Vectra AI auf der RSA-Konferenz 2024
Buchen Sie eine 15-minütige Demo
Zero Day

Eine dauerhafte Methode für den Umgang mit Zero-Days

12. September 2023
Tom d'Aquino
Director, Security Validation
Eine dauerhafte Methode für den Umgang mit Zero-Days

Jetzt, da sich der Staub des MOVEit Transfer Zero-Day etwas gelegt hat, ist es vielleicht an der Zeit, einen Schritt zurückzutreten und unseren derzeitigen Ansatz für das Risikomanagement im Zusammenhang mit der besonders lästigen Bedrohung durch Zero-Days zu bewerten. Denn wenn der aktuelle Trend ein Hinweis darauf ist, werden sie in nächster Zeit nicht nachlassen.

Zero-Day-Trend: Analyse der Patch Tuesday-Daten von Microsoft

Um einen Bezugspunkt für eine Zero-Day-Trendlinie zu finden, haben wir uns die Patch Tuesday-Daten von Microsoft angeschaut, da dies eine der wenigen zuverlässigen Quellen ist, die diese Daten verfolgen und darüber berichten. Und zum Glück für uns sind die Rohdaten über den MSRC Security Updates Guide öffentlich zugänglich. Wir haben also die Daten der letzten viereinhalb Jahre heruntergeladen, um daraus einige Erkenntnisse zu gewinnen.

Anmerkung: Sicherheitsupdates, die speziell mit Schwachstellen in Verbindung stehen, finden Sie auf der Registerkarte "Schwachstellen" oder indem Sie direkt auf den Link "Schwachstellen" gehen. Leider sind die Filtermöglichkeiten auf dieser Registerkarte begrenzt, so dass wir die Daten in Excel herunterladen mussten, um an die wichtigen Informationen zu gelangen. Zum Glück gibt es eine einfache Download-Schaltfläche, mit der Sie die Daten exportieren können.

Verständnis von Microsofts Klassifizierung von Zero-Days

Was meldet Microsoft überhaupt als "Zero-Day"? Im MSRC-Leitfaden für Sicherheitsupdates werden Zero-Days nicht ausdrücklich genannt. Was sie jedoch angeben, ist eine Klassifizierung, ob die Sicherheitslücke vor der Veröffentlichung des Sicherheitsupdates in freier Wildbahn ausgenutzt wurde. Außerdem wird erfasst, ob die Sicherheitslücke öffentlich bekannt gemacht wurde, was ein nützliches Maß dafür ist, wie gut die Branche über die spezifische Sicherheitslücke informiert war. Eine ausnutzbare Sicherheitslücke, für die kein Patch zur Verfügung steht, erfüllt unseren Standard für die Einstufung als Zero-Day für die Zwecke dieses Berichts.

Untersuchung von Zero-Day-Trends: Schwachstellen und Enthüllungen

Wenn wir ein einfaches Diagramm erstellen, das zeigt, wie viele Sicherheitslücken als ausgenutzt gekennzeichnet wurden und wie viele dieser Sicherheitslücken in den letzten viereinhalb Jahren öffentlich bekannt gemacht wurden, können wir einen etwas verblüffenden Anstieg der Zahl der Zero-Days im Jahr 2021 feststellen. Die Zahl der öffentlichen Meldungen nimmt ebenfalls zu, aber nicht proportional zur Zahl der ausgenutzten Sicherheitslücken, was etwas beunruhigend ist:

Diagramm mit der Anzahl der als ausgenutzt gekennzeichneten Schwachstellen im Zeitraum 2019 bis 2023
Diagramm mit der Anzahl der als ausgenutzt gekennzeichneten Schwachstellen im Jahresvergleich

Auf den ersten Blick sieht es so aus, als würde sich der Trend vom Höchststand im Jahr 2021 abschwächen, aber bei der derzeitigen Rate von 17 ausgenutzten Schwachstellen nach etwas mehr als der Hälfte des Jahres 2023 ist zu erwarten, dass wir auf dem besten Weg sind, den Höchststand von 2021 wieder zu erreichen.

Während die Zahl der Zero-Days im Vergleich zur Gesamtzahl der jährlich gemeldeten Schwachstellen gering erscheinen mag, ist der prozentuale Anstieg ab 2021 im Vergleich zu den Vorjahren bemerkenswert besorgniserregend. Hinzu kommt, dass mehr als die Hälfte der Schwachstellen nicht öffentlich bekannt gegeben wurden, was bedeutet, dass die Verteidiger bei diesen Schwachstellen keine Möglichkeit haben, Abhilfemaßnahmen zu ergreifen, während sie auf einen Patch warten.

