Schnell auftretende kritische Schwachstellen oder Zero-Days offenbaren die Schwächen herkömmlicher Cybersicherheitsprodukte, die auf Signaturen zur Abwehr von Bedrohungen angewiesen sind. Signaturen sind nützlich, um einen kontinuierlichen Schutz vor bekannten und historischen Bedrohungen zu bieten, können aber bei neuen Bedrohungen nicht viel ausrichten, bis die Schwachstelle von Sicherheitsforschern gefunden und eine neue Signatur erstellt wird. Ausnutzbare Schwachstellen können jahrelang bestehen, bevor sie von Sicherheitsforschern entdeckt werden, so dass Sie ungeschützt und verwundbar bleiben. Bei einer Schwachstelle wie ZeroLogon könnte jede Verzögerung beim Schutz das Ende Ihres Unternehmens bedeuten, wenn man bedenkt, wie leistungsfähig und schnell die Schwachstelle ausgenutzt werden kann.
Vectra hat jedoch einen grundlegend anderen Ansatz für die Cybersicherheit. Die hochentwickelten KI/ML-Modelle von Vectra für das Verhalten von Angreifern sind so konzipiert, dass sie das Angriffsverhalten unabhängig von den spezifischen Tools oder Signaturen erkennen, die bei dem Angriff verwendet werden. Daher verfügen die Kunden von Vectra AI über beträchtliche Erkennungsmöglichkeiten für Angriffskampagnen, die diese neue Schwachstelle ausnutzen könnten - und zwar noch bevor die Schwachstelle bekannt gegeben wurde.
Es war eine arbeitsreiche Zeit für diese älteren Cybersicherheitsprodukte, da sie sich bemühten, Signaturen zu erstellen und ihren Kunden ein gewisses Maß an Schutz vor diesem Exploit zu bieten. Diese neuen Signaturen werden natürlich helfen, aber für einige werden sie zu spät kommen, und es ist nur eine Frage der Zeit, bis sich die Exploits leicht verändern, um diese Schutzmaßnahmen zu umgehen. In den letzten Tagen haben wir gesehen, dass viele unserer Konkurrenten (z. B. ExtraHop, CoreLight und Awake) sich beeilt haben, neue ZeroLogon-Signaturen zu veröffentlichen, nachdem die Sicherheitslücke bekannt geworden war. Und was war davor? Gab es da irgendeine Abdeckung? Sollen wir glauben, dass Sicherheitslücken nur dann ausgenutzt werden können, wenn sie durch Sicherheitsforschung aufgedeckt werden?
Vectra AI/ML-Modelle für die ZeroLogon-Erkennung
Um diesen Exploit erfolgreich zu nutzen, muss sich der Angreifer im lokalen Netzwerk befinden. Bei externen Angreifern würde Detect Command and Control (C&C) vom kompromittierten Host in Form von External Remote Access, Hidden HTTP/HTTPS/DNS Tunnel oder Suspicious Relay sehen. Nach dem Ausnutzen der Schwachstelle (ob durch einen externen oder internen Angreifer) würden wir wahrscheinlich DCSync sehen, das von RPC Targeted Recon abgedeckt wird. Sobald der Angreifer Admin-Zugang erlangt hat, decken unsere hochentwickelten PAA-Erkennungen (Privileged Access Analytics) die Nutzung dieses neuen Zugangs ab. Andere Modelle wie Suspicious Admin, Suspicious Remote Execution und Suspicious Remote Desktop decken auch laterale Bewegungen ab. RDP Recon und RPC Recon könnten zu erwarten sein, wenn externe Angreifer ihren Weg durch das Netzwerk finden.
Cognito Detect schützt Ihr Unternehmen vor neuen, Zero-Day- und schnelllebigen Bedrohungen, indem es sich auf die Dinge konzentriert, die sich nicht ändern, d.h. auf das Verhalten der Angreifer, und nicht auf Signaturen, die reaktiv sind und leicht umgangen werden können.
Verbesserte ZeroLogon-Erkennung mit der Vectra AI Plattform
Der Fokus von Detect auf das Auffinden von Angriffsverhalten ist ein wirklich dauerhafter Mechanismus, um Angreifer zu finden. Die Vectra AI Plattform ergänzt unsere fortschrittlichen Erkennungsfunktionen, die tiefere Untersuchungen und threat hunting ermöglichen. Für die ZeroLogon-Schwachstelle haben wir ein neues Recall Dashboard (NetLogon Exploit Dashboard) veröffentlicht, um Ihnen mehr Einblick in die Versuche zu geben, diese Schwachstelle in Ihrem Netzwerk auszunutzen.
Die ZeroLogon-Schwachstelle verstehen
Kürzlich wurde eine CVE-Schwachstelle mit höchstem Schweregrad (ZeroLogon - CVE-2020-1472 - CVSS 10) gemeldet, die es einem Angreifer ermöglicht, den Hauptschlüssel zu Ihrem Netzwerk, d. h. die Domänenadministrator-Anmeldeinformationen, unglaublich schnell und einfach zu erlangen, ohne dass dafür irgendwelche Rechte erforderlich sind, die über die Fähigkeit hinausgehen, Datenverkehr an Ihr Netzwerk zu senden. Diese Schwachstelle wird durch einen Fehler in der Art und Weise verursacht, wie Windows Server OS das NetLogon RPC-Protokoll handhabt, der es dem Angreifer ermöglicht, seine Identität in einem Kennwort-Reset-Ereignis zu fälschen und jedes beliebige Kennwort zurückzusetzen, einschließlich der Kennwörter von Domänencontroller-Maschinenkonten.
Microsoft hat in der Zwischenzeit Patches für die anfälligen Versionen von Windows Server zur Verfügung gestellt; es wird allen empfohlen, diese Patches so bald wie möglich anzuwenden. Weitere Informationen über die Sicherheitslücke finden Sie hier und Informationen von Microsoft über betroffene Versionen und Patches finden Sie hier.
Wenn Sie bereit sind, Ihre Herangehensweise an die Erkennung von und Reaktion auf Cyberangriffe zu ändern, und einen genaueren Blick darauf werfen möchten, wie Recall Angreifer-Tools und Exploits finden kann, vereinbaren Sie noch heute einen Demo-Termin mit Vectra .