Ist die Entschlüsselung von Paket-Payloads operativ effektiv oder effizient, um Verteidigern zu helfen, Anzeichen für fortgeschrittene Angriffe von Nationalstaaten oder manuell ausgeführte Angriffe wie RansomOps in einem Netzwerk zu finden?
Die kurze Antwort lautet nein.
- Die passive Entschlüsselung von Standardverschlüsselungen wie TLS ist aufwändig (bei TLS 1.3 muss ein Agent auf allen angeschlossenen Endpunkten installiert werden).
- Die Entschlüsselung bietet dem Verteidiger kaum einen Vorteil, der nicht bereits durch eine aktive Entschlüsselung mit Firewalls oder Proxys gegeben ist.
- Und keiner von beiden hilft den Verteidigern, den C2-Kanal eines fortgeschrittenen Angreifers oder die Datenexfiltration aufzuspüren.
Wir untersuchen den Datenverkehr an der Netzwerkgrenze eines Unternehmens, wo Verschlüsselung weit verbreitet ist, und suchen nach Anzeichen für Command-and-Control und Datenexfiltration. Wir stellen fest, dass die Entschlüsselung den Verteidigern nur sehr wenig oder gar keinen Nutzen bringt, wenn es darum geht, fortgeschrittene Angriffe von Nationalstaaten oder manuell ausgeführte kriminelle Angriffe wie RansomOps zu erkennen. Hier ist der Grund dafür.
Werkzeuge für Angreifer aus dem Nationalstaat werden angepasst
Nationale Akteure stellen in der Regel Tool-Ketten zusammen, die von ihren Angriffsteams verwendet werden. Diese Tool-Ketten umfassen häufig intern entwickelte Tools und solche, die nicht im Handel erhältlich sind. Die Standard-Tools werden stark angepasst, um eine Entdeckung durch einfache Methoden zu vermeiden, die auf ihr bloßes Vorhandensein achten.
Und die fähigsten staatlichen Akteure werden noch mehr Entropie hinzufügen - sie werden die von ihnen verwendeten maßgeschneiderten und handelsüblichen Tools für jedes Ziel, das sie verfolgen, anders konfigurieren und keine der Infrastrukturen (für C2 und Exfiltration) wiederverwenden, die zur Durchführung von Angriffen auf verschiedene Ziele verwendet werden. Daher hat die Entschlüsselung von Nutzdaten zur Ausführung von Signaturen keinen nennenswerten Nutzen für die Erkennung.
Kriminelle (RansomOps) Angreifertools werden modifiziert
Manuell ausgeführte Angriffe, wie sie bei den meisten RansomOps-Angriffen zum Einsatz kommen, stehen im Dienste eines gewinnorientierten Geschäftsmodells. Es macht wenig Sinn, viel Forschungs- und Entwicklungsarbeit zu investieren, um Werkzeuge von Grund auf neu zu entwickeln, da dies einfach die potenziellen Gewinne schmälert.
Stattdessen verwenden fast alle kriminellen Angriffe Standardtools, aber diese Akteure wissen genug, um diese Tools nicht mit den mitgelieferten Standardeinstellungen zu verwenden, die von den meisten Signaturprodukten erkannt würden.
Stattdessen setzen sie die Standardkonfiguration außer Kraft, mit der die Standardtools ausgeliefert werden, und machen die Signaturen unbrauchbar. Die Infrastruktur wird häufiger wiederverwendet, kann aber über Domänen und/oder IPs ohne Entschlüsselung identifiziert werden. Genau wie im Fall der Nationalstaaten hat die Entschlüsselung von Nutzdaten zur Ausführung von Signaturen also keinen nennenswerten Nutzen für die Erkennung.
Die innere Funktionsweise von Cobalt Strike
Schauen wir uns an, was es bedeutet, die Standardeinstellungen von Cobalt Strike, einem der bekannteren Standard-Pen-Testing-Frameworks, außer Kraft zu setzen. Dieses Beispiel dient nur zur Veranschaulichung - das gleiche Maß an Konfigurierbarkeit gibt es in jedem ausgereiften Pen-Testing-Tool, so dass es trivial ist, die Standardeinstellungen zu überschreiben, um Signaturen zu umgehen.
Das Benutzerhandbuch für Cobalt Strike finden Sie hier. Schauen wir uns die Funktion Malleable Command and Control an, die Teil dieses Pakets ist. Um die Funktion "Malleable C2" zu nutzen, stellen Sie alle Optionen, die Sie verwenden möchten, in einem Profil zusammen.
Im Profil ist jedes Element der HTTPS-Anfrage und -Antwort, die für die C2-Kommunikation verwendet werden, (wie der Titel schon sagt) formbar. Dazu gehören das Zertifikat, das Sie zur Sicherung des TLS-Kanals für den HTTP-Verkehr verwenden, die in der HTTP-Anfrage kodierte URI, der angegebene User-Agent, das Vorhandensein oder Fehlen eines Referrer-Tags und alles andere, was der Angreifer in die Anfrage einfügen möchte, um sie entweder normal oder unverständlich aussehen zu lassen.
Die eigentlichen Daten, die über den C2-Kanal übertragen werden müssen, können in einer Vielzahl von Formaten (Base64, NetBIOS usw.) kodiert und durch XOR-Verknüpfung mit einem zufälligen Schlüssel, der nur dem Angreifer bekannt ist, leicht maskiert werden (man kann sich dies als eine leichtgewichtige, aber wirksame Form der "inneren" Verschlüsselung vorstellen).
Zusammenfassung
Unabhängig davon, ob es sich um einen staatlichen oder einen RansomOps-Angreifer handelt (der eine gute Sicherheitshygiene anwendet, indem er nicht dieselben Tags/Werte und Schlüssel für verschiedene Ziele wiederverwendet), hilft es dem Verteidiger nicht, die äußere TLS-Verschlüsselung zu knacken, um Zugriff auf die innere HTTP-Anfrage zu erhalten. Es gibt kein festes Muster, auf das eine Signatur abzielt, und die tatsächliche Nutzlast (gesendete Befehle, zurückgegebene Befehlsergebnisse, heruntergeladene Software usw.) wird durch eine leichtgewichtige Verschlüsselung mit dem zufällig generierten Schlüssel des Angreifers verschleiert.
Wenn eine Organisation also nicht bereit ist, eine sehr restriktive Internetzugangsrichtlinie anzuwenden (und somit den Teil des Internets, dem sie vertraut, auf eine Whitelist zu setzen), können C2-Kanäle nicht durch die Suche nach Byte-Mustern in entschlüsselten HTTP-Nutzdaten entdeckt werden. Die Erkennung von Exfiltration folgt einer ähnlichen Logik. Verschlüsselte innere Nutzdaten sind für Standard-DLP-Ansätze unempfindlich. Die einzige andere Möglichkeit der C2- oder Exfiltrationserkennung basiert auf der Analyse von Zeitreiheninformationen über Datenübertragungen oder der Beobachtung einfacher Volumenanomalien - beides erfordert keine Entschlüsselung der äußeren Hülle.