Der Schaden, den ein Bedrohungsakteur mit nur einer Zero-Day-Schwachstelle anrichten kann, kann unter den richtigen Umständen erheblich sein. Mit jeder weiteren Zero-Day-Lücke steigen die Chancen, das Traumtriple eines Bedrohungsakteurs zu erreichen - eine Schwachstelle, die zugänglich, wirkungsvoll und vor allem in der Zielgruppe weit verbreitet ist.

Kreuzvalidierung mit Googles Project Zero-Daten

Vergleich von Datenquellen

Natürlich beziehen sich die oben genannten Zero-Day-Zahlen nur auf einen einzigen Anbieter. Daher haben wir beschlossen, dass es eine gute Idee wäre, einige andere Datenpunkte zu betrachten, um sicherzustellen, dass die Zero-Day-Berichte von Microsoft das Gesamtbild angemessen widerspiegeln, und es hat sich herausgestellt, dass sie das tun. Das folgende Diagramm basiert auf Daten, die von Googles Project Zero und deren "0-days In-the-Wild" Tracking-Daten zur Verfügung gestellt wurden.

Diagramm, das die Zero-day Anzahl von Jahr zu Jahr in Googles Project Zero "0-days In-the-Wild" von 2019 bis 2023 darstellt
Diagramm, das die Zero-day Anzahl von Jahr zu Jahr in Googles Project Zero "0-days In-the-Wild" darstellt

Parallele Trends in den Daten von Google

Wie bei den reinen Microsoft-Daten zeigt sich auch bei den Google-Daten zu "0-Tagen in freier Wildbahn" ein drastischer Anstieg im Jahr 2021, ein leichter Rückgang im Jahr 2022 und ein Anstieg im Jahr 2023, der mit der Zahl im Jahr 2021 gleichzuziehen scheint. Es wäre logisch, zu dem Schluss zu kommen, dass der Trend darauf zurückzuführen ist, dass die 0day-Daten von Google stark von der Anzahl der Microsoft-Schwachstellen beeinflusst werden, aber das ist nicht ganz der Fall. So weisen die Daten von Microsoft im Jahr 2023 beispielsweise 17 "Zero-Days" auf, während Microsoft-Schwachstellen nur 10 "0days" in den Daten von Google ausmachen. Im Jahr 2022 waren es 11 im Vergleich zu den 20 von Microsoft gemeldeten "Zero-Days". Ungeachtet der Diskrepanzen bei der Aufzeichnung in den beiden verschiedenen Quellen scheint sich der Trend fortzusetzen.

Ransomware-Angriffe und Korrelationen mit Zero-Days

Als wir uns die Daten ansahen, hatten wir die Vermutung, dass ein anderer Trend mit diesem übereinstimmen könnte. Also haben wir uns an die BlackFog-Berichtezum Stand der Ransomware gewandt, um einige Statistiken über die Anzahl der öffentlich gemeldeten Ransomware-Angriffe zu erhalten:

Diagramm, das die Anzahl der gemeldeten Zero-Days und Ransomware im Zeitraum von 2019 bis 2023 zeigt
Grafik zur Anzahl der gemeldeten Zero-Days und Ransomware im Zeitraum von 2019 bis 2023

Anmerkung: Blackfog verfügt nicht über Daten für 2019, daher haben wir diesem Jahr den gleichen Wert wie 2020 zugewiesen, um das Erscheinungsbild des Diagramms nicht wesentlich zu verzerren. Links zu den Blackfog-Berichten finden Sie am Ende dieses Dokuments.

Wie in der ersten Grafik zu sehen ist, ist mit 250 öffentlichen Ransomware-Meldungen in den ersten sieben Monaten des Jahres 2023 zu erwarten, dass der Trend mindestens den bisherigen Höchststand von 376 Meldungen erreichen wird.

Auch wenn dies in der obigen Grafik nicht zum Ausdruck kommt, ist es erwähnenswert, dass die im Jahr 2020 gemeldeten Ransomware-Vorfälle von Monat zu Monat relativ stabil waren, bis zum September, als die Zahl der Meldungen um 66 % gegenüber dem Vormonat anstieg und bis zum Ende des Jahres auf diesem Niveau blieb. (Sehen Sie sich den Blackfog-Bericht für 2020 an, um eine monatliche Darstellung der Ransomware-Angriffe zu erhalten).

