Vor kurzem haben wir eine alarmierende Entdeckung gemacht: Hacker nutzen versteckte Tunnel, um in Finanzdienstleister einzubrechen und sie zu bestehlen! Das ist natürlich eine ernste Angelegenheit, wenn es die Bösewichte auf große Geldbeträge und private Informationen abgesehen haben. Aber womit genau haben wir es zu tun? Gehen wir der Frage nach, was versteckte Tunnel sind und wie ich sie finde, um die Antwort zu finden.
Versteckte Tunnels
Es gibt viele Arten von legitimen Tunneln, die von Finanzdienstleistern und anderen Unternehmen für die gemeinsame Nutzung von Daten in Netzwerken oder zwischen Anwendungen verwendet werden. Sie dienen oft als Kommunikationswege, mit denen Sicherheitskontrollen umgangen werden, um die Effizienz zu erhöhen. Versteckte Tunnel sehen ähnlich aus, dienen aber einem anderen Zweck.
Raffinierte Angreifer nutzen versteckte Tunnel, um Befehls- und Kontrollfunktionen sowie Exfiltrationsmaßnahmen durchzuführen. Das bedeutet, dass sie kritische Daten und personenbezogeneInformationen aus Unternehmensnetzwerken stehlen, indem sie sich in den normalen Datenverkehr einmischen, den Diebstahl von Informationen fernsteuern und sie durch dieselben Tunnel nach draußen schleusen - jetzt mit Beute beladen, aber immer noch unentdeckt.
Da sie sich unter mehrere Verbindungen mischen, die normale, allgemein zugelassene Protokolle verwenden, sind versteckte Tunnel sehr schwer zu entdecken. Um die Sache noch schwieriger zu machen, stehlen Cyberangreifer oft Daten in kleinen Mengen über einen längeren Zeitraum, damit sie keinen offensichtlichen Alarm auslösen. Die Bandbreite der Möglichkeiten wird nur durch die Kreativität des Angreifers begrenzt.
So kann beispielsweise eine scheinbar normale HTTP-GET-Anfrage eine versteckte Malware-Anfrage enthalten, die in ein Textfeld eingebettet ist. Ebenso kann die entsprechende HTTP-Antwort Anweisungen vom Command-and-Control-Server enthalten, die ebenfalls in einem vorgegebenen Feld versteckt sind. Diese versteckten Tunnelangriffe sind jedoch nicht nur auf einfache Textfelder beschränkt. Verdeckte Kommunikation kann in eine Vielzahl von Feldern sowie in Kopfzeilen und Cookies eingebettet werden.
Wenn Sie keine Möglichkeit haben, versteckte Tunnel von normalen zu unterscheiden, werden Sie sie wahrscheinlich nicht entdecken, bevor der Schaden entstanden ist. Selbst bei einer schrittweisen Entschlüsselung des Protokolls ist es unwahrscheinlich, dass seine wahre Natur aufgedeckt wird, da die schädlichen Nachrichten eingebettet sind.
Wie Vectra versteckte Tunnel findet
Vectra führen ständig eine hochentwickelte Analyse der Metadaten des Netzwerkverkehrs durch und decken dabei subtile Anomalien innerhalb eines Protokolls auf, die das Vorhandensein eines versteckten Tunnels verraten. Erwischt, Hacker!
Mit anderen Worten: Auch wenn Nachrichten innerhalb eines zulässigen Protokolls getarnt werden, kann die daraus resultierende Kommunikation, die den verborgenen Tunnel bildet, nicht umhin, subtile Angriffsverhaltensweisen in den gesamten Gesprächsfluss einzubringen. Dazu gehören leichte Verzögerungen oder abnormale Muster bei Anfragen und Antworten. Das ist so, als würde jemand ein Thunfischsandwich bestellen und es dann in 100 kleinen Teilen statt als ganzes Paket erhalten; das kommt mir verdächtig vor!
Auf der Grundlage dieser Verhaltenshinweise verwenden wir mathematische Modelle, um versteckte Tunnel im HTTP-, HTTPS- und DNS-Verkehr genau zu erkennen - und das alles, ohne eine Entschlüsselung durchzuführen. Unsere Fähigkeit, nach Bedrohungen zu suchen, ohne eine Deep-Packet-Inspection durchzuführen, ermöglicht es uns auch, versteckte Tunnel zu finden, unabhängig davon, wie sie implementiert sind. Es spielt keine Rolle, welches Feld die Angreifer zur Einbettung der Kommunikation verwenden oder ob sie eine noch nie dagewesene Verschleierungstechnik einsetzen. Die Abweichung des Angreifers vom normalen Protokollverhalten wird das Vorhandensein des versteckten Tunnels dennoch aufdecken.
Dies sind Aufgaben, die Sicherheitsanalysten nicht allein oder nicht schnell genug bewältigen können. Deshalb bieten wir einzigartige Fähigkeiten zur schnellen und präzisen Erkennung und Suche nach Cyberbedrohungen, einschließlich versteckter Tunnel, damit Sie besser darauf reagieren können.
Um mehr über ausgeklügelte Cyberangriffe und versteckte Tunnel zu erfahren, die verschiedene Branchen wie Finanzdienstleistungen infiltrieren, lesen Sie den Spotlight Report 2018 von Vectra.