugriff auf das System ermöglichen kann. Veränderte Dateien können Schadsoftware wie Viren, Trojaner oder Ransomware enthalten, die das System infizieren, Daten stehlen oder beschädigen und die Kontrolle über das System übernehmen. Auch das Einschleusen von Backdoors ermöglicht Angreifern den unbemerkten Zugriff auf das System, was zu weiteren Angriffen auf das gesamte Netzwerk führen kann. Darüber hinaus können manipulierte Dateien die Stabilität des Systems beeinträchtigen und dazu führen, dass Anwendungen oder das Betriebssystem nicht mehr zuverlässig funktionieren.
 

Erkennen von manipulierten Binärdateien

Die Integrität von Binärdateien ist entscheidend für die Sicherheit und Stabilität eines Betriebssystems oder einer Anwendung. Hash-Werte spielen dabei eine zentrale Rolle. Ein Hash-Wert ist ein eindeutiger Fingerabdruck einer Datei, der aus ihrem Inhalt berechnet wird. Jede noch so kleine Veränderung an der Datei - sei es durch einen Fehler beim Herunterladen oder durch Schadsoftware - verändert den Hash-Wert. Die Hashwerte von Binärdateien dürfen sich daher nur im Rahmen von Updates ändern. Andernfalls handelt es sich um eine unerlaubte Veränderung.
Beispiel einer Prüfsumme von einer Datei auf Basis des MD5 Algorithmus: 097202d6e3d2077e717e75ad6e9a4ba4
 

Überwachung mit Versio.io in 5 Minuten umsetzen

Konfiguration der Integritätsüberwachung

Versio.io ist eine Softwareplattform, die Transparenz, Kontrolle und Effizienz im IT-Betrieb schafft. Kernkomponente ist die kontinuierliche und automatisierte Dokumentation (Inventarisierung) von IT-Landschaften. Für die Überwachung von Binärdateien wird ein OneImporter (Agent) auf dem zu überwachenden Host-Rechner und das aktivierte Modul "Folder Importer" benötigt.
In der Folder Importer Konfiguration ist ein zu überwachendes Verzeichnis anzugeben. Wenn die Option "Capture files" aktiviert ist, werden auch die darin enthaltenen Dateien inventarisiert. Die Option "Capture file hashes" erweitert die Dokumentation um die Prüfsumme (MD5 Hashwert) jeder Datei. In der folgenden Konfiguration wurden die aufzunehmenden Dateien für das Blogpost-Beispiel noch auf Dateien mit dem Namen "python3" beschränkt.
X
Abbildung: Konfiguration der Überwachung der Datei-Binärintegrität
 

Dokumentation des Integritätsverstoßes

Die folgende Abbildung zeigt das Ergebnis der Inventarisierung des Verzeichnisses im Instance Viewer. Im unteren Bereich (Original) wurde der Ausgangszustand erfasst. Wir sehen die Datei "python3" mit ihren Metadaten, die auch die Prüfsumme enthält.
In der Mitte der Abbildung ist die von Versio.io erkannte Veränderung (Manipulation) dokumentiert. Der Inhalt der Datei "python3" wurde manuell verändert (Simulation eines Cyberangriffs), was zu einer Veränderung der Prüfsumme führt.
X
Abbildung: Manipulationserkennung auf Basis der kontinuierlichen und automatisierten Inventarisierung in Versio.io
 
Wie Sie noch interessieren könnte:
  • Events & Alerting - Für die erkannte Manipulation der Datei und die damit verbundene Integritätsverletzung kann mittels logischer Regeln (Policy) ein Event erzeugt werden. Auf Basis des Events kann ein Alerting ausgeführt werden, das z.B. Benachrichtigungen per E-Mail oder Chat versendet oder ein Incident Ticket erzeugt.
  • Konfigurationsdateien - Der oben gezeigte Ansatz ist auch für beliebige andere Dateien wie z.B. Konfigurationsdateien anwendbar. Mit Hilfe des File-Importers wäre es auch hier möglich, den gesamten Inhalt der Konfiguration zu inventarisieren und in Versio.io zu verarbeiten.
 

Fazit

Der Einsatz von Prüfsummen für Binärdateien trägt somit nicht nur zur Systemstabilität bei, sondern schützt auch vor gezielten Angriffen auf Systemdateien. Sie ist ein unverzichtbares Werkzeug für das operative Sicherheitsmanagement einer Unternehmens-IT.
 

Autoren | 21. Januar 2025


Fabian Klose
Fabian Klose
Head of Software Development
P:  +49-30-221986-51
LinkedIn


Keywords

Cybersicherheit

 

Binärdatei

 

Binärformat

 

Manipulation

 

Integrität

 

Schadsoftware

 

We use cookies to ensure that we give you the best experience on our website. Read privacy policies for more information.