Wir fanden es interessant, dass die Spitze Ende 2020 einem so dramatischen Anstieg der Zahl der Zero-Day-Meldungen im Jahr 2021 vorausging.

KI als Verteidigungsmechanismus gegen Zero-Day-Exploits

Die obigen Zahlen sind bestenfalls eine interessante Korrelation, aber sie verdeutlichen einen wichtigen Punkt: Die Trends zeigen einen stetigen Anstieg sowohl der Zero-Day-Meldungen als auch der öffentlichen Enthüllungen von Ransomware-Angriffen. Zusammengenommen stellen sie eine logische, aber besorgniserregende Situation für Cybersicherheitsverteidiger dar, nämlich die Annahme, dass eine hoch motivierte Gruppe von Angreifern weiterhin über eine Vielzahl hochentwickelter Waffen verfügt, mit denen sie ihre Untaten ausführen kann.  

Wenn sich diese Trends fortsetzen, wird die Abwehr von Angriffen, die kaum zu verhindern sind, zu einem festen Bestandteil der normalen Routine eines Cybersicherheitsunternehmens werden. Daher ist eine zuverlässige Methode zur Erkennung von Angreifern, die Zero-Day-Exploits einsetzen, eine Notwendigkeit für Teams, die bei diesem Unterfangen erfolgreich sein wollen. Und genau hier kann KI eine entscheidende Rolle spielen. Durch die Ergänzung bestehender Präventionsstrategien mit wissenschaftlich fundierter künstlicher Intelligenz, die eine Reihe spezialisierter maschineller Lerntechniken einsetzt, um das Verhalten von Angreifern zu erkennen, und zwar unabhängig von den Tools, die sie zur Verfolgung ihrer Ziele einsetzen, können Cybersicherheitsteams über ein zuverlässiges, rauscharmes Signal verfügen, das sie vor der Anwesenheit eines Angreifers warnt, bevor dieser seine gewünschten Ziele erreicht. Bei Vectra AI nennen wir dies Attack Signal IntelligenceTM.

Fallstudie: MOVEit Transfer Zero-Day

Ausnutzung von CVE-2023-34363

Am Beispiel der MOVEit Transfer Zero-Day-Schwachstelle(CVE-2023-34363) meldete die Cybersecurity & Infrastructure Security Agency (CISA) offiziell, dass die CL0P-Ransomware-Bande alias TA505 beobachtet wurde, wie sie die Schwachstelle ausnutzte, um eine "LEMURLOOT"-Web-Shell auf dem Opfer-Host zu platzieren und so die Persistenz zu gewährleisten. In dem CISA-Bericht wird LEMURLOOT mit den folgenden Fähigkeiten beschrieben

  • Rufen Sie Microsoft Azure-Systemeinstellungen, Azure Blob Storage, Azure Blob Storage-Konto, Azure Blob-Schlüssel und Azure Blob Container mit der folgenden Abfrage ab:
  • Aufzählung der zugrunde liegenden SQL-Datenbank.
  • Speichern einer vom Bediener gesendeten Zeichenfolge und anschließendes Abrufen einer Datei mit einem der Zeichenfolge entsprechenden Namen aus dem MOVEit-Transfersystem.
  • Erstellen Sie ein neues privilegiertes Administratorkonto mit einem zufällig generierten Benutzernamen und den Werten LoginName und RealName, die auf "Health Check Service" eingestellt sind.
  • Löschen Sie ein Konto, dessen LoginName- und RealName-Werte auf 'Health Check Service' eingestellt sind.

Begrenzter Nutzen des Erstzugangs

Diese Fähigkeiten sind zwar nützlich, um auf dem angegriffenen Rechner zu bleiben, tragen aber nicht wesentlich dazu bei, ein sinnvolleres Ziel zu erreichen, wie z. B. die Erpressung eines Lösegelds von der Opferorganisation. Folglich sind zusätzliche Maßnahmen erforderlich, damit der Angreifer seine Ziele erreichen kann.

Anmerkung: Es wurden Fälle beobachtet, in denen cl0p einen anderen Zero-Day für den Erstzugriff nutzte, ohne weitere Aktionen in der Zielumgebung durchzuführen, aber es ist davon auszugehen, dass der bei diesen Angriffen verursachte Schaden begrenzt war.

CISA berichtet über das CL0P-Toolset

Die CISA berichtete auch, dass CL0P eine Vielzahl anderer Tools einsetzt, die speziell für die Erweiterung des Zugangs in der Opferumgebung entwickelt wurden:

  • FlawedAmmyy/FlawedGrace Fernzugriffs-Trojaner (RAT): Sammelt Informationen und versucht, mit dem Server Command and Control (C2) zu kommunizieren, um den Download zusätzlicher Malware-Komponenten zu ermöglichen[T1071],[T1105].
  • SDBot RAT: Verbreitet die Infektion, indem er Schwachstellen ausnutzt und Kopien von sich selbst in Wechsellaufwerken und Netzwerkfreigaben ablegt[T1105]. Er kann sich auch über Peer-to-Peer-Netzwerke (P2P) verbreiten. SDBot wird als Backdoor[T1059.001] verwendet, um die Ausführung anderer Befehle und Funktionen auf dem angegriffenen Computer zu ermöglichen. Diese Malware nutzt Anwendungs-Shimming, um zu überdauern und nicht entdeckt zu werden[T1546.011].
  • Truebot: Ein Downloader-Modul der ersten Stufe, das Systeminformationen sammeln und Screenshots erstellen kann[T1113], entwickelt und der Hackergruppe Silence zugeschrieben. Nach der Verbindung mit der C2-Infrastruktur kann Truebot angewiesen werden, Shell-Code[T1055] oder DLLs[T1574.002] zu laden, zusätzliche Module herunterzuladen[T1129], sie auszuführen oder sich selbst zu löschen[T1070]. Im Fall von TA505 wurde Truebot zum Herunterladen von FlawedGrace oder Cobalt Strike Beacons verwendet.
  • Kobalt-Streik: Wird verwendet, um den Netzwerkzugang zu erweitern, nachdem er Zugang zum Active Directory (AD)-Server erhalten hat[T1018].

Erkennung und Überwachung des MOVEit Transfer Zero-Day mit Vectra AI

Allen oben beschriebenen Tools ist gemeinsam, dass sie ein gewisses Maß an Kontrolle über den Zielhost bieten. Vectra AI verfügt über mehrere Algorithmen, die speziell für die Erkennung von versteckten Tunneln entwickelt wurden, z. B. den Algorithmus Hidden HTTPS Tunnel, der versteckte Tunnel im verschlüsselten Datenverkehr erkennen kann, ohne dass die HTTPS-Sitzung entschlüsselt werden muss.

Illustration eines versteckten Tunnels

Vectra AIAuslöser für die Erkennung von versteckten Tunneln‍

  • Ein interner Host kommuniziert mit einer externen IP-Adresse über HTTPS, wobei ein anderes Protokoll über die HTTPS-Sitzungen hinaus läuft
  • Dabei handelt es sich um einen versteckten Tunnel mit einer langen Sitzung oder mehreren kürzeren Sitzungen über einen längeren Zeitraum, der den normalen verschlüsselten Internetverkehr imitiert.
  • Wenn festgestellt werden kann, ob die Tunnelsoftware konsolenbasiert ist oder über eine grafische Benutzeroberfläche gesteuert wird, wird dieser Indikator in die Erkennung einbezogen
  • Der Bedrohungsgrad wird durch die Menge der über den Tunnel gesendeten Daten bestimmt
  • Die Gewissheitsbewertung ergibt sich aus der Kombination der Beständigkeit der Verbindungen und dem Grad der Übereinstimmung des beobachteten Umfangs und des Zeitpunkts der Anfragen mit den Trainingsbeispielen

Neben der Befehls- und Kontrollfunktionalität ist der SDBot Remote Access Trojaner in der Lage, sich durch Ausnutzung von Schwachstellen in der Zielumgebung selbst zu verbreiten. In einem solchen Szenario wird der automatische Replikationsalgorithmus von Vectra AIaktiv und ermöglicht es Cyber-Sicherheitsteams, "Host Zero" zu identifizieren und den Verlauf der Infektion zu verfolgen.

Illustration der automatisierten Replikation

Vectra AIErkennungsauslöser für die automatisierte Replikation

  • Ein interner Host sendet sehr ähnliche Payloads an mehrere interne Ziele
  • Dies kann darauf zurückzuführen sein, dass ein infizierter Host einen oder mehrere Exploits an andere Hosts sendet, um diese zu infizieren
  • Die Gewissheitsbewertung richtet sich nach der Anzahl der anvisierten Hosts und der Entdeckung eines vorgelagerten Propagators
  • Der Bedrohungswert richtet sich nach der Anzahl der angegriffenen Hosts und der Anzahl der verschiedenen Exploits, insbesondere der Exploits auf verschiedenen Ports

Zusammenfassung: Transformation der Bedrohungserkennung mit KI in einer Zero-Day-Umgebung

Wie in den obigen Beispielen dargelegt, bieten gängige Angreifer-TTPs reichlich Gelegenheit, die Anwesenheit des Gegners zu entdecken, bevor das gewünschte Ziel erreicht ist. Diese Möglichkeiten führen jedoch nicht automatisch zu Ergebnissen. Die beschriebenen Verhaltensweisen können mit herkömmlichen signaturbasierten Lösungen nur schwer erkannt werden, vor allem, wenn Zero-Day-Exploits im Spiel sind, und anderen Quellen wie Windows-Ereignisprotokollen fehlt in der Regel der Kontext, um zwischen Verhaltensweisen, bei denen es sich wahrscheinlich um genehmigte administrative Aktionen handelt, und solchen, die ungewöhnlich und potenziell bösartig sind, zu unterscheiden.

Wenn KI-basierte Erkennungsfunktionen eingesetzt werden, können die Verhaltensweisen durch eine andere Brille betrachtet werden. "Zeigt diese HTTPS-Sitzung ein Kommunikationsmuster, das auf eine externe Befehls- und Kontrollfunktion hindeutet? Das ist eine Frage, die mit KI beantwortet werden kann. "Würde dieser WMI-Aufruf den Zugriff eines Angreifers auf die Umgebung fördern, und ist es für diese Host/Benutzer-Kombination ungewöhnlich, diesen WMI-Aufruf zu tätigen? Dies sind ebenfalls Fragen, die mit KI beantwortet werden können. "Handelt es sich bei dieser Nutzlastübertragung um einen einmaligen Vorgang zwischen zwei Systemen oder ähnelt sie einem breiteren Muster von Nutzlasten, die auf viele Systeme übertragen werden, was auf die Verbreitung eines Wurms hindeutet? Auch dies ist eine Frage, die mit KI zuverlässig beantwortet werden kann.

Umgekehrt ist der Versuch, mit Hilfe von KI (oder jeder anderen Technik zur Erkennung von Bedrohungen) die Ausnutzung einer bisher unbekannten Schwachstelle zu erkennen, derzeit nicht möglich, ohne eine untragbar große Menge an zu analysierenden Daten zu erzeugen. Indem wir uns stattdessen auf das Verhalten der Angreifer nach der Schwachstelle konzentrieren, können wir ein sehr zuverlässiges Angriffssignal erzeugen, das sowohl geräuscharm als auch sehr effektiv ist.

Anstatt also Ihre Zero-Day-Strategie auf die Hoffnung zu gründen, dass Sie einen Patch erstellen können, bevor ein Angreifer die Schwachstelle findet, sollten Sie Ihre Strategie an die Denkweise einer angenommenen Kompromittierung anpassen: Es ist sehr wahrscheinlich, dass es in unserer Umgebung gerade eine Zero-Day-Schwachstelle gibt, und wenn ein Angreifer sie nutzt, um sich Zugang zu unserem Netzwerk zu verschaffen, werden wir bereit und in der Lage sein, ihre Anwesenheit mit KI-basierten Post-Compromise-Detection-Funktionen zu erkennen.

Erkundung der erweiterten Erkennungsmöglichkeiten von Vectra AI

Dies ist nur eine kleine Auswahl der KI-basierten Erkennungsalgorithmen, die in die Detect-Plattform von Vectra AIintegriert sind. Eine umfassendere Übersicht über die Erkennungsfunktionen finden Sie im Wissensdatenbank-Artikel Understanding Vectra AI und einen Überblick über die Plattform erhalten Sie in unserem Attack Signal IntelligenceTM Aufschlüsselung. Wenn Sie eine persönliche Führung wünschen, wenden Sie sich an Ihren bevorzugten Technologiepartner, um eine Einführung in unser Team zu erhalten.

--- Referenzen---

NIST

Microsoft

Google

BlackFog

CISA